摘 要:数字信息时代,死者个人信息受侵害问题日益突显。死者个人信息兼具价值性与伦理性,保护死者个人信息关乎逝者尊严与近亲属权益。《个人信息保护法》第49条赋予近亲属、死者生前安排的其他主体对死者个人信息请求保护,构筑了死者个人信息保护的具体规则,但整体上存在诸多不足。保护死者个人信息应以“维护近亲属利益”与“尊重自然人身后自主”作为理论基础。死者生前未特别安排,近亲属可行使死者个人信息权利;若存有生前安排,近亲属外主体亦可主张死者个人信息权利。近亲属、死者生前安排的其他主体对死者个人信息享有权益的内容不应仅限于查阅、复制、更正、删除四种权利,还应包括补充权、更正权、解释说明权等内容。死者个人信息保护同样应受到“合法正当利益”条件、“死者生前另有安排”以及死者个人信息保护期限的限制。
关键词:死者个人信息;法律保护;个人信息保护法;近亲属
中图分类号:D913 文献标志码:A 文章编号:1002-2589(2024)05-0052-04
收稿日期:2024-07-13
基金项目:黑龙江省哲学社会科学研究规划项目“黑龙江省排污权交易及强制执行研究”(21FXC181)
作者简介:李云滨,讲师,法学博士,硕士研究生导师,从事民商法学、民事强制执行法学研究;尹懋锟,博士研究生,从事民商法学研究。
数字时代科技高速发展,自然人于现实世界与网络空间并行存在。离世后,其个人信息仍持续存在,成为一种特殊的数字遗产。随着互联网、人工智能技术的广泛应用,侵犯死者个人信息的案例逐渐增多。未经死者生前或近亲属同意将死者个人信息用于商业或其他不当用途,可能导致死者个人信息被不正当利用。郑州空姐网约车遇害案中,一张包含死者个人信息的照片流传网络,最终警方将犯罪嫌疑人以侵害个人信息罪为由予以刑事拘留。
2021年《个人信息保护法》颁布,于第49条规定死者个人信息的保护条款,对处理自然人死后遗留的个人信息具有重要意义[1]。该条文将个人信息的保护范围拓展至死者层面,是保护自然人“身后权利”的有益尝试。但整体上依旧存在不足:一是未明确死者个人信息保护的请求主体。该规定将请求主体限为死者近亲属,未明确近亲属外的其他主体能否行使死者个人信息权益。二是未明确相关权利人对死者个人信息享有权益的内容。《个人信息保护法》第49条规定相关权利人对死者个人信息可以行使查阅、复制、删除等权利,学界对“等”字包含的权利内容存在争议。三是未明确死者个人信息保护的限制。除“合法正当利益”“死者生前另有安排”外是否还存在其他限制条件不明。以《个人信息保护法》第49条为基础对上述内容展开研究,对于准确适用死者个人信息保护的法律,处理死者个人信息纠纷,完善我国死者个人信息保护制度均具有一定意义。
一、死者个人信息保护的理论基础
自然人死亡后,尽管其意志不复存在,但人格标识承载着重要的物质和精神利益。或具有一定的财产价值,或关涉死者近亲属的人格利益。域外多数国家均对死者人格利益进行保护[2]。如法国《数据保护法》第40条规定,主体去世后数据权利消失,但该权利在特定情形下可附条件地短暂留存[3]。丹麦《数据保护法》第2条指出,该法保护个人死后十年内的数据[4]。对于死者人格利益保护的理论基础,存在以下几种观点:一是“权利保护说”,主张自然人权利能力并不伴随出生与死亡而始末,个体离世后仍存在权利能力,能够继续享有特定权利。二是“法益保护说”,认为死者无民事主体地位,法律仅保护其法益而非权利。三是“近亲属利益保护说”,主张保护死者个人信息并非因死者人格权继续存在,而是为防止对近亲属的权益造成损害。四是“家庭利益保护说”,认为死者个人信息是家庭利益的重要组成部分,侵害死者个人信息同时构成对死者家庭利益的侵犯。死者个人信息保护的理论基础应从以下两方面进行考量。
(一)维护死者近亲属利益
生命存续是法律主体权利能力的本质属性。民事权利的生死界限不应依据统治阶级的意志决定[5]。权利能力之设定,关乎主体资格,须依循法理,不可妄为。权利能力以自由意志为前提,生命存在是自由意志的载体,是权利能力不可或缺的内生特质,死者无生命状态决定了其不具备权利能力,无法成为法律意义上的主体而享有权利。自然人死亡后的人格利益构成符号世界中的一部分,应由私法保护。但此时法律保护的利益并非死者继续存在的人格权益[6],而是遗属人格利益。列维—布留尔的“互渗律”认为,不同表象可以基于特定解释规则相关联[7]。死者与近亲属间基于血缘关系而具有人格上的互渗性。死者亡故,其人格成为近亲属怀念、祭奠、追思等情感表达利益的组成部分,对死者人格的任何侵害都会侵害近亲属的精神利益。正如史尚宽所言:“于人格者死后,其遗属为保护死者之名誉、秘密或纪念,系根据自己之权利,因自己人格利益受侵害而有诉权。此权利在内容上为新权利,其遗属为尽虔敬孝行,而有内部的利益”[8]。
(二)尊重死者生前意愿
法秩序对死者个人信息保护应“尊重主体自主意愿”,而非仅探讨“法律生命死亡即告终结”的问题。尊重死者生前意愿是法律对“身后权利”“自我实现”的重要途径。基础源于罗马法的“遗嘱”制度,核心在于尊重自然人的意思自治,保护死者生前在理性判断下预先做出死后的安排[9]。死者虽不再拥有与生前相同的权利,但可在死后对其遗留进行控制,允许个人在死后通过遗嘱等形式“管理”本人生前的隐私等,是尊重死者生前意志的重要体现。对于死者生前未明确意愿的,应尊重死者合理期待,在法院的裁量下保护死者的个人信息;对死者生前已明确做出安排的,应在法律允许范畴内,根据死者生前意愿保护其个人信息。
二、死者个人信息保护的请求主体
(一)死者生前未作安排时为近亲属
1.死者近亲属范围的确定。《个人信息保护法》第49条所述的近亲属范围应当适用《民法典》第1045条规定。全国人大常委会指出,个人信息保护法与民法典相关条款进行紧密衔接,旨在进一步强化对个人信息权益的保护。《民法典》在“总则编”中规定个人信息受法律保护,并在“人格权编”中确立了个人信息处理的基本规范。《个人信息保护法》则是在此基础上对上述制度和规则进行了更为详尽的规定[10],确保个人信息的合法权益得到有效保障。《个人信息保护法》第49条“近亲属”范围应包括死者的配偶、父母、子女、兄弟姐妹、祖父母、外祖父母、孙子女、外孙子女[11]。
2.死者近亲属请求保护的顺序。请求保护死者个人信息的近亲属顺序可通过解释“合法、正当利益”进行确定。在设定请求保护死者个人信息近亲属之间的顺序时,应强调各主体处理死者个人信息是否有合法、正当利益[12]。当多个权利主体间发生冲突,若一方主体欲限制、排除其他主体利益以先实施自身权益,该方不仅须证实自己处理死者个人信息行为本身合法,还须证明其所采取的限制或排斥他人权益的行为同样具有合法、正当的理由,否则要求优先满足自身权益诉求的主张将缺乏法律基础。在此过程中,至关重要的是审慎考量各方权利人的权益,并寻求一个公正合理的平衡点。
(二)死者生前安排的其他主体
明确《个人信息保护法》第49条规定的“死者生前另有安排的除外”的立法本意应考虑规范目的、实施效果以及立法先例等因素。一是从立法目的来看,将权利主体仅限定于近亲属范围不利于死者个人信息保护。《民法典》对“近亲属”划定范围有限,将死者个人信息权益的行使主体限定于近亲属可能会导致死者生前难以寻觅到合适的信息处理者。二是从实施效果来看,信息保护以个人对信息处理的自主决定权为核心,赋予死者生前指定的特定主体在自然人死亡后行使死者个人信息权益,是对生者人格尊严全面尊重之体现。允许死者生前委任特定人行使相应权益,是全面尊重自然人人格尊严原则的具体践行。三是从域外先例来看,不乏存在认可死者生前指定的成员行使死者个人信息权益的立法例。如,《爱沙尼亚个人数据保护法》第12条规定,死者生前可指定他人在其死后行使个人信息权益。若死者生前已明确指定了行使死者个人信息权益的特定个人,即使其他主体(包括近亲属)持有合法正当利益诉求,亦无法主张对死者个人信息的权利[13]。除近亲属外,死者生前安排的其他人员理应可行使死者个人信息权益。
三、死者个人信息保护的内容
(一)死者个人信息保护的内容不应限于《个人信息保护法》第49条列举的四类
1.依据文义解释,“等”字并非对死者个人信息保护内容的封闭或限定。《个人信息保护法》第49条规定的“等权利”,本质上起到的是兜底作用,旨在涵盖那些虽未在法条中逐一列举,但与条款主旨相符、在逻辑上应归属于同一权利体系内的其他权能。立法者使用“等”字的初衷,正是为了应对未来可能出现的、当前立法时难以预见的情形,确保法律在面对新型问题时仍能提供有效指导。在涉及死者个人信息保护问题上,赋予近亲属超越现有明确列举内容之外的其他相关权益,不仅符合立法初衷,而且对于提升死者个人信息保护的全面性和有效性至关重要。
2.依据立法目的,《个人信息保护法》为保护死者个人信息与维护死者近亲属的合法权益。一方面,赋予死者近亲属广泛的权利内容能够更好地保护死者个人信息。数字化时代,死者个人信息是其生前经历的载体,是去世后遗存人格尊严的表现。赋予近亲属对死者个人信息享有较为广泛的权利内容,使他们能够在法律框架内积极参与并主导对死者个人信息的管理和保护,确保这些个人信息得到尊重,不被滥用或侵犯,从而捍卫死者在离世后的“身后权利”。另一方面,赋予死者近亲属广泛的权利内容也能够更好地保护近亲属合法、正当利益。
3.依据域外规定,赋予近亲属对死者个人信息享有多项权利在各国已有立法例。域外不乏明确赋予近亲属等在处理死者个人信息时享有知情、同意等权利的规定。《爱沙尼亚个人数据保护法》第13条规定,自然人去世后,遗产继承人等可以对死者个人信息的利用行为进行许可。美国俄克拉荷马州立法明确赋予遗嘱执行人在授权下,对逝者的各类社交平台账户、短信服务账户、电子邮件服务账户等,行使接管与控制的权利。无独有偶,内布拉斯加州、印第安纳州也相继出台了法律,旨在确保遗嘱执行人或相关继承人能够合法、有效地处理逝者的数字资产。
(二)死者个人信息保护的具体内容
死者近亲属等针对死者个人信息享有的权益内容除法律列举的四种外,仅应当包括补充权、更正权、解释说明权。
一方面,诸如知情权、可携带权等与个人身份紧密相连的权利,应由信息主体本人享有。个人在信息处理中享有的权利源自信息自决权,具有人身依附性[14]。如知情权、决定权赋予个人控制处理者处理其信息的权利,可携带权、删除权则赋予个人终止处理者处理行为的权利[15],两者皆是主体在信息处理过程中意志的体现[16]。
另一方面,死者近亲属应当享有补充权、更正权、解释说明权。对于那些与个人身份关系密切、具有明显人身属性的权利(如知情权、决定权、可携带权),近亲属无权直接行使。对独立于个人身份、侧重于规范信息处理流程的权利,如补充权、更正权等,此类权利的行使实质上增加了个人在信息处理时的监督与支配[17],死者近亲属则有可能在特定条件下得以享有。此外《个人信息保护法》第49条规定“死者生前另有安排的除外”意味着尽管知情权、决定权等通常与个人身份紧密相连,但在特定条件下,并不构成阻碍近亲属行使此类权利的障碍。
四、死者个人信息保护的限制
在网络服务供应商处理死者个人信息的过程中,必须遵循合法、必要且合理的原则,不得无条件纵容近亲属采用各种方式对死者个人信息主张权利。保护死者个人信息应受到以下几方面的限制:一是“合法正当利益”条件的限制;二是“死者生前另有安排”的限制;三是死者个人信息保护期限的限制。
(一)“合法正当利益”条件的限制
为妥善平衡近亲属的利益与其他利益间的关系,只有近亲属维护自身的合法、正当利益方可行使死者个人信息权益。“合法、正当利益”的范畴较之“合法权益”更加宽泛,不仅涵盖了近亲属的合法权益,还可能延伸至其他合理诉求。准确识别近亲属的“合法正当利益”需考虑以下几个方面因素:一是“合法利益”的判定,应不违反法律、行政法规以及公序良俗。二是“正当利益”的判定,包括价值利益及利益权衡两部分。价值利益应为法秩序所认可,并为法律所保护的利益;利益权衡指对各方价值利益在必要性基础上进行衡量。三是“合法正当利益”的归属限于近亲属自身,而非死者或非近亲属的自然人、法人或非法人组织。实践中,死者近亲属为维护自身的人身、财产权益,情感、追思利益等都可以视为合法正当利益,但是擅自登录死者生前账号查询死者个人信息的行为,往往不被认为是合法正当行为。
(二)“死者生前另有安排”的限制
为尊重死者的自主意志,行使死者个人信息权益应当优先考虑死者生前的安排。若死者生前明确指示死后个人信息权益的行使主体,或表示不允许任何人在其离世后行使相关权益,即使近亲属基于合法正当的利益诉求,也不能擅自查阅、复制死者信息。仅在死者生前未对死后个人信息处理做任何安排时,近亲属方可依法成为处理死者个人信息的合法主体。
该条款并未明确界定死者生前安排的具体形式及限制条件。死者行使生前安排的意愿须在法律框架内进行,否则就会存在被滥用的可能。死者意愿并非绝对遵从,应以保护社会或第三方利益为限[18]。为确保死者意愿合理实现,可通过预先指示制度规范死者生前对个人信息处理的安排形式。预先指示制度源于医疗领域,系指具备意思能力的患者对其未来丧失意识状态下医疗事务预先做出法律安排的机制[19]。死者生前安排可以通过预设个人信息指示,在其生前以书面形式记录死后个人信息处理的意愿,从而确保“身后权利”保护的实现。在设立此项制度时应注意:一是死者生前安排不能排除为国家、社会利益必要时的信息披露使用。二是应规范生前安排形式,提供预设指示模板指引生者在生前进行有效安排。
(三)死者个人信息保护期限的限制
近亲属行使死者个人信息权益应当受到死者个人信息保护期限的限制。无节制地保护死者个人信息可能会引发类似我国台湾地区的“诽谤韩愈案”。随着时间的经过,死者个人信息保护的难度及成本会逐渐增大。确定保护期限可以节约保护成本,避免浪费和资源损耗。域外同样规定了死者个人信息保护的期限,如美国《健康保险携带与责任法案》(HIPAA)规定,逝者健康信息保护期限为个人死亡之日起50年,在此期间同等保护逝者与生者健康信息[20]。澳大利亚新南威尔士州《政府信息公共获取法》(GIPA)规定,对于已故超过30年的个人相关信息将不再视作受个人信息保护范畴;而对于其余时段内逝者的资料,需依据具体情况评判以决定是否保护。从域外法来看,就防止死者个人信息保护的无限扩张而设定保护期限,已成为各国立法的通例。
近亲属行使死者个人信息权益不应设定较长保护期限。近亲属基于本人的利益,从自然人死亡之日起就应该有意识地积极主动地保护死者个人信息。确定死者个人信息的保护期限,要考虑客观条件之限制、信息个体之差异以及立法保护之目的影响。应考量以下因素确定死者个人信息的保护期限:一是时间因素。应考虑侵害死者个人信息的行为发生与死者死亡之日的时间距离[21]。对死者个人信息的保护间隔时间越久远,近亲属的怀念、祭奠、追思情感越模糊,有关死者个人信息的证据越难以留存。二是死者的知名度和影响力。不同的人的知名度、影响力不同,拥有越大的知名度、影响力的自然人,被大众遗忘所需时间越久。三是法律虽然承认死者的人格利益,但核心目的并不在于直接确认这些利益,而是为近亲属提供实现这些利益的诉权。不论是死者利益还是近亲属权益,都属于“原权”。借鉴德国萨维尼的观点,原权从根本上享有不受侵犯的共性[22]。遵循此种逻辑,法律规定由近亲属主张有关死者人格利益的相关权利,实为暗指死者人格利益的保护期限是近亲属的生存期限。原则上死者近亲属在世,死者个人信息就应受法律保护,但法律或行政法规另有规定的除外。
五、结语
随着科技及互联网技术的发展,信息收集、处理技术逐渐完善,利用方式也越来越多样。自然人死亡后留存大量个人信息于世,如何保护这些信息免遭滥用成为亟待解决的问题。强化死者个人信息的保护有较强的理论和现实意义。《个人信息保护法》与《民法典》内容协同呼应,规定死者个人信息的保护,有效保护了近亲属利益,尊重死者的生前意愿,体现了以人格尊严为中心的价值理念,符合人格权保护的发展趋势。对死者个人信息的立法保护,并非让死者继续承受“法律枷锁”,而是为了让生者能够更好拥有对未来的“合理期待”。相信在不久的将来,伴随着我国死者个人信息保护制度的完善,死者在放心脱下“法律枷锁”的同时,也不必“担心”“身后权利”受侵害。
参考文献:
[1]王利明,丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家,2021(6):1-16.
[2]Tūbaite-Stalauskiene, Asta. “Data Protection Post-mortem.” International Comparative Jurisprudence 4.2 (2018): 97-104.
[3]李爱君,苏桂梅.国际数据保护规则要览[M].北京:法律出版社,2018:102-103.
[4]张新宝.《中华人民共和国个人信息保护法》释义[M].北京:人民出版社,2021:398-400.
[5]曹相见.死者“人格”的规范本质与体系保护[J].法学家,2021(2):13-25.
[6]张驰.死者利益的法律保护论[J].东方法学,2008(3):22-26.
[7][法]列维-布留尔.原始思维[M].丁由,译.北京:商务印书馆,1987:31-69.
[8]史尚宽.民法总论[M].北京:中国政法大学出版社,2000:126.
[9]孙骥韬.论遗嘱制度在《民法典·继承编》中的体系定位[J].学习与探索,2019(9):96-105.
[10]王利明.论《个人信息保护法》与《民法典》的适用关系[J].湖湘法学评论,2021,1(1):25-35.
[11]石佳友.个人信息保护的私法维度——兼论《民法典》与《个人信息保护法》的关系[J].比较法研究,2021(5):14-32.
[12]程啸.个人信息保护法理解与适用[M].北京:中国法制出版社,2021:384.
[13]程啸.论死者个人信息的保护[J].法学评论,2021,39(5):13-23.
[14]商希雪.个人信息隐私利益与自决利益的权利实现路径[J].法律科学(西北政法大学学报),2020,38(3):71-85.
[15]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018,40(3):84-101.
[16]万方.个人信息处理中的“同意”与“同意撤回”[J].中国法学,2021(1):167-188.
[17]程啸.民法典编纂视野下的个人信息保护[J].中国法学,2019(4):26-43.
[18]Robinson D J, O’Neill D. Access to health care records after death: balancing confidentiality with appropriate disclosure[J]. JAMA, 2007, 297(6): 634-636.
[19]李霞.论预先医疗指示[J].东南法学,2018(1):5-15.
[20]Burnett E. Solving the Uncertainty: Why the HIPAA Privacy Rule Fails to Appropriately Address Disclosures of Psychotherapy Notes of Deceased Patients[J]. Health Matrix, 2019(29): 401.
[21]杨巍.死者人格利益之保护期限[J].法学,2012(4):147-155.
[22][德]萨维尼.当代罗马法体系[M].朱虎,译.北京:中国法制出版社,2010:260-262.
