個人信息保護法草案二審稿將死者個人信息保護納入立法。有學者表示,它落實了民法典對死者人格利益的保護,適應了信息化社會的現實要求。
隨著大數據技術的發展,我國對個人信息保護的力度日益加強,民法典、網絡安全法等現行法律對自然人個人信息權利作出明確規定。那么自然人死亡后,其留下的個人數據是否應該被保護?日前,公開征求意見的《中華人民共和國個人信息保護法(草案)(二次審議稿)》(以下簡稱為草案二審稿)對此作出回應,首次將死者個人信息保護納入立法,明確死者的個人信息權益由近親屬行使。
適應信息化社會的需要
民法典、刑法、網絡安全法等現行法律均對自然人個人信息權利作出明確規定。按照我國刑法的規定,違反國家有關規定向他人出售或提供公民個人信息,最高將被處7年以下有期徒刑。但公民個人信息是否包括死者個人信息?現行法律并未明確規定。2017年6月1日施行的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱為司法解釋)第一條對“公民個人信息”進行了界定,但未提及是否包括死者個人信息。
中國法學會網絡與信息法學研究會理事、寧波大學法學院副教授徐偉認為,侵犯公民個人信息罪中的“公民”不包括“死者”,死者個人信息不屬于該罪的保護范圍。依照上述解釋,死者并非法律上的“公民”,根據罪刑法定原則,若對“公民”采取擴張解釋,應由立法者明確表態,不宜擴大刑法的適用范圍。
遼寧大學法學院教授王秀哲認為,侵犯公民個人信息罪的主體不包括死者,但鑒于該罪以“情節嚴重”“情節特別嚴重”為構成要件,并以信息類型、信息數量、違法所得數額、損害后果等認定“情節嚴重”“情節特別嚴重”,其中,當通過信息數量和損害后果定性時,并不排除對死者個人信息的保護。如通過信息數量認定犯罪構成時,死者個人信息有可能是諸多個人信息集合的組成部分,此時侵犯公民個人信息罪將直接保護死者的個人信息。
“死者個人信息受刑法保護,但不是侵犯公民個人信息罪單獨保護的對象,是無法完全排除的保護對象。”王秀哲說。
雖然現行法律對死者個人信息保護未作出明確規定,但并不意味著死者個人信息不受法律保護。根據民法典第九百九十四條的規定,死者的姓名、肖像、名譽、榮譽、隱私、遺體等受到侵害的,近親屬可主張行為人承擔民事責任。
為與民法典進行有效銜接,草案二審稿第四十九條新增對死者個人信息保護的規定,明確自然人死亡后在個人信息處理活動中的權利交由近親屬行使。
徐偉認為,草案二審稿將死者個人信息納入保護,擴大了個人信息保護的權利主體和保護范圍,使個人信息能夠得到更全面、完整的保護,有助于解決現實中日益增多的因自然人去世引發的個人信息糾紛。
王秀哲說,將死者個人信息保護納入立法,落實了民法典對死者人格利益的保護,適應了信息化社會的現實要求,有利于促進現代社會人格權發展。
由近親屬代為行使權利
草案二審稿第四十九條明確,個人在個人信息處理活動中具有的知情權、決定權、查閱、復制權、更正補充權等權利,當自然人死亡時,上述權利由近親屬行使。值得注意的是,雖然在死者個人信息權利行使權主體上,草案二審稿第四十九條和民法典第九百九十四條均規定由近親屬代為行使權利,但有細微差異。
按照民法典的規定,當死者人格權益受到侵害時,首先由配偶、子女、父母三類近親屬行使權利,當死者沒有配偶、子女且父母已經死亡時,由其他近親屬行使權利。草案二審稿直接規定由近親屬行使權利,并未進行位次排序細分。
王秀哲認為,草案二審稿的規定更符合個人信息侵權保護的實際。她解釋說,由于個人信息的寬泛性,直接規定由近親屬行使權利可以避免因近親屬位次排序使直接受到傷害的近親屬無法主張權利,造成維權障礙。但也需考慮實踐中存在多個近親屬同時要求行使權利的情況,建議草案二審稿對此進一步細化。
徐偉認為,草案二審稿將權利主體不加限制地規定為近親屬并不妥,建議行使權利主體采取類似于民法典的規定。他說,民法典對死者人格權益的保護是消極保護,即受到侵害后獲得救濟權利,而草案二審稿對死者個人信息的保護是一種積極保護,即近親屬并非只有在受到侵害時才能主張權利,而是要求個人信息處理者協助行使告知、查閱等一系列權利。基于這些差別,對死者個人信息的保護應采取更謹慎的態度,在權利主體上不應比民法典規定的權利主體更寬泛。
死者存在多個近親屬,且彼此之間意見不一致時,該如何處理?王秀哲認為,由于對死者個人信息保護轉移為保護近親屬的相關權益,建議根據近親屬的權益主張是否存在以及權益大小進行衡量。
徐偉建議,首先以死者意愿為主,若死者生前未作出安排,則遵從死者利益最大化原則,選擇對死者最有利的方案。當何種方案最有利于死者不明的情況下應“維持現狀”,即保持當前個人信息狀態或死者生前對個人信息的安排不變。
對近親屬的“間接保護”
對死者個人信息的保護,是保護死者本身權益還是保護近親屬的權利,受訪專家存在不同觀點。
上海交通大學數據法律研究中心執行主任何淵認為,草案二審稿對死者個人信息的保護思路是由近親屬代為行使各項權利以防止死者個人信息被企業濫用。但個人信息的商業價值在于通過互聯網廣告進行精準營銷,當自然人死亡后,其個人信息對企業來說利用價值不大,被濫用的可能性很小,甚至恰恰相反,實踐中存在企業以保護死者個人隱私為由,拒絕向近親屬提供死者個人數據的情況,部分平臺和企業還會通過直接刪除死者個人數據的方式防止其個人信息被濫用。
在何淵看來,對死者個人信息的保護,應保護的是死者近親屬獲得死者個人數據的權利,以實現近親屬對死者紀念和追思的權利。
王秀哲也認為,對死者人格利益的侵害以及利用死者個人信息獲利,侵害的是死者近親屬的精神利益和財產權益,因此對死者個人信息的延伸保護,實際上更多是保護生者的權益。在她看來,自然人死亡后不再具有民事主體資格,直接保護死者人格利益沒有意義,實踐中也會存在操作難題。
王秀哲說,民法典第九百九十四條規定死者人格利益受到侵害時有權提出賠償請求的是死者近親屬,是采取間接保護模式,即死者的人格利益發生了轉移。
徐偉則認為,對死者個人信息的保護更多的是保護死者的人格權益。民法典施行前,司法實踐中通過賦予死者近親屬精神損害賠償請求權間接保護死者的隱私等權益,民法典第九百九十四條直接將死者正當利益作為近親屬主張權利的基礎,草案二審稿第四十九條更進一步將民法典確立的消極保護立場改為積極保護。
“這表明立法者已經越來越認可死者人格權益的獨立性。與其說保護死者是為了保護生者,不如說生者是在代死者保護其人格權益和價值。”徐偉說。
保護期限存在爭議
死者的哪些個人信息需要被保護?草案二審稿并未明確。
在徐偉看來,對死者個人信息的保護是將死者生前的個人信息權益延伸至死亡后由近親屬行使,因此死者生前的個人信息原則上都需要被保護。
王秀哲認為,具有可識別性的死者個人信息都應被保護。死者個人信息保護應遵從自然人信息保護的一般規則,但它與生者個人信息保護仍存在區別。比如,死亡導致作為自然人活動的終止,身份、電話、賬號等標識自然人社會活動身份的個人信息都需要注銷,這樣才不會影響社會生活的正常秩序。另外,死者個人信息權益的保護轉移為其近親屬的相關權益,如精神權益和財產權益。
在死者個人信息保護期限上,徐偉認為,草案二審稿雖然沒有明確規定,但將行使權利的主體限于近親屬,事實上已經設置了保護期限,“近親屬范圍有限,在近親屬逐漸‘凋零’后,死者的個人信息自然不再受保護。”
王秀哲也認為,死者個人信息保護不需要再設置保護期限,因為死者個人信息保護由近親屬主張,保護期限和近親屬的生存期限相同。
但何淵認為,應明確死者個人信息保護的期限,且不宜過長,個人信息的保存一般最多保存5年,死者個人信息的保護也應以5年左右為宜,甚至可以更短。
另外,受訪專家認為,死者個人信息保護,個人信息處理者不能缺位。徐偉說,平臺應以對待死者生前行使權利相當的方式,同等對待死者近親屬行使權利的要求,并建立相關機制,方便近親屬行使權利。王秀哲建議,個人信息處理者應積極配合死者近親屬提出的注銷請求。當死者個人信息被侵犯時,應根據近親屬提出的申訴及時采取止損措施,配合近親屬的維權訴訟等。
針對部分平臺隱私政策中規定個人賬戶注銷后將刪除或匿名化處理個人信息的情況,何淵建議,平臺在草案二審稿第四十九條通過并施行后,調整隱私政策規定,將死者個人信息的控制權交給死者近親屬,由近親屬決定如何處理。