个人信息保护法草案二审稿将死者个人信息保护纳入立法。有学者表示,它落实了民法典对死者人格利益的保护,适应了信息化社会的现实要求。
随着大数据技术的发展,我国对个人信息保护的力度日益加强,民法典、网络安全法等现行法律对自然人个人信息权利作出明确规定。那么自然人死亡后,其留下的个人数据是否应该被保护?日前,公开征求意见的《中华人民共和国个人信息保护法(草案)(二次审议稿)》(以下简称为草案二审稿)对此作出回应,首次将死者个人信息保护纳入立法,明确死者的个人信息权益由近亲属行使。
适应信息化社会的需要
民法典、刑法、网络安全法等现行法律均对自然人个人信息权利作出明确规定。按照我国刑法的规定,违反国家有关规定向他人出售或提供公民个人信息,最高将被处7年以下有期徒刑。但公民个人信息是否包括死者个人信息?现行法律并未明确规定。2017年6月1日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称为司法解释)第一条对“公民个人信息”进行了界定,但未提及是否包括死者个人信息。
中国法学会网络与信息法学研究会理事、宁波大学法学院副教授徐伟认为,侵犯公民个人信息罪中的“公民”不包括“死者”,死者个人信息不属于该罪的保护范围。依照上述解释,死者并非法律上的“公民”,根据罪刑法定原则,若对“公民”采取扩张解释,应由立法者明确表态,不宜扩大刑法的适用范围。
辽宁大学法学院教授王秀哲认为,侵犯公民个人信息罪的主体不包括死者,但鉴于该罪以“情节严重”“情节特别严重”为构成要件,并以信息类型、信息数量、违法所得数额、损害后果等认定“情节严重”“情节特别严重”,其中,当通过信息数量和损害后果定性时,并不排除对死者个人信息的保护。如通过信息数量认定犯罪构成时,死者个人信息有可能是诸多个人信息集合的组成部分,此时侵犯公民个人信息罪将直接保护死者的个人信息。
“死者个人信息受刑法保护,但不是侵犯公民个人信息罪单独保护的对象,是无法完全排除的保护对象。”王秀哲说。
虽然现行法律对死者个人信息保护未作出明确规定,但并不意味着死者个人信息不受法律保护。根据民法典第九百九十四条的规定,死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,近亲属可主张行为人承担民事责任。
为与民法典进行有效衔接,草案二审稿第四十九条新增对死者个人信息保护的规定,明确自然人死亡后在个人信息处理活动中的权利交由近亲属行使。
徐伟认为,草案二审稿将死者个人信息纳入保护,扩大了个人信息保护的权利主体和保护范围,使个人信息能够得到更全面、完整的保护,有助于解决现实中日益增多的因自然人去世引发的个人信息纠纷。
王秀哲说,将死者个人信息保护纳入立法,落实了民法典对死者人格利益的保护,适应了信息化社会的现实要求,有利于促进现代社会人格权发展。
由近亲属代为行使权利
草案二审稿第四十九条明确,个人在个人信息处理活动中具有的知情权、决定权、查阅、复制权、更正补充权等权利,当自然人死亡时,上述权利由近亲属行使。值得注意的是,虽然在死者个人信息权利行使权主体上,草案二审稿第四十九条和民法典第九百九十四条均规定由近亲属代为行使权利,但有细微差异。
按照民法典的规定,当死者人格权益受到侵害时,首先由配偶、子女、父母三类近亲属行使权利,当死者没有配偶、子女且父母已经死亡时,由其他近亲属行使权利。草案二审稿直接规定由近亲属行使权利,并未进行位次排序细分。
王秀哲认为,草案二审稿的规定更符合个人信息侵权保护的实际。她解释说,由于个人信息的宽泛性,直接规定由近亲属行使权利可以避免因近亲属位次排序使直接受到伤害的近亲属无法主张权利,造成维权障碍。但也需考虑实践中存在多个近亲属同时要求行使权利的情况,建议草案二审稿对此进一步细化。
徐伟认为,草案二审稿将权利主体不加限制地规定为近亲属并不妥,建议行使权利主体采取类似于民法典的规定。他说,民法典对死者人格权益的保护是消极保护,即受到侵害后获得救济权利,而草案二审稿对死者个人信息的保护是一种积极保护,即近亲属并非只有在受到侵害时才能主张权利,而是要求个人信息处理者协助行使告知、查阅等一系列权利。基于这些差别,对死者个人信息的保护应采取更谨慎的态度,在权利主体上不应比民法典规定的权利主体更宽泛。
死者存在多个近亲属,且彼此之间意见不一致时,该如何处理?王秀哲认为,由于对死者个人信息保护转移为保护近亲属的相关权益,建议根据近亲属的权益主张是否存在以及权益大小进行衡量。
徐伟建议,首先以死者意愿为主,若死者生前未作出安排,则遵从死者利益最大化原则,选择对死者最有利的方案。当何种方案最有利于死者不明的情况下应“维持现状”,即保持当前个人信息状态或死者生前对个人信息的安排不变。
对近亲属的“间接保护”
对死者个人信息的保护,是保护死者本身权益还是保护近亲属的权利,受访专家存在不同观点。
上海交通大学数据法律研究中心执行主任何渊认为,草案二审稿对死者个人信息的保护思路是由近亲属代为行使各项权利以防止死者个人信息被企业滥用。但个人信息的商业价值在于通过互联网广告进行精准营销,当自然人死亡后,其个人信息对企业来说利用价值不大,被滥用的可能性很小,甚至恰恰相反,实践中存在企业以保护死者个人隐私为由,拒绝向近亲属提供死者个人数据的情况,部分平台和企业还会通过直接删除死者个人数据的方式防止其个人信息被滥用。
在何渊看来,对死者个人信息的保护,应保护的是死者近亲属获得死者个人数据的权利,以实现近亲属对死者纪念和追思的权利。
王秀哲也认为,对死者人格利益的侵害以及利用死者个人信息获利,侵害的是死者近亲属的精神利益和财产权益,因此对死者个人信息的延伸保护,实际上更多是保护生者的权益。在她看来,自然人死亡后不再具有民事主体资格,直接保护死者人格利益没有意义,实践中也会存在操作难题。
王秀哲说,民法典第九百九十四条规定死者人格利益受到侵害时有权提出赔偿请求的是死者近亲属,是采取间接保护模式,即死者的人格利益发生了转移。
徐伟则认为,对死者个人信息的保护更多的是保护死者的人格权益。民法典施行前,司法实践中通过赋予死者近亲属精神损害赔偿请求权间接保护死者的隐私等权益,民法典第九百九十四条直接将死者正当利益作为近亲属主张权利的基础,草案二审稿第四十九条更进一步将民法典确立的消极保护立场改为积极保护。
“这表明立法者已经越来越认可死者人格权益的独立性。与其说保护死者是为了保护生者,不如说生者是在代死者保护其人格权益和价值。”徐伟说。
保护期限存在争议
死者的哪些个人信息需要被保护?草案二审稿并未明确。
在徐伟看来,对死者个人信息的保护是将死者生前的个人信息权益延伸至死亡后由近亲属行使,因此死者生前的个人信息原则上都需要被保护。
王秀哲认为,具有可识别性的死者个人信息都应被保护。死者个人信息保护应遵从自然人信息保护的一般规则,但它与生者个人信息保护仍存在区别。比如,死亡导致作为自然人活动的终止,身份、电话、账号等标识自然人社会活动身份的个人信息都需要注销,这样才不会影响社会生活的正常秩序。另外,死者个人信息权益的保护转移为其近亲属的相关权益,如精神权益和财产权益。
在死者个人信息保护期限上,徐伟认为,草案二审稿虽然没有明确规定,但将行使权利的主体限于近亲属,事实上已经设置了保护期限,“近亲属范围有限,在近亲属逐渐‘凋零’后,死者的个人信息自然不再受保护。”
王秀哲也认为,死者个人信息保护不需要再设置保护期限,因为死者个人信息保护由近亲属主张,保护期限和近亲属的生存期限相同。
但何渊认为,应明确死者个人信息保护的期限,且不宜过长,个人信息的保存一般最多保存5年,死者个人信息的保护也应以5年左右为宜,甚至可以更短。
另外,受访专家认为,死者个人信息保护,个人信息处理者不能缺位。徐伟说,平台应以对待死者生前行使权利相当的方式,同等对待死者近亲属行使权利的要求,并建立相关机制,方便近亲属行使权利。王秀哲建议,个人信息处理者应积极配合死者近亲属提出的注销请求。当死者个人信息被侵犯时,应根据近亲属提出的申诉及时采取止损措施,配合近亲属的维权诉讼等。
针对部分平台隐私政策中规定个人账户注销后将删除或匿名化处理个人信息的情况,何渊建议,平台在草案二审稿第四十九条通过并施行后,调整隐私政策规定,将死者个人信息的控制权交给死者近亲属,由近亲属决定如何处理。