本文来自微信公众号“互联网与社会发展研究中心”,作者/张卫巍,宁波大学法学院2022级法学硕士。
《个人信息保护法》第四十九条规定了死者的个人信息保护规则。《民法典》第九百九十四条规定:"死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其配偶、子女、父母有权依法请求行为人承担民事责任;死者没有配偶、子女且父母已经死亡的,其他近亲属有权依法请求行为人承担民事责任。”从中看出,《民法典》没有就死者的个人信息保护作出明确的规定,本条虽然对关于死者的个人信息作出规定,但是在本条的立法过程中舍弃了二审稿中“死者个人信息可以由近亲属保护",而规定了近亲属为了自身合法正当利益可以行使死者相关个人信息权利。
对于合法、正当的利益范围的理解,合法、正当的利益范围比合法权益要广泛,包括但不限于近亲属的合法权益。例如,近亲属为了解死者生前是否对死后的财产分配作出相应的安排,或者为了知道死者生前的所思所想,了解死因等,需要登录死者的电子邮箱来查阅复制死者的个人信息;再如,当死者的个人信息存在不准确或者不完整的地方,而这导致了死者的名誉存在受损的危险,进而损害近亲属对死者的崇敬之情,近亲属有权要求个人信息处理者对死者的个人信息进行更正。
《个人信息保护法(草案)(二次审议稿)》(以下简称二审稿)首次将死者个人信息保护纳入立法,建议规定自然人死亡的,个人在个人信息处理活动中的权利由其近亲属行使。但是直接将个人对个人信息处理之权利在其死后转移给近亲属行使,这样的做法存在不妥之处。个人信息保护虽与隐私权有所不同,但同样暗含隐私保护之意。死者个人信息处理完全交由其近亲属,实际上同样构成对死者个人信息的不尊重,乃至于对个人隐私的侵犯。因此《个人信息保护法》第四十九条进行了三点限制,其一,目的限缩在“自身的合法、正当利益";其二,类型上限定在"查阅、复制、更正、删除等权利”;其三,也是最为重要的一点便在于,“死者生前另有安排的除外”,即如果死者生前对其个人信息处理有明确的安排,以死者的安排优先。
比较法上,关于死者个人信息权利是否可以由近亲属或者继承人行使问题,域外国家或地区很少有明确规定。欧盟《一般数据保护条例》(GDPR)为例,其导言部分第27条规定:“本条例不适用于已故人士的个人数据。成员国可以对已故人士个人数据的处理进行规定。”也就是说,GDPR关于个人数据处理和个人数据权利等规定,不适用于死者的个人数据,欧盟各成员国可以自行作出相应的规定。欧盟成员国中,奥地利、比利时、荷兰、瑞典等国家没有对死者个人信息的保护问题作出任何规定,而捷克、芬兰、德国、爱尔兰、波兰、英国等国家明确规定不适用于死者的个人信息。
本条的适用方面还有一些问题尚不够明确,如死者个人信息保护是否应设保护期。在联邦层面的立法上,美国《健康保险携带与责任法》、《经济与临床健康信息技术法》对死者健康信息的管理作了规定,即自然人死后的50年内,死者的代理人或遗嘱执行人有权查询、授权使用或披露姓名、地址、生物信息、医疗记录、保险信息等在内的死者健康信息。如死者生前没有指定代理人或遗嘱执行人,则根据各州法律规定的遗产继承顺序,由相关继承人行使查询权。此外,医疗机构还可以向死者生前已经知悉相关信息的死者亲属、朋友和照看人员提供死者的健康信息。在自然人死亡超过50年后,医疗机构有权决定死者健康信息的处理方式。上海交通大学数据法律研究中心执行主任何渊认为,还是应明确死者个人信息保护期限,且不宜过长,个人信息的保存一般最多为5年,死者个人信息的保护也应以5年左右为宜。中国市场监管学会理事张韬指出,《个人信息保护法》中对死者个人信息的保护规则是由死者的近亲属行使相关权利,因此只要存在死者近亲属因为死者个人信息被侵害等导致自身合法权益受损的情况出现,死者的近亲属均有权行权,故不应施加期限限制。
如果死者存在多个近亲属,且彼此之间意见不统一时,该如何处理死者的个人信息?张韬认为,应根据近亲属的权益主张是否存在以及权益大小等因素,交由法院根据个案的具体情况进行认定和裁判。徐伟则认为应遵从死者利益最大化原则,《个人信息保护法》中规定了要以死者意愿为主,若死者生前未作出安排,则应选择对死者最有利的方案。当何种方案最有利于死者不明的情况下应“维持现状”,即保持当前个人信息状态或死者生前对个人信息的安排不变。
