死者个人信息保护问题

文/张晓丽

《个人信息保护法》第49条规定，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。该章规定的权利包括：知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、删除权、解释说明权。本文将围绕以下问题展开探讨：

• 为何要赋予近亲属以上权利？

• 死者近亲属自身的合法、正当利益如何定义？

• 死者另有安排的除外，应该怎样理解？

• 如果死者的生前安排与近亲属的合法正当利益发生冲突应如何处理？

• 死者近亲属查阅、复制、更正、删除死者个人信息的，势必存在涉及第三人个人信息的情形，那么范围边界在哪里？如何保护他人个人信息权益和隐私权？

一、 我们为什么要保护死者人格利益？为何要赋予近亲属权利？

我们不仅希望生前受到尊重，在死后也不希望自己的尊严受到践踏。当我们死后人格尊严受到损害时，基于人类强烈的同理心，与我们有密切关联的近亲属，会将这种损害投射到自身。尤其是这种损害同时殃及近亲属的名誉或者财产时，对于人格利益侵害的不作为请求权似乎应运而生。

德国联邦法院曾在1954年Cosima Wagner案中表示，虽然权利能力因其主体死亡而消灭，但法律保护死者人格利益的价值仍存在，否则德国《基本法》第1条宣示人的尊严不可侵犯的价值判断将难以充分实现。德国联邦法院强调：“当个人相信其人格尊严在死亡后仍受维护，不会受到重大侵害，并在此种期待中生活，宪法所保障的人的尊严及个人在生存期间的自由发展才能获得充分保障。”

我国《宪法》第38条规定，公民的人格尊严不受侵犯。《民法典》第109条指出，自然人的人身自由、人格尊严受法律保护。可见，在我国类似的法理基础也是有迹可循的。从社会经济学的角度来看，如果法律不提供保护，人们可能花费大量的精力去处理自己的身后事，以防自己的名誉、躯体和财产受到损害，这既不利于社会效率也不利于社会稳定。

人死亡后其权利能力消灭，但死者的人格利益仍应受保护，受保护的是死者自身的人格利益，由他人代为行使其权利，即，直接保护模式。持此种观点的学者认为，应当通过肯定死者享有人格权的方式实现对死者人格权益的保护。在死者人格利益遭受侵害的情形下，有权提出请求的应当是死者本人，而死者的近亲属等主体实际上充当的是死者保护人的角色。

按照很多学者的观点，我国早期的死者人格利益保护主要采取直接保护模式，最高院曾经在案例中肯定死者享有名誉权。而近年来，死者人格利益保护逐步转变为间接保护模式，即否定死者享有人格权，转而通过保护死者近亲属人格利益的方式，间接实现对死者人格利益的保护。

虽然，以上两种模式中，不作为请求权都是由死者的配偶、子女、父母或者其他近亲属作出的，在实际操作中并无实质性差别。

但如果采用直接保护模式，则进一步法律是否应要求个人信息处理者承担维护死者人格利益的责任？例如死者的隐私权，个人信息权益。要求个人信息处理者主动维护已故用户的隐私纠纷和个人信息权益纠纷，目前来看，这样的要求未免过高。

但随着虚拟世界的不断构建，虚拟财产权制度将被倒逼确立，如果死者的数据可携带复制，经过死者近亲属的汇集与重塑，或许死者的数字人生将在去中心的元宇宙永存。

二、死者近亲属自身的合法、正当利益如何判定？

在司法实践中，判断某种利益是否是合法、正当的，一般是三步检测法，包括：

• 首先是利益的非类型化检测，也就是说要求确认该利益是否能够纳入具体的已经被类型化的权利之中，如果不是方才可以进行下一步检测；

• 其次是对利益的正当性检测，这是关于合法利益保护中的最核心最实质的检测，在整个三步检测中具有决定性意义。通常对利益的正当性的论证，往往是来自善良风俗(习惯)、伦理、道德、值得保护的重大利益等方面。公共利益、社会公共道德(公序良俗) 是判断侵害合法利益是否构成侵权的标准；

• 第三是关于利益保护的必要性检测。

在最终认定某项利益具有合法性的前提下，对作为具有准权利地位的合法利益的保护同样需要考虑遵守权利行使的原则和要求，尤其是不得滥用权利，违反公序良俗，侵害他人权利和合法利益。

简言之，符合法律规定的且不违反公序良俗、诚信原则的利益，即合法、正当的利益。例如，近亲属为了解死者生前是否对财产分配作出相应的安排，或者为了知道死者生前的所思所想以了解死因，尤其是自杀的情形的，向个人信息处理者请求查阅复制死者的个人信息；再或者，当死者的个人信息存在不准确或者不完整的情形，而这导致了死者的名誉存在受损的情形，进而损害近亲属的名誉，近亲属有权要求个人信息处理者对死者的个人信息进行更正。

可以肯定的是，在实践中会有更加难以判断的情形出现，需要法官依据三步检测法个案裁决。

三、死者另有安排的除外，怎么理解？

程啸教授认为：如果死者生前通过遗嘱等方式明确表示自己死后，任何人包括近亲属在内都不得查阅、复制其个人信息，并且要求个人信息处理者在自己死后将个人信息全部予以删除。此种情形下，因为个人信息处理者已经删除了死者全部的个人信息，那么近亲属就不可能再去要求行使查阅、复制的权利。

笔者进一步想到这里关键的问题是，个人信息处理者如何判断用户已经死亡，进而按照遗嘱处理死者个人信息，这在实践中往往是近亲属率先提出请求时，数据处理者才去查看死者是否留有上述遗嘱，如有，则进行删除，进而也无法满足近亲属查阅复制的要求。这里衍生出新的软件功能需求，个人信息处理者可能需要在应用设置功能模块，来允许用户设定遗嘱。那么问题又来了，这种遗嘱有效吗，如何认定遗嘱有效性？

另外，如果死者生前通过遗嘱等方式指定了特定的人来行使对其个人信息的权利，例如，死者生前明确指定其配偶或者子女来行使查阅、复制、更正、删除等权利。是不是在这种情形下，其他的近亲属即便为了自身正当、合法的利益，也不得行使对死者个人信息的权利？

关于死者的个人信息安排，我国后期应该有更详细的规则安排，在这里我们可以看一下其他国家的法律规定：

欧盟《一般数据保护条例（GDPR）》，其导言部分第27条规定：“本条例不适用于死者的个人数据。成员国可以对死者个人数据的处理进行规定。”这就是说，GDPR关于个人数据处理和个人数据权利等规定，不适用于死者的个人数据，欧盟各成员国可以自行作出相应的规定。

四、如果死者的生前安排与近亲属的合法正当利益发生冲突应如何处理？

如前所述，我国采用间接保护模式，即否定死者享有人格权，转而通过保护死者近亲属人格利益的方式，间接实现对死者人格利益的保护。

《民法典》第994条规定，死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的，其配偶、子女、父母有权依法请求行为人承担民事责任；死者没有配偶、子女且父母已经死亡的，其他近亲属有权依法请求行为人承担民事责任。该条第一次从民事基本法的层面规定了死者人格利益保护规则。有学者认为，从该条规定来看，在死者人格利益遭受侵害的情形下，有权提出请求的是死者的近亲属，而非死者本人，就是间接保护模式。

《个人信息保护法》第49条规定，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的权利，但是死者生前另有安排的除外。笔者的疑问是，死者的另有安排总是受到尊重吗？即使是死者的近亲属的利益重大？如果严格按照字面解释，那么这是不是对死者人格利益采取了直接的保护模式呢？

五、死者近亲属查阅、复制、更正、删除死者个人信息的，势必存在涉及第三人个人信息的情形，那么范围边界在哪里？如何保护他人个人信息权益和隐私权？

可以说如何确定可携带权的范围，也存在一样的问题，大概首要遵循的原则就是合法、正当、合理原则，近亲属在维护自身权益的同时，不得损害他人权益。而此时个人信息处理者处于两难境地，需要更多实践和落地规则制定。

是否需要第三人的授权同意，我们来看一个示例：

香港个人资料私隐专员公署对银行被要求披露死者信息时的回答：

问询：银行收到死者遗产管理人法律函件，遗产管理人要求披露某些与死者姓名有关的记录。但是，这些记录还包括与第三方有关的信息。这种披露是否违反香港《个人资料（私隐）条例》？

回答：披露死者的账户并不违反《个人资料（私隐）条例》，但如果这些资料与第三方有关，则须征得第三方的同意。

以上，未结束的讨论，如果你还有其他问题，欢迎后台留言讨论！

文献参考：

王泽鉴：人格权保护的课题与展望——人格权的性质及构造：精神利益与财产利益的保护

王叶刚：论侵害死者人格利益的请求权主体——兼评《民法典》第994条

程啸：论死者个人信息的保护

张建文：新兴权利保护的合法利益说研究

https://www.twobirds.com/en/in-focus/general-data-protection-regulation/gdpr-tracker/deceased-persons

https://www.pcpd.org.hk/english/enforcement/case_notes/casenotes_2.php?id=1998E28&content_type=&content_nature=&msg_id2=20

声明：本文来自数据合规与治理，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。