■本报记者 武晓莉
《个人信息保护法》立法亮点很多,例如新增了规定死者的个人信息权益由近亲属行使、新增了超大互联网平台特定的个人信息保护义务要求、将不满十四周岁未成年人的个人信息划为敏感个人信息等,既解决了互联网飞速发展带来的新问题,也体现了我国个人信息保护立法的中国特色。
积极保护死者的权利
记者的朋友黄女士去世一年了,她的丈夫依然在更新她的朋友圈。现实生活中,很多逝者生前在各种平台上的信息,依然未被注销。完善死者个人信息保护的规定,既是《个人信息保护法》的一大亮点,也是立法过程中有争议的内容。
中国社会科学院法学研究所副所长,中国社会科学院研究生院教授、博士生导师周汉华曾参与起草《个人信息保护法(专家建议稿)》《国家信息网络专项立法规划2014-2020(建议)》等,是最早开始个人信息保护立法研究的专家之一。他对记者说:“在《个人信息保护法》立法讨论中,关于死者个人信息权问题能否按照《民法典》对死者人格权的保护方式来写,大家有比较大的争议。”
大部分学者都认为个人信息权本质上是一项控制权,是一项积极的权利,死了之后应该是原则上就不能行使的。”但正式颁布的《个人信息保护法》中,明确自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使规定的查阅、复制、更正、删除等权利。
“从全球视野来看,关于死者个人信息的保护有‘否定式’‘年限保护’‘由亲属行使特定权利’三种立法模式。”杨婕说。例如,GDPR序言中明确指出,本法不适用于死者的个人信息;以冰岛、意大利为代表的少数国家,对死者信息规定了具体保护年限,在一定年限内与生存者的个人信息同等保护;一些国家规定死者近亲属有权行使特定的个人信息权能,如西班牙允许死者的继承人行使访问权、删除权、更正权;匈牙利允许死者生前指定的人或近亲属行使死者的个人信息主体权利。
周汉华认为,《个人信息保护法》积极保护死者的权利是一个立法亮点。最后出台的版本对死者信息权益的行使做了一些条件限定。“否则让生者来随意行使死者的权利,比如把微信号给复活了继续发微信,那还不把人给吓死了?”他说。
行使权益以死者意愿为先
杨婕认为,信息化社会中,当自然人死亡、民事主体的资格消灭时,如何处理其遗留在互联网空间中的个人信息,已产生诸多纠纷,必须予以规范。《个人信息保护法》第四十九条明确规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
杨婕表示,我国《民法典》从人格权保护的角度,规定死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其近亲属有权依法请求行为人承担民事责任。《个人信息保护法》对死者个人信息的保护,则主要是从保护生者权益的角度,赋予死者近亲属主动性权利。二审稿规定自然人死亡的,个人在个人信息处理活动中的权利由其近亲属行使。但这一规定引发了社会各界的广泛讨论和争议,一些专家认为,这会引起近亲属对于死者个人信息的过度干预,可能违背死者的生前意愿。为此,《个人信息保护法》在二审稿的基础上对死者近亲属行使权利进行了三点限制:一是行使目的限制,必须是为了自身的合法、正当利益;二是权利类型限制,近亲属仅能行使第四章中规定的查阅、复制、更正、删除等权利;三是死者生前安排优先,以死者生前意愿为先。
对儿童个人信息升级保护
“实践中,儿童早已成为在线教育、线上游戏、视频网站和社交产品的用户群体之一。”中国信息通信研究院云计算与大数据研究所仵姣姣说。《个人信息保护法》明确,将不满十四周岁未成年人的个人信息纳入敏感个人信息范畴,制定专门的个人信息处理规则,处理这部分信息应取得未成年人父母或者其他监护人的同意。第一,相关数据处理者需依照法律和相关标准对敏感信息的要求,对涉及的不满十四周岁未成年人的个人信息进行特别保护,例如更改内部数据分级分类的标准等。第二,制定专门的个人信息处理规则,可能针对儿童群体准备专门的个人信息保护文本和用户协议、未成年人发布信息内容的提示和保护义务、推送内容的管理机制等。第三,获得监护人的同意在实践中可能会遇到包括确认用户年龄的实现方式和获得监护人授权同意的实现方式等问题。
杨婕指出,在保护对象的设置上,《未成年人保护法》《儿童个人信息网络保护规定》等法律法规,均对不满十四周岁的未成年人(即这里的“儿童”概念)个人信息进行特别保护。杨婕认为,对儿童及监护人身份的识别是儿童个人信息保护的前提,也是一直以来的治理难题。个人信息处理者需要事先进行儿童身份的判断,会额外收集个人信息(比如用户年龄、用户身份/监护人身份/监护人与儿童用户关系的相关证明材料),可能会引发过度收集儿童个人信息的问题。考虑到这一实践情形,《个人信息保护法》特别将儿童个人信息纳入敏感个人信息范畴,进行升级保护,可以有效杜绝个人信息处理者以身份识别为由过度、超范围收集儿童个人信息的问题。因为,结合《个人信息保护法》对于敏感个人信息处理规则,处理儿童个人信息应当具有特定的目的和充分的必要性,并采取严格保护措施。“网络时代如何规范个人信息处理活动,同时又让个人信息更好地为经济社会发展赋能增效,是各国面临的共同问题。”周汉华说,国际上对个人信息保护的认识一直是非常明确、高度一致的,执法力度也非常大,这也是我们立法中借鉴国际经验的一个方面。“当然,根据国情和发展阶段,我们自己的特色也很明显。”周汉华说,比如对敏感信息的界定,《个人信息保护法》把行踪信息、金融信息、十四岁以下未成年人的个人信息都归入敏感个人信息。此外还专门规定,对从事高风险的个人信息处理活动的要进行影响评估等。