彭诚信李佳桐｜我国死者个人信息权利保护的私法构造

我国现有法律体系尚未就死者个人信息权保护制定系统性规则，由于死者个人信息的信息主体与权利主体不一致，因此需要从权利的主体、客体两方面剖析死者个人信息权利特征并依此分别加以规制。在客体方面，死者个人信息权人格利益部分易与传统人格权产生混淆，可通过“三层递进模式”先将死者个人信息权抽离传统人格权，随后积极保护死者个人信息之人格权利并对相关侵权行为采取救济措施；死者个人信息权财产利益部分易与数字遗产混淆、杂糅，可通过“双层区分模式”首先判定该信息属于个人信息还是纯粹的虚拟财产，抑或存在杂糅现象，其次以使用目的为导向针对掺杂财产利益的死者个人信息分离其人身属性与财产属性并分别加以规制。在主体方面，作为死者个人信息权利主体的继承人、作为信息处理者的平台可能会与死者及利益相关第三人产生利益冲突，面对其中错综复杂的法律关系，通过刚性的法律规定难以解决多变的案情，因此可运用权利、义务、责任相统一的理念在尊重意思自治的前提下弹性处理，充分平衡、保护各民事主体的相关利益。

人类的生命是否结束于死亡的那一刻？这一在传统社会不言而喻的问题随着数字社会的到来重新引发了人们的思考。现代社会人们的生活已不可避免地会在网络上留下痕迹，有学者提出：“今天的信息革命，使人类走出了千百年来的‘天然’生存状态，开始自我塑造为‘数字人类’。”通过对人们在社交媒体沟通交流、网络购物、通信地址、位置信息等内容的整合，可以形成一个人的数字身份或数字人格（digital identity/computer persona）。当人死去后，其网络痕迹并不会伴随着肉体的逝去而消散，死者的数字人格可能在网络空间继续存在并发展。例如，在“Mac案”中，人死后其数字存在仍然向活着的人产生意义。但这样的数字存在究竟应当如何定义、如何在现有的法律框架下加以保护成为一大难题，死者个人信息权益保护面临重重困境。个人信息权益自身如何定性仍有纷争。美国对于个人信息的保护囊括于隐私权之中，由隐私权延伸出“信息隐私”（information privacy）概念。美国学界没有对个人信息权益是否应当单独规定成一项权利作过多的探讨，而是将争论聚焦于“究竟是通过侵权法规则还是财产法规则对其进行保护更适应大数据时代的要求”。与之不同，欧盟则是通过立法确认了个人信息权这一新兴权利。于我国而言，虽然欧盟法律制度一直是我国个人信息保护立法的重要参考对象，但是我国《民法典》第四编人格权中的第六章“隐私权和个人信息保护”明确将个人信息放到与隐私权平行的位置，却又没有表述为“个人信息权”。实际上，在我国民法变革的历程中，一直有学者主张应当将个人信息权确认为一项权利。随着《个人信息保护法》的出台，其中的查阅、复制、更正、删除等被确认为法定权利，从符合权利层次逻辑的角度出发，个人信息权益被认定为一项受法律保护的权利应当有了更高的接受度。然而，作为个人信息权中主体特殊的死者个人信息权，其法律保护依旧问题重重。

在客体方面，由于个人信息属性不明确，处理死者个人信息案件时常出现将死者个人信息的人格权益保护与人格利益财产权益分配混为一谈，以及将死者个人信息权保护与传统人格权诸如隐私权、名誉权等权利保护混为一谈的现象。在主体方面，由于生前作为个人信息主体的死者在死亡后不再是民事主体，不享有民事权利，因此死者的个人信息权利归属就出现了争议，死者、继承人、网络平台与利益相关第三人这四方错综复杂的关系与重重利益冲突也需要得到法律上的厘清。本文从死者个人信息权的客体属性分析与主体利益冲突梳理出发，尝试提出死者个人信息权保护的私法架构。

作为权利客体，个人信息所具有的人格与财产双重属性一直以来在学界存在诸多讨论。随着《民法典》的颁布，个人信息具有人格属性这一点已不存在疑问，但对死者个人信息的保护却时常与死者的隐私权、名誉权等传统人格权保护问题发生混淆。关于个人数据的财产属性，学界存在不同学说，包括人格权商品化、经济激励机制、人格的财产性利益、天然具有财产性基因外化等。通过研究现代互联网平台运营模式可以发现，在实践中数据已然可以产生财产价值并用于交易，其中不乏符合《个人信息保护法》中规定的个人信息标准的数据，因此个人数据正在产生财产价值已是不争的事实，无论是从理论出发还是通过实践观察均可得出个人数据具有财产属性这一结论。但由于个人信息本身定义模糊，在死者个人信息保护的相关实践中时常出现对个人信息人格属性与财产属性区分不清或是将个人信息与虚拟财产概念混淆的案例。此外，死者个人信息能否作为继承的客体也存在一定争议，有必要进行逐一剖析。

与一般个人信息相同，死者个人信息当然具有人格属性。但在死者个人信息保护层面，存在两个根本问题：一是从法律规范的角度而言，作为个人信息权客体的死者个人信息与作为传统人格权客体的死者隐私、名誉、荣誉等，在法律规定上往往存在区别；二是从司法实践角度而言，死者个人信息客体与传统人格权客体的区别未有定论，因此，如何准确适用法律成为难题。

目前，各国关于死者个人信息权与死者传统人格权的法律规范均存在差异，但共性是均未对二者进行明确区分。欧盟在《一般数据保护条例》（General Data Protection Regulation，GDPR）开篇条件性陈述部分（whereas）第27条规定：“本条例不适用于死者的个人数据，成员国可制定有关死者个人数据处理的规则。”在此基础上，欧盟各成员国凡规定了死者个人信息权保护的，其具体内容均不相同。虽然美国将个人信息纳入隐私范围，但是由于概念定性不同，其与传统人格权意义上的隐私存在诸多差异。美国并没有专门针对个人信息保护的联邦立法，加利福尼亚州的《消费者隐私法案》（California Consumer Privacy Act）也没有规定死者个人信息的保护。就我国而言，自从《个人信息保护法》生效后，其与传统人格权的规定就需要进行区分。《民法典》第994条规定了死者传统人格权客体受到侵害时，可以主张权利的主体是其配偶、子女、父母，死者没有配偶、子女且父母已经死亡的，可以由其他近亲属主张权利。但我国《个人信息保护法》第49条规定，自然人死亡后可以主张相关个人信息权的主体是其近亲属，死者生前另有安排的除外。可见，对死者人格权客体的定性不同，其权利主张的主体往往也不同，故应当对死者的个人信息与传统人格权客体做出区分。

与个人信息相比，传统人格权的权利客体出现时间更早，历史更为悠久。“荷花女案”被称为中国死者名誉权保护第一案，彼时我国社会还处于传统线下社会，“个人信息”这一概念尚未出现，但对死者人格权保护的讨论已然存在于司法实践中。因此，死者个人信息权保护必须具备独立特征，否则可被传统人格权保护替代而无须单独规定。我国个人信息权的客体范围主要参照《民法典》第1034条和《个人信息保护法》第4条第1款。上述法律规定均将“可识别”作为确定个人信息权的重要标准，但《民法典》第1034条第2款将个人信息中的私密信息与隐私权相关联，而《个人信息保护法》第4条则通过“个人信息是以电子或其他方式记录”这一表述模糊了个人信息与电子记录之间的必然联系。在“荷花女案”中，魏锡林创作的小说显然可以明确识别到吉文贞本人，故该内容也符合法律对个人信息的规定，该案若放在当今的法律框架下似乎也可以归属于个人信息权范围，但这明显造成了个人信息权与名誉权适用的冲突。与之类似，在美国“Ellsworth案”中，Yahoo内的日记确实为Justin的隐私，若将这一案例放入我国法律体系中似乎既可以被认定为死者个人信息保护案件，又可以被认定为死者隐私权保护案件，此时“死者个人信息权”的客体究竟为何，答案就变得非常模糊了。

对于这一问题，有学者认为个人信息权有着与既有人格权不同的独立价值，但个人信息的内容又非常丰富，因此“《个人信息保护法》中的个人信息侵权不可避免会和《民法典》规定的具体人格权侵权发生保护上的竞合问题”。然而，若采权利竞合说，则从制度设计理念、人格权发展史及制度的具体实施效果三个层面而言，“传统人格权被个人信息权所架空将成为不可避免的结果”。其中，最为突出的一个问题在于，当面临侵权问题时，《个人信息保护法》采过错推定责任，而侵害传统人格权采过错责任，因此若不对个人信息权与传统人格权进行区分，从侵权角度来说会造成法律适用的混乱。如前所述，死者个人信息权的权利主体与传统人格权权利主体在法律规定上存在差异，因此亟须对死者个人信息权客体与死者传统人格权客体加以区分。在区分二者时，应聚焦死者个人信息权客体范围的两个问题：一是明确死者个人信息权客体的“可识别”应为算法识别；二是该个人信息必须具备继续存在的意义。

可算法识别意味着死者个人信息权的客体需具备至少两个特征：（1）必须是数字社会中电子形式的信息；（2）信息内容可通过算法识别。首先，从文字释义的角度看，个人信息本身的含义并不局限于电子形式，传统社会中同样有“信息”这一概念，一切与“个人”相关联的“信息”在本质上皆可称为“个人信息”。通过研究各国个人信息规定的发展历史可以发现，“电子形式”并非相关法律制定之初的当然要求。传统社会中的个人信息“传播方式限制，传播速度缓慢、范围有限、失真度高，也无法长期储存，效用价值极低”，法律很难予以保护。以“荷花女案”为例，对于印刷在纸质媒体上的小说，权利人即使在当下也仅需主张名誉权，而不必要使用到《个人信息保护法》第四章中所规定的“查阅、复制、更正、删除”等权利。与之不同，“Ellsworth案”中Justin的父亲对其电子邮箱里的内容显然需要适用查阅、复制权。由此可得，存在于数字社会中电子形式的信息是死者个人信息权客体的必备属性。其次，“荷花女案”中，若读者对魏锡林的小说未产生任何思考与评价，则吉文贞和陈秀琴的名誉不会受损。传统社会中“信息”产生作用的基础是人脑的识别，而产生争议的前提是人脑对信息产生了评价并进行了传递，此时传统人格权保护机制开始发挥作用，若只有单一的识别而未产生任何处理与评价则不会产生侵权的后果。基于此，数字社会中的个人信息同样需要通过识别，触发数字社会中人格评价的形成，这样才可赋予权利主体主张权利的能力，触发个人信息权的保护机制。如“考勤记录查阅权案”中的“考勤记录”，若只是单一的数据记载则不会产生任何意义，但若系统可以通过算法识别“考勤记录”并以此评判李某的各项工作指标，这实际上就是基于算法识别李某的个人信息并对其产生算法评价，此时则需要启动李某个人信息权保护机制。在“死者电子邮箱盗用案”中，通过识别张先生的邮箱内容及盗用者的信息记录，可以得出张先生关于遗产进行确认和分割的主张，熊女士因此可以主张查阅、复制权。总而言之，是否可以进行算法识别是区分死者个人信息与传统人格权客体的衡量标准，传统人格权客体诸如名誉权、姓名权等均不需要具备算法识别特征，不会因死者个人信息的富集对其产生算法评价，因此也无须依据死者个人信息权获得权利救济与保护。

具备继续存在的意义是死者个人信息权客体的特殊属性。死者传统人格权保护触发机制往往是基于死者的人格权受到侵犯而进行事后救济，并不要求死者的相关信息具有继续使用的价值。以“荷花女案”为例，该案中原告只要求恢复死者的名誉，停止杜撰内容带来的不良影响，并不要求死者的相关信息有任何继续使用的价值。但与传统人格权客体及普通个人信息不同，由于死者个人信息的主体已然消亡，其个人信息获得保护的前提除可以被识别外还必须具备继续使用的价值与意义，如“Ellsworth案”中Justin的父亲需要缅怀其已逝的儿子，“死者电子邮箱盗用案”中熊女士需要张先生邮箱信息确认遗产分割。若死者的个人信息之于生者而言不再具备任何继续存在的意义，则其上的个人信息权不再具有应被保护的利益，权利即随之消灭。

虽然个人数据具有财产属性已在学界达成基本共识，但谈及死者个人数据财产属性时仍存在两个问题：死者个人数据与数字遗产是何关系，二者能否清晰区分？死者个人数据是否可被继承？

与个人信息权和传统人格权混淆原因相似，《民法典》和《个人信息保护法》所规定的“已识别或可识别”一样会造成“个人数据”与“虚拟财产”的混淆，但此种混淆并不足以导致死者个人数据与死者数字遗产完全无法区分。更深层次的问题在于，数字社会的发展产生了人身属性与商业属性杂糅的个人信息，因此在死者个人数据案件中判断权利客体时，很难准确拆分个人数据与数字遗产。

例如，在“Ellsworth案”中，通过邮箱账号显然可以识别到Justin的信息，而在“‘屠龙刀’继承案”中，“屠龙刀”与陆某的游戏账号等其他信息结合后也可以识别到陆某，那么“屠龙刀”与邮箱账号是否均属于死者的个人数据保护范围？《民法典》除个人数据外还规定了虚拟财产，有关账号的纠纷并不涉及财产分配问题，属于死者个人信息归属纠纷，而“‘屠龙刀’继承案”纠纷实质为针对“屠龙刀”这一虚拟财产的继承问题，并不涉及对陆某本人人格的识别与保护。此时，与纯粹的虚拟财产相比，死者个人数据作为权利客体具有强烈的人身属性，其本质是识别并保护信息主体的人格，而非衡量该信息的财产价值。基于此，对于单一的死者个人数据与死者数字遗产，可以根据权利主体获取权利的目的进行区分：若目的围绕信息的人身属性，则属于死者个人信息权范围，适用个人信息保护规则；若目的围绕信息的财产属性，则属于死者数字遗产范畴而适用遗产继承的规则。

然而，作为个人信息权客体的死者个人数据同样可能与纯粹的虚拟财产产生难以分割的杂糅现象，该现象并不能够通过简单的人格财产二分来判断案件中死者的个人信息究竟应当适用个人信息权保护抑或适用财产分配规则。以“小红书账号案”为例，汤某某的小红书账号确系其分享个人生活所用，但由于其同时利用该账号进行商业运营，使账号具有了商业价值，因此该账号究竟应属于汤某某的个人信息抑或成为一项独立的虚拟财产便生疑问。法院虽然最终认为该账号有汤某某较多的个人信息，因此无须归还，但是在二审裁判文书中依然给出如下说理：“网络社交账号因用户的注册而设定并排他性地直接支配使用，因其使用而产生网络影响力，具有一定的价值，是一种网络虚拟财产，可以成为权利的客体。”由此可见，对于网络账号性质的判定，法院自身也存在矛盾纠结。“小红书账号案”体现了网络账号产生价值的一种方式，现实中还存在其他方式，如短视频账号产生的价值。而在另一案例中，沈某与李某夫妻在离婚时就沈某运营的300多万粉丝的短视频账号与10多万粉丝的原先短视频账号归属和价值问题产生争议，沈某认为这两个短视频账号具有人身属性和不可分割性，李某从未参与运营，该账号应当属于个人财产。苏州市虎丘区人民法院最终裁判：这两个账号的注册和运营都由沈某负责，具有较强的人身归属性，故在财产分割时采取账号归沈某单独所有，由沈某补偿一定金额给李某的方式为宜。在此案件中，法院虽然认同了账号的人身属性，但是依旧将账号视为财产进行了分割。

随着社交媒体的发展，许多网络名人产生了，传统社会中的“明星”“大咖”也纷纷注册运营自己的网络账号。他们的账号既像普通账号一样因分享日常生活而具有强烈的人身属性，也会由于自己或团队通过发广告、发推广等方式的运营而产生巨大的商业价值。即便没有商业行为，庞大的粉丝群体也足以给账号带来潜在的商业价值。与前文离婚案类似，假如账号拥有者死亡，其账号作为事实中的权利客体，在适用法律时同样难以直接被单一定性为个人信息抑或虚拟财产。总的来说，在死者个人数据侵权案件中关于权利客体可能会出现无法剥离数字遗产与个人信息的情形。

就法律上的“继承”而言，适用人身属性的继承还停留于古代法中的身份继承，而现代法中的继承概念学界早已达成共识，仅指财产上的继承。然而，数字时代的到来对这一基于传统线下社会得出的结论产生了冲击。面对个人数据这一兼具财产属性的人格权客体，其究竟能否被“继承”成为难题。若可以继承，则违背了《民法典》第992条规定的人格权的是否不能继承？实际上，在法律规范层面只有具体的“财产”才可以被继承的观念正在悄然发生转变。我国原《民法通则》第76条明确规定了公民享有“财产继承权”，但原《民法总则》第124条将其改为“自然人依法享有继承权。自然人合法的私有财产，可以依法继承”，《民法典》第124条继续沿用了这一条款。而且，《民法典》也并未沿袭原《继承法》第3条的“列举+兜底规定”模式。通过对比可以发现，此时“继承权”不再被限定为“财产继承权”，财产成为被法律规定所明确的继承权客体，但并非“只有财产，才可继承”。

随着社会的发展，财产自身的定义也发生了多次变化。在古罗马法时期，财产的客体被认为是“物”，即有形财产，《法国民法典》《意大利民法典》同样如此认为，随着知识产权概念的出现，财产的概念拓展到了无形的智力成果。数字时代下，财产的概念是否会进一步拓展到具有财产属性的个人数据这一问题虽有待考证，但依然有迹可循。不可否认的是，个人数据在实践中早已产生价值甚至成为交易对象，因此即便具有人格属性的个人信息不可被定性为财产，但顺应时代的做法也应当是将继承概念从“财产”拓展到“具有财产属性权利的客体”，故而从法律规范的角度出发，死者的个人数据应当可以成为继承权的客体。

并非所有个人信息案件都涉及个人数据的财产属性。在“Mac案”“Ellsworth案”中，权利主张者的目的均为纪念、缅怀等，仅涉及死者个人信息的人身属性，因此死者个人信息能否被继承存在争议。有学者认为，自然人就其个人信息享有的是人格权益，当死者个人信息既不存在于有体物之上，也没有产生著作权时，由于人格权不能被继承，其个人信息不能作为财产而由继承人加以继承。此观点混淆了权利客体属性与行使权利目的之间的关系。如父亲去世后，孩子继承了父亲的日记以缅怀父亲的过往，虽然在这种继承中孩子的目的是铭记父亲的人格，而非继承日记本作为有体物的财产价值，但是不能否认孩子取得该日记本的继承属性。因为“缅怀人格”只是继承目的，日记本的本质是存在财产价值的有体物。当日记本变成“网络日记”时，依然应当先对作为死去父亲个人信息的日记进行定性，其本质问题又回归于个人信息是否具有财产属性。个人信息具有财产属性，则死者个人信息的获取适用继承规则，与继承者获取死者个人信息的目的无关。部分国家的法律也确已规定有关个人数据继承的相关内容。从应然角度而言，个人数据可作为继承的客体具备必要性与合理性。

早在“个人信息”概念尚未确立之时，学界关于死者人格权保护已有不少讨论。信息主体死后，其人格权应当由谁保护、怎样保护尚无确切的结论，《民法典》最终就这一问题给出了具体举措。先不论《民法典》第994条是否仍需完善，由于死者名誉、荣誉、隐私等传统人格权保护一般为被侵权后的事后救济，因此将此权利交付于死者近亲属至多会产生应进行保护而未保护的情况，较少出现损害死者利益或违背死者生前意志的情形。然而，死者个人数据保护则不同。于死者个人信息权而言，凡能就死者个人信息主张权利者均可视为死者个人信息权的权利主体。在信息主体与权利主体分离的前提下，死者个人信息继承人与存储死者个人信息的网络平台均可从保护死者利益与维护自身权利两方面出发成为主张死者个人信息权的权利人。然而，其在行使权利时既可能违背死者生前的意愿，又可能损害相关第三人的利益，因此死者个人信息权面临不同主体之间的利益冲突问题。

当信息主体因死亡丧失权利能力时，除非其生前已经明确相关个人信息由谁继承，否则难以保证继承死者个人信息的权利人与死者本人生前意志完全一致。在探究死者与信息继承者间的利益冲突时，可以分为实践与法律规范两个层面：

其一，就实践层面而言，死者与其个人信息权继承者间的观念可分为完全符合死者生前意志、完全违背死者生前意志、部分违背死者生前意志和死者生前意志不详四种情况。由于遗嘱属于要式行为，且一般主要涉及财产分割，即便是分配方案复杂或附条件（义务）等非常规遗嘱，其分配的核心依然是财产利益，因此现阶段要求死者在其合法有效的遗嘱里包含对自己个人数据继承的明确意愿并不现实，故对死者生前个人信息权利继承的意愿在形式上的要求可以放宽。只要死者生前以明示或足以达到推测要求的暗示表达过自己的意愿，且该表达可以被证明为真，即视为此时死者与个人信息权继承者完全达成合意，不存在观念分歧。

然而，能够完全符合死者生前意志的个人信息继承很少，更多的情况是死者生前并未就自己死后个人信息如何处置发表意见。更有甚者，死者生前希望的个人信息继承人可能会与其财产法定继承人产生冲突。在传统的财产继承案件中，“水果摊主房产赠与案”曾轰动一时，本案中的老人宁愿将其价值300万的房产赠与邻居水果摊主也不愿由自己亲属继承。此种情况在个人信息继承里当然也可能发生，通过前文案例可以发现，一般情况下死者个人信息权利主张者与其近亲属、财产法定继承人存在高度融合，但这并不意味着死者生前必然希望继承其遗产的主体同时继承其个人信息。若死者生前并未就其个人信息表达同意或反对某一主体继承的意愿，此时是否可以将同意财产继承视为同意死者个人信息继承的默示表达？这一问题似乎无法通过设立法律规定的方式得到确切回答。总结来说，倘若充分尊重死者生前意愿，则死者生前意愿的不确定性将成为横在死者个人信息权利主张者与成功适用法律法规主张死者个人信息权之间的天堑。从根本上来说，法律规定究竟应保护死者的利益还是保护继承其个人信息之生者的利益是重要的价值选择问题。

其二，在法律规范层面，死者与个人信息继承者之间的利益衡量也是一场立法上的冲突博弈。死者个人信息保护是新兴问题，我国学界与实务界尚未对该问题进行深入探讨。但世界范围内已有立法例将死者个人信息权利继承与遗嘱挂钩，如西班牙《数据保护法》第3条规定，对于死者个人信息，遗嘱执行人也可以如继承人那样采取相同的措施。因此，对比遗嘱的相关学理探讨可以为死者个人信息保护提供一定的借鉴。

早在个人信息权出现之前，我国学界针对传统线下社会遗嘱自由的立法就展开过讨论。有学者认为：“遗嘱既为社会制度之一种，自不能完全委于死者之自由意思，而须顾及一般社会及生者之利益，加以相当之限制。”然而，从1985年我国第一部《继承法》的出台至《民法典》的颁布，我国法律政策基本采取放任遗嘱自由模式，这一模式引发了学者的担忧。有学者认为：“无边界的遗嘱自由，的确有必要添加适当限制，照顾到利益主体各方的利益。”死者个人信息保护看似与遗嘱自由类似，同样涉及对死者生前意愿的尊重，但其实二者存在根本性区别。遗嘱往往涉及的是财产性权利的分割继受，因此可能会涉及男女平等、保障老人生活等社会性问题，在利益平衡时，由于死者不再受到财产性利益的任何影响，限制遗嘱自由、倾向保护生者利益存在极大的合理性。而死者的个人信息权与之不同，个人信息权隶属于死者人格权范畴，信息主体死后其人格利益依然会通过“名声”“声望”等途径受到影响，因此应区分死者的人格权保护与财产权保护。

对比遗嘱的放任自由，我国法律对死者人格权保护却过于保守。《民法典》第994条将死者人格权请求权主体限定在了死者配偶、子女、父母及近亲属范围内，并未考虑死者是否愿意将自己的人格利益保护托付于上述权利主体。与之相比，我国《个人信息保护法》对于这一问题有所调整，其中涉及死者个人信息保护的第49条在二审稿时还将权利主体范围限缩于“近亲属”范围内，但终稿加入了“死者生前另有安排的除外”。这样的改动无疑表明我国立法者认识到了在死者人格权保护层面死者生前意愿的重要性，只是这种规定过于笼统，在实践中具体可操作性不强。放眼世界，一些国家在尊重死者个人信息、保护其生前意愿方面给出了可供参考的细则。法国是相关法律规则最为详尽的国家之一，其《数字共和国法案》第40-1条规定，数据主体死亡后，其数据权利随之取消，但若数据主体生前作出了一般性或特殊性的指示，或当事人没有作出指示或不反对已有指示，则继承人可以在死者去世后行使相关权利。匈牙利《信息法》则规定了“数据主体在其生前可以选任一人或一位近亲属在自己死后行使其个人数据权利”，这一规定虽将权利主体范围限缩得过于狭窄，却可通过法条形式简明提醒民众重视自己死后个人数据继承问题的指定。这些国家的法律法规可以为我国后续完善死者个人信息保护提供参考。

与死者普通人格不同，死者的个人信息往往还涉及第三人利益。死者生前的社交媒体账户、网络聊天记录等均可能涉及第三人信息，此时即便个人信息继承者继承死者个人信息符合死者生前的意愿，但未必尊重并符合第三人利益与意愿，个人信息继承者因此与相关第三人亦可能发生利益冲突。

相关第三人可分为特定的第三人与不特定的第三人两种情况。前者往往涉及某一或某几个具体自然人的利益，如我国较为有名的“‘北飞候鸟’名誉权案”。在该案中，符合死者姜某生前意愿的个人信息继承者应为其托付密码的网友，该网友后将姜某个人信息权利让渡给姜某姐姐。姐姐因妹妹的突然离世想要查阅妹妹日记寻找原因这一做法合乎情理，且姜某生前并未表示反对姐姐查阅其相关个人信息，因此应推定未违背姜某生前意愿。但姜某日记中包含了其丈夫王某及女子东某的个人信息，虽然经法院审理王某确实与东某存在婚外情，但这并不表示姜某姐姐及其同学张某依据姜某个人信息曝光王某和东某个人信息的行为具有合理性。从名誉权侵权的角度认为，道德瑕疵不能成为侵犯隐私权、名誉权的抗辩理由，因此法院最终认定张某侵犯了王某的名誉权。可见，即便是确为客观事实的个人信息，未经第三人同意权利人擅自公开同样可能涉及侵权。由此案可推知，死者生前的微信、QQ等通信软件的聊天记录，微博、抖音等社交媒体的发言记录，均可能涉及第三人不希望为他人知晓的信息，由此个人信息的继承者与具体的相关第三人可能发生利益冲突。

涉及不特定第三人的案件往往与公共利益相关。以美国“Anthony Cannata案”为例，20岁美国青年Anthony Cannata在决定自杀之前，将一张“用枪指着嘴巴”的照片上传到了他的脸书账户并允许其他用户查看，其家人、朋友要求访问其账户删除照片的理由之一为“该照片令人感到不安”。由此可见，当死者生前公开发表的内容影响到不特定第三人时，死者个人信息继承者可能需要基于维护社会公共利益的考虑，保护不特定相关第三人的合法利益。

在普通个人信息保护体系中，除信息主体外，由于个人信息特殊的财产属性，信息处理者即控制信息的平台也具备了成为个人信息权利主体的资格，这是个人信息权与其他人格权最突出的差别之一。当涉及死者个人数据时，平台可能会成为个人信息继承者行使死者个人信息查阅权等权利的巨大阻碍。前文提及的“Ellsworth案”“QQ继承案”等均涉及平台与死者个人信息继承者之间的纠纷。目前，平台拒绝提供死者个人信息的理由主要包括保护死者隐私、保护通信秘密等，依据主要是已有的协议、条款等，但这其实存在诸多问题。

其一，平台所谓的“协议”“条款”等法律效力存疑。以我国社交媒体规定为例，《QQ号码规则》规定，未经腾讯许可，初始申请注册人不得转让或售卖QQ号码，或者以其他方式许可其他主体使用QQ号码；《微博服务使用协议》规定，未经微博运营方同意，用户不得擅自转让任何微博账号或微博昵称。诸如此类，各大媒体平台均明确账号不得转让，由此也就不允许继承人获得死者的个人账号。平台提供的此类协议不仅为格式合同，而且属于“点击合同”（click-wrap contract）类别,此类合同最大的特点是用户以其“点击”行为表示承诺，从而达成意思表示一致，此类合同可能构成对合同自由的限制。有学者指出：“在拟订合同条款时仅有一方之意思表示，相对方当事人只能就交易条件概括地予以接受或者拒绝，根本没有讨价还价的余地。”我国《民法典》第497条规定，提供格式条款一方不得不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利，不得排除对方主要权利。因此，此类协议里不允许转让账号的行为若被判定为侵犯了死者个人信息继承者的主要权利，则合同无效，不产生约束力。

其二，有观点认为平台协议并不能构成合同，其生效规则主要基于同意规则。该观点具有一定的合理性，却忽视了“获得同意”并不意味着平台的行为就必然具备正当性。由于个体与平台之间存在信息不对称、力量不均衡等多种情况，“信息主体的决定自由是‘不真正’的、难以实现的”。作为接受协议一方的个体没有能力与平台商议协议内容，此时的“同意”往往并非真实意思表示而是出于无奈的妥协，协议的法律效力因此存疑。

综上，虽然在实践中同为死者个人信息权的主体，个人信息继承者与身为信息处理者的网络平台在平台设立的规则框架下发生冲突时，平台往往占据上风，但是实际上作为评判依据的平台协议自身法律效力存疑，平台是否有权拒绝死者个人信息继承人行使其权利有待商榷。

对于死者个人信息之人格权利保护，可以分为以下三层逐一递进：将死者个人信息权抽离传统人格权，对死者个人信息之人格权利积极保护，以及对死者个人信息之人格权利侵权进行事后救济。

首先，应当依据前文总结出的必须是电子信息、可以产生算法评价、具备继续存在的意义三重标准，区分案件所涉信息是否可以适用死者个人信息权进行保护。若该信息非电子形式或未能产生算法评价，则适用传统人格权的保护规则。有些国家的法律规定认为死者个人信息保护也应设置期限，如丹麦《数据保护法》第2条第5款规定，该法与欧盟《一般数据保护条例》适用于信息主体死后10年内的个人数据的保护。但由于死者个人信息权的权利义务主体还包括持有信息的网络平台，因此只要该信息没有彻底被删除，死者的个人信息权必然应当无限期地受到法律保护，故目前世界绝大多数国家未对死者个人信息保护设置期限。

其次，不同于一般为事后救济的传统人格权，死者个人信息权存在诸多积极行使权利的方式，诸如《个人信息保护法》规定的“查阅、复制、更正、删除”等权利，除去归属于死者传统人格权保护的部分，死者个人信息继承人成为权利主体后，其权利的行使与一般信息主体积极行使自己个人信息权在本质上并无差别，因此可参照一般个人信息的具体规则。在救济方面，虽然《个人信息保护法》起草过程中存在过错责任说、无过错责任说、区分说三种不同类型的观点，但是我国现有法律规范已经明确规定传统人格权侵权适用过错责任而个人信息侵权适用过错推定，因此在死者个人信息权利受到侵犯时，若能适用传统人格权保护则采用过错责任，在排除传统人格权保护后，死者个人信息人格属性权利受到侵犯应当适用过错推定原则。

死者个人信息财产属性权利保护应当划分为两个层次逐层排序适用法律规范。第一层，判断案件中的死者个人数据是否可单一归属于个人信息权或数字遗产财产权，抑或出现二者杂糅的情况。若可单一归属于二者之一，则直接适用个人信息权保护规则或财产权保护规则。二者杂糅的情况看似复杂，实则可以进行内部划分，对死者个人信息抽丝剥茧，人身属性部分权利保护参照个人信息权保护规则，财产属性部分参照财产权保护规则。具体适用方式如图1所示：

就死者个人信息权人身属性部分的保护范围而言，可参照我国《个人信息保护法》中死者个人信息保护相关规定，权利主体可以行使查阅、复制、更正、删除等权利，此时数据持有平台应尊重权利主体的合法权利，不应以其他理由妨碍权利主体主张权利。而死者个人信息财产属性层面目前仍存在一些问题。我国《民法典》第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”然而，无论是数字遗产抑或是具有财产属性的个人数据，在我国现有法律框架内并未就其能否继承、按照何种规则继承予以具体规定。世界范围内有关遗产范围的立法模式，可以归结为概括式、列举式和结合式三种；我国原《继承法》除概括性规定外，又列举了7项具体范围。但原《继承法》的内容并未被《民法典》及“继承编司法解释”继受，在原《继承法》修正草案征集意见时，有学者提出的将“互联网络中的虚拟财产”放入遗产范围的建议最终也未被采纳。由此可见，在现有法律框架下，死者个人数据之上的财产性利益应当依照何种规则转移、继承仍存在疑问。

在司法实践中，不同法院对于虚拟财产、数字遗产的观点亦不相同。《民法典》颁布后，针对网络账号这一类存在人身属性与财产属性杂糅的个人信息，有法院认为可以继承，有法院则否定了账号的支配权，认为应当将其置于服务平台的管理之下。然而究其本质，数字遗产及个人信息财产性权利部分与普通财产相比并无实质区别，知识产权尚可继承，虚拟财产亦应可继承。在“‘屠龙刀’继承案”中，法院认为，李某的“网络妻子”杨某与其共同努力获得该“屠龙刀”，两人因此各占有“屠龙刀”50%的财产价值，李某死后其所占有的50%由其妻子杨某继承。该案实际上与“网络妻子”“现实妻子”并无关联，只是一个披着虚拟财产外衣的普通财产分割与继承案件。这种思考模式符合当前社会对虚拟财产与现实财产一视同仁的需求，去除了干扰因素，解决了案件最本质的问题。

面对人身属性与财产属性杂糅的问题，以行使权利的目的是基于该个人数据的人身属性还是财产属性为内部区分的标准是解决问题的关键。例如，面对兼具人身属性与财产属性的社交媒体账号，应当先按照死者的使用目的分离账号的人身属性与财产属性，在处理账号以商用目的为基础的财产价值分配问题时，应当先明确公示该账号的号主已经离世，将账号现有价值固定计价后按照虚拟财产的分配方式落实财产上的分配与继承，然后再进行关于账号未来是否继续商用、如何经营的讨论。若账号停止商用，此时回归为单一的个人信息人身属性问题，可以由继承者继承账号用以缅怀纪念。若账号继续商用经营，则商用部分应按照虚拟财产的计算方式进行下一轮价值分配，此时若个人信息继承人不参与账号的商业经营，则其应当可以获得账号中关于已死亡号主的人身属性信息的复制件，或与账号的经营方协商解决账号使用问题。若所有权利主体均放弃继承账号，此时控制该账号的平台有保证账号内容不被泄露的义务。

针对死者及死者个人信息权主体之间的冲突，目前国际现有法律未能给出详细的规范措施。现有争论一直聚焦于生者与死者之间应将保护的天平倾斜向哪一方更人道、更易于实现、更节约社会成本的问题，但实际上，仅从规范制定的层面思考问题，苦心思索如何审慎分配权利只会使死者个人信息权利保护问题陷入两难的僵局。站在私法的角度，应变换思维，充分尊重人的意志，尊重意思自治，同时重视义务的承担，实现权责统一，此时死者个人信息权面临的主体冲突问题便可相对容易地化解。

作为人格权的一种，死者个人信息权保护理应充分尊重死者的生前意愿，包括明示或默示指定其个人信息继承人，或否定排除不可成为其个人信息继承人之人。若死者未就其个人信息继承有任何表态，则依照现有法律规定其近亲属是继承人。当继承人与死者出现利益冲突时，由于死者已逝，其意志无法得到充分表达，利益也无法落实到现实存在的客体之上，因此利益的天平可以适当向生者的意志倾斜，优先尊重继承人利益。此时应重点强调的是，任何有关死者人格保护的内容均需要求继承人做到权利义务相对等，即继承人可以基于正当理由得知死者不愿为其所知的个人信息，但应当承担为死者保密、不扩散其个人信息的义务。若继承人违背死者意愿扩散死者个人信息、死者隐私，则构成侵权，应当为此承担相应的责任。与之类似，由于平台不具备个人信息权人格权层面的主体资格，最多只有财产性利益的使用资格，从意思自治的角度出发，平台之于死者个人信息不具备独立的意志，故控制死者个人信息的平台除有正当理由外不应以不得转让、保护死者隐私等为由拒绝死者个人信息继承人行使权利，同时平台对由继承人带来的后果亦不承担责任。相关第三人也不应因存在“可能被侵犯隐私”的风险就当然排除权利主体的合法权利阻止继承人获取死者个人信息，但继承人此时有为第三人保守秘密的义务，一旦继承人泄露相关信息，第三人便可向继承人追责。

综上，由于死者个人信息权利的行使具有较强的人身属性，掺杂了人的意志，因此宜弹性处理此类问题。继承人与死者之间的关系一般情况下较超越平台及相关第三人更为密切，所以对其利益的保障也应优先于其他权利主体。法律应当在赋予继承人权利的同时侧重于司法实践中监督其义务的履行与责任的承担，而非尝试制定较为刚性的规范。在继承人确有合法合理理由要求继承死者个人信息时，其与死者个人信息其他权利主体及相关第三人利益冲突的解决，应秉持权利义务责任相统一的理念，继承人有权依法获取死者个人信息，但同时必须承担保护死者与相关第三人人格权、财产权的义务，若未履行义务则需承担责任。

我国关于死者个人信息保护问题尚无定论。本文在现有法律制度框架下，探讨死者个人信息权权利客体与权利主体的具体特征，并明确在利益权衡时应秉持权利义务责任相一致的理念，充分尊重死者生前意愿，保证信息继承人的合法权利。继承人在享有权利的同时应履行相应的义务，若侵犯他人利益则承担相应责任。在现今时代，死者个人信息案件尚且只有零星几件，但随着数字社会的发展，“数字人格”的精细化，死者个人信息问题终将成为每个人生命中无法回避的话题。信息技术日新月异，在不久的将来，当死亡不再是个体在这个世界上存续的终点，当逝者的数字存在依旧鲜活明艳，当看似冰冷的数据变化寄托着生者对死者的无限眷恋，当AI模拟的形象无限逼近于逝者生前的音容笑貌，彼时，数字已然被赋予了极大的情绪价值与情感意义。这就要求相关法律制度跟上技术的发展步伐，这样方能在法律上回应与死者相关之生者的利益需要以及死者生前的预先安排与期盼。

华政学报 | 彭诚信李佳桐我国死者个人信息权利保护的私法构造