1.1.4 个人信息保护

互联网时代下，个人数据的海量处理在给人们带来便利的同时，也带来了前所未有的挑战，因个人数据被侵犯而产生的纠纷频发，处理应遵循的规则也处在探索之中。在互联网环境下，个体数据的经济价值非常有限，然而拥有海量数据的互联网企业普遍存在涉及个人数据的大数据开发行为，这类大数据产品的财产权如何界定也是各方关注的问题。我国目前《民法典》《个人信息保护法》都将平台界定为数据处理者，而不是数据控制者。尽管就保护义务而言，平台责任相对较弱，作为“硬币”的另一面，也容易对企业主张《竞争法》乃至《财产法》意义上的数据财产权构成不利影响。数据控制者显然比数据处理者有更充分的法理依据来主张数据权利。从数字经济发展的角度来说，对企业的赋权要在保护产权和鼓励竞争之间维持适当平衡，防止企业滥用用户数量优势和数据优势，形成准入壁垒，从而抑制竞争，损害消费者权益。

《个人信息保护法》于2021年8月正式发布，其中对个人权利影响最大的，莫过于第四十五条增设了“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。至此，数据可携带权[2]正式被纳入我国个人信息保护法律体系。《个人信息保护法》采取多元化的保护路径，既明确了个人在个人信息处理活动中的权利，又采取行政干预的方式，对涵盖国家机关的个人信息处理者进行行为规制，明确个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理环节的规则。

各政府部门和行业管理单位也在积极落实相关法律法规，针对App违规收集个人信息等问题先后开展了多项专项治理工作。如中央网信办等四部委联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，工信部印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》，明确开展电信和互联网行业数据安全和个人信息保护违法违规行为集中治理、疫情防控中个人信息安全风险专项排查等相关工作部署。2021年，人民银行及银保监会一共向银行、保险公司、证券公司等各类金融机构开出了数据相关的罚单1056张，处罚金额超过10.5亿元，涉及554家机构。2021年1月，某银行因互联网门户网站泄露敏感信息等六项问题被罚420万元。

近年来，对个人信息的违规侵犯案例不断发生，表现形式也开始多样化，为了让读者对个人信息被侵犯有更加清晰的理解，下面介绍我国的“人脸识别第一案”：郭某与某野生动物世界有限公司（以下简称野生动物世界）服务合同纠纷案。

该案起因是：2019年4月27日，郭某购买野生动物世界双人年卡，留存相关个人身份信息，并录入指纹和拍照。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别，并向郭某发送短信通知相关事宜，要求其进行人脸激活，双方协商未果，遂引发本案纠纷。一审判决判令野生动物世界赔偿郭某合同利益损失及交通费，并删除郭某办理指纹年卡时提交的包括照片在内的面部特征信息等。二审在原判决的基础上增判野生动物世界删除郭某办理指纹年卡时提交的指纹识别信息。

本案的说理中体现出对“人脸识别”中涉及的生物识别信息的保护，对强制使用人脸识别进行了否定性评价。法官认为：自然人的个人信息受法律保护。生物识别信息作为敏感的个人信息，深度体现自然人的生理和行为特征，具备较强的人格属性，一旦被泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到不测危害，故应当更加谨慎处理和严格保护。