我國商業(yè)支付領(lǐng)域內(nèi)生物識別信息保護(hù)現(xiàn)狀分析綜述目錄TOC\o"1-2"\h\u14813我國商業(yè)支付領(lǐng)域內(nèi)生物識別信息保護(hù)現(xiàn)狀分析綜述 111206一、商業(yè)支付中的個人生物識別信息概述 120545（一）個人生物識別信息概念及權(quán)利歸屬 123516（二）商業(yè)支付中的個人生物識別信息 522227二、立法現(xiàn)狀 912743三、司法現(xiàn)狀 11一、商業(yè)支付中的個人生物識別信息概述（一）個人生物識別信息概念及權(quán)利歸屬1.概念界定《中華人民共和國民法典》（以下稱“《民法典》”）第1034條《中華人民共和國民法典》第1034條：“自然人的個人信息受法律保護(hù)。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”是我國首次以立法形式對個人生物識別信息的概念作出界定。即，個人生物識別信息為個人信息項下之概念，亦應(yīng)屬于個人信息。因此，關(guān)于個人信息的相關(guān)規(guī)定也得適用于個人生物識別信息。《中華人民共和國民法典》第1034條：“自然人的個人信息受法律保護(hù)。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”若要了解個人生物識別信息，首先要明確個人信息的概念。個人信息是包括個人的健康、財產(chǎn)、工作、親屬等社會關(guān)系在內(nèi)的一系列與特定個體密切關(guān)聯(lián)，能夠反映特定個體特征并能夠與其他個體相區(qū)分的信息。個人數(shù)據(jù)的概念與之基本一致。大體而言，美國多使用個人信息的概念，而歐盟則多使用個人數(shù)據(jù)的概念。英國《數(shù)據(jù)保護(hù)法》英國在1984年制定的《數(shù)據(jù)保護(hù)法》中規(guī)定：“個人數(shù)據(jù)是由有關(guān)一個活著的人信息組成的數(shù)據(jù)，對于這個人，可以通過該信息(或者通過數(shù)據(jù)用戶擁有的該信息的其他信息)識別出來，該信息包括對有關(guān)該個人的評價，但不包括對個人數(shù)據(jù)用戶表示的意圖。”、《歐洲聯(lián)盟數(shù)據(jù)保護(hù)規(guī)章》1995年7月26日在布魯塞爾部長級會議上通過的《歐洲聯(lián)盟數(shù)據(jù)保護(hù)規(guī)章》對個人數(shù)據(jù)下的定義是：“有關(guān)一個被識別或可識別的自然人(數(shù)據(jù)主體)的任何信息；可以識別的自然人是指一個可以被證明，即可以直接或間接地，特別是通過對其身體的、生理的、經(jīng)濟(jì)的、文化的或生活身份的一項或多項的識別。”中均對個人數(shù)據(jù)的概念做出了界定。我國《民法典》采“概括＋列舉”模式界定個人信息，《民法典》第1034條：“自然人的個人信息受法律保護(hù)。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定。”然而不同的法律法規(guī)對個人信息內(nèi)容的列舉內(nèi)容卻迥異，財產(chǎn)信息、犯罪記錄等也常被列舉為個人信息。應(yīng)當(dāng)注意的是，并不是一項信息被法律文本在個人信息相關(guān)概念中列示出來就當(dāng)然地被認(rèn)定為是應(yīng)被保護(hù)的個人信息，被列舉的信息是否應(yīng)被認(rèn)定為個人信息并予以保護(hù)需在具體情境中進(jìn)行分析判斷。如若法律中所列舉出的個人信息范疇的信息（如健康信息、行蹤信息等）在某些情境中不能識別特定個體或者并未被利用，就不應(yīng)被認(rèn)定為屬于個人信息。馬斯洛在其需要層次理論中指出，人格標(biāo)識的完整性、真實(shí)性是自然人受到他人尊重的基本條件。參見[美]亞伯拉罕·馬斯洛：《動機(jī)與人格》，許金聲譯，中國人民大學(xué)出版社2007年版，第31頁。此外，值得提請注意的是，個人信息的概念遠(yuǎn)超隱私權(quán)的范疇參見王利明：《人格權(quán)法探微》，人民出版社2018年版，第387頁。英國在1984年制定的《數(shù)據(jù)保護(hù)法》中規(guī)定：“個人數(shù)據(jù)是由有關(guān)一個活著的人信息組成的數(shù)據(jù)，對于這個人，可以通過該信息(或者通過數(shù)據(jù)用戶擁有的該信息的其他信息)識別出來，該信息包括對有關(guān)該個人的評價，但不包括對個人數(shù)據(jù)用戶表示的意圖。”1995年7月26日在布魯塞爾部長級會議上通過的《歐洲聯(lián)盟數(shù)據(jù)保護(hù)規(guī)章》對個人數(shù)據(jù)下的定義是：“有關(guān)一個被識別或可識別的自然人(數(shù)據(jù)主體)的任何信息；可以識別的自然人是指一個可以被證明，即可以直接或間接地，特別是通過對其身體的、生理的、經(jīng)濟(jì)的、文化的或生活身份的一項或多項的識別。”《民法典》第1034條：“自然人的個人信息受法律保護(hù)。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定。”參見[美]亞伯拉罕·馬斯洛：《動機(jī)與人格》，許金聲譯，中國人民大學(xué)出版社2007年版，第31頁。參見王利明：《人格權(quán)法探微》，人民出版社2018年版，第387頁。國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會于2020年3月6日發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》在附錄A表A.1中對個人生物識別信息所包含的內(nèi)容進(jìn)行了舉例。《信息安全技術(shù)個人信息安全規(guī)范》附錄A表A.1：“個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。”應(yīng)當(dāng)注意的是，當(dāng)基因、指紋等信息存在于自然人個體之中，未被生物識別技術(shù)采集和利用之時，個人生物識別信息歸屬于自然人本人，不存在被侵害或盜取的可能性，故無從談及保護(hù)。只有在被生物識別技術(shù)加以采集和利用后脫離了自然人本人的個人生物識別信息，才存在被侵害的可能性。《信息安全技術(shù)個人信息安全規(guī)范》附錄A表A.1：“個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。”2.生物識別信息特性生物識別技術(shù)提取、識別人體生物學(xué)特征的唯一性是近幾年生物識別相關(guān)技術(shù)飛速發(fā)展、生物識別信息得到廣泛利用的根本原因。生物識別信息被大規(guī)模使用的場景主要是在網(wǎng)絡(luò)中，其利用的方式是將相關(guān)技術(shù)轉(zhuǎn)化為二進(jìn)制代碼。指紋、人臉、聲紋等個人生物識別信息在未脫離自然人主體時一般不會被復(fù)制，但當(dāng)其脫離人體而轉(zhuǎn)化為計算機(jī)代碼時就有被復(fù)制、盜竊的風(fēng)險。生物識別技術(shù)的識別原理及依靠相關(guān)技術(shù)提取的自然人生物識別信息都會在相關(guān)企業(yè)的數(shù)據(jù)庫中存儲，此時就勢必存在數(shù)據(jù)泄露乃至失竊的潛在風(fēng)險。參見劉春泉:《人臉識別技術(shù)存在重大網(wǎng)絡(luò)安全風(fēng)險》，載《第一財經(jīng)日報》2017年3月30日。參見劉春泉:《人臉識別技術(shù)存在重大網(wǎng)絡(luò)安全風(fēng)險》，載《第一財經(jīng)日報》2017年3月30日。個人生物識別信息在產(chǎn)生之時，就具有與一般的個人信息迥然不同的特點(diǎn)。而對于不同種類的個人信息，顯然應(yīng)當(dāng)依據(jù)其特點(diǎn)確立各自不同的使用要求。個人生物識別信息具有不可更改性、唯一性。不可更改性是指每個人的個人生物識別信息從出生之始就已經(jīng)形成且基本固定，難以隨時更改和變化。即使整容也只是在外在層面（主要是五官）對部分生物識別體征進(jìn)行修飾和雕琢，主要的包括諸如DNA、基因信息、人臉、指紋、虹膜等重要的生物識別信息也難以變化。同時也要注意到，即使是部分的修飾生物識別信息，該修飾行為也不會是頻繁的，且代價高昂。支付密碼可以被人們隨意更改無數(shù)次而幾乎不會耗費(fèi)任何成本，但利用諸如整容等手段修改個人生物識別信息則需要承受大量的金錢成本以及身體、精神上的痛苦。而唯一性是指每個人的個人生物識別信息獨(dú)一無二，世界上沒有兩片完全相同的樹葉，也沒有兩份完全相同的個人生物識別信息。唯一性使得個人生物識別信息成為識別不同個體的最重要、最準(zhǔn)確的依據(jù)。不同于銀行卡丟失了可以再補(bǔ)辦，或者密碼忘記了可以重新設(shè)置；個人生物識別信息不能再造，是每個人獨(dú)一無二的生命體征，與每個人息息相關(guān)。一旦泄露就是終身泄露，會將與生物識別信息緊密相連的自然人置于潛在的危險境地。且生物識別信息一旦泄露或被非法使用，其后果難以估量。因此，人臉識別技術(shù)應(yīng)作為核實(shí)身份時使用的輔助手段而非唯一手段，在安全性高的領(lǐng)域尤甚。個人生物識別信息的特殊性與脆弱性，決定了我們必須在使用過程中對其采取更為審慎的態(tài)度。提高實(shí)踐中使用生物識別信息的條件和門檻，加強(qiáng)使用者的注意義務(wù)，是合理使用生物識別信息并使其免遭損害的重要前提。3.生物識別信息權(quán)利歸屬由于個人生物識別信息具有唯一性和可識別性，與自然人緊密相關(guān)且不可再生和輕易改變，不能像其他個人信息一樣進(jìn)行脫敏處理，因此個人生物識別信息的所有者應(yīng)當(dāng)認(rèn)定為被采集生物識別信息者，亦即，從誰身上采集到生物識別信息，該生物識別信息就由誰所有。而提供生物識別信息采集技術(shù)及相關(guān)采集儀器的主體屬于采集者，利用該生物識別信息在商業(yè)支付領(lǐng)域進(jìn)行鑒別和使用的企業(yè)屬于使用者，而政府、相關(guān)執(zhí)法機(jī)構(gòu)應(yīng)屬于監(jiān)管者。明確了各權(quán)利主體的地位，才能在個人生物識別信息在商業(yè)支付領(lǐng)域進(jìn)行全流程使用和保護(hù)予以明確的規(guī)制，并切實(shí)保障相關(guān)權(quán)利主體的利益，維護(hù)個人生物識別信息在商業(yè)支付領(lǐng)域的使用秩序。4.信息所有者（被采集者）的權(quán)利當(dāng)全球進(jìn)入大數(shù)據(jù)時代，許多國家的各個機(jī)構(gòu)都成為了大規(guī)模數(shù)據(jù)的原始采集者。參見[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶：《大數(shù)據(jù)時代：生活、工作與思維的大變革》，周濤譯，浙江人民出版社2013年版，第149頁。隱私和窘迫或不良行為無關(guān)，隱私關(guān)乎選擇。“在很多情況下，人們在線公開表達(dá)自己的觀點(diǎn)或者展露他們的隱私部位，這是他們自己的選擇。”見[美]特蕾莎·M·佩頓、西奧多·克萊普爾：《大數(shù)據(jù)時代的隱私》，鄭淑紅譯，上海科學(xué)技術(shù)出版社2017年版，第7頁。參見[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶：《大數(shù)據(jù)時代：生活、工作與思維的大變革》，周濤譯，浙江人民出版社2013年版，第149頁。見[美]特蕾莎·M·佩頓、西奧多·克萊普爾：《大數(shù)據(jù)時代的隱私》，鄭淑紅譯，上海科學(xué)技術(shù)出版社2017年版，第7頁。（1）個人知情權(quán)每一個體都有了解與自己相關(guān)的個人生物識別信息收集行為的性質(zhì)、保存期限以及自動化處理目的的權(quán)利。參見解志勇、于鵬：《信息安全立法比較研究》，中國人民公安大學(xué)出版社2007年版，第81頁。《民法典》第1035條《民法典》第1035條：“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”規(guī)定了處理個人信息的基本原則。《民法典》第1034條將個人生物識別信息界定為個人信息，因此生物識別信息也得適用《民法典》第1035條的規(guī)定。亦即，處理生物識別信息時應(yīng)明示處理信息的目的、方式和范圍。這就在法律層面確立了個人被采集和使用生物識別信息時所得享有的知情權(quán)。但是，法律中尚未對明示的時間、方式作出準(zhǔn)確的界定。因此，后續(xù)相關(guān)立法中應(yīng)對此作出進(jìn)一步的具體化規(guī)定。如，采集者應(yīng)當(dāng)書面告知被采集者被采集的個人生物識別信息的保存時間、采集時及后續(xù)的處理目的、被采集者的風(fēng)險與權(quán)利。參見邢會強(qiáng)：《人臉識別的法律規(guī)制》，載《比較法研究》2020年第5期，第14頁。參見解志勇、于鵬：《信息安全立法比較研究》，中國人民公安大學(xué)出版社2007年版，第81頁。《民法典》第1035條：“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”參見邢會強(qiáng)：《人臉識別的法律規(guī)制》，載《比較法研究》2020年第5期，第14頁。（2）個人事先同意權(quán)《民法典》第1035條《民法典》第1035條：“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”規(guī)定了處理個人信息的條件，同時根據(jù)《民法典》第1034條的規(guī)定，生物識別信息應(yīng)屬于個人信息的涵攝范圍之內(nèi)，因此個人生物識別信息也得適用《民法典》第1035條的規(guī)定。據(jù)此，個人生物識別信息在處理前須征得該自然人或者其監(jiān)護(hù)人同意，這就在法律層面確立了個人事先同意權(quán)。同時，根據(jù)法律規(guī)定，同意的主體包括兩類：一是該自然人本人，二是該自然人監(jiān)護(hù)人。因此對于無、限制民事行為能力人的生物識別信息的處理行為需經(jīng)其監(jiān)護(hù)人同意，而完全民事行為能力人的個人生物識別信息之處理經(jīng)本人同意即可。但是法律中目前對于同意的標(biāo)準(zhǔn)未有明確界定，即，未對相關(guān)權(quán)利人表示同意的方式作出清晰規(guī)定。基于個人生物識別信息不同于一般個人信息的特點(diǎn)，對于個人生物識別信息的采集應(yīng)當(dāng)堅持保護(hù)強(qiáng)度更大的知情同意原則。參見邢會強(qiáng)：《人臉識別的法律規(guī)制》，載《比較法研究》2020年第5期，第14頁。通常采集一般個人信息時都需要征得信息主體的知情同意，但是基于個人生物識別信息的特殊性，除了法定例外情形，其應(yīng)當(dāng)堅持書面知情同意原則。參見邢會強(qiáng)：《大數(shù)據(jù)交易背景下個人信息財產(chǎn)權(quán)的分配與實(shí)現(xiàn)機(jī)制》，載《法學(xué)評論》2019年第6期，第110頁。唯有此，才能更好地保障個人生物識別信息的使用安全。《民法典》第1035條：“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”參見邢會強(qiáng)：《人臉識別的法律規(guī)制》，載《比較法研究》2020年第5期，第14頁。參見邢會強(qiáng)：《大數(shù)據(jù)交易背景下個人信息財產(chǎn)權(quán)的分配與實(shí)現(xiàn)機(jī)制》，載《法學(xué)評論》2019年第6期，第110頁。（3）個人查閱、修改生物識別信息權(quán)任何人在被要求提供自己的個人生物識別信息給他人時都應(yīng)當(dāng)有權(quán)知悉：該提供方式是否是必須且必要的；如果沒能提供信息會有什么樣的后果；即將對生物識別信息進(jìn)行處理、利用、儲存的相關(guān)機(jī)構(gòu)的基本情況；以及自己是否享有修改、刪除數(shù)據(jù)庫中自己的個人生物識別信息的權(quán)利。《民法典》第1037條《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復(fù)制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權(quán)提出異議并請求及時采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權(quán)請求信息處理者及時刪除。”在法律層面明確了個人享有查閱和要求修改個人信息權(quán)，因此，個人也應(yīng)當(dāng)享有查閱和修改個人生物識別信息的權(quán)利。根據(jù)《民法典》第1034條的規(guī)定，個人生物識別信息屬于個人信息，因此個人生物識別信息也得適用《民法典》第1037條的規(guī)定。然而《民法典》僅規(guī)定了一般性原則而尚未對自然人依法向信息處理者查閱或者復(fù)制個人信息的條件和程序做出明確規(guī)定。此外，對于個人有權(quán)請求信息處理者及時刪除違法或違約處理的個人生物識別信息的監(jiān)管保障措施也暫未有明確規(guī)定。《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復(fù)制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權(quán)提出異議并請求及時采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權(quán)請求信息處理者及時刪除。”（二）商業(yè)支付中的個人生物識別信息1.商業(yè)支付領(lǐng)域的概念界定2019年12月18日，在阿里巴巴舉辦的第二屆ONE商業(yè)大會上，支付寶行業(yè)支付事業(yè)部葉國暉在會上表示：“商業(yè)支付即將進(jìn)入2.0時代，以支付為入口的數(shù)字化經(jīng)營將助力商業(yè)支付轉(zhuǎn)變?yōu)橹Ц渡虡I(yè)。”金融科技的發(fā)展讓支付方式日益多元化，同時具有跨市場、跨行業(yè)特性和去中心化趨勢，大大加快交易速度。參見陳軍燕：《對規(guī)范支付市場發(fā)展的探索和思考》，載《時代金融》2018年第12期下旬刊（總第718期），第196頁。金融業(yè)是高度信息化的行業(yè)。從技術(shù)角度看，金融機(jī)構(gòu)能夠不斷推出創(chuàng)新產(chǎn)品及服務(wù)，對消費(fèi)者進(jìn)行更有針對性的服務(wù)，很重要的一點(diǎn)取決于對各類收集到的信息挖掘、分析和運(yùn)用的能力。參見朱寶麗、馬運(yùn)全：《個人金融信息管理：隱私保護(hù)與金融交易》，中國社會科學(xué)出版社2018年版，第1頁。而生物識別技術(shù)使得個人生物識別信息在支付領(lǐng)域的收集更加廣泛和便利。周小川也說：“金融業(yè)本質(zhì)上就是信息產(chǎn)業(yè)”見周小川：《信息科技與金融政策的相互作用》，載《中國金融》2019年第15期，第14頁。，我們要在此背景下對金融服務(wù)如何融入使用這些服務(wù)的消費(fèi)者的生活進(jìn)行重新定義。見[美]布雷特·金恩：《銀行4.0金融常在，銀行不再？》，孫一仕、周群英、林雄凱譯，臺灣金融研訓(xùn)院2018年版，第366頁。若要界定商業(yè)支付的概念，首先要對支付的概念進(jìn)行界定。支付通常是指經(jīng)濟(jì)活動中的貨幣債權(quán)轉(zhuǎn)移的過程。從支付方式看，支付包括密碼支付、指紋支付、聲波支付、人臉識別支付等多種支付方式。本文所探討的即為包括人臉識別支付、聲波支付以及指紋支付方式在內(nèi)的采用生物識別信息作為手段進(jìn)行的支付。該種支付是利用生物識別技術(shù)建立支付媒介特征和賬戶信息數(shù)據(jù)庫，用戶只需要上傳支付媒介特征，系統(tǒng)即可自動識別用戶身份、匹配賬戶和驗證交易從而順利完成支付。參見陳軍燕：《對規(guī)范支付市場發(fā)展的探索和思考》，載《時代金融》2018年第12期下旬刊（總第718期），第196頁。參見朱寶麗、馬運(yùn)全：《個人金融信息管理：隱私保護(hù)與金融交易》，中國社會科學(xué)出版社2018年版，第1頁。見周小川：《信息科技與金融政策的相互作用》，載《中國金融》2019年第15期，第14頁。見[美]布雷特·金恩：《銀行4.0金融常在，銀行不再？》，孫一仕、周群英、林雄凱譯，臺灣金融研訓(xùn)院2018年版，第366頁。參見謝丹：《無感支付發(fā)展現(xiàn)狀與思考》，載《福建金融》2019年第9期，第35頁。從支付的類型上劃分，支付包括商業(yè)支付和公共支付。本文所指商業(yè)支付，是與以公共利益為目的的支付行為相區(qū)分的概念。以公共利益為目的的支付行為，主要是指電子政務(wù)公共支付。電子政務(wù)公共支付是指通過公共支付平臺繳納水電、通信等公共事業(yè)費(fèi)用以及違章罰款等行業(yè)專項費(fèi)用，從而使辦理日常生產(chǎn)生活中的公共服務(wù)繳費(fèi)更為便利的支付方式，其本質(zhì)上是政府收費(fèi)平臺的網(wǎng)絡(luò)化。參見張坤：《公共支付平臺建設(shè)與發(fā)展調(diào)查》，載《華北金融》2019年第3期，第62頁。而本文所指商業(yè)支付領(lǐng)域則為排除電子政務(wù)公共支付領(lǐng)域以外的支付領(lǐng)域，即，所有不為政務(wù)服務(wù)和公共服務(wù)繳費(fèi)的支付均在本文所探討的商業(yè)支付領(lǐng)域攝程之內(nèi)。公共支付與商業(yè)支付范疇的區(qū)別主要包括兩點(diǎn)：其一，公共支付的最終接收主體為政府，而商業(yè)支付的最終接收者為非政府機(jī)構(gòu)；其二，公共支付的目的主要是為日常生活中的政務(wù)服務(wù)和公共服務(wù)進(jìn)行繳費(fèi)，本質(zhì)上仍然是一種公共款項的繳納行為，只是繳費(fèi)途徑由原來的必須前往政府辦事大廳繳費(fèi)窗口辦理變?yōu)槿缃竦目梢酝ㄟ^線上進(jìn)行支付，僅僅是支付手段和方式發(fā)生了變化（由線下變?yōu)榫€上），而商業(yè)支付是排除了公共款項繳納的商業(yè)性支付，如為消費(fèi)行為進(jìn)行支付等。因此，公共支付與商業(yè)支付的本質(zhì)區(qū)別在于支付目的。例如，在電子政務(wù)平臺上繳納水電費(fèi)用，屬于公共支付；而利用支付寶支付購買衣物、餐飲消費(fèi)的費(fèi)用，屬于商業(yè)支付。參見張坤：《公共支付平臺建設(shè)與發(fā)展調(diào)查》，載《華北金融》2019年第3期，第62頁。2.商業(yè)支付中的個人生物識別信息使用狀況目前，個人生物識別信息的收集、儲存及使用依照應(yīng)用的主要領(lǐng)域不同，可以劃分為以公共利益為目的的使用和以私益為目的的使用，具體可分為以下幾種：一是基于社會治安管理的需要，如公安機(jī)關(guān)在全國范圍內(nèi)建立的逃犯追蹤識別系統(tǒng)“天網(wǎng)”，收集并儲存?zhèn)€人生物識別信息，通過此種途徑進(jìn)行打擊犯罪；二是商業(yè)運(yùn)營的企業(yè)，為了提升自身的競爭力和品牌吸引力或便利使用者等等因素，對個人生物識別信息進(jìn)行的采集運(yùn)用，比如當(dāng)下使用較為廣泛的指紋支付、人臉支付；三是科研機(jī)構(gòu)基于技術(shù)研究的需要而收集儲存信息；四是社會團(tuán)體機(jī)構(gòu)為便于管理或運(yùn)行，對個人生物識別信息進(jìn)行的收集存儲等。本文將個人生物識別信息的保護(hù)議題框定在支付領(lǐng)域內(nèi)，并限定在商業(yè)支付范疇，主要討論商業(yè)運(yùn)營的企業(yè)在以私益為目的對生物識別信息進(jìn)行使用的過程中對于個人生物識別信息的保護(hù)。隨著生物識別技術(shù)及商業(yè)領(lǐng)域的發(fā)展，個人生物識別信息在諸多領(lǐng)域被以多種方式使用著。在商業(yè)支付中使用個人生物識別信息來驗證身份抑或替代密碼也成為一種常見的方式。打開滴滴打車軟件打車后，在支付界面會跳出“免密支付”的字樣供人選擇，人們可以選擇通過人臉或指紋識別來替代輸入支付密碼，使交易更加便捷；打開支付寶購物消費(fèi)時，人們亦可以選擇人臉支付方式取代傳統(tǒng)的密碼支付方式；目前線下許多商超與支付寶合作，引進(jìn)人臉識別機(jī)器，在付款臺人臉識別成功后即可進(jìn)行支付。支付機(jī)構(gòu)能夠在交易中洞察我們大部分的收入和支出狀況，我們每個人在金融機(jī)構(gòu)面前都是“財務(wù)透明人”參見邢會強(qiáng)：《大數(shù)據(jù)時代個人金融信息的保護(hù)與利用》，載《東方法學(xué)》2021年第1期，第49頁。。而個人生物識別信息在商業(yè)支付領(lǐng)域廣泛運(yùn)用，使得個人的財務(wù)狀況與自然人個體之間產(chǎn)生了更為清晰和緊密的聯(lián)系。包括存款在內(nèi)的財務(wù)信息能夠體現(xiàn)人們的財務(wù)狀況，而人們往往不愿自己的財產(chǎn)狀況被他人知道，儲蓄機(jī)構(gòu)應(yīng)當(dāng)尊重存款人的這一權(quán)利。見強(qiáng)力：《金融法》，法律出版社1997年版，第205頁。包括銀行在內(nèi)的金融機(jī)構(gòu)對于客戶信息資料負(fù)有金融隱私保護(hù)的義務(wù)是在長期的業(yè)務(wù)實(shí)踐中形成的慣例。見黎四奇：《對我國銀行與客戶金融隱私權(quán)保護(hù)制度的反思與立法建議》，載《云夢學(xué)刊》2006年第2期，第64頁。但是，伴隨著生物識別信息被利用于支付領(lǐng)域，個人的財務(wù)狀況與個人的聯(lián)系更為清晰，而一旦個人的生物識別信息被泄露，其財務(wù)狀況也將面臨被泄露的高度風(fēng)險。正因為個人生物識別信息在支付領(lǐng)域與個人的財務(wù)狀況緊密聯(lián)結(jié)，因此它具備較高的保護(hù)價值，需要由法律予以保護(hù)。科技改變了商業(yè)支付中對于個人生物識別信息的使用度和頻率，提高了支付效率，為消費(fèi)帶來了方便。但同時，在商業(yè)支付領(lǐng)域中大規(guī)模使用個人生物識別信息也存在一定的潛在風(fēng)險，這就要求我們注重個人生物識別信息在商業(yè)支付領(lǐng)域的保護(hù)。參見邢會強(qiáng)：《大數(shù)據(jù)時代個人金融信息的保護(hù)與利用》，載《東方法學(xué)》2021年第1期，第49頁。見強(qiáng)力：《金融法》，法律出版社1997年版，第205頁。見黎四奇：《對我國銀行與客戶金融隱私權(quán)保護(hù)制度的反思與立法建議》，載《云夢學(xué)刊》2006年第2期，第64頁。個人生物識別信息在商業(yè)支付領(lǐng)域的應(yīng)用不同于其他領(lǐng)域。伴隨著商業(yè)支付領(lǐng)域內(nèi)生物識別技術(shù)使用的廣度和深度逐漸增加，人臉支付、指紋支付等支付方式的應(yīng)用也愈發(fā)廣泛。生物識別信息在商業(yè)支付領(lǐng)域使用的優(yōu)勢在于：1.便捷快速：使用生物識別信息支付的速度要顯著大于使用密碼支付的速度；2.可攜帶：個人生物識別信息均為人體的一部分，無需特意攜帶即可隨時使用；3.不易遺忘：不同于密碼需要人們在設(shè)置后進(jìn)行記憶，生物識別信息無需人們進(jìn)行記憶。基于個人生物識別信息在商業(yè)支付領(lǐng)域的便捷性，我們不應(yīng)輕易且草率的采取過分嚴(yán)格的政策來抑制其發(fā)展，而應(yīng)努力細(xì)化其使用的行業(yè)標(biāo)準(zhǔn)，對使用個人生物識別信息的商業(yè)支付全流程制定科學(xué)的監(jiān)管措施，并強(qiáng)調(diào)對于在商業(yè)支付領(lǐng)域侵犯個人生物識別信息行為的事后保護(hù)。商業(yè)支付領(lǐng)域與電子政務(wù)公共支付領(lǐng)域具有各自不同的特點(diǎn)，區(qū)分其特點(diǎn)才能厘清個人生物識別信息在不同支付領(lǐng)域保護(hù)中的側(cè)重點(diǎn)。對于以公共利益（以公共安全為主）為目的的用途，國家機(jī)關(guān)可以依照相關(guān)法律的授權(quán)，在一定的權(quán)限范圍內(nèi)進(jìn)行信息的處理，此種情形產(chǎn)生的合法性爭議較少。但是對于個人生物識別信息私益用途的使用，尤其是在商業(yè)支付領(lǐng)域的使用，呈現(xiàn)出技術(shù)應(yīng)用飛速先行、法律明顯滯后的特點(diǎn)，實(shí)踐中關(guān)于合法性的爭議較大。且目前我國還沒有針對個人生物識別信息及其技術(shù)應(yīng)用出臺專門性的法律，只能采取參照相關(guān)法律的形式予以解決，如《消費(fèi)者權(quán)益保護(hù)法》第29條《消費(fèi)者權(quán)益保護(hù)法》第29條：“經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。”就對消費(fèi)者個人信息的使用原則作出了規(guī)定。對于這類個人信息（亦包括個人生物識別信息）的安全性保存，以及能否二次使用的問題，尚無專門的法律進(jìn)行規(guī)定。對此，根據(jù)商業(yè)支付領(lǐng)域使用個人生物識別信息的特點(diǎn)對其采取行之有效的保護(hù)措施，顯得尤為重要。《消費(fèi)者權(quán)益保護(hù)法》第29條：“經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。”二、立法現(xiàn)狀信息技術(shù)的日臻完善、信息產(chǎn)業(yè)的飛速發(fā)展都加快了人們平衡威斯汀教授四個要素的步伐。[美]MartinE.Abrams：《新興數(shù)字經(jīng)濟(jì)時代的隱私、安全與經(jīng)濟(jì)增長》，溫珍奎譯，載周漢華主編：《個人信息保護(hù)前沿問題研究》，法律出版社2006年版，第5頁；美國信息隱私權(quán)學(xué)者AlanF.Westin教授在其著作《隱私與自由》中提出社會中相互制約的四個隱私要素，即獨(dú)處、袒露、好奇、維護(hù)公共秩序的政府監(jiān)控。我國目前尚未制定出臺統(tǒng)一的《個人信息保護(hù)法》，關(guān)于對個人生物識別信息在商業(yè)支付領(lǐng)域的保護(hù)多見于我國關(guān)于個人信息與隱私保護(hù)的法律法規(guī)之中。在當(dāng)前的法律體系中，對個人生物識別信息的保護(hù)大多源于刑法、民法、消費(fèi)者權(quán)益保護(hù)法等對個人信息及隱私權(quán)的保護(hù)規(guī)定；同時在一些指導(dǎo)意見、行業(yè)規(guī)則及標(biāo)準(zhǔn)中也可探究到一些細(xì)碎的規(guī)定。[美]MartinE.Abrams：《新興數(shù)字經(jīng)濟(jì)時代的隱私、安全與經(jīng)濟(jì)增長》，溫珍奎譯，載周漢華主編：《個人信息保護(hù)前沿問題研究》，法律出版社2006年版，第5頁；美國信息隱私權(quán)學(xué)者AlanF.Westin教授在其著作《隱私與自由》中提出社會中相互制約的四個隱私要素，即獨(dú)處、袒露、好奇、維護(hù)公共秩序的政府監(jiān)控。在法律層面，我國《民法典》第111條《民法典》第111條：“自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”、第1034條《民法典》第1034條：“自然人的個人信息受法律保護(hù)。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定。”、第1035條《民法典》第1035條：“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”、第1037條《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復(fù)制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權(quán)提出異議并請求及時采取更正等必要措施。”、第1038條《民法典》第1038條：“信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復(fù)原的除外。信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應(yīng)當(dāng)及時采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報告。”都對自然人個人信息的保護(hù)作出了一些規(guī)定。《網(wǎng)絡(luò)安全法》（2017）第76條第5款《網(wǎng)絡(luò)安全法》（2017）第76條：“……個人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”將個人的生物識別信息歸入個人信息。《民法典》第111條：“自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”《民法典》第1034條：“自然人的個人信息受法律保護(hù)。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定。”《民法典》第1035條：“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復(fù)制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權(quán)提出異議并請求及時采取更正等必要措施。”《民法典》第1038條：“信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復(fù)原的除外。信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應(yīng)當(dāng)及時采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報告。”《網(wǎng)絡(luò)安全法》（2017）第76條：“……個人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”在行政法規(guī)及部門規(guī)章層面，最高法《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》明確了利用網(wǎng)絡(luò)公開他人信息的行為的侵權(quán)責(zé)任；國務(wù)院《征信管理條例》詳細(xì)規(guī)定了對征信行業(yè)采集個人信息的要求；工信部《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》對互聯(lián)網(wǎng)信息服務(wù)提供者的個人信息收集使用規(guī)范及安全保障措施做出了明確規(guī)定《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》第8條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)制定用戶個人信息收集、使用規(guī)則，并在其經(jīng)營或者服務(wù)場所、網(wǎng)站等予以公布。”第9條：“未經(jīng)用戶同意，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集、使用用戶個人信息。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者收集、使用用戶個人信息的，應(yīng)當(dāng)明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個人信息或者將信息用于提供服務(wù)之外的目的，不得以欺騙、誤導(dǎo)或者強(qiáng)迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集、使用信息。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在用戶終止使用電信服務(wù)或者互聯(lián)網(wǎng)信息服務(wù)后，應(yīng)當(dāng)停止對用戶個人信息的收集和使用，并為用戶提供注銷號碼或者賬號的服務(wù)。法律、行政法規(guī)對本條第一款至第四款規(guī)定的情形另有規(guī)定的，從其規(guī)定。”第10條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對在提供服務(wù)過程中收集、使用的用戶個人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。”第11條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者委托他人代理市場銷售和技術(shù)服務(wù)等直接面向用戶的服務(wù)性工作，涉及收集、使用用戶個人信息的，應(yīng)當(dāng)對代理人的用戶個人信息保護(hù)工作進(jìn)行監(jiān)督和管理，不得委托不符合本規(guī)定有關(guān)用戶個人信息保護(hù)要求的代理人代辦相關(guān)服務(wù)。”；《征信業(yè)管理條例》明確了禁止征信機(jī)構(gòu)采集的個人信息種類《征信業(yè)管理條例》第14條：“禁止征信機(jī)構(gòu)采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。征信機(jī)構(gòu)不得采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息。但是，征信機(jī)構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意的除外。”；我國的首個個人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)-公用及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》也于2013年出臺；公安部《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》中也有關(guān)于個人生物識別信息披露的規(guī)定《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》第6.7條：“個人信息原則上不得公開披露。如經(jīng)法律授權(quán)或具備合理事由確需公開披露時，應(yīng)充分重視風(fēng)險，遵守以下要求：a)事先開展個人信息安全影響評估，并依評估結(jié)果采取有效的保護(hù)個人信息主體的措施；b)向個人信息主體告知公開披露個人信息的目的、類型，并事先征得個人信息主體明示同意，與國家安全、國防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外；c)公開披露個人敏感信息前，除6.7b）中告知的內(nèi)容外，還應(yīng)向個人信息主體告知涉及的個人敏感信息的內(nèi)容；d)準(zhǔn)確記錄和保存?zhèn)€人信息的公開披露的情況，包括公開披露的日期、規(guī)模、目的、公開范圍等；e)承擔(dān)因公開披露個人信息對個人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任；f)不得公開披露個人生物識別信息和基因、疾病等個人生理信息；g)不得公開披露我國公民的種族、民族、政治觀點(diǎn)、宗教信仰等敏感數(shù)據(jù)分析結(jié)果。”；中國支付清算協(xié)會《個人信息保護(hù)技術(shù)指引》對個人信息作出了敏感性分級規(guī)定《個人信息保護(hù)技術(shù)指引》第3.2條：“本規(guī)范依據(jù)個人信息價值和安全風(fēng)險的不同，劃分四個等級，分別是：高敏感、中敏感、低敏感、非敏感，針對個人信息保護(hù)程度、影響程度不同，將個人信息進(jìn)行特殊標(biāo)注，采取必要的管理措施和技術(shù)手段，保護(hù)個人信息安全，防止未經(jīng)授權(quán)檢索、泄露、損毀和篡改。——高敏感級別：重要個人信息，泄露后可能致使個人資產(chǎn)受到嚴(yán)重?fù)p失；——中敏感級別：一般個人信息，泄露后可能致使個人資產(chǎn)受到損失；——低敏感級別：其他個人信息，泄露后可能致使個人資產(chǎn)受到影響；——非敏感級別：公開后對個人無影響的信息。個人敏感信息包括高敏感、中敏感、低敏感級別個人信息，各機(jī)構(gòu)應(yīng)根據(jù)自身業(yè)務(wù)、安全管理要求和客戶服務(wù)要求確定。本標(biāo)準(zhǔn)的應(yīng)用者可根據(jù)實(shí)際使用需要作出另外方式的分類，但分類的實(shí)質(zhì)性內(nèi)容與本標(biāo)準(zhǔn)不一致的應(yīng)對分類依據(jù)進(jìn)行說明。”，第2.5條《個人信息保護(hù)技術(shù)指引》第2.5條：“個人敏感信息可以包括身份證號碼、手機(jī)號碼、指紋等。”、第3.1條《個人信息保護(hù)技術(shù)指引》第3.1條：“個人身份標(biāo)識與鑒別信息，包括靜態(tài)密碼、動態(tài)密碼、密保問題答案、數(shù)字證書、生物特征信息等。”對個人信息也作出了界定。《信息安全技術(shù)個人信息安全規(guī)范》的第3.1條《信息安全技術(shù)個人信息安全規(guī)范》（2020年3月6日發(fā)布，2020年10月1日實(shí)施）第3.1條：“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。”、第3.2條《信息安全技術(shù)個人信息安全規(guī)范》（2020年3月6日發(fā)布，2020年10月1日實(shí)施）第3.2條：“個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等。”較之于之前的保護(hù)指南，對于個人信息及個人敏感信息的界定范圍中增加了“個人生物識別信息”。《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》第8條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)制定用戶個人信息收集、使用規(guī)則，并在其經(jīng)營或者服務(wù)場所、網(wǎng)站等予以公布。”第9條：“未經(jīng)用戶同意，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集、使用用戶個人信息。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者收集、使用用戶個人信息的，應(yīng)當(dāng)明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個人信息或者將信息用于提供服務(wù)之外的目的，不得以欺騙、誤導(dǎo)或者強(qiáng)迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集、使用信息。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在用戶終止使用電信服務(wù)或者互聯(lián)網(wǎng)信息服務(wù)后，應(yīng)當(dāng)停止對用戶個人信息的收集和使用，并為用戶提供注銷號碼或者賬號的服務(wù)。法律、行政法規(guī)對本條第一款至第四款規(guī)定的情形另有規(guī)定的，從其規(guī)定。”第10條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對在提供服務(wù)過程中收集、使用的用戶個人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。”第11條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者委托他人代理市場銷售和技術(shù)服務(wù)等直接面向用戶的服務(wù)性工作，涉及收集、使用用戶個人信息的，應(yīng)當(dāng)對代理人的用戶個人信息保護(hù)工作進(jìn)行監(jiān)督和管理，不得委托不符合本規(guī)定有關(guān)用戶個人信息保護(hù)要求的代理人代辦相關(guān)服務(wù)。”《征信業(yè)管理條例》第14條：“禁止征信機(jī)構(gòu)采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。征信機(jī)構(gòu)不得采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息。但是，征信機(jī)構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意的除外。”《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》第6.7條：“個人信息原則上不得公開披露。如經(jīng)法律授權(quán)或具備合理事由確需公開披露時，應(yīng)充分重視風(fēng)險，遵守以下要求：a)事先開展個人信息安全影響評估，并依評估結(jié)果采取有效的保護(hù)個人信息主體的措施；b)向個人信息主體告知公開披露個人信息的目的、類型，并事先征得個人信息主體明示同意，與國家安全、國防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外；c)公開披露個人敏感信息前，除6.7b）中告知的內(nèi)容外，還應(yīng)向個人信息主體告知涉及的個人敏感信息的內(nèi)容；d)準(zhǔn)確記錄和保存?zhèn)€人信息的公開披露的情況，包括公開披露的日期、規(guī)模、目的、公開范圍等；e)承擔(dān)因公開披露個人信息對個人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任；f)不得公開披露個人生物識別信息和基因、疾病等個人生理信息；g)不得公開披露我國公民的種族、民族、政治觀點(diǎn)、宗教信仰等敏感數(shù)據(jù)分析結(jié)果。”《個人信息保護(hù)技術(shù)指引》第3.2條：“本規(guī)范依據(jù)個人信息價值和安全風(fēng)險的不同，劃分四個等級，分別是：高敏感、中敏感、低敏感、非敏感，針對個人信息保護(hù)程度、影響程度不同，將個人信息進(jìn)行特殊標(biāo)注，采取必要的管理措施和技術(shù)手段，保護(hù)個人信息安全，防止未經(jīng)授權(quán)檢索、泄露、損毀