《当前商业支付领域内生物识别信息保护存在的问题探析综述》3200字

当前商业支付领域内生物识别信息保护存在的问题分析综述目录TOC\o"1-2"\h\u28294当前商业支付领域内生物识别信息保护存在的问题分析综述 114027一、传统的“知情同意”机制失效 118719（一）剥夺消费者选择权 19384（二）沉重的阅读负担 27858二、用户偏好分析和数据处理的边界模糊 232274三、生物识别信息处理机构责任分配不完善 323850（一）数据分享阶段的知情意识缺失 322316（二）缺乏对数据库的统一规制 4一、传统的“知情同意”机制失效“知情同意”机制在传统的个人信息保护架构中具有重要作用，无论是欧盟《一般数据保护条例》还是美国《消费者隐私权利法案（草案）》，都以用户同意作为个人信息使用的立足点。参见王融：《大数据时代数据保护与流动规则》，人民邮电出版社2017年版，第16页。参见王融：《大数据时代数据保护与流动规则》，人民邮电出版社2017年版，第16页。DanielSolove,PrivacySelf-ManagementandtheConsentDilemma,26HarvardLawReview1880(2013).参见[美]欧姆瑞·本·沙哈尔等：《过犹不及：强制披露的失败》，陈晓芳译，法律出版社2015年版，第39页。（一）剥夺消费者选择权许多商业支付平台都在其隐私政策中对生物识别信息的收集和使用作出了规定。但是可以注意到，各个平台的隐私政策通常包含许多条，而消费者对隐私政策的同意与否是一个整体选择，亦即，消费者只能选择同意或不同意整个隐私政策，而不能就隐私政策的某一具体条款表示反对。故，当消费者由于反对隐私政策中的某一条而选择不接受整个隐私政策时，其他条款中的权利也将一并失去。这在本质上限制了消费者的选择权。此外，商业支付平台所设置的选择权常常名存实亡，实际上客户只有勾选“同意”选项才能继续享受相关服务。如，中国银行的《中国银行股份有限公司手机银行隐私政策》中的“（一）信息如何收集”中提到，消费者在手机银行中进行转账、自助关联、身份认证时，需向中行提供自己的人脸信息图像，中行将该信息存储于中行信息系统后台数据库中。如消费者不提供上述信息，中行将无法提供需完成人脸识别认证后方可使用的产品或服务。亦即，提供个人生物识别信息在一些商业支付业务中已经被默示界定为消费者的义务而非权利，消费者如果选择拒绝提供自己的生物识别信息，就将无法开展相关的业务，而没有其他的替代选项可以选择。（二）沉重的阅读负担在研究相关隐私政策时可以发现，各商业支付平台的隐私政策通常位于较为隐蔽的位置，寻找起来绝非易事。为了满足用户“知情”的要求和合规要求，生物识别信息收集机构必须要列出篇幅冗长复杂的隐私条款，需要极大的耐心和精力才能进行认真的分析和解读。这对于普通人来说无疑是较大的阅读负担。遑论隐私政策中还有大量的专业词汇，普罗大众即使阅读完毕，可能也难以完全理解通透。即使商业支付平台的使用者尽力阅读完了所有的条款，也不一定能够真正理解自己的生物识别信息到底将被用于何处、将如何被存储、如何被保护，以及受到侵害时要如何寻求权利救济。以支付宝为例，消费者利用支付宝平台进行支付时，常常会出现“免密支付”选项，即不必刷密码而利用消费者的指纹或人脸等生物识别信息进行支付，且该免密支付的选项按钮常常是默认开启的，如果不是注意到有意将其关闭，很容易使用到这一功能。大多数商业支付平台仅靠生物特征识别（如人脸识别、指纹识别等）就瞬时完成支付交易，这种交易方式使得个人在授权采集生物识别信息的同时，也默认授权了资金的支付。但是后者并不能在实质上体现出个体意愿，也不能保障个人的资金支配权得到有效保护。基于风险防范的价值目标而确立商业支付领域的个人生物识别信息保护制度，就不能仅仅考虑私权的保护，而应当超越“知情同意”机制，建立起符合当前对生物识别信息使用状况的配套制度。参见范为：《大数据时代个人信息保护的路径重构》，载《环球法律评论》2016参见范为：《大数据时代个人信息保护的路径重构》，载《环球法律评论》2016年第5期，第94页。参见刘晓春：《大数据时代个人信息保护的行业标准主导模式》，载《财经法学》2017年第2期，第19页。二、用户偏好分析和数据处理的边界模糊不同于以往的信用卡支付或现金支付方式，以人脸识别、指纹识别为代表的生物识别方式可以使消费者的个人生物识别信息变得更加易于获取和利用。在使用现金进行消费时，作为消费者的个人信息是模糊的，因为现金上不会留存消费者的个人信息。使用银行卡支付或是在商业支付平台上利用密码支付时，该银行卡或者密码并未与消费者建立紧密而唯一的联系，消费者的信息也尚未直接而准确地反馈至商家手中。但是在使用生物识别信息进行商业支付时，个人的生物特征直接作为支付方式进入商业支付平台并留存于平台数据库内，自然人与其生物识别特征具有唯一而紧密的关联性。此时对于商业支付平台而言，消费者的身份与信息是具象化的、清晰且唯一的。基于此，倘使商业支付平台利用收集到的个人生物识别信息及其相关交易记录进行用户偏好分析，或者对收集到的生物识别信息在相关企业内部进行共享，就会涉及到用户生物识别信息的再利用问题。这种利用的边界在哪里？再次利用的数据权属由谁所有？该数据再利用行为的监管主体是谁？消费者对此是否具有知情权，而该知情权的边界又在何处？这些问题都需要我们逐一作出回应。以中国银行的《中国银行股份有限公司手机银行隐私政策》为例，该隐私政策中提到：“您的个人信息可能会在我行各经营机构及附属公司内部进行共享。我行只会共享必要的个人信息，且这种共享受本政策所声明的约束。”支付宝的《生物识别服务通用规则》在“一、支付宝刷脸验证服务”中也提到：“您同意我们收集您的人脸信息并做必要的处理。”以上规定中的“必要”要如何界定，而商业支付平台对于超出必要的处理与共享又将承担何种责任？这些都有待在法律层面上予以进一步的明确规定。三、生物识别信息处理机构责任分配不完善（一）数据分享阶段的知情意识缺失随着人工智能技术的飞速发展，人工智能时代已经来临。参见马长山：《智能互联网时代的法律变革》，载《法学研究》2018年第参见马长山：《智能互联网时代的法律变革》，载《法学研究》2018年第4期，第35页。参见袁俊：《论人脸识别技术的应用风险及法律规制路径》，载《信息安全研究》2020年12月第6卷第12期，第1121页。（二）缺乏对数据库的统一规制由于我国目前尚未有统一的用于存储个人生物识别信息的数据库，因此各个商业支付平台收集到的个人生物识别信息通常存储于自己的数据库或是相关的技术支持机构的数据库中。如中国银行的《中国银行股份有限公司手机银行隐私政策》中提到，在手机银行中收集到的客户人脸图像信息将存储于中行信息系统后台数据库中。又如支付宝的《生物识别服务通用规则》中提到，如果客户使用的手机或其它设备提供生物识别功能，那么支付宝所涉及到的对生物识别信息的采集、存储等对生物识别信息的处理将由自然人所使用的手机或设备及其系统来完成。一般而言，此类设备可以将用户的生物识别信息与事先录入并存储在该设备上的特征数据进行比对核验，例如苹果公司的指纹触控ID、面容解锁I