《我国商业支付领域内生物识别信息保护现状分析综述》7900字

我国商业支付领域内生物识别信息保护现状分析综述目录TOC\o"1-2"\h\u14813我国商业支付领域内生物识别信息保护现状分析综述 111206一、商业支付中的个人生物识别信息概述 120545（一）个人生物识别信息概念及权利归属 123516（二）商业支付中的个人生物识别信息 522227二、立法现状 912743三、司法现状 11一、商业支付中的个人生物识别信息概述（一）个人生物识别信息概念及权利归属1.概念界定《中华人民共和国民法典》（以下称“《民法典》”）第1034条《中华人民共和国民法典》第1034条：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”是我国首次以立法形式对个人生物识别信息的概念作出界定。即，个人生物识别信息为个人信息项下之概念，亦应属于个人信息。因此，关于个人信息的相关规定也得适用于个人生物识别信息。《中华人民共和国民法典》第1034条：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”若要了解个人生物识别信息，首先要明确个人信息的概念。个人信息是包括个人的健康、财产、工作、亲属等社会关系在内的一系列与特定个体密切关联，能够反映特定个体特征并能够与其他个体相区分的信息。个人数据的概念与之基本一致。大体而言，美国多使用个人信息的概念，而欧盟则多使用个人数据的概念。英国《数据保护法》英国在1984年制定的《数据保护法》中规定：“个人数据是由有关一个活着的人信息组成的数据，对于这个人，可以通过该信息(或者通过数据用户拥有的该信息的其他信息)识别出来，该信息包括对有关该个人的评价，但不包括对个人数据用户表示的意图。”、《欧洲联盟数据保护规章》1995年7月26日在布鲁塞尔部长级会议上通过的《欧洲联盟数据保护规章》对个人数据下的定义是：“有关一个被识别或可识别的自然人(数据主体)的任何信息；可以识别的自然人是指一个可以被证明，即可以直接或间接地，特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。”中均对个人数据的概念做出了界定。我国《民法典》采“概括＋列举”模式界定个人信息，《民法典》第1034条：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”然而不同的法律法规对个人信息内容的列举内容却迥异，财产信息、犯罪记录等也常被列举为个人信息。应当注意的是，并不是一项信息被法律文本在个人信息相关概念中列示出来就当然地被认定为是应被保护的个人信息，被列举的信息是否应被认定为个人信息并予以保护需在具体情境中进行分析判断。如若法律中所列举出的个人信息范畴的信息（如健康信息、行踪信息等）在某些情境中不能识别特定个体或者并未被利用，就不应被认定为属于个人信息。马斯洛在其需要层次理论中指出，人格标识的完整性、真实性是自然人受到他人尊重的基本条件。参见[美]亚伯拉罕·马斯洛：《动机与人格》，许金声译，中国人民大学出版社2007年版，第31页。此外，值得提请注意的是，个人信息的概念远超隐私权的范畴参见王利明：《人格权法探微》，人民出版社2018年版，第387页。英国在1984年制定的《数据保护法》中规定：“个人数据是由有关一个活着的人信息组成的数据，对于这个人，可以通过该信息(或者通过数据用户拥有的该信息的其他信息)识别出来，该信息包括对有关该个人的评价，但不包括对个人数据用户表示的意图。”1995年7月26日在布鲁塞尔部长级会议上通过的《欧洲联盟数据保护规章》对个人数据下的定义是：“有关一个被识别或可识别的自然人(数据主体)的任何信息；可以识别的自然人是指一个可以被证明，即可以直接或间接地，特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。”《民法典》第1034条：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”参见[美]亚伯拉罕·马斯洛：《动机与人格》，许金声译，中国人民大学出版社2007年版，第31页。参见王利明：《人格权法探微》，人民出版社2018年版，第387页。国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布的《信息安全技术个人信息安全规范》在附录A表A.1中对个人生物识别信息所包含的内容进行了举例。《信息安全技术个人信息安全规范》附录A表A.1：“个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。”应当注意的是，当基因、指纹等信息存在于自然人个体之中，未被生物识别技术采集和利用之时，个人生物识别信息归属于自然人本人，不存在被侵害或盗取的可能性，故无从谈及保护。只有在被生物识别技术加以采集和利用后脱离了自然人本人的个人生物识别信息，才存在被侵害的可能性。《信息安全技术个人信息安全规范》附录A表A.1：“个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。”2.生物识别信息特性生物识别技术提取、识别人体生物学特征的唯一性是近几年生物识别相关技术飞速发展、生物识别信息得到广泛利用的根本原因。生物识别信息被大规模使用的场景主要是在网络中，其利用的方式是将相关技术转化为二进制代码。指纹、人脸、声纹等个人生物识别信息在未脱离自然人主体时一般不会被复制，但当其脱离人体而转化为计算机代码时就有被复制、盗窃的风险。生物识别技术的识别原理及依靠相关技术提取的自然人生物识别信息都会在相关企业的数据库中存储，此时就势必存在数据泄露乃至失窃的潜在风险。参见刘春泉:《人脸识别技术存在重大网络安全风险》，载《第一财经日报》2017年3月30日。参见刘春泉:《人脸识别技术存在重大网络安全风险》，载《第一财经日报》2017年3月30日。个人生物识别信息在产生之时，就具有与一般的个人信息迥然不同的特点。而对于不同种类的个人信息，显然应当依据其特点确立各自不同的使用要求。个人生物识别信息具有不可更改性、唯一性。不可更改性是指每个人的个人生物识别信息从出生之始就已经形成且基本固定，难以随时更改和变化。即使整容也只是在外在层面（主要是五官）对部分生物识别体征进行修饰和雕琢，主要的包括诸如DNA、基因信息、人脸、指纹、虹膜等重要的生物识别信息也难以变化。同时也要注意到，即使是部分的修饰生物识别信息，该修饰行为也不会是频繁的，且代价高昂。支付密码可以被人们随意更改无数次而几乎不会耗费任何成本，但利用诸如整容等手段修改个人生物识别信息则需要承受大量的金钱成本以及身体、精神上的痛苦。而唯一性是指每个人的个人生物识别信息独一无二，世界上没有两片完全相同的树叶，也没有两份完全相同的个人生物识别信息。唯一性使得个人生物识别信息成为识别不同个体的最重要、最准确的依据。不同于银行卡丢失了可以再补办，或者密码忘记了可以重新设置；个人生物识别信息不能再造，是每个人独一无二的生命体征，与每个人息息相关。一旦泄露就是终身泄露，会将与生物识别信息紧密相连的自然人置于潜在的危险境地。且生物识别信息一旦泄露或被非法使用，其后果难以估量。因此，人脸识别技术应作为核实身份时使用的辅助手段而非唯一手段，在安全性高的领域尤甚。个人生物识别信息的特殊性与脆弱性，决定了我们必须在使用过程中对其采取更为审慎的态度。提高实践中使用生物识别信息的条件和门槛，加强使用者的注意义务，是合理使用生物识别信息并使其免遭损害的重要前提。3.生物识别信息权利归属由于个人生物识别信息具有唯一性和可识别性，与自然人紧密相关且不可再生和轻易改变，不能像其他个人信息一样进行脱敏处理，因此个人生物识别信息的所有者应当认定为被采集生物识别信息者，亦即，从谁身上采集到生物识别信息，该生物识别信息就由谁所有。而提供生物识别信息采集技术及相关采集仪器的主体属于采集者，利用该生物识别信息在商业支付领域进行鉴别和使用的企业属于使用者，而政府、相关执法机构应属于监管者。明确了各权利主体的地位，才能在个人生物识别信息在商业支付领域进行全流程使用和保护予以明确的规制，并切实保障相关权利主体的利益，维护个人生物识别信息在商业支付领域的使用秩序。4.信息所有者（被采集者）的权利当全球进入大数据时代，许多国家的各个机构都成为了大规模数据的原始采集者。参见[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶：《大数据时代：生活、工作与思维的大变革》，周涛译，浙江人民出版社2013年版，第149页。隐私和窘迫或不良行为无关，隐私关乎选择。“在很多情况下，人们在线公开表达自己的观点或者展露他们的隐私部位，这是他们自己的选择。”见[美]特蕾莎·M·佩顿、西奥多·克莱普尔：《大数据时代的隐私》，郑淑红译，上海科学技术出版社2017年版，第7页。参见[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶：《大数据时代：生活、工作与思维的大变革》，周涛译，浙江人民出版社2013年版，第149页。见[美]特蕾莎·M·佩顿、西奥多·克莱普尔：《大数据时代的隐私》，郑淑红译，上海科学技术出版社2017年版，第7页。（1）个人知情权每一个体都有了解与自己相关的个人生物识别信息收集行为的性质、保存期限以及自动化处理目的的权利。参见解志勇、于鹏：《信息安全立法比较研究》，中国人民公安大学出版社2007年版，第81页。《民法典》第1035条《民法典》第1035条：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”规定了处理个人信息的基本原则。《民法典》第1034条将个人生物识别信息界定为个人信息，因此生物识别信息也得适用《民法典》第1035条的规定。亦即，处理生物识别信息时应明示处理信息的目的、方式和范围。这就在法律层面确立了个人被采集和使用生物识别信息时所得享有的知情权。但是，法律中尚未对明示的时间、方式作出准确的界定。因此，后续相关立法中应对此作出进一步的具体化规定。如，采集者应当书面告知被采集者被采集的个人生物识别信息的保存时间、采集时及后续的处理目的、被采集者的风险与权利。参见邢会强：《人脸识别的法律规制》，载《比较法研究》2020年第5期，第14页。参见解志勇、于鹏：《信息安全立法比较研究》，中国人民公安大学出版社2007年版，第81页。《民法典》第1035条：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”参见邢会强：《人脸识别的法律规制》，载《比较法研究》2020年第5期，第14页。（2）个人事先同意权《民法典》第1035条《民法典》第1035条：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”规定了处理个人信息的条件，同时根据《民法典》第1034条的规定，生物识别信息应属于个人信息的涵摄范围之内，因此个人生物识别信息也得适用《民法典》第1035条的规定。据此，个人生物识别信息在处理前须征得该自然人或者其监护人同意，这就在法律层面确立了个人事先同意权。同时，根据法律规定，同意的主体包括两类：一是该自然人本人，二是该自然人监护人。因此对于无、限制民事行为能力人的生物识别信息的处理行为需经其监护人同意，而完全民事行为能力人的个人生物识别信息之处理经本人同意即可。但是法律中目前对于同意的标准未有明确界定，即，未对相关权利人表示同意的方式作出清晰规定。基于个人生物识别信息不同于一般个人信息的特点，对于个人生物识别信息的采集应当坚持保护强度更大的知情同意原则。参见邢会强：《人脸识别的法律规制》，载《比较法研究》2020年第5期，第14页。通常采集一般个人信息时都需要征得信息主体的知情同意，但是基于个人生物识别信息的特殊性，除了法定例外情形，其应当坚持书面知情同意原则。参见邢会强：《大数据交易背景下个人信息财产权的分配与实现机制》，载《法学评论》2019年第6期，第110页。唯有此，才能更好地保障个人生物识别信息的使用安全。《民法典》第1035条：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”参见邢会强：《人脸识别的法律规制》，载《比较法研究》2020年第5期，第14页。参见邢会强：《大数据交易背景下个人信息财产权的分配与实现机制》，载《法学评论》2019年第6期，第110页。（3）个人查阅、修改生物识别信息权任何人在被要求提供自己的个人生物识别信息给他人时都应当有权知悉：该提供方式是否是必须且必要的；如果没能提供信息会有什么样的后果；即将对生物识别信息进行处理、利用、储存的相关机构的基本情况；以及自己是否享有修改、删除数据库中自己的个人生物识别信息的权利。《民法典》第1037条《民法典》第1037条：“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”在法律层面明确了个人享有查阅和要求修改个人信息权，因此，个人也应当享有查阅和修改个人生物识别信息的权利。根据《民法典》第1034条的规定，个人生物识别信息属于个人信息，因此个人生物识别信息也得适用《民法典》第1037条的规定。然而《民法典》仅规定了一般性原则而尚未对自然人依法向信息处理者查阅或者复制个人信息的条件和程序做出明确规定。此外，对于个人有权请求信息处理者及时删除违法或违约处理的个人生物识别信息的监管保障措施也暂未有明确规定。《民法典》第1037条：“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”（二）商业支付中的个人生物识别信息1.商业支付领域的概念界定2019年12月18日，在阿里巴巴举办的第二届ONE商业大会上，支付宝行业支付事业部叶国晖在会上表示：“商业支付即将进入2.0时代，以支付为入口的数字化经营将助力商业支付转变为支付商业。”金融科技的发展让支付方式日益多元化，同时具有跨市场、跨行业特性和去中心化趋势，大大加快交易速度。参见陈军燕：《对规范支付市场发展的探索和思考》，载《时代金融》2018年第12期下旬刊（总第718期），第196页。金融业是高度信息化的行业。从技术角度看，金融机构能够不断推出创新产品及服务，对消费者进行更有针对性的服务，很重要的一点取决于对各类收集到的信息挖掘、分析和运用的能力。参见朱宝丽、马运全：《个人金融信息管理：隐私保护与金融交易》，中国社会科学出版社2018年版，第1页。而生物识别技术使得个人生物识别信息在支付领域的收集更加广泛和便利。周小川也说：“金融业本质上就是信息产业”见周小川：《信息科技与金融政策的相互作用》，载《中国金融》2019年第15期，第14页。，我们要在此背景下对金融服务如何融入使用这些服务的消费者的生活进行重新定义。见[美]布雷特·金恩：《银行4.0金融常在，银行不再？》，孙一仕、周群英、林雄凯译，台湾金融研训院2018年版，第366页。若要界定商业支付的概念，首先要对支付的概念进行界定。支付通常是指经济活动中的货币债权转移的过程。从支付方式看，支付包括密码支付、指纹支付、声波支付、人脸识别支付等多种支付方式。本文所探讨的即为包括人脸识别支付、声波支付以及指纹支付方式在内的采用生物识别信息作为手段进行的支付。该种支付是利用生物识别技术建立支付媒介特征和账户信息数据库，用户只需要上传支付媒介特征，系统即可自动识别用户身份、匹配账户和验证交易从而顺利完成支付。参见陈军燕：《对规范支付市场发展的探索和思考》，载《时代金融》2018年第12期下旬刊（总第718期），第196页。参见朱宝丽、马运全：《个人金融信息管理：隐私保护与金融交易》，中国社会科学出版社2018年版，第1页。见周小川：《信息科技与金融政策的相互作用》，载《中国金融》2019年第15期，第14页。见[美]布雷特·金恩：《银行4.0金融常在，银行不再？》，孙一仕、周群英、林雄凯译，台湾金融研训院2018年版，第366页。参见谢丹：《无感支付发展现状与思考》，载《福建金融》2019年第9期，第35页。从支付的类型上划分，支付包括商业支付和公共支付。本文所指商业支付，是与以公共利益为目的的支付行为相区分的概念。以公共利益为目的的支付行为，主要是指电子政务公共支付。电子政务公共支付是指通过公共支付平台缴纳水电、通信等公共事业费用以及违章罚款等行业专项费用，从而使办理日常生产生活中的公共服务缴费更为便利的支付方式，其本质上是政府收费平台的网络化。参见张坤：《公共支付平台建设与发展调查》，载《华北金融》2019年第3期，第62页。而本文所指商业支付领域则为排除电子政务公共支付领域以外的支付领域，即，所有不为政务服务和公共服务缴费的支付均在本文所探讨的商业支付领域摄程之内。公共支付与商业支付范畴的区别主要包括两点：其一，公共支付的最终接收主体为政府，而商业支付的最终接收者为非政府机构；其二，公共支付的目的主要是为日常生活中的政务服务和公共服务进行缴费，本质上仍然是一种公共款项的缴纳行为，只是缴费途径由原来的必须前往政府办事大厅缴费窗口办理变为如今的可以通过线上进行支付，仅仅是支付手段和方式发生了变化（由线下变为线上），而商业支付是排除了公共款项缴纳的商业性支付，如为消费行为进行支付等。因此，公共支付与商业支付的本质区别在于支付目的。例如，在电子政务平台上缴纳水电费用，属于公共支付；而利用支付宝支付购买衣物、餐饮消费的费用，属于商业支付。参见张坤：《公共支付平台建设与发展调查》，载《华北金融》2019年第3期，第62页。2.商业支付中的个人生物识别信息使用状况目前，个人生物识别信息的收集、储存及使用依照应用的主要领域不同，可以划分为以公共利益为目的的使用和以私益为目的的使用，具体可分为以下几种：一是基于社会治安管理的需要，如公安机关在全国范围内建立的逃犯追踪识别系统“天网”，收集并储存个人生物识别信息，通过此种途径进行打击犯罪；二是商业运营的企业，为了提升自身的竞争力和品牌吸引力或便利使用者等等因素，对个人生物识别信息进行的采集运用，比如当下使用较为广泛的指纹支付、人脸支付；三是科研机构基于技术研究的需要而收集储存信息；四是社会团体机构为便于管理或运行，对个人生物识别信息进行的收集存储等。本文将个人生物识别信息的保护议题框定在支付领域内，并限定在商业支付范畴，主要讨论商业运营的企业在以私益为目的对生物识别信息进行使用的过程中对于个人生物识别信息的保护。随着生物识别技术及商业领域的发展，个人生物识别信息在诸多领域被以多种方式使用着。在商业支付中使用个人生物识别信息来验证身份抑或替代密码也成为一种常见的方式。打开滴滴打车软件打车后，在支付界面会跳出“免密支付”的字样供人选择，人们可以选择通过人脸或指纹识别来替代输入支付密码，使交易更加便捷；打开支付宝购物消费时，人们亦可以选择人脸支付方式取代传统的密码支付方式；目前线下许多商超与支付宝合作，引进人脸识别机器，在付款台人脸识别成功后即可进行支付。支付机构能够在交易中洞察我们大部分的收入和支出状况，我们每个人在金融机构面前都是“财务透明人”参见邢会强：《大数据时代个人金融信息的保护与利用》，载《东方法学》2021年第1期，第49页。。而个人生物识别信息在商业支付领域广泛运用，使得个人的财务状况与自然人个体之间产生了更为清晰和紧密的联系。包括存款在内的财务信息能够体现人们的财务状况，而人们往往不愿自己的财产状况被他人知道，储蓄机构应当尊重存款人的这一权利。见强力：《金融法》，法律出版社1997年版，第205页。包括银行在内的金融机构对于客户信息资料负有金融隐私保护的义务是在长期的业务实践中形成的惯例。见黎四奇：《对我国银行与客户金融隐私权保护制度的反思与立法建议》，载《云梦学刊》2006年第2期，第64页。但是，伴随着生物识别信息被利用于支付领域，个人的财务状况与个人的联系更为清晰，而一旦个人的生物识别信息被泄露，其财务状况也将面临被泄露的高度风险。正因为个人生物识别信息在支付领域与个人的财务状况紧密联结，因此它具备较高的保护价值，需要由法律予以保护。科技改变了商业支付中对于个人生物识别信息的使用度和频率，提高了支付效率，为消费带来了方便。但同时，在商业支付领域中大规模使用个人生物识别信息也存在一定的潜在风险，这就要求我们注重个人生物识别信息在商业支付领域的保护。参见邢会强：《大数据时代个人金融信息的保护与利用》，载《东方法学》2021年第1期，第49页。见强力：《金融法》，法律出版社1997年版，第205页。见黎四奇：《对我国银行与客户金融隐私权保护制度的反思与立法建议》，载《云梦学刊》2006年第2期，第64页。个人生物识别信息在商业支付领域的应用不同于其他领域。伴随着商业支付领域内生物识别技术使用的广度和深度逐渐增加，人脸支付、指纹支付等支付方式的应用也愈发广泛。生物识别信息在商业支付领域使用的优势在于：1.便捷快速：使用生物识别信息支付的速度要显著大于使用密码支付的速度；2.可携带：个人生物识别信息均为人体的一部分，无需特意携带即可随时使用；3.不易遗忘：不同于密码需要人们在设置后进行记忆，生物识别信息无需人们进行记忆。基于个人生物识别信息在商业支付领域的便捷性，我们不应轻易且草率的采取过分严格的政策来抑制其发展，而应努力细化其使用的行业标准，对使用个人生物识别信息的商业支付全流程制定科学的监管措施，并强调对于在商业支付领域侵犯个人生物识别信息行为的事后保护。商业支付领域与电子政务公共支付领域具有各自不同的特点，区分其特点才能厘清个人生物识别信息在不同支付领域保护中的侧重点。对于以公共利益（以公共安全为主）为目的的用途，国家机关可以依照相关法律的授权，在一定的权限范围内进行信息的处理，此种情形产生的合法性争议较少。但是对于个人生物识别信息私益用途的使用，尤其是在商业支付领域的使用，呈现出技术应用飞速先行、法律明显滞后的特点，实践中关于合法性的争议较大。且目前我国还没有针对个人生物识别信息及其技术应用出台专门性的法律，只能采取参照相关法律的形式予以解决，如《消费者权益保护法》第29条《消费者权益保护法》第29条：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。”就对消费者个人信息的使用原则作出了规定。对于这类个人信息（亦包括个人生物识别信息）的安全性保存，以及能否二次使用的问题，尚无专门的法律进行规定。对此，根据商业支付领域使用个人生物识别信息的特点对其采取行之有效的保护措施，显得尤为重要。《消费者权益保护法》第29条：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。”二、立法现状信息技术的日臻完善、信息产业的飞速发展都加快了人们平衡威斯汀教授四个要素的步伐。[美]MartinE.Abrams：《新兴数字经济时代的隐私、安全与经济增长》，温珍奎译，载周汉华主编：《个人信息保护前沿问题研究》，法律出版社2006年版，第5页；美国信息隐私权学者AlanF.Westin教授在其著作《隐私与自由》中提出社会中相互制约的四个隐私要素，即独处、袒露、好奇、维护公共秩序的政府监控。我国目前尚未制定出台统一的《个人信息保护法》，关于对个人生物识别信息在商业支付领域的保护多见于我国关于个人信息与隐私保护的法律法规之中。在当前的法律体系中，对个人生物识别信息的保护大多源于刑法、民法、消费者权益保护法等对个人信息及隐私权的保护规定；同时在一些指导意见、行业规则及标准中也可探究到一些细碎的规定。[美]MartinE.Abrams：《新兴数字经济时代的隐私、安全与经济增长》，温珍奎译，载周汉华主编：《个人信息保护前沿问题研究》，法律出版社2006年版，第5页；美国信息隐私权学者AlanF.Westin教授在其著作《隐私与自由》中提出社会中相互制约的四个隐私要素，即独处、袒露、好奇、维护公共秩序的政府监控。在法律层面，我国《民法典》第111条《民法典》第111条：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”、第1034条《民法典》第1034条：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”、第1035条《民法典》第1035条：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”、第1037条《民法典》第1037条：“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。”、第1038条《民法典》第1038条：“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。”都对自然人个人信息的保护作出了一些规定。《网络安全法》（2017）第76条第5款《网络安全法》（2017）第76条：“……个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”将个人的生物识别信息归入个人信息。《民法典》第111条：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”《民法典》第1034条：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”《民法典》第1035条：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”《民法典》第1037条：“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。”《民法典》第1038条：“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。”《网络安全法》（2017）第76条：“……个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”在行政法规及部门规章层面，最高法《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》明确了利用网络公开他人信息的行为的侵权责任；国务院《征信管理条例》详细规定了对征信行业采集个人信息的要求；工信部《电信和互联网用户个人信息保护规定》对互联网信息服务提供者的个人信息收集使用规范及安全保障措施做出了明确规定《电信和互联网用户个人信息保护规定》第8条：“电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。”第9条：“未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。”第10条：“电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。”第11条：“电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。”；《征信业管理条例》明确了禁止征信机构采集的个人信息种类《征信业管理条例》第14条：“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外。”；我国的首个个人信息保护国家标准《信息安全技术-公用及商用服务信息系统个人信息保护指南》也于2013年出台；公安部《互联网个人信息安全保护指南》中也有关于个人生物识别信息披露的规定《互联网个人信息安全保护指南》第6.7条：“个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守以下要求：a)事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；b)向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外；c)公开披露个人敏感信息前，除6.7b）中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容；d)准确记录和保存个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等；e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任；f)不得公开披露个人生物识别信息和基因、疾病等个人生理信息；g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。”；中国支付清算协会《个人信息保护技术指引》对个人信息作出了敏感性分级规定《个人信息保护技术指引》第3.2条：“本规范依据个人信息价值和安全风险的不同，划分四个等级，分别是：高敏感、中敏感、低敏感、非敏感，针对个人信息保护程度、影响程度不同，将个人信息进行特殊标注，采取必要的管理措施和技术手段，保护个人信息安全，防止未经授权检索、泄露、损毁和篡改。——高敏感级别：重要个人信息，泄露后可能致使个人资产受到严重损失；——中敏感级别：一般个人信息，泄露后可能致使个人资产受到损失；——低敏感级别：其他个人信息，泄露后可能致使个人资产受到影响；——非敏感级别：公开后对个人无影响的信息。个人敏感信息包括高敏感、中敏感、低敏感级别个人信息，各机构应根据自身业务、安全管理要求和客户服务要求确定。本标准的应用者可根据实际使用需要作出另外方式的分类，但分类的实质性内容与本标准不一致的应对分类依据进行说明。”，第2.5条《个人信息保护技术指引》第2.5条：“个人敏感信息可以包括身份证号码、手机号码、指纹等。”、第3.1条《个人信息保护技术指引》第3.1条：“个人身份标识与鉴别信息，包括静态密码、动态密码、密保问题答案、数字证书、生物特征信息等。”对个人信息也作出了界定。《信息安全技术个人信息安全规范》的第3.1条《信息安全技术个人信息安全规范》（2020年3月6日发布，2020年10月1日实施）第3.1条：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”、第3.2条《信息安全技术个人信息安全规范》（2020年3月6日发布，2020年10月1日实施）第3.2条：“个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。”较之于之前的保护指南，对于个人信息及个人敏感信息的界定范围中增加了“个人生物识别信息”。《电信和互联网用户个人信息保护规定》第8条：“电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。”第9条：“未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。”第10条：“电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。”第11条：“电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。”《征信业管理条例》第14条：“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外。”《互联网个人信息安全保护指南》第6.7条：“个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守以下要求：a)事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；b)向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外；c)公开披露个人敏感信息前，除6.7b）中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容；d)准确记录和保存个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等；e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任；f)不得公开披露个人生物识别信息和基因、疾病等个人生理信息；g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。”《个人信息保护技术指引》第3.2条：“本规范依据个人信息价值和安全风险的不同，划分四个等级，分别是：高敏感、中敏感、低敏感、非敏感，针对个人信息保护程度、影响程度不同，将个人信息进行特殊标注，采取必要的管理措施和技术手段，保护个人信息安全，防止未经授权检索、泄露、损毁