《我國商業(yè)支付領(lǐng)域內(nèi)生物識(shí)別信息保護(hù)現(xiàn)狀綜述》8600字

我國商業(yè)支付領(lǐng)域內(nèi)生物識(shí)別信息保護(hù)現(xiàn)狀綜述目錄TOC\o"1-2"\h\u2689我國商業(yè)支付領(lǐng)域內(nèi)生物識(shí)別信息保護(hù)現(xiàn)狀綜述 118327一、商業(yè)支付中的個(gè)人生物識(shí)別信息概述 117978（一）個(gè)人生物識(shí)別信息概念及權(quán)利歸屬 117873（二）商業(yè)支付中的個(gè)人生物識(shí)別信息 515613二、立法現(xiàn)狀 831826（一）法律 831670（二）行政法規(guī)及部門規(guī)章 9406（三）不足之處 1028481三、司法現(xiàn)狀 1117932（一）司法救濟(jì)需求逐漸攀升 1118739（二）典型案例 15一、商業(yè)支付中的個(gè)人生物識(shí)別信息概述（一）個(gè)人生物識(shí)別信息概念及權(quán)利歸屬1.概念界定《中華人民共和國民法典》（以下稱“《民法典》”）第1034條《中華人民共和國民法典》第1034條：“自然人的個(gè)人信息受法律保護(hù)。個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等?！笔俏覈状我粤⒎ㄐ问綄?duì)個(gè)人生物識(shí)別信息的概念作出界定。即，個(gè)人生物識(shí)別信息為個(gè)人信息項(xiàng)下之概念，亦應(yīng)屬于個(gè)人信息。因此，關(guān)于個(gè)人信息的相關(guān)規(guī)定也得適用于個(gè)人生物識(shí)別信息?！吨腥A人民共和國民法典》第1034條：“自然人的個(gè)人信息受法律保護(hù)。個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等?！比粢私鈧€(gè)人生物識(shí)別信息，首先要明確個(gè)人信息的概念。個(gè)人信息是包括個(gè)人的健康、財(cái)產(chǎn)、工作、親屬等社會(huì)關(guān)系在內(nèi)的一系列與特定個(gè)體密切關(guān)聯(lián)，能夠反映特定個(gè)體特征并能夠與其他個(gè)體相區(qū)分的信息。個(gè)人數(shù)據(jù)的概念與之基本一致。大體而言，美國多使用個(gè)人信息的概念，而歐盟則多使用個(gè)人數(shù)據(jù)的概念。英國《數(shù)據(jù)保護(hù)法》英國在1984年制定的《數(shù)據(jù)保護(hù)法》中規(guī)定：“個(gè)人數(shù)據(jù)是由有關(guān)一個(gè)活著的人信息組成的數(shù)據(jù)，對(duì)于這個(gè)人，可以通過該信息(或者通過數(shù)據(jù)用戶擁有的該信息的其他信息)識(shí)別出來，該信息包括對(duì)有關(guān)該個(gè)人的評(píng)價(jià)，但不包括對(duì)個(gè)人數(shù)據(jù)用戶表示的意圖。”、《歐洲聯(lián)盟數(shù)據(jù)保護(hù)規(guī)章》1995年7月26日在布魯塞爾部長級(jí)會(huì)議上通過的《歐洲聯(lián)盟數(shù)據(jù)保護(hù)規(guī)章》對(duì)個(gè)人數(shù)據(jù)下的定義是：“有關(guān)一個(gè)被識(shí)別或可識(shí)別的自然人(數(shù)據(jù)主體)的任何信息；可以識(shí)別的自然人是指一個(gè)可以被證明，即可以直接或間接地，特別是通過對(duì)其身體的、生理的、經(jīng)濟(jì)的、文化的或生活身份的一項(xiàng)或多項(xiàng)的識(shí)別?！敝芯鶎?duì)個(gè)人數(shù)據(jù)的概念做出了界定。我國《民法典》采“概括＋列舉”模式界定個(gè)人信息，《民法典》第1034條：“英國在1984年制定的《數(shù)據(jù)保護(hù)法》中規(guī)定：“個(gè)人數(shù)據(jù)是由有關(guān)一個(gè)活著的人信息組成的數(shù)據(jù)，對(duì)于這個(gè)人，可以通過該信息(或者通過數(shù)據(jù)用戶擁有的該信息的其他信息)識(shí)別出來，該信息包括對(duì)有關(guān)該個(gè)人的評(píng)價(jià)，但不包括對(duì)個(gè)人數(shù)據(jù)用戶表示的意圖。”1995年7月26日在布魯塞爾部長級(jí)會(huì)議上通過的《歐洲聯(lián)盟數(shù)據(jù)保護(hù)規(guī)章》對(duì)個(gè)人數(shù)據(jù)下的定義是：“有關(guān)一個(gè)被識(shí)別或可識(shí)別的自然人(數(shù)據(jù)主體)的任何信息；可以識(shí)別的自然人是指一個(gè)可以被證明，即可以直接或間接地，特別是通過對(duì)其身體的、生理的、經(jīng)濟(jì)的、文化的或生活身份的一項(xiàng)或多項(xiàng)的識(shí)別?！薄睹穹ǖ洹返?034條：“自然人的個(gè)人信息受法律保護(hù)。個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定?！眳⒁奫美]亞伯拉罕·馬斯洛：《動(dòng)機(jī)與人格》，許金聲譯，中國人民大學(xué)出版社2007年版，第31頁。參見王利明：《人格權(quán)法探微》，人民出版社2018年版，第387頁。國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)于2020年3月6日發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》在附錄A表A.1中對(duì)個(gè)人生物識(shí)別信息所包含的內(nèi)容進(jìn)行了舉例。《信息安全技術(shù)個(gè)人信息安全規(guī)范》附錄A表A《信息安全技術(shù)個(gè)人信息安全規(guī)范》附錄A表A.1：“個(gè)人生物識(shí)別信息包括個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等?！?.生物識(shí)別信息特性生物識(shí)別技術(shù)提取、識(shí)別人體生物學(xué)特征的唯一性是近幾年生物識(shí)別相關(guān)技術(shù)飛速發(fā)展、生物識(shí)別信息得到廣泛利用的根本原因。生物識(shí)別信息被大規(guī)模使用的場景主要是在網(wǎng)絡(luò)中，其利用的方式是將相關(guān)技術(shù)轉(zhuǎn)化為二進(jìn)制代碼。指紋、人臉、聲紋等個(gè)人生物識(shí)別信息在未脫離自然人主體時(shí)一般不會(huì)被復(fù)制，但當(dāng)其脫離人體而轉(zhuǎn)化為計(jì)算機(jī)代碼時(shí)就有被復(fù)制、盜竊的風(fēng)險(xiǎn)。生物識(shí)別技術(shù)的識(shí)別原理及依靠相關(guān)技術(shù)提取的自然人生物識(shí)別信息都會(huì)在相關(guān)企業(yè)的數(shù)據(jù)庫中存儲(chǔ)，此時(shí)就勢必存在數(shù)據(jù)泄露乃至失竊的潛在風(fēng)險(xiǎn)。參見劉春泉:《人臉識(shí)別技術(shù)存在重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)》，載《第一財(cái)經(jīng)日?qǐng)?bào)》2017年3月30日。個(gè)人生物識(shí)別信息在產(chǎn)生之時(shí)，就具有與一般的個(gè)人信息迥然不同的特點(diǎn)。而對(duì)于不同種類的個(gè)人信息，顯然應(yīng)當(dāng)依據(jù)其特點(diǎn)確立各自不同的使用要求。個(gè)人生物識(shí)別信息具有不可更改性、唯一性。不可更改性是指每個(gè)人的個(gè)人生物識(shí)別信息從出生之始就已經(jīng)形成且基本固定，難以隨時(shí)更改和變化。即使整容也只是在外在層面（主要是五官）對(duì)部分生物識(shí)別體征進(jìn)行修飾和雕琢，主要的包括諸如DNA、基因信息、人臉、指紋、虹膜等重要的生物識(shí)別信息也難以變化。同時(shí)也要注意到，即使是部分的修飾生物識(shí)別信息，該修飾行為也不會(huì)是頻繁的，且代價(jià)高昂。支付密碼可以被人們隨意更改無數(shù)次而幾乎不會(huì)耗費(fèi)任何成本，但利用諸如整容等手段修改個(gè)人生物識(shí)別信息則需要承受大量的金錢成本以及身體、精神上的痛苦。而唯一性是指每個(gè)人的個(gè)人生物識(shí)別信息獨(dú)一無二，世界上沒有兩片完全相同的樹葉，也沒有兩份完全相同的個(gè)人生物識(shí)別信息。唯一性使得個(gè)人生物識(shí)別信息成為識(shí)別不同個(gè)體的最重要、最準(zhǔn)確的依據(jù)。不同于銀行卡丟失了可以再補(bǔ)辦，或者密碼忘記了可以重新設(shè)置；個(gè)人生物識(shí)別信息不能再造，是每個(gè)人獨(dú)一無二的生命體征，與每個(gè)人息息相關(guān)。一旦泄露就是終身泄露，會(huì)將與生物識(shí)別信息緊密相連的自然人置于潛在的危險(xiǎn)境地。且生物識(shí)別信息一旦泄露或被非法使用，其后果難以估量。因此，人臉識(shí)別技術(shù)應(yīng)作為核實(shí)身份時(shí)使用的輔助手段而非唯一手段，在安全性高的領(lǐng)域尤甚。個(gè)人生物識(shí)別信息的特殊性與脆弱性，決定了我們必須在使用過程中對(duì)其采取更為審慎的態(tài)度。提高實(shí)踐中使用生物識(shí)別信息的條件和門檻，加強(qiáng)使用者的注意義務(wù)，是合理使用生物識(shí)別信息并使其免遭損害的重要前提。3.生物識(shí)別信息權(quán)利歸屬由于個(gè)人生物識(shí)別信息具有唯一性和可識(shí)別性，與自然人緊密相關(guān)且不可再生和輕易改變，不能像其他個(gè)人信息一樣進(jìn)行脫敏處理，因此個(gè)人生物識(shí)別信息的所有者應(yīng)當(dāng)認(rèn)定為被采集生物識(shí)別信息者，亦即，從誰身上采集到生物識(shí)別信息，該生物識(shí)別信息就由誰所有。而提供生物識(shí)別信息采集技術(shù)及相關(guān)采集儀器的主體屬于采集者，利用該生物識(shí)別信息在商業(yè)支付領(lǐng)域進(jìn)行鑒別和使用的企業(yè)屬于使用者，而政府、相關(guān)執(zhí)法機(jī)構(gòu)應(yīng)屬于監(jiān)管者。明確了各權(quán)利主體的地位，才能在個(gè)人生物識(shí)別信息在商業(yè)支付領(lǐng)域進(jìn)行全流程使用和保護(hù)予以明確的規(guī)制，并切實(shí)保障相關(guān)權(quán)利主體的利益，維護(hù)個(gè)人生物識(shí)別信息在商業(yè)支付領(lǐng)域的使用秩序。4.信息所有者（被采集者）的權(quán)利當(dāng)全球進(jìn)入大數(shù)據(jù)時(shí)代，許多國家的各個(gè)機(jī)構(gòu)都成為了大規(guī)模數(shù)據(jù)的原始采集者。參見[英參見[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶：《大數(shù)據(jù)時(shí)代：生活、工作與思維的大變革》，周濤譯，浙江人民出版社2013年版，第149頁。見[美]特蕾莎·M·佩頓、西奧多·克萊普爾：《大數(shù)據(jù)時(shí)代的隱私》，鄭淑紅譯，上?？茖W(xué)技術(shù)出版社2017年版，第7頁。（1）個(gè)人知情權(quán)每一個(gè)體都有了解與自己相關(guān)的個(gè)人生物識(shí)別信息收集行為的性質(zhì)、保存期限以及自動(dòng)化處理目的的權(quán)利。參見解志勇、于鵬：《信息安全立法比較研究》，中國人民公安大學(xué)出版社2007年版，第81頁?！睹穹ǖ洹返?035條《民法典》第1035條：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。”參見解志勇、于鵬：《信息安全立法比較研究》，中國人民公安大學(xué)出版社2007年版，第81頁?！睹穹ǖ洹返?035條：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等?！眳⒁娦蠒?huì)強(qiáng)：《人臉識(shí)別的法律規(guī)制》，載《比較法研究》2020年第5期，第14頁。（2）個(gè)人事先同意權(quán)《民法典》第1035條《民法典》第1035條：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等?！币?guī)定了處理個(gè)人信息的條件，同時(shí)根據(jù)《民法典》第1034條的規(guī)定，生物識(shí)別信息應(yīng)屬于個(gè)人信息的涵攝范圍之內(nèi)，因此個(gè)人生物識(shí)別信息也得適用《民法典》第1035條的規(guī)定。據(jù)此，個(gè)人生物識(shí)別信息在處理前須征得該自然人或者其監(jiān)護(hù)人同意，這就在法律層面確立了個(gè)人事先同意權(quán)。同時(shí)，根據(jù)法律規(guī)定，同意的主體包括兩類：一是該自然人本人，二是該自然人監(jiān)護(hù)人。因此對(duì)于無、限制民事行為能力人的生物識(shí)別信息的處理行為需經(jīng)其監(jiān)護(hù)人同意，而完全民事行為能力人的個(gè)人生物識(shí)別信息之處理經(jīng)本人同意即可。但是法律中目前對(duì)于同意的標(biāo)準(zhǔn)未有明確界定，即，未對(duì)相關(guān)權(quán)利人表示同意的方式作出清晰規(guī)定?；趥€(gè)人生物識(shí)別信息不同于一般個(gè)人信息的特點(diǎn)，對(duì)于個(gè)人生物識(shí)別信息的采集應(yīng)當(dāng)堅(jiān)持保護(hù)強(qiáng)度更大的知情同意原則。參見邢會(huì)強(qiáng)：《人臉識(shí)別的法律規(guī)制》，載《比較法研究》2020《民法典》第1035條：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等?！眳⒁娦蠒?huì)強(qiáng)：《人臉識(shí)別的法律規(guī)制》，載《比較法研究》2020年第5期，第14頁。參見邢會(huì)強(qiáng)：《大數(shù)據(jù)交易背景下個(gè)人信息財(cái)產(chǎn)權(quán)的分配與實(shí)現(xiàn)機(jī)制》，載《法學(xué)評(píng)論》2019年第6期，第110頁。（3）個(gè)人查閱、修改生物識(shí)別信息權(quán)任何人在被要求提供自己的個(gè)人生物識(shí)別信息給他人時(shí)都應(yīng)當(dāng)有權(quán)知悉：該提供方式是否是必須且必要的；如果沒能提供信息會(huì)有什么樣的后果；即將對(duì)生物識(shí)別信息進(jìn)行處理、利用、儲(chǔ)存的相關(guān)機(jī)構(gòu)的基本情況；以及自己是否享有修改、刪除數(shù)據(jù)庫中自己的個(gè)人生物識(shí)別信息的權(quán)利?！睹穹ǖ洹返?037條《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息；發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的，有權(quán)請(qǐng)求信息處理者及時(shí)刪除。”在法律層面明確了個(gè)人享有查閱和要求修改個(gè)人信息權(quán)，因此，個(gè)人也應(yīng)當(dāng)享有查閱和修改個(gè)人生物識(shí)別信息的權(quán)利。根據(jù)《民法典》第1034條的規(guī)定，個(gè)人生物識(shí)別信息屬于個(gè)人信息，因此個(gè)人生物識(shí)別信息也得適用《民法典》第1《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息；發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的，有權(quán)請(qǐng)求信息處理者及時(shí)刪除。”（二）商業(yè)支付中的個(gè)人生物識(shí)別信息1.商業(yè)支付領(lǐng)域的概念界定2019年12月18日，在阿里巴巴舉辦的第二屆ONE商業(yè)大會(huì)上，支付寶行業(yè)支付事業(yè)部葉國暉在會(huì)上表示：“商業(yè)支付即將進(jìn)入2.0時(shí)代，以支付為入口的數(shù)字化經(jīng)營將助力商業(yè)支付轉(zhuǎn)變?yōu)橹Ц渡虡I(yè)?！苯鹑诳萍嫉陌l(fā)展讓支付方式日益多元化，同時(shí)具有跨市場、跨行業(yè)特性和去中心化趨勢，大大加快交易速度。參見陳軍燕：《對(duì)規(guī)范支付市場發(fā)展的探索和思考》，載《時(shí)代金融》2018年第12期下旬刊（總第718期），第196參見陳軍燕：《對(duì)規(guī)范支付市場發(fā)展的探索和思考》，載《時(shí)代金融》2018年第12期下旬刊（總第718期），第196頁。參見朱寶麗、馬運(yùn)全：《個(gè)人金融信息管理：隱私保護(hù)與金融交易》，中國社會(huì)科學(xué)出版社2018年版，第1頁。見周小川：《信息科技與金融政策的相互作用》，載《中國金融》2019年第15期，第14頁。見[美]布雷特·金恩：《銀行4.0金融常在，銀行不再？》，孫一仕、周群英、林雄凱譯，臺(tái)灣金融研訓(xùn)院2018年版，第366頁。參見謝丹：《無感支付發(fā)展現(xiàn)狀與思考》，載《福建金融》2019年第9期，第35頁。從支付的類型上劃分，支付包括商業(yè)支付和公共支付。本文所指商業(yè)支付，是與以公共利益為目的的支付行為相區(qū)分的概念。以公共利益為目的的支付行為，主要是指電子政務(wù)公共支付。電子政務(wù)公共支付是指通過公共支付平臺(tái)繳納水電、通信等公共事業(yè)費(fèi)用以及違章罰款等行業(yè)專項(xiàng)費(fèi)用，從而使辦理日常生產(chǎn)生活中的公共服務(wù)繳費(fèi)更為便利的支付方式，其本質(zhì)上是政府收費(fèi)平臺(tái)的網(wǎng)絡(luò)化。參見張坤：《公共支付平臺(tái)建設(shè)與發(fā)展調(diào)查》，載《華北金融》2參見張坤：《公共支付平臺(tái)建設(shè)與發(fā)展調(diào)查》，載《華北金融》2019年第3期，第62頁。2.商業(yè)支付中的個(gè)人生物識(shí)別信息使用狀況目前，個(gè)人生物識(shí)別信息的收集、儲(chǔ)存及使用依照應(yīng)用的主要領(lǐng)域不同，可以劃分為以公共利益為目的的使用和以私益為目的的使用，具體可分為以下幾種：一是基于社會(huì)治安管理的需要，如公安機(jī)關(guān)在全國范圍內(nèi)建立的逃犯追蹤識(shí)別系統(tǒng)“天網(wǎng)”，收集并儲(chǔ)存?zhèn)€人生物識(shí)別信息，通過此種途徑進(jìn)行打擊犯罪；二是商業(yè)運(yùn)營的企業(yè)，為了提升自身的競爭力和品牌吸引力或便利使用者等等因素，對(duì)個(gè)人生物識(shí)別信息進(jìn)行的采集運(yùn)用，比如當(dāng)下使用較為廣泛的指紋支付、人臉支付；三是科研機(jī)構(gòu)基于技術(shù)研究的需要而收集儲(chǔ)存信息；四是社會(huì)團(tuán)體機(jī)構(gòu)為便于管理或運(yùn)行，對(duì)個(gè)人生物識(shí)別信息進(jìn)行的收集存儲(chǔ)等。本文將個(gè)人生物識(shí)別信息的保護(hù)議題框定在支付領(lǐng)域內(nèi)，并限定在商業(yè)支付范疇，主要討論商業(yè)運(yùn)營的企業(yè)在以私益為目的對(duì)生物識(shí)別信息進(jìn)行使用的過程中對(duì)于個(gè)人生物識(shí)別信息的保護(hù)。隨著生物識(shí)別技術(shù)及商業(yè)領(lǐng)域的發(fā)展，個(gè)人生物識(shí)別信息在諸多領(lǐng)域被以多種方式使用著。在商業(yè)支付中使用個(gè)人生物識(shí)別信息來驗(yàn)證身份抑或替代密碼也成為一種常見的方式。打開滴滴打車軟件打車后，在支付界面會(huì)跳出“免密支付”的字樣供人選擇，人們可以選擇通過人臉或指紋識(shí)別來替代輸入支付密碼，使交易更加便捷；打開支付寶購物消費(fèi)時(shí)，人們亦可以選擇人臉支付方式取代傳統(tǒng)的密碼支付方式；目前線下許多商超與支付寶合作，引進(jìn)人臉識(shí)別機(jī)器，在付款臺(tái)人臉識(shí)別成功后即可進(jìn)行支付。支付機(jī)構(gòu)能夠在交易中洞察我們大部分的收入和支出狀況，我們每個(gè)人在金融機(jī)構(gòu)面前都是“財(cái)務(wù)透明人”參見邢會(huì)強(qiáng)：《大數(shù)據(jù)時(shí)代個(gè)人金融信息的保護(hù)與利用》，載《東方法學(xué)》2021年第1期，第49頁。參見邢會(huì)強(qiáng)：《大數(shù)據(jù)時(shí)代個(gè)人金融信息的保護(hù)與利用》，載《東方法學(xué)》2021年第1期，第49頁。見強(qiáng)力：《金融法》，法律出版社1997年版，第205頁。見黎四奇：《對(duì)我國銀行與客戶金融隱私權(quán)保護(hù)制度的反思與立法建議》，載《云夢學(xué)刊》2006年第2期，第64頁。個(gè)人生物識(shí)別信息在商業(yè)支付領(lǐng)域的應(yīng)用不同于其他領(lǐng)域。伴隨著商業(yè)支付領(lǐng)域內(nèi)生物識(shí)別技術(shù)使用的廣度和深度逐漸增加，人臉支付、指紋支付等支付方式的應(yīng)用也愈發(fā)廣泛。生物識(shí)別信息在商業(yè)支付領(lǐng)域使用的優(yōu)勢在于：1.便捷快速：使用生物識(shí)別信息支付的速度要顯著大于使用密碼支付的速度；2.可攜帶：個(gè)人生物識(shí)別信息均為人體的一部分，無需特意攜帶即可隨時(shí)使用；3.不易遺忘：不同于密碼需要人們?cè)谠O(shè)置后進(jìn)行記憶，生物識(shí)別信息無需人們進(jìn)行記憶。基于個(gè)人生物識(shí)別信息在商業(yè)支付領(lǐng)域的便捷性，我們不應(yīng)輕易且草率的采取過分嚴(yán)格的政策來抑制其發(fā)展，而應(yīng)努力細(xì)化其使用的行業(yè)標(biāo)準(zhǔn)，對(duì)使用個(gè)人生物識(shí)別信息的商業(yè)支付全流程制定科學(xué)的監(jiān)管措施，并強(qiáng)調(diào)對(duì)于在商業(yè)支付領(lǐng)域侵犯個(gè)人生物識(shí)別信息行為的事后保護(hù)。商業(yè)支付領(lǐng)域與電子政務(wù)公共支付領(lǐng)域具有各自不同的特點(diǎn)，區(qū)分其特點(diǎn)才能厘清個(gè)人生物識(shí)別信息在不同支付領(lǐng)域保護(hù)中的側(cè)重點(diǎn)。對(duì)于以公共利益（以公共安全為主）為目的的用途，國家機(jī)關(guān)可以依照相關(guān)法律的授權(quán)，在一定的權(quán)限范圍內(nèi)進(jìn)行信息的處理，此種情形產(chǎn)生的合法性爭議較少。但是對(duì)于個(gè)人生物識(shí)別信息私益用途的使用，尤其是在商業(yè)支付領(lǐng)域的使用，呈現(xiàn)出技術(shù)應(yīng)用飛速先行、法律明顯滯后的特點(diǎn)，實(shí)踐中關(guān)于合法性的爭議較大。且目前我國還沒有針對(duì)個(gè)人生物識(shí)別信息及其技術(shù)應(yīng)用出臺(tái)專門性的法律，只能采取參照相關(guān)法律的形式予以解決，如《消費(fèi)者權(quán)益保護(hù)法》第29條《消費(fèi)者權(quán)益保護(hù)法》第《消費(fèi)者權(quán)益保護(hù)法》第29條：“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息?！倍?、立法現(xiàn)狀信息技術(shù)的日臻完善、信息產(chǎn)業(yè)的飛速發(fā)展都加快了人們平衡威斯汀教授四個(gè)要素的步伐。[美[美]MartinE.Abrams：《新興數(shù)字經(jīng)濟(jì)時(shí)代的隱私、安全與經(jīng)濟(jì)增長》，溫珍奎譯，載周漢華主編：《個(gè)人信息保護(hù)前沿問題研究》，法律出版社2006年版，第5頁；美國信息隱私權(quán)學(xué)者AlanF.Westin教授在其著作《隱私與自由》中提出社會(huì)中相互制約的四個(gè)隱私要素，即獨(dú)處、袒露、好奇、維護(hù)公共秩序的政府監(jiān)控。（一）法律在法律層面，我國《民法典》第111條《民法典》第111條：“自然人的個(gè)人信息受法律保護(hù)。任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。”、第1034條《民法典》第1034條：“自然人的個(gè)人信息受法律保護(hù)。個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定?！薄⒌?035條《民法典》第1035條：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等?！薄⒌?037條《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息；發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施。”、第1038條《民法典》第1038條：“信息處理者不得泄露或者篡改其收集、存儲(chǔ)的個(gè)人信息；未經(jīng)自然人同意，不得向他人非法提供其個(gè)人信息，但是經(jīng)過加工無法識(shí)別特定個(gè)人且不能復(fù)原的除外。信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲(chǔ)的個(gè)人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報(bào)告?！倍紝?duì)自然人個(gè)人信息的保護(hù)作出了一些規(guī)定?！毒W(wǎng)絡(luò)安全法》（2《民法典》第111條：“自然人的個(gè)人信息受法律保護(hù)。任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！薄睹穹ǖ洹返?034條：“自然人的個(gè)人信息受法律保護(hù)。個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。”《民法典》第1035條：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。”《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息；發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施。”《民法典》第1038條：“信息處理者不得泄露或者篡改其收集、存儲(chǔ)的個(gè)人信息；未經(jīng)自然人同意，不得向他人非法提供其個(gè)人信息，但是經(jīng)過加工無法識(shí)別特定個(gè)人且不能復(fù)原的除外。信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲(chǔ)的個(gè)人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報(bào)告?！薄毒W(wǎng)絡(luò)安全法》（2017）第76條：“……個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。”（二）行政法規(guī)及部門規(guī)章在行政法規(guī)及部門規(guī)章層面，最高法《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》明確了利用網(wǎng)絡(luò)公開他人信息的行為的侵權(quán)責(zé)任；國務(wù)院《征信管理?xiàng)l例》詳細(xì)規(guī)定了對(duì)征信行業(yè)采集個(gè)人信息的要求；工信部《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》對(duì)互聯(lián)網(wǎng)信息服務(wù)提供者的個(gè)人信息收集使用規(guī)范及安全保障措施做出了明確規(guī)定《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第8條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)制定用戶個(gè)人信息收集、使用規(guī)則，并在其經(jīng)營或者服務(wù)場所、網(wǎng)站等予以公布?！钡?條：“未經(jīng)用戶同意，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集、使用用戶個(gè)人信息。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者收集、使用用戶個(gè)人信息的，應(yīng)當(dāng)明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項(xiàng)。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個(gè)人信息或者將信息用于提供服務(wù)之外的目的，不得以欺騙、誤導(dǎo)或者強(qiáng)迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集、使用信息。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在用戶終止使用電信服務(wù)或者互聯(lián)網(wǎng)信息服務(wù)后，應(yīng)當(dāng)停止對(duì)用戶個(gè)人信息的收集和使用，并為用戶提供注銷號(hào)碼或者賬號(hào)的服務(wù)。法律、行政法規(guī)對(duì)本條第一款至第四款規(guī)定的情形另有規(guī)定的，從其規(guī)定?！钡?0條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對(duì)在提供服務(wù)過程中收集、使用的用戶個(gè)人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供?！钡?1條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者委托他人代理市場銷售和技術(shù)服務(wù)等直接面向用戶的服務(wù)性工作，涉及收集、使用用戶個(gè)人信息的，應(yīng)當(dāng)對(duì)代理人的用戶個(gè)人信息保護(hù)工作進(jìn)行監(jiān)督和管理，不得委托不符合本規(guī)定有關(guān)用戶個(gè)人信息保護(hù)要求的代理人代辦相關(guān)服務(wù)?！?；《征信業(yè)管理?xiàng)l例》明確了禁止征信機(jī)構(gòu)采集的個(gè)人信息種類《征信業(yè)管理?xiàng)l例》第14條：“禁止征信機(jī)構(gòu)采集個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息。征信機(jī)構(gòu)不得采集個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息。但是，征信機(jī)構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意的除外?！?；我國的首個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)-公用及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》也于2013年出臺(tái)；公安部《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》中也有關(guān)于個(gè)人生物識(shí)別信息披露的規(guī)定《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》第6.7條：“個(gè)人信息原則上不得公開披露。如經(jīng)法律授權(quán)或具備合理事由確需公開披露時(shí)，應(yīng)充分重視風(fēng)險(xiǎn)，遵守以下要求：a)事先開展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；b)向個(gè)人信息主體告知公開披露個(gè)人信息的目的、類型，并事先征得個(gè)人信息主體明示同意，與國家安全、國防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外；c)公開披露個(gè)人敏感信息前，除6.7b）中告知的內(nèi)容外，還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的內(nèi)容；d)準(zhǔn)確記錄和保存?zhèn)€人信息的公開披露的情況，包括公開披露的日期、規(guī)模、目的、公開范圍等；e)承擔(dān)因公開披露個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任；f)不得公開披露個(gè)人生物識(shí)別信息和基因、疾病等個(gè)人生理信息；g)不得公開披露我國公民的種族、民族、政治觀點(diǎn)、宗教信仰等敏感數(shù)據(jù)分析結(jié)果。”；中國支付清算協(xié)會(huì)《個(gè)人信息保護(hù)技術(shù)指引》對(duì)個(gè)人信息作出了敏感性分級(jí)規(guī)定《個(gè)人信息保護(hù)技術(shù)指引》第3.2條：“本規(guī)范依據(jù)個(gè)人信息價(jià)值和安全風(fēng)險(xiǎn)的不同，劃分四個(gè)等級(jí)，分別是：高敏感、中敏感、低敏感、非敏感，針對(duì)個(gè)人信息保護(hù)程度、影響程度不同，將個(gè)人信息進(jìn)行特殊標(biāo)注，采取必要的管理措施和技術(shù)手段，保護(hù)個(gè)人信息安全，防止未經(jīng)授權(quán)檢索、泄露、損毀和篡改?！呙舾屑?jí)別：重要個(gè)人信息，泄露后可能致使個(gè)人資產(chǎn)受到嚴(yán)重?fù)p失；——中敏感級(jí)別：一般個(gè)人信息，泄露后可能致使個(gè)人資產(chǎn)受到損失；——低敏感級(jí)別：其他個(gè)人信息，泄露后可能致使個(gè)人資產(chǎn)受到影響；——非敏感級(jí)別：公開后對(duì)個(gè)人無影響的信息。個(gè)人敏感信息包括高敏感、中敏感、低敏感級(jí)別個(gè)人信息，各機(jī)構(gòu)應(yīng)根據(jù)自身業(yè)務(wù)、安全管理要求和客戶服務(wù)要求確定。本標(biāo)準(zhǔn)的應(yīng)用者可根據(jù)實(shí)際使用需要作出另外方式的分類，但分類的實(shí)質(zhì)性內(nèi)容與本標(biāo)準(zhǔn)不一致的應(yīng)對(duì)分類依據(jù)進(jìn)行說明?！?，第2.5條《個(gè)人信息保護(hù)技術(shù)指引》第2.5條《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第8條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)制定用戶個(gè)人信息收集、使用規(guī)則，并在其經(jīng)營或者服務(wù)場所、網(wǎng)站等予以公布。”第9條：“未經(jīng)用戶同意，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集、使用用戶個(gè)人信息。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者收集、使用用戶個(gè)人信息的，應(yīng)當(dāng)明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項(xiàng)。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個(gè)人信息或者將信息用于提供服務(wù)之外的目的，不得以欺騙、誤導(dǎo)或者強(qiáng)迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集、使用信息。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在用戶終止使用電信服務(wù)或者互聯(lián)網(wǎng)信息服務(wù)后，應(yīng)當(dāng)停止對(duì)用戶個(gè)人信息的收集和使用，并為用戶提供注銷號(hào)碼或者賬號(hào)的服務(wù)。法律、行政法規(guī)對(duì)本條第一款至第四款規(guī)定的情形另有規(guī)定的，從其規(guī)定?！钡?0條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對(duì)在提供服務(wù)過程中收集、使用的用戶個(gè)人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供?！钡?1條：“電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者委托他人代理市場銷售和技術(shù)服務(wù)等直接面向用戶的服務(wù)性工作，涉及收集、使用用戶個(gè)人信息的，應(yīng)當(dāng)對(duì)代理人的用戶個(gè)人信息保護(hù)工作進(jìn)行監(jiān)督和管理，不得委托不符合本規(guī)定有關(guān)用戶個(gè)人信息保護(hù)要求的代理人代辦相關(guān)服務(wù)?！薄墩餍艠I(yè)管理?xiàng)l例》第14條：“禁止征信機(jī)構(gòu)采集個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息。征信機(jī)構(gòu)不得采集個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息。但是，征信機(jī)構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意的除外?！薄痘ヂ?lián)網(wǎng)個(gè)人信息安全保護(hù)指南》第6.7條：“個(gè)人信息原則上不得公開披露。如經(jīng)法律授權(quán)或具備合理事由確需公開披露時(shí)，應(yīng)充分重視風(fēng)險(xiǎn)，遵守以下要求：a)事先開展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；b)向個(gè)人信息主體告知公開披露個(gè)人信息的目的、類型，并事先征得個(gè)人信息主體明示同意，與國家安全、國防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外；c)公開披露個(gè)人敏感信息前，除6.7b）中告知的內(nèi)容外，還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的內(nèi)容；d)準(zhǔn)確記錄和保存?zhèn)€人信息的公開披露的情況，包括公開披露的日期、規(guī)模、目的、公開范圍等；e)承擔(dān)因公開披露個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任；f)不得公開披露個(gè)人生物識(shí)別信息和基因、疾病等個(gè)人生理信息；g)不得公開披露我國公民的種族、民族、政治觀點(diǎn)、宗教信仰等敏感數(shù)據(jù)分析結(jié)果。”《個(gè)人信息保護(hù)技術(shù)指引》第3.2條：“本規(guī)范依據(jù)個(gè)人信息價(jià)值和安全風(fēng)險(xiǎn)的不同，劃分四個(gè)等級(jí)，分別是：高敏感、中敏感、低敏感、非敏感，針對(duì)個(gè)人信息保護(hù)程度、影響程度不同，將個(gè)人信息進(jìn)行特殊標(biāo)注，采取必要的管理措施和技術(shù)手段，保護(hù)個(gè)人信息安全，防止未經(jīng)授權(quán)檢索、泄露、損毀和篡改?！呙舾屑?jí)別：重要個(gè)人信息，泄露后可能致使個(gè)人資產(chǎn)受到嚴(yán)重?fù)p失；——中敏感級(jí)別：一般個(gè)人信息，泄露后可能致使個(gè)人資產(chǎn)受到損失；——低敏感級(jí)別：其他個(gè)人信息，泄露后可能致使個(gè)人資產(chǎn)受到影響；——非敏感級(jí)別：公開后對(duì)個(gè)人無影響的信息。個(gè)人敏感信息包括高敏感、中敏感、低敏感級(jí)別個(gè)人信息，各機(jī)構(gòu)應(yīng)根據(jù)自身業(yè)務(wù)、安全管理要求和客戶服務(wù)要求確定。本標(biāo)準(zhǔn)的應(yīng)用者可根據(jù)實(shí)際使用需要作出另外方式的分類，但分類的實(shí)質(zhì)性內(nèi)容與本標(biāo)準(zhǔn)不一致的應(yīng)對(duì)分類依據(jù)進(jìn)行說明?！薄秱€(gè)人信息保護(hù)技術(shù)指引》第2.5條：“個(gè)人敏感信息可以包括身份證號(hào)碼、手機(jī)號(hào)碼、指紋等?！薄秱€(gè)人信息保護(hù)技術(shù)指引》第3.1條：“個(gè)人身份標(biāo)識(shí)與鑒別信息，包括靜態(tài)密碼、動(dòng)態(tài)密碼、密保問題答案、數(shù)字證書、生物特征信息等?！薄缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》（2020年3月6日發(fā)布，2020年10月1日實(shí)施）第3.1條：“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。注1：個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等?！薄缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》（2020年3月6日發(fā)布，2020年10月1日實(shí)施）第3.2條：“個(gè)人敏感信息包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬戶、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個(gè)人信息等?！保ㄈ┎蛔阒幈M管大量規(guī)范性文件中都有關(guān)于個(gè)人信息乃至個(gè)人生物識(shí)別信息的相關(guān)規(guī)定，但我國立法領(lǐng)域中對(duì)個(gè)人生物識(shí)別信息的保護(hù)仍存在一些問題，例如立法的碎片化現(xiàn)象較為嚴(yán)重，缺乏系統(tǒng)性立法；對(duì)生物識(shí)別信息的利益衡量不夠明晰；多數(shù)規(guī)范性文件的法律效力較小，且多為宣示性、概念性規(guī)定，缺乏切實(shí)可操作的具體規(guī)則與流程性規(guī)定，亦缺乏對(duì)違法行為所涉及的法律責(zé)任的明確規(guī)定；相關(guān)執(zhí)法部門的定位、權(quán)限不明確，導(dǎo)致實(shí)際監(jiān)管與執(zhí)行中存在較大困難。同時(shí)，現(xiàn)行立法中主要對(duì)相關(guān)概念及基本原則進(jìn)行了規(guī)定，缺乏針對(duì)違法行為的具體懲罰措施的規(guī)定。這些都有待即將出臺(tái)的《個(gè)人信息保護(hù)法》及其他相關(guān)法律加以完善。三、司法現(xiàn)狀（一）司法救濟(jì)需求逐漸攀升由于在法律層面缺乏引導(dǎo)和標(biāo)準(zhǔn)性建設(shè)，在相關(guān)行業(yè)領(lǐng)域也缺乏相應(yīng)安全標(biāo)準(zhǔn)，企業(yè)往往不重視對(duì)于生物識(shí)別信息保護(hù)技術(shù)的開發(fā)和應(yīng)用。個(gè)人生物識(shí)別信息作為個(gè)人數(shù)據(jù)可以為網(wǎng)絡(luò)發(fā)展提供驅(qū)動(dòng)力，且逐漸在包括商業(yè)支付領(lǐng)域在內(nèi)的多個(gè)領(lǐng)域發(fā)揮著重