《我國商業(yè)支付領域內(nèi)生物識別信息保護現(xiàn)狀綜述》8600字

我國商業(yè)支付領域內(nèi)生物識別信息保護現(xiàn)狀綜述目錄TOC\o"1-2"\h\u2689我國商業(yè)支付領域內(nèi)生物識別信息保護現(xiàn)狀綜述 118327一、商業(yè)支付中的個人生物識別信息概述 117978（一）個人生物識別信息概念及權利歸屬 117873（二）商業(yè)支付中的個人生物識別信息 515613二、立法現(xiàn)狀 831826（一）法律 831670（二）行政法規(guī)及部門規(guī)章 9406（三）不足之處 1028481三、司法現(xiàn)狀 1117932（一）司法救濟需求逐漸攀升 1118739（二）典型案例 15一、商業(yè)支付中的個人生物識別信息概述（一）個人生物識別信息概念及權利歸屬1.概念界定《中華人民共和國民法典》（以下稱“《民法典》”）第1034條《中華人民共和國民法典》第1034條：“自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”是我國首次以立法形式對個人生物識別信息的概念作出界定。即，個人生物識別信息為個人信息項下之概念，亦應屬于個人信息。因此，關于個人信息的相關規(guī)定也得適用于個人生物識別信息?！吨腥A人民共和國民法典》第1034條：“自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！比粢私鈧€人生物識別信息，首先要明確個人信息的概念。個人信息是包括個人的健康、財產(chǎn)、工作、親屬等社會關系在內(nèi)的一系列與特定個體密切關聯(lián)，能夠反映特定個體特征并能夠與其他個體相區(qū)分的信息。個人數(shù)據(jù)的概念與之基本一致。大體而言，美國多使用個人信息的概念，而歐盟則多使用個人數(shù)據(jù)的概念。英國《數(shù)據(jù)保護法》英國在1984年制定的《數(shù)據(jù)保護法》中規(guī)定：“個人數(shù)據(jù)是由有關一個活著的人信息組成的數(shù)據(jù)，對于這個人，可以通過該信息(或者通過數(shù)據(jù)用戶擁有的該信息的其他信息)識別出來，該信息包括對有關該個人的評價，但不包括對個人數(shù)據(jù)用戶表示的意圖?！?、《歐洲聯(lián)盟數(shù)據(jù)保護規(guī)章》1995年7月26日在布魯塞爾部長級會議上通過的《歐洲聯(lián)盟數(shù)據(jù)保護規(guī)章》對個人數(shù)據(jù)下的定義是：“有關一個被識別或可識別的自然人(數(shù)據(jù)主體)的任何信息；可以識別的自然人是指一個可以被證明，即可以直接或間接地，特別是通過對其身體的、生理的、經(jīng)濟的、文化的或生活身份的一項或多項的識別。”中均對個人數(shù)據(jù)的概念做出了界定。我國《民法典》采“概括＋列舉”模式界定個人信息，《民法典》第1034條：“英國在1984年制定的《數(shù)據(jù)保護法》中規(guī)定：“個人數(shù)據(jù)是由有關一個活著的人信息組成的數(shù)據(jù)，對于這個人，可以通過該信息(或者通過數(shù)據(jù)用戶擁有的該信息的其他信息)識別出來，該信息包括對有關該個人的評價，但不包括對個人數(shù)據(jù)用戶表示的意圖。”1995年7月26日在布魯塞爾部長級會議上通過的《歐洲聯(lián)盟數(shù)據(jù)保護規(guī)章》對個人數(shù)據(jù)下的定義是：“有關一個被識別或可識別的自然人(數(shù)據(jù)主體)的任何信息；可以識別的自然人是指一個可以被證明，即可以直接或間接地，特別是通過對其身體的、生理的、經(jīng)濟的、文化的或生活身份的一項或多項的識別?！薄睹穹ǖ洹返?034條：“自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定?！眳⒁奫美]亞伯拉罕·馬斯洛：《動機與人格》，許金聲譯，中國人民大學出版社2007年版，第31頁。參見王利明：《人格權法探微》，人民出版社2018年版，第387頁。國家市場監(jiān)督管理總局、國家標準化管理委員會于2020年3月6日發(fā)布的《信息安全技術個人信息安全規(guī)范》在附錄A表A.1中對個人生物識別信息所包含的內(nèi)容進行了舉例?！缎畔踩夹g個人信息安全規(guī)范》附錄A表A《信息安全技術個人信息安全規(guī)范》附錄A表A.1：“個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。”2.生物識別信息特性生物識別技術提取、識別人體生物學特征的唯一性是近幾年生物識別相關技術飛速發(fā)展、生物識別信息得到廣泛利用的根本原因。生物識別信息被大規(guī)模使用的場景主要是在網(wǎng)絡中，其利用的方式是將相關技術轉化為二進制代碼。指紋、人臉、聲紋等個人生物識別信息在未脫離自然人主體時一般不會被復制，但當其脫離人體而轉化為計算機代碼時就有被復制、盜竊的風險。生物識別技術的識別原理及依靠相關技術提取的自然人生物識別信息都會在相關企業(yè)的數(shù)據(jù)庫中存儲，此時就勢必存在數(shù)據(jù)泄露乃至失竊的潛在風險。參見劉春泉:《人臉識別技術存在重大網(wǎng)絡安全風險》，載《第一財經(jīng)日報》2017年3月30日。個人生物識別信息在產(chǎn)生之時，就具有與一般的個人信息迥然不同的特點。而對于不同種類的個人信息，顯然應當依據(jù)其特點確立各自不同的使用要求。個人生物識別信息具有不可更改性、唯一性。不可更改性是指每個人的個人生物識別信息從出生之始就已經(jīng)形成且基本固定，難以隨時更改和變化。即使整容也只是在外在層面（主要是五官）對部分生物識別體征進行修飾和雕琢，主要的包括諸如DNA、基因信息、人臉、指紋、虹膜等重要的生物識別信息也難以變化。同時也要注意到，即使是部分的修飾生物識別信息，該修飾行為也不會是頻繁的，且代價高昂。支付密碼可以被人們隨意更改無數(shù)次而幾乎不會耗費任何成本，但利用諸如整容等手段修改個人生物識別信息則需要承受大量的金錢成本以及身體、精神上的痛苦。而唯一性是指每個人的個人生物識別信息獨一無二，世界上沒有兩片完全相同的樹葉，也沒有兩份完全相同的個人生物識別信息。唯一性使得個人生物識別信息成為識別不同個體的最重要、最準確的依據(jù)。不同于銀行卡丟失了可以再補辦，或者密碼忘記了可以重新設置；個人生物識別信息不能再造，是每個人獨一無二的生命體征，與每個人息息相關。一旦泄露就是終身泄露，會將與生物識別信息緊密相連的自然人置于潛在的危險境地。且生物識別信息一旦泄露或被非法使用，其后果難以估量。因此，人臉識別技術應作為核實身份時使用的輔助手段而非唯一手段，在安全性高的領域尤甚。個人生物識別信息的特殊性與脆弱性，決定了我們必須在使用過程中對其采取更為審慎的態(tài)度。提高實踐中使用生物識別信息的條件和門檻，加強使用者的注意義務，是合理使用生物識別信息并使其免遭損害的重要前提。3.生物識別信息權利歸屬由于個人生物識別信息具有唯一性和可識別性，與自然人緊密相關且不可再生和輕易改變，不能像其他個人信息一樣進行脫敏處理，因此個人生物識別信息的所有者應當認定為被采集生物識別信息者，亦即，從誰身上采集到生物識別信息，該生物識別信息就由誰所有。而提供生物識別信息采集技術及相關采集儀器的主體屬于采集者，利用該生物識別信息在商業(yè)支付領域進行鑒別和使用的企業(yè)屬于使用者，而政府、相關執(zhí)法機構應屬于監(jiān)管者。明確了各權利主體的地位，才能在個人生物識別信息在商業(yè)支付領域進行全流程使用和保護予以明確的規(guī)制，并切實保障相關權利主體的利益，維護個人生物識別信息在商業(yè)支付領域的使用秩序。4.信息所有者（被采集者）的權利當全球進入大數(shù)據(jù)時代，許多國家的各個機構都成為了大規(guī)模數(shù)據(jù)的原始采集者。參見[英參見[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶：《大數(shù)據(jù)時代：生活、工作與思維的大變革》，周濤譯，浙江人民出版社2013年版，第149頁。見[美]特蕾莎·M·佩頓、西奧多·克萊普爾：《大數(shù)據(jù)時代的隱私》，鄭淑紅譯，上?？茖W技術出版社2017年版，第7頁。（1）個人知情權每一個體都有了解與自己相關的個人生物識別信息收集行為的性質、保存期限以及自動化處理目的的權利。參見解志勇、于鵬：《信息安全立法比較研究》，中國人民公安大學出版社2007年版，第81頁。《民法典》第1035條《民法典》第1035條：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！眳⒁娊庵居隆⒂邬i：《信息安全立法比較研究》，中國人民公安大學出版社2007年版，第81頁?！睹穹ǖ洹返?035條：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！眳⒁娦蠒姡骸度四樧R別的法律規(guī)制》，載《比較法研究》2020年第5期，第14頁。（2）個人事先同意權《民法典》第1035條《民法典》第1035條：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！币?guī)定了處理個人信息的條件，同時根據(jù)《民法典》第1034條的規(guī)定，生物識別信息應屬于個人信息的涵攝范圍之內(nèi)，因此個人生物識別信息也得適用《民法典》第1035條的規(guī)定。據(jù)此，個人生物識別信息在處理前須征得該自然人或者其監(jiān)護人同意，這就在法律層面確立了個人事先同意權。同時，根據(jù)法律規(guī)定，同意的主體包括兩類：一是該自然人本人，二是該自然人監(jiān)護人。因此對于無、限制民事行為能力人的生物識別信息的處理行為需經(jīng)其監(jiān)護人同意，而完全民事行為能力人的個人生物識別信息之處理經(jīng)本人同意即可。但是法律中目前對于同意的標準未有明確界定，即，未對相關權利人表示同意的方式作出清晰規(guī)定?；趥€人生物識別信息不同于一般個人信息的特點，對于個人生物識別信息的采集應當堅持保護強度更大的知情同意原則。參見邢會強：《人臉識別的法律規(guī)制》，載《比較法研究》2020《民法典》第1035條：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！眳⒁娦蠒姡骸度四樧R別的法律規(guī)制》，載《比較法研究》2020年第5期，第14頁。參見邢會強：《大數(shù)據(jù)交易背景下個人信息財產(chǎn)權的分配與實現(xiàn)機制》，載《法學評論》2019年第6期，第110頁。（3）個人查閱、修改生物識別信息權任何人在被要求提供自己的個人生物識別信息給他人時都應當有權知悉：該提供方式是否是必須且必要的；如果沒能提供信息會有什么樣的后果；即將對生物識別信息進行處理、利用、儲存的相關機構的基本情況；以及自己是否享有修改、刪除數(shù)據(jù)庫中自己的個人生物識別信息的權利?！睹穹ǖ洹返?037條《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權提出異議并請求及時采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除。”在法律層面明確了個人享有查閱和要求修改個人信息權，因此，個人也應當享有查閱和修改個人生物識別信息的權利。根據(jù)《民法典》第1034條的規(guī)定，個人生物識別信息屬于個人信息，因此個人生物識別信息也得適用《民法典》第1《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權提出異議并請求及時采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除。”（二）商業(yè)支付中的個人生物識別信息1.商業(yè)支付領域的概念界定2019年12月18日，在阿里巴巴舉辦的第二屆ONE商業(yè)大會上，支付寶行業(yè)支付事業(yè)部葉國暉在會上表示：“商業(yè)支付即將進入2.0時代，以支付為入口的數(shù)字化經(jīng)營將助力商業(yè)支付轉變?yōu)橹Ц渡虡I(yè)?！苯鹑诳萍嫉陌l(fā)展讓支付方式日益多元化，同時具有跨市場、跨行業(yè)特性和去中心化趨勢，大大加快交易速度。參見陳軍燕：《對規(guī)范支付市場發(fā)展的探索和思考》，載《時代金融》2018年第12期下旬刊（總第718期），第196參見陳軍燕：《對規(guī)范支付市場發(fā)展的探索和思考》，載《時代金融》2018年第12期下旬刊（總第718期），第196頁。參見朱寶麗、馬運全：《個人金融信息管理：隱私保護與金融交易》，中國社會科學出版社2018年版，第1頁。見周小川：《信息科技與金融政策的相互作用》，載《中國金融》2019年第15期，第14頁。見[美]布雷特·金恩：《銀行4.0金融常在，銀行不再？》，孫一仕、周群英、林雄凱譯，臺灣金融研訓院2018年版，第366頁。參見謝丹：《無感支付發(fā)展現(xiàn)狀與思考》，載《福建金融》2019年第9期，第35頁。從支付的類型上劃分，支付包括商業(yè)支付和公共支付。本文所指商業(yè)支付，是與以公共利益為目的的支付行為相區(qū)分的概念。以公共利益為目的的支付行為，主要是指電子政務公共支付。電子政務公共支付是指通過公共支付平臺繳納水電、通信等公共事業(yè)費用以及違章罰款等行業(yè)專項費用，從而使辦理日常生產(chǎn)生活中的公共服務繳費更為便利的支付方式，其本質上是政府收費平臺的網(wǎng)絡化。參見張坤：《公共支付平臺建設與發(fā)展調(diào)查》，載《華北金融》2參見張坤：《公共支付平臺建設與發(fā)展調(diào)查》，載《華北金融》2019年第3期，第62頁。2.商業(yè)支付中的個人生物識別信息使用狀況目前，個人生物識別信息的收集、儲存及使用依照應用的主要領域不同，可以劃分為以公共利益為目的的使用和以私益為目的的使用，具體可分為以下幾種：一是基于社會治安管理的需要，如公安機關在全國范圍內(nèi)建立的逃犯追蹤識別系統(tǒng)“天網(wǎng)”，收集并儲存?zhèn)€人生物識別信息，通過此種途徑進行打擊犯罪；二是商業(yè)運營的企業(yè)，為了提升自身的競爭力和品牌吸引力或便利使用者等等因素，對個人生物識別信息進行的采集運用，比如當下使用較為廣泛的指紋支付、人臉支付；三是科研機構基于技術研究的需要而收集儲存信息；四是社會團體機構為便于管理或運行，對個人生物識別信息進行的收集存儲等。本文將個人生物識別信息的保護議題框定在支付領域內(nèi)，并限定在商業(yè)支付范疇，主要討論商業(yè)運營的企業(yè)在以私益為目的對生物識別信息進行使用的過程中對于個人生物識別信息的保護。隨著生物識別技術及商業(yè)領域的發(fā)展，個人生物識別信息在諸多領域被以多種方式使用著。在商業(yè)支付中使用個人生物識別信息來驗證身份抑或替代密碼也成為一種常見的方式。打開滴滴打車軟件打車后，在支付界面會跳出“免密支付”的字樣供人選擇，人們可以選擇通過人臉或指紋識別來替代輸入支付密碼，使交易更加便捷；打開支付寶購物消費時，人們亦可以選擇人臉支付方式取代傳統(tǒng)的密碼支付方式；目前線下許多商超與支付寶合作，引進人臉識別機器，在付款臺人臉識別成功后即可進行支付。支付機構能夠在交易中洞察我們大部分的收入和支出狀況，我們每個人在金融機構面前都是“財務透明人”參見邢會強：《大數(shù)據(jù)時代個人金融信息的保護與利用》，載《東方法學》2021年第1期，第49頁。參見邢會強：《大數(shù)據(jù)時代個人金融信息的保護與利用》，載《東方法學》2021年第1期，第49頁。見強力：《金融法》，法律出版社1997年版，第205頁。見黎四奇：《對我國銀行與客戶金融隱私權保護制度的反思與立法建議》，載《云夢學刊》2006年第2期，第64頁。個人生物識別信息在商業(yè)支付領域的應用不同于其他領域。伴隨著商業(yè)支付領域內(nèi)生物識別技術使用的廣度和深度逐漸增加，人臉支付、指紋支付等支付方式的應用也愈發(fā)廣泛。生物識別信息在商業(yè)支付領域使用的優(yōu)勢在于：1.便捷快速：使用生物識別信息支付的速度要顯著大于使用密碼支付的速度；2.可攜帶：個人生物識別信息均為人體的一部分，無需特意攜帶即可隨時使用；3.不易遺忘：不同于密碼需要人們在設置后進行記憶，生物識別信息無需人們進行記憶?；趥€人生物識別信息在商業(yè)支付領域的便捷性，我們不應輕易且草率的采取過分嚴格的政策來抑制其發(fā)展，而應努力細化其使用的行業(yè)標準，對使用個人生物識別信息的商業(yè)支付全流程制定科學的監(jiān)管措施，并強調(diào)對于在商業(yè)支付領域侵犯個人生物識別信息行為的事后保護。商業(yè)支付領域與電子政務公共支付領域具有各自不同的特點，區(qū)分其特點才能厘清個人生物識別信息在不同支付領域保護中的側重點。對于以公共利益（以公共安全為主）為目的的用途，國家機關可以依照相關法律的授權，在一定的權限范圍內(nèi)進行信息的處理，此種情形產(chǎn)生的合法性爭議較少。但是對于個人生物識別信息私益用途的使用，尤其是在商業(yè)支付領域的使用，呈現(xiàn)出技術應用飛速先行、法律明顯滯后的特點，實踐中關于合法性的爭議較大。且目前我國還沒有針對個人生物識別信息及其技術應用出臺專門性的法律，只能采取參照相關法律的形式予以解決，如《消費者權益保護法》第29條《消費者權益保護法》第《消費者權益保護法》第29條：“經(jīng)營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費者同意。經(jīng)營者收集、使用消費者個人信息，應當公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息?！倍⒘⒎ìF(xiàn)狀信息技術的日臻完善、信息產(chǎn)業(yè)的飛速發(fā)展都加快了人們平衡威斯汀教授四個要素的步伐。[美[美]MartinE.Abrams：《新興數(shù)字經(jīng)濟時代的隱私、安全與經(jīng)濟增長》，溫珍奎譯，載周漢華主編：《個人信息保護前沿問題研究》，法律出版社2006年版，第5頁；美國信息隱私權學者AlanF.Westin教授在其著作《隱私與自由》中提出社會中相互制約的四個隱私要素，即獨處、袒露、好奇、維護公共秩序的政府監(jiān)控。（一）法律在法律層面，我國《民法典》第111條《民法典》第111條：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”、第1034條《民法典》第1034條：“自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定?！?、第1035條《民法典》第1035條：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！?、第1037條《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權提出異議并請求及時采取更正等必要措施。”、第1038條《民法典》第1038條：“信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復原的除外。信息處理者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應當及時采取補救措施，按照規(guī)定告知自然人并向有關主管部門報告?！倍紝ψ匀蝗藗€人信息的保護作出了一些規(guī)定?！毒W(wǎng)絡安全法》（2《民法典》第111條：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！薄睹穹ǖ洹返?034條：“自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定?！薄睹穹ǖ洹返?035條：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”《民法典》第1037條：“自然人可以依法向信息處理者查閱或者復制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權提出異議并請求及時采取更正等必要措施?！薄睹穹ǖ洹返?038條：“信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復原的除外。信息處理者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應當及時采取補救措施，按照規(guī)定告知自然人并向有關主管部門報告?！薄毒W(wǎng)絡安全法》（2017）第76條：“……個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！保ǘ┬姓ㄒ?guī)及部門規(guī)章在行政法規(guī)及部門規(guī)章層面，最高法《關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》明確了利用網(wǎng)絡公開他人信息的行為的侵權責任；國務院《征信管理條例》詳細規(guī)定了對征信行業(yè)采集個人信息的要求；工信部《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》對互聯(lián)網(wǎng)信息服務提供者的個人信息收集使用規(guī)范及安全保障措施做出了明確規(guī)定《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第8條：“電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者應當制定用戶個人信息收集、使用規(guī)則，并在其經(jīng)營或者服務場所、網(wǎng)站等予以公布?！钡?條：“未經(jīng)用戶同意，電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者不得收集、使用用戶個人信息。電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者收集、使用用戶個人信息的，應當明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項。電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者不得收集其提供服務所必需以外的用戶個人信息或者將信息用于提供服務之外的目的，不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集、使用信息。電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者在用戶終止使用電信服務或者互聯(lián)網(wǎng)信息服務后，應當停止對用戶個人信息的收集和使用，并為用戶提供注銷號碼或者賬號的服務。法律、行政法規(guī)對本條第一款至第四款規(guī)定的情形另有規(guī)定的，從其規(guī)定?！钡?0條：“電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供?！钡?1條：“電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作，涉及收集、使用用戶個人信息的，應當對代理人的用戶個人信息保護工作進行監(jiān)督和管理，不得委托不符合本規(guī)定有關用戶個人信息保護要求的代理人代辦相關服務。”；《征信業(yè)管理條例》明確了禁止征信機構采集的個人信息種類《征信業(yè)管理條例》第14條：“禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。征信機構不得采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息。但是，征信機構明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意的除外?！保晃覈氖讉€個人信息保護國家標準《信息安全技術-公用及商用服務信息系統(tǒng)個人信息保護指南》也于2013年出臺；公安部《互聯(lián)網(wǎng)個人信息安全保護指南》中也有關于個人生物識別信息披露的規(guī)定《互聯(lián)網(wǎng)個人信息安全保護指南》第6.7條：“個人信息原則上不得公開披露。如經(jīng)法律授權或具備合理事由確需公開披露時，應充分重視風險，遵守以下要求：a)事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施；b)向個人信息主體告知公開披露個人信息的目的、類型，并事先征得個人信息主體明示同意，與國家安全、國防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關的情形除外；c)公開披露個人敏感信息前，除6.7b）中告知的內(nèi)容外，還應向個人信息主體告知涉及的個人敏感信息的內(nèi)容；d)準確記錄和保存?zhèn)€人信息的公開披露的情況，包括公開披露的日期、規(guī)模、目的、公開范圍等；e)承擔因公開披露個人信息對個人信息主體合法權益造成損害的相應責任；f)不得公開披露個人生物識別信息和基因、疾病等個人生理信息；g)不得公開披露我國公民的種族、民族、政治觀點、宗教信仰等敏感數(shù)據(jù)分析結果?！?；中國支付清算協(xié)會《個人信息保護技術指引》對個人信息作出了敏感性分級規(guī)定《個人信息保護技術指引》第3.2條：“本規(guī)范依據(jù)個人信息價值和安全風險的不同，劃分四個等級，分別是：高敏感、中敏感、低敏感、非敏感，針對個人信息保護程度、影響程度不同，將個人信息進行特殊標注，采取必要的管理措施和技術手段，保護個人信息安全，防止未經(jīng)授權檢索、泄露、損毀和篡改?！呙舾屑墑e：重要個人信息，泄露后可能致使個人資產(chǎn)受到嚴重損失；——中敏感級別：一般個人信息，泄露后可能致使個人資產(chǎn)受到損失；——低敏感級別：其他個人信息，泄露后可能致使個人資產(chǎn)受到影響；——非敏感級別：公開后對個人無影響的信息。個人敏感信息包括高敏感、中敏感、低敏感級別個人信息，各機構應根據(jù)自身業(yè)務、安全管理要求和客戶服務要求確定。本標準的應用者可根據(jù)實際使用需要作出另外方式的分類，但分類的實質性內(nèi)容與本標準不一致的應對分類依據(jù)進行說明?！保?.5條《個人信息保護技術指引》第2.5條《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第8條：“電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者應當制定用戶個人信息收集、使用規(guī)則，并在其經(jīng)營或者服務場所、網(wǎng)站等予以公布?！钡?條：“未經(jīng)用戶同意，電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者不得收集、使用用戶個人信息。電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者收集、使用用戶個人信息的，應當明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項。電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者不得收集其提供服務所必需以外的用戶個人信息或者將信息用于提供服務之外的目的，不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集、使用信息。電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者在用戶終止使用電信服務或者互聯(lián)網(wǎng)信息服務后，應當停止對用戶個人信息的收集和使用，并為用戶提供注銷號碼或者賬號的服務。法律、行政法規(guī)對本條第一款至第四款規(guī)定的情形另有規(guī)定的，從其規(guī)定?！钡?0條：“電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供?！钡?1條：“電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作，涉及收集、使用用戶個人信息的，應當對代理人的用戶個人信息保護工作進行監(jiān)督和管理，不得委托不符合本規(guī)定有關用戶個人信息保護要求的代理人代辦相關服務?！薄墩餍艠I(yè)管理條例》第14條：“禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。征信機構不得采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息。但是，征信機構明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意的除外?！薄痘ヂ?lián)網(wǎng)個人信息安全保護指南》第6.7條：“個人信息原則上不得公開披露。如經(jīng)法律授權或具備合理事由確需公開披露時，應充分重視風險，遵守以下要求：a)事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施；b)向個人信息主體告知公開披露個人信息的目的、類型，并事先征得個人信息主體明示同意，與國家安全、國防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關的情形除外；c)公開披露個人敏感信息前，除6.7b）中告知的內(nèi)容外，還應向個人信息主體告知涉及的個人敏感信息的內(nèi)容；d)準確記錄和保存?zhèn)€人信息的公開披露的情況，包括公開披露的日期、規(guī)模、目的、公開范圍等；e)承擔因公開披露個人信息對個人信息主體合法權益造成損害的相應責任；f)不得公開披露個人生物識別信息和基因、疾病等個人生理信息；g)不得公開披露我國公民的種族、民族、政治觀點、宗教信仰等敏感數(shù)據(jù)分析結果。”《個人信息保護技術指引》第3.2條：“本規(guī)范依據(jù)個人信息價值和安全風險的不同，劃分四個等級，分別是：高敏感、中敏感、低敏感、非敏感，針對個人信息保護程度、影響程度不同，將個人信息進行特殊標注，采取必要的管理措施和技術手段，保護個人信息安全，防止未經(jīng)授權檢索、泄露、損毀和篡改?！呙舾屑墑e：重要個人信息，泄露后可能致使個人資產(chǎn)受到嚴重損失；——中敏感級別：一般個人信息，泄露后可能致使個人資產(chǎn)受到損失；——低敏感級別：其他個人信息，泄露后可能致使個人資產(chǎn)受到影響；——非敏感級別：公開后對個人無影響的信息。個人敏感信息包括高敏感、中敏感、低敏感級別個人信息，各機構應根據(jù)自身業(yè)務、安全管理要求和客戶服務要求確定。本標準的應用者可根據(jù)實際使用需要作出另外方式的分類，但分類的實質性內(nèi)容與本標準不一致的應對分類依據(jù)進行說明?！薄秱€人信息保護技術指引》第2.5條：“個人敏感信息可以包括身份證號碼、手機號碼、指紋等?！薄秱€人信息保護技術指引》第3.1條：“個人身份標識與鑒別信息，包括靜態(tài)密碼、動態(tài)密碼、密保問題答案、數(shù)字證書、生物特征信息等?！薄缎畔踩夹g個人信息安全規(guī)范》（2020年3月6日發(fā)布，2020年10月1日實施）第3.1條：“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等?！薄缎畔踩夹g個人信息安全規(guī)范》（2020年3月6日發(fā)布，2020年10月1日實施）第3.2條：“個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等?！保ㄈ┎蛔阒幈M管大量規(guī)范性文件中都有關于個人信息乃至個人生物識別信息的相關規(guī)定，但我國立法領域中對個人生物識別信息的保護仍存在一些問題，例如立法的碎片化現(xiàn)象較為嚴重，缺乏系統(tǒng)性立法；對生物識別信息的利益衡量不夠明晰；多數(shù)規(guī)范性文件的法律效力較小，且多為宣示性、概念性規(guī)定，缺乏切實可操作的具體規(guī)則與流程性規(guī)定，亦缺乏對違法行為所涉及的法律責任的明確規(guī)定；相關執(zhí)法部門的定位、權限不明確，導致實際監(jiān)管與執(zhí)行中存在較大困難。同時，現(xiàn)行立法中主要對相關概念及基本原則進行了規(guī)定，缺乏針對違法行為的具體懲罰措施的規(guī)定。這些都有待即將出臺的《個人信息保護法》及其他相關法律加以完善。三、司法現(xiàn)狀（一）司法救濟需求逐漸攀升由于在法律層面缺乏引導和標準性建設，在相關行業(yè)領域也缺乏相應安全標準，企業(yè)往往不重視對于生物識別信息保護技術的開發(fā)和應用。個人生物識別信息作為個人數(shù)據(jù)可以為網(wǎng)絡發(fā)展提供驅動力，且逐漸在包括商業(yè)支付領域在內(nèi)的多個領域發(fā)揮著重