一、问题的提出
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。〔1〕我国《民法典》第1034条将个人生物识别信息纳入个人信息,第1035条进一步确立了个人信息的收集、处理应当遵循的原则和条件,体现了我国人格权立法的前瞻性与先进性。随着大数据与人工智能的飞速发展,个人生物识别信息的获取、收集、存储和共享等技术越发成熟。例如银行、网
络平台、支付平台、不动产登记机构等普遍通过人脸识别、指纹技术进行认证并储存;新冠疫情暴发,很多小区和场所通过人脸识别门禁系统采集个人生物识别信息实施防疫管控。相比一般个人信息,个人生物识别信息具有高度可识别性属性。这意味着个人生物识别信息一旦被信息控制者泄露、非法提供或者滥用,极易导致信息主体的个人名誉、身份健康受到损害或遭受歧视性待遇,从而危害个人的财产与人身安全。〔2〕个人生物识别信息在极大满足社会发展需求的同时,亦引发个人生物识别信息法律保护与监督
管理的问
论个人生物识别信息及其法律保护
[摘要]个人生物识别信息包括自然人的身体、生理及行为特征三个层面,直接反映自
然人独一无二与不可替代性的身体本质特征,将强烈的人身属性与巨大的经济、社会价值融为一体。个人生物识别信息属于隐私性个人信息,单独个人生物识别信息的保护可以适用于隐私权规范,但涉及个人生物识别信息的数据控制者则应当适用个人信息相关规范。法律应当平衡个人生物识别信息主体的人格尊严和自由与信息控制者汇聚、加工、处理形成的数据财产之间的利益关系。个人生物识别信息的商业化利用应当置于经营者—消费者的框架之下,经营者遵循合法、正当、必要的原则,并经消费者/信息主体的知情同意。政府机关或授权机构基于公共利益目的收集和公开个人生物识别信息时必须遵循法定程序,符合比例原则要求,兼顾收集和使用目标的实现与保护信息主体的权益。
[关键词]个人生物识别信息;个人敏感信息;隐私权;数据财产;公共利益[基金项目]司法研究重大课题(ZGFYZDKT201914-01)
[作者简介]冉克平,法学博士,武汉大学法学院教授,博士生导师(湖北武汉430072)。[中图分类号]D913
[文献标识码]A
[文章编号]1001-6198(2020)06-0111-10
冉
克
平
【民法典研究】
题。例如,利用深度伪造技术制作难辨真伪的动态人脸画面和声音,换脸App“ZAO”引发的隐私和安全
风险等问题均引起人们对生物识别信息采集使用可能侵犯其隐私权、肖像权、名誉权以及自由权等的担忧甚至恐慌。〔3〕在《民法典》实施的背景之下,结合我国个人生物识别信息保护与使用的现状,界定生物识别信息的法律属性及其边界,探讨个人生物识别信息的法律属性及其利益关系,规范个人生物识别信息收集利用的风险防范以及责任承担等问题显得尤为必要。
二、个人生物识别信息的法律属性及其边界
(一)个人生物识别信息的法律属性
个人生物识别信息是指通过运用科学技术手段对人的身体特征进行数字化处理后得到的信息。个人生物识别信息必须经过计算机相关生物识别程序的识别才能生成。〔4〕2015年美国《消费者隐私保护法案》规定的个人生物识别信息包括面相、指纹、声音、视网膜、虹膜、基因等。美国加利福尼亚州《2018消费者隐私法》增加点击模式、步态模式以及睡眠或运动数据等作为个人生物识别信息类型。2016年欧盟公布的《一般数据保护条例》规定个人生物识别信息是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,并列举了人脸数据、指纹数据等。我国2020年实施的《个人信息安全规范》规定的个人生物识别信息包括自然人的身体、生理特征的相关信息如指纹、声纹、掌纹、耳廓、虹膜、面部特征、个人基因等。①总之,由于计算机、互联网和互动式数字媒体的推广普及,大大拓展了经营者或管理者获取公民个人生物信息的渠道和范围,致使“脆弱的个人”被置于受威胁的境地。
个人生物识别信息包括自然人的身体、生理及行为特征,可以分别表达为个人生物身体和生理识别信息与个人生物行为特征识别信息,它们直接反映自然人独一无二与不可替代性的身体、生理或行为特征,具有强烈的人身属性。〔5〕例如基因信息是由DNA(少数RNA)分子片段组成的生物遗传信息;指纹和掌纹信息是由人的指纹、掌纹因遗传与环境共同作用产生的信息。个人生物识别信息与个人一般信息例如电话号码、地址、身份证号码等相比具有显著差异,后者以信息主体的社会性特征为基础,它们外在于人本身;而前者直接反映信息主体内在的身体、生理和行为本质属性,不仅具有更高程度的可识别性,而且与自然人的人身不可分割,属于高度敏感的个人信息。一般个人信息例如姓名、身份证号码、手机号码等通常可以变更,但是个人生物识别信息具有独一无二性,任何人的生物识别信息与其他同种类的生物识别信息均不相同,这是由每个人遗传物质、身体器官以及行为特征的独特性所决定的。②由于个人生物识别信息与身体属性密切关联而且不可替代,已经成为数字身份的主要识别方式。〔6〕
个人生物识别信息对于信息主体的独一无二表明其具有极强的防伪性特征,但是并不意味着个人生物识别信息无法被复制或伪造。随着数字信息技术的发展,人脸信息、指纹、掌纹等均可以复制甚至变造从而收到以假乱真的效果。例如,通过利用AI合成技术获得人脸信息、声纹进行,或者利用指纹、掌纹解锁盗窃他人财产等。个人生物识别信息与其它个人的普通信息的差异及其特殊性,致使其一旦被泄露或盗窃,会使受害人的人格尊严遭受严重的侵害,并会给信息主体带来永久的不可逆的损失。〔7〕
如果个人生物识别信息泄露或被不法使用,信息主体为避免自身的权益遭受进一步的侵害,将被迫退出与个人生
①《民法典》第1009条规定:“从事与人体基因、人体胚胎等有关的医学和科研活动的,应当遵守法律、行政法规和国家有关规定,不得危害人体健康,不得违背伦理道德,不得损害公共利益。”该条旨在保护被试验自然人的健康权,而非个人基因信息安全。
②《信息安全技术公共及商用服务信息系统个人信息保护指南》3.7规定:个人敏感信息是指“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等”;而个人一般信息是“除个人敏感信息以外的个人信息”。
物信息认证相关的活动。①从现实生活来看,个人生物识别信息在推广使用过程中存在风险,例如成为“透明人”、被操控以及数据的泄露与滥用等等。②
个人生物识别信息所具有的稳定性和可靠性使其在经济和商业方面的作用日益重要。现代生物科技的发展使基因信息和相关技术能够产生巨大的经济和商业利益,例如通过基因检测可以发现致病基因、研发基因药品以及申请基因成果专利等。〔8〕基因信息被广泛用于刑事侦查程序以辨认犯罪嫌疑人和受害人的身份或者亲子鉴定等。人脸信息、指纹信息、掌纹信息等还被用作研究和开发具有商业价值的新产品。目前,国内从事生物识别信息的企业有千余家,市场规模约达千亿元。我国生物识别市场规模复合年均增速可以达到50%左右,发展态势迅猛,商业化步伐还在加速中。〔9〕
个人生物识别信息还具有极强的公共管理利益属性。学理上通常认为,个人信息具有人格价值与财产利益的双重属性。〔10〕相比一般个人信息,个人生物识别信息反映了公民独一无二的人身特征,在识别公民身份上天然地具备极强并且迅捷的辨识效果。因而人脸识别、指纹等被普遍用于识别、追踪个人身份,在公共安全与社会管理领域获得广泛的使用。例如,政府基于社会公共安全需要强制要求采集个人生物识别信息,典型情形如机场、高铁、地铁等在实施安检时使用人脸识别系统;在新冠疫情期间,人脸识别系统还具有追踪新冠肺炎患者的行为踪迹、密切接触者的功能。随着大数据的飞速发展,个人生物识别技术正在全方位改变着社会管理与公共安全的方式和认知。
(二)个人生物识别信息的保护模式
从隐私权与个人信息的关系看,美国判例与学理采取的是广义的隐私权即“一元论”的保护
模式,姓名、名誉、肖像等都被纳入到隐私权的保护范畴之内。计算机技术的发展催生了“信息隐私权”概念。由于数字化技术的应用,越来越多的个人私生活秘密因可被记录而具备个人信息的特点,个人的隐私在信息时代的表现为“隐私信息化”现象(例如病人的医疗信息、体检报告信息等)。20世纪60年代,艾伦·威斯汀在《隐私与自由》一书中认为,隐私权是个人或体自主决定在何时以何种方式在多大程度上将有关自身信息披露给他人的权利,由此形成个人信息控制论的源头。〔11〕按照日本判例及传统理论,隐私权包括私生活及其安宁状态、私事(日记与信件、夫妻生活或者异性关系或者性隐私)以及个人信息。〔12〕依此立法例,个人生物识别信息属于隐私权。相较于美国隐私权概念所蕴含的多元利益平衡机制(与言论自由、公众知情权、大数据产业发展之平衡),德国、法国对于隐私权与个人信息的保护采用的是“二元论”保护模式。隐私权以对个人秘密和私生活空间进行支配并排除他人干预为内容,包括自然人独处的生活状态或私人事务与私生活秘密不受他人的非法披露两个方面。〔13〕在隐私权与个人信息分立的模式之下,隐私权制度的重心在于防范个人秘密被非法披露,并不在于保护这种秘密的控制与利用。相较于防御性的隐私权,个人信息致力于实现信息主体对其个人信息的积极控制,其控制方式随着信息技术、新型判例和立法的发展而不断增多。如《德国联邦数据保护法》第20、35条的删除权和封存权,《通用数据保护条例》GDPR 第17条规定的被遗忘权和第20条的数据携带权等。此类衍生性权利与个人信息自决权的“源权利”特征一脉相承。〔14〕随着人工智能技术的发展,亦出现了“个
人信息隐私化”现象。例如人脸本身并非隐私,除在极少数文化背景之下,人脸都是公开示人的,但是人脸识别技术使人脸成为隐私信息。个人生物识别信
①美国伊利诺斯州《生物识别信息隐私法》在立法宗旨和目的中对生物识别信息的特殊性作出如下描述:
个人敏感信息“生物特征与通常用于财务的惟一标记或其它敏感信息不同,例如社会保险号码,一旦被泄露可以改变。生物特征在生物学上是个人独一无二的,一旦受到损害,个人没有追索权,身份盗窃的风险更高,并且可能不得不退出基于生物识别而进行的业务。”See Biometric
Information Privacy Act.Public Act 095-0994,SB2400Enrolled LRB09519768KBJ 46142b.
②根据裁判文书网公开信息显示,从2018年7月开始,有犯罪嫌疑人通过非法购买公民个人信息并制作相应的“换脸”视
频,突破了支付宝的人脸识别认证。2019年,有人绕过厦门银行App 的人脸识别系统,使用虚假身份信息注册多个账户并倒卖牟利。参见南都社论:《激辩人脸识别应用,珍视法学教授说“不”的价值》,《南方都市报》2020年9月26日,(GA02)社论版。
息的隐私化使传统隐私权的边界得以扩展,隐私权与个人信息的边界变得更加复杂。
《民法典》第1034条第2款规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。这表明我国采取的是隐私权与个人信息分立的“二元论”立法例,但是个人信息与隐私权存在重叠之处:两者的关系可以表达为纯粹的个人隐私、隐私性信息与纯粹的个人信息。〔15〕隐私性信息意指通过数据形式表达的个人隐私,是隐私与纯粹的个人信息交叉的部分。例如患者的重大疾病信息、客户的投资理财信息等。个人生物识别信息包含身体、生理及行为特征,均属于隐私性信息。相比个人生物行为特征识别信息,个人生物身体与生理识别信息的隐私属性更强。个人生物识别信息具有非常高的身体指向性和高度私密性,与信息主体的人格尊严密切相关,对其予以公开或非法利用将会给信息主体造成重大影响。个人生物识别信息不同于纯粹的隐私(如自然人独处生活、夫妻性生活等),后者是隐私权保护的主要对象,是指个人生活极为私密、直接涉及到个人人格尊严与自由的
部分,一旦泄露通常会给受害人带来精神损害。尽管个人生物识别信息属于个人信息与隐私权交叉的范畴,但是在个人生物识别信息的法律结构显然远远超出了传统隐私权所形成的权利主体(自然人)—权利客体(隐私)—义务人的模式。这是因为单个信息的财产价值非常有限,即使是个人生物识别信息,信息主体除对其享有使用价值的期待之外,更为重要的是隐私期待。但是,个人生物识别信息的主体不限于信息本身的主体,个人生物识别信息主体可以自主控制或允许数据控制者利用,从而发挥该信息的经济与社会价值,这是传统的隐私权观念所不具备的。因此,单个个人生物识别信息的保护可以适用于隐私权规范,但是一旦涉及个人生物识别信息的数据控制者,则应当适用个人信息相关规范。
我国《民法典》第111条规定自然人的个人信息受法律保护。然而,理论上对个人信息的法律属性众说纷纭。主要的争议观点是民事权利说与民事权益说。前者认为,个人信息属于人格要素,可成为人格权的客体。信息主体对其个人信息拥有信息自由和信息利益,这种新型利益具备归属
性、排他性或法律明定的公示性,并具有足够的重要性,从而应当上升为一种权利。〔16〕后者则认为自然人对个人信息并不享有绝对权和支配权,而只享有应受法律保护的利益。该利益是指自然人享有的防止因个人信息被非法收集、泄露、买卖或利用进而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。〔17〕权利的密度高于利益。传统民法理论认为,若一项权益同时具备归属效能、排除效能和社会典型公开性的,则其为一种侵权法上的权利,反之则只能归于一种利益。〔18〕然而,与有形财产的所有权人与相对人(承租人、抵押权人)相比,单个信息主体对于信息所享利益与信息控制
者所享利益之间的法律关系存在本质差异而且更为复杂。艾伦·威斯汀并未将个人信息泛化为一种私法意义上的权利。〔19〕采集、加工、利用海量个人信息的数据控制者,他们在对个人信息挖掘、加工及开发过程中会逐渐形成新的利益期待即数据财产,其所具有的商业价值远远超出单个信息。数据财产的价值包含信息控制者自身的研发成本以及付出的劳动,这显然与承租人或者抵押权人不同,因为后者所享有的利益仍然与所有权人相同。信息主体对于个人信息享有人格权益和财产权益,而信息控制者享有数据经营权和数据资产权。〔20〕数据财产价值的创造是各方(个人信息)共同参与、持续互动与合作的结果,信息主体与数据控制者之间的法律关系不同于“服务商在一端、顾客在另一端”的传统合同关系。如果将个人信息视为一种可以对抗他人的权利,必将导致个人信息侵权现象在日常生活中的泛化。每个人都将成为一座孤岛,既无法进行正常的社会交往,也无法有效获取社会信息。〔21〕通过赋予个人对信息享有具体人格权的方式来配置个人信息保护与个人信息数据化利用之间的复杂利益关系,难以说明数据价值的创造过程,对于发挥数据主体的创造力极为不利。“权利说”与“权益说”之争主要是一个法律的形式化建构问题,并不能直接决定背后的价值取向和利益分配问题。比较而言,因个人在数据上的权益具有比较强的变动性和发展性,在形式层面采用“利益说”更妥当。〔22〕个人生物识别信息能够同时满足多个主体互不冲突的利益期待,而有别于经典的物权客体。对于单个信息主体而言,
个人生物识别信息的人格利益远大于财产利益。为获得免费软件或服务,信息主体也会乐于无偿同意企业采集和处理。对于数据主体而言,个人生物识别信息汇聚成数据库及其加工、处理形成的数据财产能够产生额外的财产价值。
三、个人生物识别信息商业利用的保护路径
(一)个人生物识别信息商业利用的价值冲突个人生物识别信息权益涉及人格尊严、隐私、肖像、财产等利益与安全,传统的隐私权、肖像权等单一权利已经不足以概括其内容。肖像权系个人对其肖像是否公开的自主权利,以个人肖像所承载的人格或财产法益为内容。未经他人同意使用肖像摄影、写生、陈列、复制或者以肖像作为营业广告,均构成对肖像权的侵害。〔23〕依据《民法典》第1018条第2款规定,肖像是通过影像、雕塑、绘画等方式在一定载体上所反映的特定自然人可以被识别的外部形象。人脸识别信息属于肖像的类型之一,通过电子数据的方式使肖像再现自然人相貌特征的准确度可达到独一无二的程度。如果行为人利用信息技术伪造并非法使用他人人脸信息,既侵害受害人的肖像权,也侵害受害人的生物识别信息权益。个人生物识别信息的滥用还可能侵害他人的名誉权,例如通过AI 技术将人脸信息剪辑接入淫秽视频,就会降低受害人的社会评价从而侵害其名誉权。声音权与声纹信息之间具有密切的关系。《民法典》第1023条第2款规定对自然人声音的保护参照适用肖像权保护的有关规定。声音权与声纹信息的权利客体相同,但是内容不同。前者以保护声音语言不被他人擅自录音、窃听、模仿或使用为旨归,是一种防御性的具体人格权;后者系自然人对声纹信息的利用和控制权,兼具人格权与
财产权的特征。个人生物识别信息与数据权亦不相同。数据权是数据控制者对“数据集合”(collection of data )享有的占有、处理、处分的新型财产权,个人生物识别信息是数据财产的重要前提和基础。在人格权和财产权的二分格局下,无论是《民法总则(一审稿草案)》将数据视为一种知识产权,还是《民法典》第127条将数据与虚拟财产并列,数据权均系财产权;而个人生物识别信息则兼具人格
利益、财产利益与社会管理利益多重属性。简言之,个人生物识别信息广泛存在因而并不稀缺,它们不太可能因激励而大幅增加。而与个人生物识别信息有关的数据财产是数据从业者对海量的个人生物识别信息进行搜集、记录、存储和分析的结果,最终形成富有经济价值的数据产品。〔24〕
个人生物识别信息包括指纹、声纹、掌纹、耳廓、虹膜、面部特征、个人基因等多个方面,承载着人格自由和人格尊严价值、商业价值和公共管理等多重价值,因此对其保护与利用的利益衡量是个人信息保护法重要的逻辑起点与理论基础。个人生物识别信息主体的人格尊严属于价值理性的范畴,而生物识别信息控制者的数据利用和管理则属于工具理性的范畴。生物识别信息的价值属性与工具属性之间形成巨大的张力:一方面,法律要保护生物识别信息主体的人格尊严和自由,保障其追求人格完整和发展的自主能力,避免个人生物识别信息的泄露或非法使用危害信息主体的人格尊严和自由价值。个人作为目的性的存在,只有消除个人对“信息化形象”被他人操控的疑虑和恐慌,才能有自尊并受到他人尊重地生存与生活;另一方面,个人生物识别信息包含巨大的经济价值,可以被进行大规模的处理与应用。法律要适应技术进步与经济发展,平衡个人生物识别信息主体隐私、利用期待与控制者的数据利用和管理的需
要。有学者从目的价值应优先于工具价值的角度出发,认为个人信息的人格利益相较于开发利用价值而言更为重要。〔25〕为避免过于宽泛的个人信息概念限制信息开发利用之空间,美国学者提出“基于场景”的隐私信息保护理念,即涉案信息是否承载或影响人格利益,需结合信息类型及其应用场景作个案判断。〔26〕只要涉案信息未承载或不影响其人格利益,无论是否与个人有关,均不宜认定为个人信息,这属于“合目的性限缩”。纳入考量的因素包括但不限于信息收集目的、商业利用模式、信息保有量、信息存储时间和环境、识别动机和潜在激励、技术条件和企业信誉等。这是一种结果导向的利益权衡。
个人生物识别信息的商业利用取决于信息控制者与生物识别信息主体之间的权利义务配置。个人生物识别信息的利用主要涉及信息的收集、
信息的储存、信息的加工和处理以及信息的使用,每一个过程都可能涉及到信息的隐私化和隐私的信息
化。过度限制生物识别信息的利用会影响人们的信息分享和造福社会。法律规范应妥当平衡个人生物识别信息利益的保护与生物信息资源有效利用之间的关系。〔27〕在美国,总的理念是允许自由开发利用个人信息,除非该行为给他人造成法律上的损害或遭到法律的明文禁止。〔28〕以美国《商业性人脸识别隐私法案(2019)》为例,该法案从知情同意的角度规定控制者必须在取得个人明确同意的情况下采集、创造、产生、记录、组织、构建、存储、应用、修改、编辑、咨询、使用、披露、转让、传播或者采取其他方式使用、组合、擦除或者销毁面部信息,并对明确同意做出具体界定,还要求控制者向终端用户发送详实易懂的识别通知,充分保障信息主体的知情权和选择权。为保障公共安全、制裁违法犯罪以及开展明显有益于终端用户的人脸识别活动则属于例外情形。与之不同的是,欧盟致力于实现对个人信息自我控制所进行的绝对权立法,造就了个人信息优先保护的典范;直接附着于人身,具有唯一性、持久性和不可更改性的人脸信息密切关联着尊严、自由、财产与话语权等,因此对于人脸识别的研发和应用一直坚守着谨慎的态度,要求境内任何涉及人脸识别的活动都必须严格遵循《通用数据保护条例》(GDPR)的规定。GDPR第9条第1款原则上禁止为了识别特定自然人对基因信息与生物特征识别信息做出相关的数据处理。但是第2款统一规定可以处理个人生物识别信息的例外情形,例如信息主体的明示同意、信息处理是为了信息控制者履行义务或行使权利,或者为了利益相关方在劳动和社会保障法中的权利行使以及信息处理涉及的是个人先前已公开的私人信息等。
(二)个人生物识别信息商业利用的保护路径
个人生物识别信息属于高度敏感的个人信息,生物识别信息与个体的人格尊严和自由密不可分,在立法上倾向于信息主体的利益,以禁止商业化收集、使用个人生物识别信息为原则,同时列举
可以收集、使用个人生物识别信息的具体情形。①依据《民法典》第111条的规定,个人生物识别信息主体与信息利用者以及义务人之间的权利义务关系可以表述为两个方面:一是信息利用者应当获得信息主体的同意,并且应保障个人生物识别信息的安全;二是任何组织或个人不得非法收集、使用、加工、传输、非法买卖、提供或者公开个人生物识别信息。依据《网络安全法》第41条的规定,个人信息的收集和使用的原则包括合法性原则、正当性原则、必要性原则以及公开性原则,同时应当获得信息主体的知情同意。信息主体的知情同意权是个人生物识别信息积极权能的核心。知情同意权可分为知情权和同意权。知情是同意的前提,同意是知情最重要的目的。前者是指信息控制者应向信息主体告知生物识别信息的收集目的、处理方式、使用范围、存储方式、披露规则、传输等内容。后者是指信息主体对于信息控制者对于信息的处理方式作出的自愿、清晰的同意表示。知情同意权体现了信息主体的信息自决权,是意思自治原则在信息归属和利用上的具体贯彻,被视为人性尊严和自由的具体化。依据《个人信息安全规范(2020)》的规定,收集个人敏感信息应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得个人信息主体的明示同意,除非个人信息主体自行向社会公众公开其个人信息。收集年
满14周岁的未成年人的个人信息前,应征得未成年人或其监护人的明示同意,这表明不具备完全表示同意能力的未成年人应尽可能参与表示同意的程序,未成年人的意见应作为一个决定性因素考虑,决定性程度应与其年龄和成熟的程度相当。不满14周岁的,应征得其监护人的明示同意。该法定代理人应当遵循当事人的最大利益原则行事。个人生物识别信息的知情同意权极为严格,这是因为不同类型的个人信息所承载的人格法益与数据开发价值不
①《征信业管理条例》第14条第1款规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。”对于征信机构采集个人生物识别信息,立法上完全禁止。
发布评论