银行业金融机构和非银行金融机构开展移动支付业务,是指开展客户通过移动终端依托公共网络信息系统远程发起支付指令,由银行业金融机构或非银行金融机构为收付款客户提供货币资金转移服务的业务活动。生物特征识别是指通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段结合,利用人体固有的生理特性和行为特征进行个人身份的识别。移动支付生物特征识别信息是借助移动终端参与支付活动而产生的、可以识别该移动终端用户的数据信息,具有相对唯一性、持久性、普遍性等特征,并能够作为关键信息关联其他个人信息。实践中移动支付用户在运用生物特征识别方法进行身份识别、交易验证时面临支付安全和个人信息非法收集、泄露、滥用等问题,移动支付用户个人信息保护主要涉及移动支付生物特征识别个人信息的收集、使用和流转规则以及如何在个人信息保护与数据利用、产业发展之间实现平衡等问题。在移动支付生物识别个人信息的收集方面,移动支付运营者提供产品和服务时普遍存在在隐私政策中征求用户授权同意时未给用户足够选择权、未为用户提供访问、更正、删除个人信息的途径,超越与用户约定收集个人信息等问题,提出移动支付运营者的隐私政策应告知用户生物特征识别个人信息在收集、使用、储存、共享、转让等各环节情况,保障用户的知情权和选择权,并应增加增强式告知。在移动支付生物识别个人信息的保存方面,《个人信息安全规范》未明确仍然在处理中的个人信息是否可进行匿名化,强调匿名化信息绝对的不可复原是不适当的;在移动支付生物识别个人信息的使用方面,《个人信息安全规范》规定了个人信息主体获取个人信息副本的权利,但未要求个人信息控制者采用兼容方式提供副本,且如何设计获取个人信息副本的权利尚需研究,《个人信息安全规范》创设个人信息主体对于信息系统自动决策的申诉模式,但该申诉机制可操作性不强,难以真正保护个人免受算法歧视。在移动支付生物识别个人信息的流转方面,存在个人信息可能被人为泄露、信息转让成本过高等问题,应在移动支付生物识别个人信息保护与利用、流转间寻求平衡,兼顾个人的人格自由和人格尊严利益、信息业者对个人信息利用的利益和国家管理社会的公共利益。