个人信息是大数据时代电子服务的资源基础,个人信息保护制度虽然并非这一时代特有的产物,但面对行业发展的冲击,固有的规范在应对时代发展的过程中显现出了诸多不足。作为大数据时代典型的商业运作模式,第三方支付模式在短短几年时间内便从萌芽到成熟。然而,由于这一运作模式涉及大量的个人用户信息,本就相对落后的个人信息保护制度很难实现更高程度的信息安全。观察域外法律制度可以发现,欧盟有关第三方支付模式下个人信息保护制度的规定颇有针对性,对此开展比较法的研究对把握个人信息制度发展趋势,从而对中国相关法律规范提出完善的建议大有裨益。本论文除了导言和结论部分之外,包含六个部分。前两个部分是有关第三方支付模式下个人信息保护的基本问题与一般保护规则,从第三部分开始,根据第三方支付模式下个人信息流通的流程,就具体阶段下敏感支付信息的相关制度,对比欧盟法与中国法之间的差异,并针对中国法之不足,提出相应的完善建议。第一部分,需要在宏观上认识到欧盟法与中国法有关“第三方支付服务”与“个人信息”的立法概念与类型上的差异,明确“第三方支付服务”与“个人信息”在本论文中的具体含义。由于欧盟法的规定更为完整,本论文是基于欧盟法的规定,使用“第三方支付服务”“个人信息”的概念。第二部分,根据欧盟法对个人信息分级保护的理念,在第三方支付这个特定语境下,梳理并对比欧盟法与中国法中对敏感信息的概念界定,并从具体的个人信息保护规范中概括归纳出敏感信息保护的一般规则。第三部分,在用户信息核对制度方面,通过梳理可以发现,欧盟法以《开放通信的监管技术标准》为中心确立起了一个统一的用户个人电子信息档案体系,为完整的个人信息安全体系打下了坚实的基础。第三方支付服务商不承担身份信息收集和保管的义务,减小了信息泄露了风险。中国信息核对制度是以用户实名制为核心的,在资料保管方面,电子化程度有限,并且保存机构过于分散,使得相关机制的效率有限。解决的办法便是至少在一定地域内确立一个统一的个人电子信息档案体系。第四,在用户支付验证制度方面,欧盟2015年《支付服务指令》要求欧洲各大银行及第三方支付服务提供机构强制执行网上支付用户身份认证程序,即严格用户身份验证程序。与之相比,除了电子签名的效力有明确规定以外,总体上,中国的用户支付验证制度由于缺少明确法律依据,在具体的验证过程中存在大量的合规风险。第五,在支付服务风险管理方面,欧盟通过发布《关于支付服务操作和安全风险管理指南》,使得第三方支付服务风险管理制度具有更强的可操作性,同时也有助于提高第三方支付机构的安全风险意识。中国对第三方支付服务全面监管的同时也应当注意通过发布指南,引导第三方支付平台积极履行合规义务,主动克服服务风险。第六,在重大事故报告制度方面,欧盟同样发布了一项指南,即《重大事故报告指南》。根据该指南,第三方支付服务商需要在特定情况下,根据具体程序,及时提交初步报告、中间报告和最终报告。尽管中国法下,第三方支付服务商有一定的报告义务,但对重大事故报告制度缺少明确的分类与程序规定,并且缺少通知用户制度的规定。这也是完善第三方支付服务监管的重要方面。