□刘耀莉 马一超 郭泽光

随着科技的不断进步和人们对支付安全性和便捷性的需求不断增加，生物支付技术因其便捷的识别方式和高度安全性备受关注。在生物支付方便消费者生活的同时，由于我国相关法律法规的不完善等原因，生物支付面临着法律合规性、信息安全、消费者权益保护、纠纷解决机制不完善等法律风险和挑战。因此，亟待构建生物支付法律挑战规制路径，以期在规范生物支付行业经营，促进生物支付健康发展的同时保护消费者合法权益。

构建完善生物支付法治体系

完善生物支付专门立法。生物识别技术应用广泛，涉及大量个人生物信息数据的收集、存储和使用。为了保护个人隐私权和数据安全，相关立法应明确规定生物信息的合法获取和有限使用原则。目前我国针对生物支付的相关法规散见于《民法典》《个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等相关法律法规之中，并未有针对性的专门立法来对生物支付进行规范，因此笔者建议尽快制定涵盖刷脸支付、刷掌支付在内的全面的、针对性的法律法规。

完善知情同意制度。立法应明确要求使用生物识别技术前必须取得用户的明确、自由、知情和无歧视的同意。首先，生物支付平台应当合理履行告知义务，对需要个人信息授权处理的情况根据内容应当分别明确告知，并且应确保信息主体一般意义上的充分知情，告知形式应当合理，告知的内容应当易于理解。其次，采用“动态”的知情同意制度。信息处理者在征得个人同意时，必须就生物识别信息处理活动单独取得个人的同意，不能通过一揽子告知同意等方式征得个人同意，做到“一使用一同意”。

建立国家级生物识别信息数据库。建立国家级生物特征数据库是一个旨在充分保障个人隐私和数据安全，促进生物支付技术规范使用与健康发展的重要举措。相关主管机关应当建立专用于存储生物识别信息的安全数据库，规范数据处理流程，确保生物信息的安全存储和使用。该数据库可以通过大数据分析确定金融机构和支付机构调用信息的权限和范围，确保数据仅用于授权目的。同时，该数据库在对用户生物识别信息进行处理时坚持以去标识化为原则，以数据脱敏、匿名化、数据整合为方法，真正使得数据无法直接或间接与特定个体相关联，以保护个人信息安全。

健全行业自律机制。首先，应当成立生物支付行业协会或组织，由行业协会或组织建立统一的行业规范，明确技术标准和操作流程，规范生物支付行业的各项行为。其次，建立风险合规管理机制，定期审查行业风险，加强合规监督，降低违法风险。最后，相关企业应进行信息公开，包括产品功能、信息使用与处理情况、隐私政策等，提高信息透明度，保障用户知情权。

构建多元协同监督机制。构建多元协同监督机制需要政府、生物支付行业与用户共同发力。首先，政府应设立审核和审批制度，引入外部审查机制对生物支付提供商进行严格审查以保证生物支付服务机构的准入资质、识别技术标准，并定期进行监督和检查，确保其合规运营。政府还应严格根据相关法律法规进行监管，对于违法收集、使用、处理生物识别信息行为进行严厉处罚，加大行政监管和处罚的力度。其次，由相关部门引导行业组织协助政府监管，充分发挥行业组织对于从业者的监督管理职能。最后，发挥用户的监督作用，增强信息用户自我保护意识。

最大程度保障个人信息自决

首先，政府机关、企业应该确保生物识别信息只在必要使用时保留，对于已经完成支付目的的生物信息应当立即删除，并要保障用户要求政府机构或企业删除生物数据，切断从该数据中获利的第三方的数据连接的权利行使。

其次，政府和企业可以协同建立依托于个人生物识别信息共享平台的信息使用透明机制来保障个人信息自决。生物支付平台应向消费者详细披露生物识别信息的使用目的、范围及方式。个人也可以通过该平台授权自己的生物识别信息，明确该信息的用途及范围，查询支付平台对生物信息的使用情况，并对自己的生物信息及授权进行修改、删除与撤销。

最后，当消费者与平台、生物识别服务提供者对于用户协议、个人授权等产生分歧时，可以适用《民法典》第496条格式条款，作出利于消费者的解释，倒逼平台、生物识别服务提供者尊重消费者的信息自决权。

构建完善纠纷解决机制

首先，明确信息主体证明责任。制定适用于生物支付纠纷解决的举证责任分配制度。目前生物支付纠纷一般可分为支付安全纠纷、生物信息泄露纠纷和法律责任纠纷三类。支付安全纠纷主要涉及生物支付的技术安全性和支付环境安全性问题，如未经授权的支付行为、支付信息泄露等；生物信息泄露纠纷则涉及生物信息被泄露、滥用或盗用等违法行为；法律责任纠纷则包括合同纠纷、侵权责任、违法行为等。

支付安全纠纷以及生物信息泄露纠纷应采用过错推定原则，由识别系统生产者或使用者证明自己没有过错行为，方可彰显个人信息权益保护之公平，倒逼信息控制者严格遵守保护个人信息的义务。由于人工智能技术的先进性与新颖性，可以适用《产品质量法》第29条规定的生产者三类免责事由加以豁免。法律责任纠纷大多表现为不法侵害人侵权，被侵权人在侵权行为发生时主观上难以知晓或者作出判断，后期即使知晓侵权行为也无法挽回损害结果。侵权人主观过错非常明显，但受害人在举证时十分困难，因此笔者认为采取过错责任更为合适。

其次，给予用户精神损害赔偿请求权。在生物支付纠纷中，用户可能因服务故障、数据泄露等问题遭受严重的精神损害。因此，笔者认为给予用户精神损害赔偿请求权具有充分的必要性。

其一，要明确精神损害认定标准。通过明确认定标准，限缩法官的自由裁量，保障用户的合法权益。其二，要合理确定赔偿额度。针对生物支付纠纷导致的精神损害，应当合理确定赔偿额度。最后，要建立有效的赔偿机制。

再次，拓宽信息主体权利救济渠道。是否适用公益诉讼制度的核心难点在于社会公共利益的认定。从主体看，社会公共利益涉及不特定多数人的利益。但是，生物识别信息保护亦是价值权衡的过程，须平衡效率与安全、技术发展与利益保护之间的关系，若不特定多数人的利益严重阻碍技术发展，则需谨慎认定其是否属于公共利益。由于个人生物识别信息的特征，在认定是否损害公共利益时，应当重点考虑以下四个因素：一是被侵权人数，既包括实际受害人数，也包括潜在的受害者。二是损害结果，鉴于个人生物识别信息的唯一性和关联性，不仅要考虑已经产生的损害后果，还应考虑未来可能产生的损害后果。在符合上述因素的情况下，笔者认为可以通过公益诉讼来解决此类纠纷。三是社会影响性，判断社会影响应当综合考量案件带来的社会舆论以及法律对于生物支付行业发展的引导性。四是应当明确可以提起公益诉讼的主体，包括消费者权益保护组织、行业协会、公益组织等，规范其提起公益诉讼的条件和程序，确保公益诉讼的合法性和有效性。

【河北省法学会2023年度研究课题 立项编号：HBF23B023】

（作者单位：刘耀莉，河北政法职业学院；马一超，河北省委党校（河北行政学院）；郭泽光，河北地质大学）