讀者人臉識別信息處理模式的優化

摘 要：圖書館對讀者人臉識別信息的處理逐漸走向常態化。我國現行法律確立的讀者人臉識別信息處理模式在圖書館人臉識別技術應用場景下，面臨技術的非接觸性與復雜性致使讀者知情難、程序正義與追求效率的抵牾造成讀者同意難、算法的“黑箱”運行導致讀者同意撤回難等困境。對此，應遵循利益平衡理念構建兼顧讀者保護利益和圖書館發展利益的階段式讀者人臉識別信息處理模式。一方面，在讀者人臉識別信息的收集階段配置擇出機制，并充分保障讀者的知情權；另一方面，在讀者人臉識別信息的使用階段適用動態同意機制，在滿足讀者合理預期與場景完整性的前提下鼓勵讀者人臉識別信息的適當流動。

關鍵詞：圖書館；讀者人臉識別信息；擇出機制；動態同意機制

中圖分類號：G250.7；G252 文獻標識碼：A

Optimizing Processing Modes for Reader Facial Recognition Information

Abstract Libraries are increasingly normalizing the handling of reader facial recognition information. In the context of library facial recognition technology， the current legal framework in China faces challenges such as the non-contact nature and complexity of technology， making it difficult for readers to be informed; the conflict between procedural justice and efficiency leads to challenges in obtaining reader consent; and the opaque operation of algorithms makes it difficult for readers to revoke consent. To address these issues， it is essential to adopt a phased approach to reader facial recognition information processing that balances the interests of reader protection and library development. On one hand， mechanisms for opting out should be implemented during the collection phase of reader facial recognition information， with a focus on ensuring readers' right to be informed. On the other hand， a dynamic consent mechanism should be applied during the usage phase of reader facial recognition information， encouraging appropriate data flows while meeting readers' reasonable expectations and ensuring scene integrity.

Key words library; reader facial recognition information; opt-out regime; dynamic consent mechanism

1 引言

智能社會正在快速形成，作為大數據和人工智能等新興科技的發展與應用，人臉識別技術被視為全球高新技術產業賽道中的戰略至高點。與其他生物識別信息相比，人臉識別信息具有唯一性、易收集性、不可匿名性和不可篡改性等內生性優勢，這使得人臉識別技術在諸多生活場景中備受追捧[1]。近年來，我國圖書館界已深刻認識到人臉識別技術的重要價值，并陸續將之應用于圖書館的管理和服務中。隨著人臉識別技術在圖書館領域的日益普及，圖書館開始大量收集讀者人臉識別信息，對讀者人臉識別信息的處理逐漸走向常態化。從根本上說，任何一個掌握個人信息的主體都有可能侵犯信息主體的權利，尤其是個人信息的隱私權。因此，全球視野下諸多國家的圖書館在處理讀者個人信息時都嚴格遵循知情同意規則。比如，德國國家圖書館分門別類地規定了讀者個人信息的收集目的；英國國家圖書館為保障讀者對個人信息使用的知情權，將讀者個人信息的使用情形細化成若干內容；韓國國家圖書館規定了不同場景下讀者個人信息的使用基礎和使用目的[2]。與國外圖書館對讀者個人信息處理的合規性重視相比，我國大多數圖書館至今尚未制定讀者個人信息保護政策，甚至有些圖書館未經讀者同意就擅自收集和使用讀者人臉識別信息，讀者的人格利益和財產利益遭受侵犯。我國現行法律采取的是以“知情—同意”為實現機制的個人信息保護模式，該模式旨在通過賦予信息主體知情權和同意權控制個人信息的處理，從而緩和乃至消除個人信息被侵犯的危險[3]。然而，在圖書館人臉識別技術應用場景下，這一模式存在諸多困境。對此，在圖書館廣泛應用人臉識別技術的現實背景下，如何有效規制讀者人臉識別信息的不當處理行為，從而規避可能由之觸發的法益侵害風險，成為時下亟待解決的重要問題。

2 現行讀者人臉識別信息處理模式的困境

在我國的現行法律體系框架內，單獨同意規則和同意撤回規則共同劃定了讀者人臉識別信息的處理邊界，最大限度地捍衛了讀者的個人尊嚴和行動自由，保障了讀者人臉識別信息蘊含的各項利益不受侵犯。然而，在圖書館人臉識別技術應用場景下，現行法律確立的讀者人臉識別信息處理模式正面臨嚴峻挑戰。

2.1 技術的非接觸性與復雜性致使讀者知情難

在“知情—同意”機制中，信息主體充分知情是其作出同意的前提條件。隨著人臉識別技術的發展，圖書館對讀者人臉識別信息的收集可以“無感化”實施，信息的獲取和識別認證過程十分容易，無需讀者進行任何操作[4]。人臉識別技術的非接觸性是其區別于其他生物識別技術的一大優勢，但從反面來說，這種優勢可能突破讀者個人信息保護的知情同意而自動完成人臉信息識別，成為讀者人臉識別信息被不當處理的根源所在。國外學者Prosser提出風險自擔理論，即當信息主體決定進入公共場所時理應意識到要承擔個人事務被公開的風險[5]。然而，在人臉識別技術應用領域風險自擔理論的妥當性難以得到有效證立。一方面，自擔風險理論預設的前提是信息主體能夠充分理解自己的選擇可能帶來的效果，而在圖書館人臉識別技術應用中，讀者人臉識別信息的收集依靠攝像頭自動拍攝，不需要主動接觸采集設備，整個過程讀者可能毫無察覺，從而錯失了甄別風險并明確表示同意或拒絕的機會。另一方面，人臉識別技術的非接觸性使得其在應用過程中對于身份的識別變得輕而易舉，讀者不知道自己已經被技術所識別和分析，從而很難準確評估被動揭示身份的累積效應所形成的影響范圍和后果，這會導致讀者的自我價值缺失。

為保證信息主體的知情同意權，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第17條和第30條分別規定信息處理者在處理個人信息時，應向信息主體告知處理的目的和方式、保存期限等主要內容，以及處理的必要性和對個人信息權益產生的影響。然而，圖書館對讀者人臉識別信息的處理遠未達到此種明示程度。為信息主體創建和實施信息處理協議是一種值得推行的做法，因為它告訴個體其個人信息將會被如何處理[6]。目前，較為通行的做法是在圖書館的官方網站或微信公眾號上就讀者人臉識別信息的采集進行告知，讀者根據告知的事項，以其行為明示同意。例如，遼寧石油化工大學圖書館在其微信公眾號上告知讀者利用智能手機、iPad等終端設備下載“易校園”APP，綁定本人校園卡號實名認證后進行人臉信息采集入庫[7]；丹江口市圖書館也在其微信公眾號上告知持有借閱卡的讀者帶上個人身份證在辦證機器上按照屏幕提示錄入人臉，以供借閱機辦理查詢及借還書籍業務[8]。有些圖書館在采集讀者人臉識別信息時，還會制定同意采集協議，要求讀者作出明確的授權。例如，懷化學院圖書館在收集讀者人臉識別信息前，就需要讀者在人臉圖像采集機上點擊“同意采集”[9]；珠海市圖書館需要讀者點擊“已閱讀并同意”跳過人臉識別協議后才能完成人臉信息的錄入[10]；西華大學圖書館的人像采集服務端需要讀者閱讀并同意《人臉識別服務告知同意書》[11]；廣州商學院圖書館的采集步驟中，讀者只有查看采集規則后點擊采集，按照采集提示操作，采集完成后確認照片并提交才能最終完成人臉識別信息的采集[12]。然而，為提高管理效率進而實現自身利益最大化，圖書館往往限制讀者參與知情[13]，以致這些告知文本多屬于一種形式告知。一方面，圖書館制定的告知文本或者同意采集協議友好度欠缺。讀者個人信息的保護問題本身就具有相當程度的專業性，而在人臉識別技術應用領域的信息處理政策往往更加復雜，遠超一般讀者的閱讀理解能力。圖書館采集讀者的人臉識別信息時，會利用專業、信息和技術等優勢弱化告知文本或者同意采集協議的告知功能。例如，要么在同意采集協議中使用冗長的文字表述消磨讀者的閱讀興趣，要么對告知文本的設計過于宏觀，導致讀者只能作出概括同意的意思表示；或者是利用專業本身的鴻溝制定艱難晦澀的同意采集協議，使讀者陷入理解難的困局。不能期待讀者認真仔細閱讀隱私政策的全文，以及讀者的教育背景不一所帶來的對于各條款的理解能力偏差均可能成為難以獲得無效力瑕疵的讀者意思表示的重要原因。另一方面，大數據的非線性部分致使圖書館無法在告知文本或者同意采集協議中向讀者作出清晰、具體、確定的告知，為了履行告知義務，其多采用“改善讀者體驗”“保護信息安全”等模糊性表述。例如，廣東科學技術職業學院圖書館指出，人臉信息收集遵循自愿原則，而且收集的人臉信息僅用于學校內部系統身份認證使用，并提供完善的信息安全保證[14]。而如此模糊的告知內容使得讀者難以準確了解圖書館采集人臉識別信息的目的。人臉識別技術內部運行邏輯的復雜性導致了讀者表面上作出同意的決定而實際上卻可能毫不知情。讀者可能無法知道自己的什么信息什么時候被收集和使用，或者讀者本人知情人臉識別信息被圖書館收集，其也可能對日后人臉識別信息的具體用途以及據此分析出哪些關于個人的事項一無所知。

2.2 程序正義與追求效率的抵牾造成讀者同意難

讀者人臉識別信息系屬讀者的敏感個人信息，圖書館處理讀者的敏感個人信息應當取得讀者的單獨同意。單獨同意規則作為個人信息自決權理論的延伸和擴展，對同意內容的特定化提出了更高的要求，即圖書館應就讀者人臉識別信息的處理單獨取得讀者明確的、專項的、自愿的同意，不能通過一攬子告知同意的方式征得讀者同意[15]。立法上明示敏感個人信息的處理應取得信息主體的單獨同意，暗含信息主體具有控制或支配敏感個人信息的權利。這意味著未取得讀者的同意擅自處理其人臉識別信息的行為構成違法行為，應當承擔相應的法律責任。但是，由于人臉識別技術與生俱來的高效便捷特征，技術本質上的效率性追求與立法明示同意的程序性要求形成了天然的“敵對”，作為讀者人臉識別信息處理的正當性基礎，單獨同意規則逐漸式微。具體來說，圖書館引進人臉識別技術的原初目的意在節省服務時間、提升服務水平和優化管理能力。而單獨同意規則雖然大幅強化了讀者人臉識別信息的保護，但在程序性要求上會與人臉識別技術對效率的追求本身背道而馳。

第一，在圖書館處理讀者人臉識別信息過程中，讀者對其人臉識別信息既難具決定自由，又缺乏控制能力，單獨同意規則的正當性基礎大打折扣。讀者固然有權決定個人信息能否收集以及如何使用，但這種決定自由應受到個人信息價值的社會性限制。社會性作為人的本質，最重要的體現就在于參與社會交往，只有通過交往，人才能體驗人的整體性存在[16]。作為能夠識別到具體個體的信息，個人信息實際上在個體之間、個體與社會之間擔負起了連接角色，其首要價值即是促進個體實現社會交往。人臉識別信息的價值性在于流動，只有處于流通中的人臉識別信息才能真正實現其價值。從這個維度來說，圖書館對讀者的個人信息理應享有一定的利益，反過來讀者個人信息的決定自由就應受到限制。然而，在現實生活中讀者的決定自由往往會受到過度限制，即有些圖書館憑借其所處的優勢性地位為讀者設置了“不選即走”的選擇模式，除了同意圖書館收集和使用其人臉識別信息，讀者并無第二個選項，根本不具有決定的自由。例如，哈爾濱商業大學圖書館向讀者告知，圖書館的人臉識別門禁系統需要先在人臉識別系統注冊機錄入人臉識別信息才能通過人臉識別進出圖書館。該圖書館還強調，校園一卡通和人臉識別系統并行使用1個月，1個月后禁止刷卡入館[17]。再如，哈爾濱體育學院圖書館的門禁也全部使用人臉識別系統，對圖書館閱覽學習區進行統一座位管理[18]。還有的圖書館在刷臉進館試運行期間，強制讀者在圖書館門禁的人臉識別機器上刷一卡通并收集讀者人臉識別信息，禁止其余的一卡通通道通行[19]。圖書館為了追求效率而采取如上措施后，讀者只能任由圖書館收集其人臉識別信息，否則就無法享受圖書館的服務，個人信息同意權的控制效能被圖書館完全架空。

第二，人臉識別信息的使用方式和目的日益多樣化，圖書館將面臨無休止的告知且取得讀者同意的窘境。如此顯然會增加圖書館管理上的成本，降低人臉識別技術的應用效率，無益于圖書館的數字化、智能化、智慧化建設。圖書館還會因此陷入稍有不慎就侵犯讀者個人信息權益的危險之中，危機四伏的境遇會極大束縛圖書館實施創新行為，同時也將遏制讀者福祉的實現。何況，對于讀者人臉識別信息的使用，圖書館可能缺乏或根本上就沒有告知且取得讀者同意的渠道，此時仍要求告知和征得讀者同意，無疑會產生巨大成本，如時間成本、通信費用、交通費用、文本費用等，而且這最終可能會反映在圖書館向讀者提供的服務上。隨著圖書館領域人臉識別技術的大量應用，很難再去苛求每一次人臉識別信息的收集都需要取得讀者的單獨同意，再次使用都應與讀者重新簽訂同意協議。若需要讀者時時事事的同意，那么對讀者帶來的騷擾可能遠甚于信息使用行為本身。

2.3 算法的“黑箱”運行導致讀者同意撤回難

傳統的“告知—同意”模型僅允許信息主體在信息收集階段作出同意的決定，但實際上，在信息收集階段信息主體往往難以判斷信息在后續的深度分析與流通中將會對個人產生何種影響[20]。因此，要求更加嚴格地對待信息主體的信息自決權并允許同意的撤回，可以一定程度紓解信息主體僅能在信息收集階段行權的僵硬性問題。同意撤回是信息主體基于信息自決權，對已經作出的“同意信息處理者對其個人信息進行處理”的授權予以取消的意思表示。在圖書館人臉識別技術應用下，讀者對其人臉識別信息的收集同意難的同時，其人臉識別信息在被圖書館識別分析后讀者同樣很難進行有效控制。人臉識別技術的底層邏輯是通過人臉信息的捕獲、檢測、提取、比對從而完成身份的驗證或識別，屬于一種身份識別機制[21]。然而，隨著圖書館對人臉識別技術應用的不斷進步與革新，當前圖書館對人臉識別技術的運用已經不再局限于“把讀者認出來”的身份識別，而是能夠在人臉識別的基礎上，借助于算法決策對讀者人臉識別信息進行進一步的整合分析或其他關聯性分析。例如，廣州市南沙區圖書館的人臉識別數據庫在應用層面，可以在圖書館的人臉大數據分析平臺中提前錄入特定讀者的人臉識別信息，調取數據庫后，設備終端即可自動識別，從而引導該特定讀者并為之提供個性化服務[22]。在讀者人臉識別/驗證的基礎上，廣州市南沙區圖書館基于人臉識別信息分析繪制讀者的人格畫像，對讀者進行個人性格、行為偏好、身份特質等個人特征分析。然而，一方面，對讀者人臉信息進行識別分析過程中，圖書館的信息處理行為可能會超越原場景中讀者的目的性拘束，導致讀者的知情權和控制權喪失，繼而造成知情同意機制進一步失靈。另一方面，算法的“黑箱”運行缺乏透明性，讀者無法參與并知情人臉識別信息的具體處理進程。在這種情況下，讀者如何撤回已經進入算法決策的人臉識別信息，同意撤回權的行使能否達到即時停止圖書館對人臉識別信息分析利用的實在效果，都是亟待思考的問題。可見，在圖書館對人臉識別技術的應用由身份識別階段過渡到了識別分析階段后，識別分析中的算法黑箱無疑成為了同意撤回規則能否實現的最大障礙。

3 重構讀者人臉識別信息處理模式的理念遵循

以“知情—同意”為實現機制的個人信息處理模式盡管可以在一定程度上緩和讀者人臉識別信息被侵犯的危險，但這一處理模式因過于機械而在圖書館人臉識別技術的應用場景下面臨諸多困境。對此，應當重構讀者人臉識別信息處理模式。為了防止機制設置不科學而導致的功能偏離，在對讀者人臉識別信息處理模式進行完善時理應遵循一定的指導原理，即有必要在利益平衡理念的指引下構建兼顧讀者保護利益與圖書館發展利益的讀者人臉識別信息處理模式。

3.1 價值導向：重視主體間的利益平衡

在信息社會個人信息不可避免地分化出公共屬性，展現出個人性與公共性共存的時代特征。個人信息是社會信息的源泉，社會信息是個人信息的轉化形式，保護和利用個人信息是信息社會的基本矛盾，兩者分別與信息的個人屬性和公共屬性相應合。相關個人信息保護政策的制定為個人信息的治理模式和保護機制提供了建構依據。黨的十八屆三中全會后，習近平總書記就《中共中央關于全面深化改革若干重大問題的決定》所作的說明中指出：“網絡和信息安全牽涉到國家安全和社會穩定”，“全會決定提出堅持積極利用、科學發展、依法管理、確保安全的方針”[23]。2016年11月《中華人民共和國網絡安全法》的制定與實施是我國網絡安全治理的重要里程碑，該法第3條規定“國家堅持網絡安全與信息化發展并重，遵循積極利用、科學發展、依法管理、確保安全的方針”。2021年6月公布的《中華人民共和國數據安全法》第7條作出宣示性規定，“鼓勵數據依法合理有效利用”，并“保障數據依法有序自由流動”。同年8月公布的《個人信息保護法》第1條將“為了保護個人信息權益”和“促進個人信息合理利用”作為該法的立法目的。2022年12月，中共中央、國務院在《關于構建數據基礎制度更好發揮數據要素作用的意見》中提出既要“促進個人信息合理利用”，又要“加大個人信息保護力度”。相關法律與政策互為呼應，共同構成我國個人信息保護政策的綜合框架。從這些重要的政策性文件以及法律來看，我國在解決基本矛盾過程中既要求充分保護個人信息，又要求個人信息的積極利用，特別重視個人信息保護利益和利用利益的平衡。

讀者人臉識別信息雖然是讀者個人的信息，但是這一信息背后不乏其他的利益相關者。這些利益相關者歸納起來主要有兩類，即讀者和圖書館。無論如何定義，讀者都是其人臉識別信息的直接利益相關者，其中的利益既包括隱私權以及由之衍生的人格權，也包括經濟利益以及相對應的財產性權利。當然，在個體維度還存在其他利益相關者，比如未成年讀者的監護人針對未成年的人臉識別信息的處置權利。為了避免問題的復雜化，筆者在此不討論其他主體對讀者人臉識別信息享有的實然或者應然利益。在個人利益之外，圖書館也是讀者人臉識別信息的重大利益相關者。在人臉識別技術參與圖書館的數字化、智能化和智慧化體系建設后，不難預見大量讀者人臉識別信息將會被收集與使用。沒有讀者人臉識別信息的收集與使用，基于人臉識別信息得以運轉的人臉識別技術就失去了存在的根基，“圖書館建設要緊跟時代的發展”只能永遠停留于紙面而最終成為不切實際的臆想。可見，被人臉識別技術裹挾的人臉識別信息背后蘊含的實際是個人信息的個人屬性和社會屬性的結合。換言之，讀者人臉識別信息的價值功能決定了其具有復合型屬性，其中個人屬性和社會屬性既彼此關聯，又相互轉化。流動與安全作為讀者人臉識別信息的二元價值目標，兩者產生的結構性沖突從根本上可以劃歸為個人利益和公共利益的界限問題。在利益平衡理念指引下設計的法律規則能夠充分權衡法律調整對象之間的利益，有效避免或減少某一利益主體對自身利益的過度追逐。因此，筆者認為可以在利益衡量的基礎上構建讀者人臉識別信息的處理模式，以實現讀者和圖書館的利益均衡。遵循利益平衡理念，重塑讀者人臉識別信息處理模式的總體導向是：既要推動讀者人臉識別信息更好地融入圖書館的數字化、智能化、智慧化建設進程，又要防止人臉識別系統和設備可能給讀者個人利益帶來的侵害，保障人臉識別信息安全。

3.2 構建方向：階段式的信息處理模式

與高速發展的現代科技相比，法律規范顯得相對滯后，而成文法的滯后性在數字時代表現得尤為突出。圖書館人臉識別技術應用下讀者人臉識別信息的復雜性與復合性，決定了在構建讀者人臉識別信息處理模式時應針對不同應用場景實施特殊治理。《個人信息保護法》第4條第2款規定：“個人信息的處理行為包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。”從廣義上理解，使用行為應是指囊括所有發揮個人信息功效的行為。因此，加工、傳輸、提供、公開、刪除等行為均可以看作廣義的使用行為。與此不同，收集是個人信息的從無到有，而存儲則是將收集后的個人信息進行保存，這兩種個人信息處理行為并未發揮個人信息的功效，與使用行為具有本質上的差異性。由此來看，人臉識別技術的應用主要涉及人臉識別信息的收集、存儲、使用三個環節。其中，收集是存儲和使用的前提，沒有收集自然就不可能涉及后續的存儲和使用。

在收集讀者人臉識別信息前，圖書館應當對讀者就有關其人臉識別信息被收集、存儲和使用的情況進行充分告知，使讀者了解其人臉識別信息將會被如何收集、存儲和使用，以有利于當事人同意權之行使。這種同意模式將讀者的同意權置于人臉識別信息的收集階段，固然可以避免因頻繁溝通而帶來的高昂成本，但會導致讀者的知情同意權形同虛設。一方面，在同意圖書館收集人臉識別信息前，讀者對于圖書館告知的人臉識別信息的存儲形式和使用目的未來可能發生的風險無法充分理解，難以作出基于自愿的、明確的同意之意思表示；另一方面，圖書館在比對核驗讀者人臉識別信息或者在讀者人臉識別信息使用所對應的服務中，可能會因為適用場景的變化而超越原初個人同意的范圍和目的使用讀者人臉識別信息，讀者事前不可能給出符合期待的同意。雖然《個人信息保護法》第14條第2款規定，“個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。”但這種以自我事后監督的方式完成對自我非授權行為的糾正往往動因不足，可能導致對非法存儲和使用讀者人臉識別信息的人為放縱現象發生。因此，應當結合讀者人臉識別信息處理的不同階段，設置階段式的讀者人臉識別信息處理機制，以對讀者人臉識別信息施以更加具有針對性的保護。否則，當司法實踐中出現通過合法手段獲取讀者人臉識別信息后再非法存儲、使用的情況，現行法律勢必難以應對。值得注意的是，盡管存儲行為與使用行為在語義以及行為方式上存在差別，但圖書館在合法收集讀者人臉識別信息后，對于人臉識別信息的存儲形式和使用范圍發生變更的都應再征得讀者的同意，兩者在時間序列上都同樣處于收集后的使用階段。由此，階段式的讀者人臉識別信息處理模式，即指應當區分讀者人臉識別信息在收集階段的同意與在使用階段的同意。

4 階段式讀者人臉識別信息處理模式的具體展開

遵循于利益平衡理念，有必要重新構建一套兼顧讀者保護利益與圖書館發展利益的階段式讀者人臉識別信息處理模式，即對于讀者人臉識別信息處理的同意應當區分在收集階段的同意與在使用階段的同意，本部分主要就如何構建階段式的讀者人臉識別信息處理模式展開分析。

4.1 在收集階段配置擇出機制

有鑒于私人自治價值的局限性，大多數國家的立法都有對信息收集過程中信息主體的決定權這一私人自治環節進行一定程度的規則干預。從當前各個國家的立法情況來看，信息主體對個人信息收集過程的參與主要有兩種基本路徑：一是擇入機制，即信息主體需要實施肯定性行為參與個人信息的采集，取得信息主體的同意是收集得以進行的合法性基礎。例如，歐盟《一般數據保護條例》（General Data Protection Regulation， GDPR）第6條將數據主體的“同意”作為數據收集合法性最重要的前置性條件，第7條規定數據主體同意收集的證明責任由數據控制者承擔[24]。可見，歐盟對個人信息的收集采取了擇入機制作為主要模式。二是擇出機制，即信息處理者不需要取得信息主體的同意便能收集信息主體的個人信息，信息主體僅享有選擇退出的權利。美國的同意機制主要采取的是擇出機制。聯邦立法上，1996年《電信法》（Telecommunications Act of 1996）關于消費者信息隱私之規定，互聯網內容提供商使用或分享收集的敏感個人信息應當遵從擇入機制，而對于收集內容更為豐富的非敏感個人信息則采取擇出規則[25]。在州立法層面，2018年《加州消費者隱私法案》（California Consumer Privacy Act of 2018， CCPA）規定企業收集消費者個人信息僅需要在收集發生時或發生前向消費者告知個人信息的收集類別與使用目的，并無征求同意之義務[25]。擇入機制和擇出機制是兩種截然不同的立法形式，背后體現了信息主體與信息處理者之間利益博弈的不同政策考量。擇入機制在制度設計上顯然更注重對信息自決權的保護，而擇出機制則明顯傾向于個人信息的利用利益。

“如果人們試圖想滿足這兩種在社會法治國中都具有正當性的要求，解決方案只能‘審慎地衡量當時彼此對立，甚至相互沖突的利益的重要性’”[26]。因此，在讀者人臉識別收集的法律控制當中，究竟是適用擇入機制還是擇出機制，必須要經過一定的利益衡量才能作出合理判斷。首先，擇出機制中的同意是被推定的“默示同意”，這意味著圖書館收集讀者的人臉識別信息時盡管沒有取得讀者的單獨同意，但仍可以視為讀者作出了同意的意思表示，或者讀者錄入人臉信息的行為本身就代表了同意，讀者所切實享有的權利只是在人臉識別信息被收集后選擇退出的拒絕權。由于圖書館不需要取得讀者同意即可收集讀者人臉識別信息，從整體上可以促進信息收集行為的社會效益產出。相比于擇出機制，擇入機制固然能夠一定程度遏制圖書館利用默示同意規則任意地收集讀者人臉識別信息，但擇入機制的僵化性問題無疑會增加圖書館收集讀者人臉識別信息的成本與負擔，從而變相鉗制人臉識別技術在圖書館領域的發展。其次，圖書館作為讀者人臉識別信息的收集主體，掌握著收集手段和目的以及后續的處理風險在內的諸多信息。在讀者并未實際享受圖書館應用人臉識別技術帶來的便利之前，披露的信息越多，在知悉可能潛藏的各種風險后，讀者同意圖書館收集其人臉識別信息的可能性就越小。盡管將相關信息盡數披露給讀者能夠協調雙方在信息掌握方面的不對稱問題，但圖書館作為“逐利”的理性主體，可能會為了追逐圖書館的自身利益而刻意隱瞞部分重要信息，以保證己方在信息收集過程中處于最優位置。最后，對于沒有取得讀者單獨同意圖書館就擅自收集讀者人臉識別信息的情形，讀者行使同意撤回權能否阻止圖書館繼續侵入其私人自治領域，對該問題的回答不僅涉及同意撤回權的行使前提是否需要存有讀者現實性的同意，而且關系到擇出機制的構建。在擇出機制下，退出與拒絕權利的行使往往需要經由一系列程序方能實現。事實上，后文筆者倡導在使用階段利用技術創新建構的動態同意機制恰好能夠保證讀者退出與拒絕權利的行使。

在讀者人臉識別信息收集階段采取擇出機制，并不意味著免除了圖書館的告知義務。由于讀者人臉識別信息具有特殊性，一旦被收集讀者就可能對其失去控制，進而可能侵害讀者的正當權益。因此，讀者應要求圖書館在收集時向讀者履行充分的告知義務，以保證讀者的知情權與信息收集后拒絕權的行使。然而，一方面，由于作為人臉識別信息處理者的圖書館藏匿于收集終端設備之后，從圖書館提供的服務終端設備中讀者無法查詢其人臉識別信息被收集的情況，或者圖書館設置的同意采集協議內容冗長導致讀者閱讀不便；另一方面，人臉識別技術專業性強，技術壁壘觸發的知識鴻溝致使讀者難以理解告知的內容。有鑒于此，筆者建議，在讀者人臉識別信息收集階段，圖書館的告知義務應從兩個方面進行規范：第一，圖書館收集讀者人臉識別信息的，不得免除其告知義務，即不論圖書館基于何種目的（不違反法律的禁止性規定）收集讀者人臉識別信息，都應如實向讀者進行告知，且告知的內容至少要包括收集的手段和目的、使用的范圍、存儲的方式與時限以及潛在的風險等基本信息。第二，應使用通俗易懂的語言進行顯著的書面告知，同時對不易理解的重點內容進行單獨告知。在讀者人臉識別信息的收集階段，可能面臨收集規模巨大或線上遠程收集等情況，此時圖書館應通過移動終端推送或者以彈窗等形式向讀者單獨告知。若告知內容屬于格式條款，則應由相關監管機構進行事前審查。通過這一系列舉措的實施，可以在讀者人臉識別信息的處理周期開始前，讓讀者的知情權得到充分保障。

4.2 在使用階段適用動態同意機制

在收集讀者人臉識別信息后，處理場景的動態化將會導致讀者的知情同意需求處于不斷變化之中，處理模式的重新塑造理應符合這一基本需求。構建一種由場景理論指導下的動態同意機制能夠很好地對之進行回應，在滿足讀者合理預期與場景完整性的前提下鼓勵讀者人臉識別信息的適當流動。“場景”一詞源于Helen Nissenbaum創制的動態情境理論，該理論強調個人信息的保護應注重考慮情景關聯因素，以及信息主體在當下的情景作出的同意與合理預期[27]。有學者根據動態情境理論設計了一種兼具靈活、便捷、效率的動態同意機制，即在信息使用者和信息主體之間運用現代化信息技術手段搭建一個可供溝通的平臺，使得信息主體的知情同意成為一個持續性、動態性、開放性的過程。在平臺上，信息主體不僅可以突破時間和空間的束縛自由查閱個人信息的處理情況和階段，方便作出選擇同意加入或者退出的決定，而且能夠對包括希望接收的信息范圍、種類、時間段與頻度等進行個性化的偏好設置，并可隨時修改；信息處理者可以即時向信息主體告知個人信息處理的情況和階段，如果個人信息的處理超越了收集階段雙方的約定或者需要提供給第三方處理，也應在平臺上進行告知[28]。動態同意機制確保了信息主體同意撤回權的行使，讓信息主體能夠參與到信息處理進程中，對于讀者人臉識別信息知情同意規則的重新構建具有借鑒意義。

首先，動態同意機制始終將讀者居于人臉識別信息處理的軸心。在快速迭代的信息社會，個人信息處理的透明性將成為人臉識別信息保護的重要基礎之一，能夠有效地向信息主體傳達其人臉識別信息正在接受何種形式的處理，從而方便信息主體做出理性決策。在動態同意機制下，圖書館可以通過技術平臺動態地、開放地、及時地披露讀者人臉識別信息的具體處理細節，讀者可以根據自身意愿選擇繼續接受圖書館的服務或者撤回同意后退出，而不是在同意人臉識別信息的收集后，即使原初目的發生改變也不能拒絕并撤回同意，只能被迫接受圖書館的服務。與此同時，圖書館為了不流失讀者資源，會不斷調整和改善讀者的人臉識別信息處理的安全性，圖書館和讀者的角色和地位儼然發生了轉換。

其次，動態同意機制能夠提高讀者同意的真實性，實現充分的意思自治。在現有人臉識別協議的文本調查中，雖然部分圖書館采取了字體加粗或者使用著重符號提示讀者注意閱讀重點內容，但內容的冗長增加了讀者的閱讀負擔，讀者可能由于理解能力不足或者時間緊迫等原因而無法充分知情。動態同意機制要求在圖書館和讀者之間搭建可供溝通的平臺，讀者可以根據自身要求進行偏好設置，并依據圖書館告知的內容決定在何種情況下作出同意或者拒絕的選擇。這種同意模式通過改變知情權的實現方式保障讀者的權益，避免事前的一次性告知向后續信息處理過程的不當延伸，即確保告知在信息處理過程中的動態性、持續性和清晰性。換言之，隨著圖書館對讀者人臉識別信息使用的逐漸深化，采取階段性告知的方式，更加有益于讀者依據具體情景了解人臉識別信息的使用可能蘊含的風險，以便作出符合其內心真實意思的同意。

最后，動態同意機制可以保障讀者同意撤回權的行使。雖然我國《個人信息保護法》明確規定了撤回同意規則，但由于圖書館和讀者之間缺乏可供溝通的平臺與渠道，現實生活中并不存在一個有效、快捷的同意撤回機制，這使得讀者在人臉識別信息收集后很難干預圖書館對人臉識別信息的處理進程。若要阻止圖書館對讀者人臉識別信息的不當處理，讀者只能在收集階段作出明確拒絕的意思表示。動態同意機制將作為信息處理者的圖書館與作為信息主體的讀者直接聯系起來，讀者可以在平臺上自由行為，允許其根據所了解到的事實決定選擇進入和退出，極大便利了同意撤回權的行使，打破了既往“同意即終身”模式的桎梏，吻合情境理論中合理預期的要求。并且，萬物互聯時代的到來和5G網絡技術的發展，依托于極具實力的超級平臺搭建一個高效動態同意機制不再是難以克服的技術難題，在當今技術發展水平的支撐下動態同意具備實現的可能性。

5 結語

作為大數據和人工智能等新興科技發展的成果結晶，人臉識別技術在我國圖書館領域已經得到了大范圍的應用，這固然有助于提升圖書館的管理能力與服務水平，但也給讀者人臉識別信息的保護帶來了諸多挑戰。我國相繼出臺的《中華人民共和國公共圖書館法》《中華人民共和國民法典》《中華人民共和國個人信息保護法》等法律為讀者人臉識別信息的保護所作出的功績值得肯定且不容忽視。然而，我國現行法律確立的以“知情—同意”為實現機制的個人信息處理模式，在規范圖書館對讀者人臉識別信息的處理過程中存在不足之處。對此，有必要構建階段式的讀者人臉識別信息處理模式，即在讀者人臉識別信息的收集階段配置擇出機制并保證讀者的知情權，而在收集后的使用階段采取基于動態情境理論的動態同意機制，以規范圖書館對讀者人臉識別信息的處理。此外，我國還應當大力宣揚和鼓勵“科技向善”，由圖書館主管部門或者行業協會根據階段式的讀者人臉識別信息處理模式出臺具有可操作性的細則，以更加立體地指導和約束圖書館對讀者人臉識別信息的處理，最終形成法律和自律相互協力，達到經由法律治理實現“科技向善”的目標，以科技造福人類。

* 本文系國家社會科學基金一般項目“刑事合規背景下單位刑事歸責模式和歸責條件研究”（項目編號：23BFX114）；司法部國家法治與法學理論研究一般項目“新型預防性犯罪的立法限度研究”（項目編號：19SFB2021）的階段性研究成果。

*

參考文獻：

[1] 王鴻.人臉識別技術應用的現行規制綜述及立法趨勢分析[J].東北師大學報（哲學社會科學版），2022，316（2）：97-101.

[2] 徐磊.讀者個人信息保護的世界圖景與中國方案：以國外國家圖書館網站讀者個人信息保護政策為視角[J].圖書館工作與研究，2021，310（12）：22-31.

[3] 高志宏.大數據時代“知情—同意”機制的實踐困境與制度優化[J].法學評論，2023，41（2）：117-126.

[4] 王維秋，劉春麗.基于人臉識別技術的我國圖書館智慧服務功能設計與模式構建[J].圖書館學研究，2018，437（18）：44-50.

[5] PROSSER W L.Privacy[J].California Law Review，1960，48（3）：383-423.

[6] GINDIN S E.Creating an online privacy policy[J].Preventive Law Reporter，2000，18（3）：10-12.

[7] 遼寧石油化工大學圖書館.好消息！圖書館智慧人臉識別門禁系統試運行[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/RO5bdLfNTjoyfj9qbgUTFA.

[8] 丹江口市圖書館.科技與文化的融合：市圖書館實現人臉識別借閱[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/5Bcfq RDpJJf6CAOLnQ9GFw.

[9] 懷化學院圖書館.人臉識別來了！圖書館“入館黑科技”初體驗[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/0B8KKbXs Vygfs1gdCLc9lg.

[10] 珠海市圖書館.“刷臉”即可借閱！珠海市圖書館推出人臉識別借閱功能[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/zx_ zFBYhay-6JQUkZSCOZA.

[11] 西華大學圖書館.圖書館門禁系統人臉圖片的采集來啦！[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/EE6SdJm0cYUY d0H48_vYCA.

[12] 廣州商學院圖書館.圖書館人臉識別系統信息采集操作說明[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/VExW4 VXhd_ZzVCiw44HxQw.

[13] 李儀，陶乃航.高校圖書館讀者個人信息處理的困境及其應對機制[J].圖書館論壇，2021，41（7）：108-115.

[14] 廣東科學技術職業學院圖書館.關于通行道人臉識別功能試運行及人臉信息采集的通知[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/L0-cblRalRPzqszawDUZUQ.

[15] 鄭曉圳，鐘曉雯.論讀者個人信息處理中“同意”的類型化適用[J].圖書館研究與工作，2023（10）：5-12.

[16] 謝暉.法律的意義追問：詮釋學視野中的法哲學[M].北京：商務印書館，2003：36-37.

[17] 哈爾濱商業大學圖書館.圖書館人臉識別門禁系統使用通知[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/lgk382o NSs3tUL9U3KihMA.

[18] 哈爾濱體育學院圖書館.關于圖書館啟用座位管理系統及人臉識別的通知[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/7BpH97E5hnoUTdZRqxwjWw.

[19] 亢琦，陳芝榮.人臉識別技術在圖書館的應用實踐與發展思考[J].圖書與情報，2018，184（6）：97-100.

[20] SOLOVE D.Introduction：Privacy self-management and the consent dilemma[J].Harvard Law Review，2013，126（7）：1880-1903.

[21] 韓旭至.刷臉的法律治理：由身份識別到識別分析[J].東方法學，2021，83（5）：69-79.

[22] 楊焱，屈義華.人工智能賦能專業服務：廣州市南沙區圖書館新探索[J].圖書館論壇，2020，40（12）：137-142.

[23] 習近平.關于《中共中央關于全面深化改革若干重大問題的決定》的說明[N].人民日報.2013-11-16（1）.

[24] 任虎.歐盟一般數據保護條例[M].上海：華東理工大學出版社，2018：16，20.

[25] 鄭佳寧.知情同意原則在信息采集中的適用與規則構建[J].東方法學，2020（2）：198-208.

[26] 拉倫茨.法學方法論[M].黃家鎮，譯，北京：商務印書館，2020：510.

[27] NISSENBAUM H.Privacy as contextual integrity[J].Washington Law Review，2004，79（1）：119-158.

[28] 田野.大數據時代知情同意原則的困境與出路：以生物資料庫的個人信息保護為例[J].法制與社會發展，2018，24（6）：111-136.

作者簡介：陳曼，貴州民族大學法學院碩士研究生，研究方向為理論法學、數據法學；李想，中南財經政法大學刑事司法學院博士研究生，研究方向為數據法學、刑法學。

收稿日期：2023-12-12編校：李萍 王伊藝