摘 要：图书馆对读者人脸识别信息的处理逐渐走向常态化。我国现行法律确立的读者人脸识别信息处理模式在图书馆人脸识别技术应用场景下，面临技术的非接触性与复杂性致使读者知情难、程序正义与追求效率的抵牾造成读者同意难、算法的“黑箱”运行导致读者同意撤回难等困境。对此，应遵循利益平衡理念构建兼顾读者保护利益和图书馆发展利益的阶段式读者人脸识别信息处理模式。一方面，在读者人脸识别信息的收集阶段配置择出机制，并充分保障读者的知情权；另一方面，在读者人脸识别信息的使用阶段适用动态同意机制，在满足读者合理预期与场景完整性的前提下鼓励读者人脸识别信息的适当流动。

关键词：图书馆；读者人脸识别信息；择出机制；动态同意机制

中图分类号：G250.7；G252 文献标识码：A

Optimizing Processing Modes for Reader Facial Recognition Information

Abstract Libraries are increasingly normalizing the handling of reader facial recognition information. In the context of library facial recognition technology， the current legal framework in China faces challenges such as the non-contact nature and complexity of technology， making it difficult for readers to be informed; the conflict between procedural justice and efficiency leads to challenges in obtaining reader consent; and the opaque operation of algorithms makes it difficult for readers to revoke consent. To address these issues， it is essential to adopt a phased approach to reader facial recognition information processing that balances the interests of reader protection and library development. On one hand， mechanisms for opting out should be implemented during the collection phase of reader facial recognition information， with a focus on ensuring readers' right to be informed. On the other hand， a dynamic consent mechanism should be applied during the usage phase of reader facial recognition information， encouraging appropriate data flows while meeting readers' reasonable expectations and ensuring scene integrity.

Key words library; reader facial recognition information; opt-out regime; dynamic consent mechanism

1 引言

智能社会正在快速形成，作为大数据和人工智能等新兴科技的发展与应用，人脸识别技术被视为全球高新技术产业赛道中的战略至高点。与其他生物识别信息相比，人脸识别信息具有唯一性、易收集性、不可匿名性和不可篡改性等内生性优势，这使得人脸识别技术在诸多生活场景中备受追捧[1]。近年来，我国图书馆界已深刻认识到人脸识别技术的重要价值，并陆续将之应用于图书馆的管理和服务中。随着人脸识别技术在图书馆领域的日益普及，图书馆开始大量收集读者人脸识别信息，对读者人脸识别信息的处理逐渐走向常态化。从根本上说，任何一个掌握个人信息的主体都有可能侵犯信息主体的权利，尤其是个人信息的隐私权。因此，全球视野下诸多国家的图书馆在处理读者个人信息时都严格遵循知情同意规则。比如，德国国家图书馆分门别类地规定了读者个人信息的收集目的；英国国家图书馆为保障读者对个人信息使用的知情权，将读者个人信息的使用情形细化成若干内容；韩国国家图书馆规定了不同场景下读者个人信息的使用基础和使用目的[2]。与国外图书馆对读者个人信息处理的合规性重视相比，我国大多数图书馆至今尚未制定读者个人信息保护政策，甚至有些图书馆未经读者同意就擅自收集和使用读者人脸识别信息，读者的人格利益和财产利益遭受侵犯。我国现行法律采取的是以“知情—同意”为实现机制的个人信息保护模式，该模式旨在通过赋予信息主体知情权和同意权控制个人信息的处理，从而缓和乃至消除个人信息被侵犯的危险[3]。然而，在图书馆人脸识别技术应用场景下，这一模式存在诸多困境。对此，在图书馆广泛应用人脸识别技术的现实背景下，如何有效规制读者人脸识别信息的不当处理行为，从而规避可能由之触发的法益侵害风险，成为时下亟待解决的重要问题。

2 现行读者人脸识别信息处理模式的困境

在我国的现行法律体系框架内，单独同意规则和同意撤回规则共同划定了读者人脸识别信息的处理边界，最大限度地捍卫了读者的个人尊严和行动自由，保障了读者人脸识别信息蕴含的各项利益不受侵犯。然而，在图书馆人脸识别技术应用场景下，现行法律确立的读者人脸识别信息处理模式正面临严峻挑战。

2.1 技术的非接触性与复杂性致使读者知情难

在“知情—同意”机制中，信息主体充分知情是其作出同意的前提条件。随着人脸识别技术的发展，图书馆对读者人脸识别信息的收集可以“无感化”实施，信息的获取和识别认证过程十分容易，无需读者进行任何操作[4]。人脸识别技术的非接触性是其区别于其他生物识别技术的一大优势，但从反面来说，这种优势可能突破读者个人信息保护的知情同意而自动完成人脸信息识别，成为读者人脸识别信息被不当处理的根源所在。国外学者Prosser提出风险自担理论，即当信息主体决定进入公共场所时理应意识到要承担个人事务被公开的风险[5]。然而，在人脸识别技术应用领域风险自担理论的妥当性难以得到有效证立。一方面，自担风险理论预设的前提是信息主体能够充分理解自己的选择可能带来的效果，而在图书馆人脸识别技术应用中，读者人脸识别信息的收集依靠摄像头自动拍摄，不需要主动接触采集设备，整个过程读者可能毫无察觉，从而错失了甄别风险并明确表示同意或拒绝的机会。另一方面，人脸识别技术的非接触性使得其在应用过程中对于身份的识别变得轻而易举，读者不知道自己已经被技术所识别和分析，从而很难准确评估被动揭示身份的累积效应所形成的影响范围和后果，这会导致读者的自我价值缺失。

为保证信息主体的知情同意权，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第17条和第30条分别规定信息处理者在处理个人信息时，应向信息主体告知处理的目的和方式、保存期限等主要内容，以及处理的必要性和对个人信息权益产生的影响。然而，图书馆对读者人脸识别信息的处理远未达到此种明示程度。为信息主体创建和实施信息处理协议是一种值得推行的做法，因为它告诉个体其个人信息将会被如何处理[6]。目前，较为通行的做法是在图书馆的官方网站或微信公众号上就读者人脸识别信息的采集进行告知，读者根据告知的事项，以其行为明示同意。例如，辽宁石油化工大学图书馆在其微信公众号上告知读者利用智能手机、iPad等终端设备下载“易校园”APP，绑定本人校园卡号实名认证后进行人脸信息采集入库[7]；丹江口市图书馆也在其微信公众号上告知持有借阅卡的读者带上个人身份证在办证机器上按照屏幕提示录入人脸，以供借阅机办理查询及借还书籍业务[8]。有些图书馆在采集读者人脸识别信息时，还会制定同意采集协议，要求读者作出明确的授权。例如，怀化学院图书馆在收集读者人脸识别信息前，就需要读者在人脸图像采集机上点击“同意采集”[9]；珠海市图书馆需要读者点击“已阅读并同意”跳过人脸识别协议后才能完成人脸信息的录入[10]；西华大学图书馆的人像采集服务端需要读者阅读并同意《人脸识别服务告知同意书》[11]；广州商学院图书馆的采集步骤中，读者只有查看采集规则后点击采集，按照采集提示操作，采集完成后确认照片并提交才能最终完成人脸识别信息的采集[12]。然而，为提高管理效率进而实现自身利益最大化，图书馆往往限制读者参与知情[13]，以致这些告知文本多属于一种形式告知。一方面，图书馆制定的告知文本或者同意采集协议友好度欠缺。读者个人信息的保护问题本身就具有相当程度的专业性，而在人脸识别技术应用领域的信息处理政策往往更加复杂，远超一般读者的阅读理解能力。图书馆采集读者的人脸识别信息时，会利用专业、信息和技术等优势弱化告知文本或者同意采集协议的告知功能。例如，要么在同意采集协议中使用冗长的文字表述消磨读者的阅读兴趣，要么对告知文本的设计过于宏观，导致读者只能作出概括同意的意思表示；或者是利用专业本身的鸿沟制定艰难晦涩的同意采集协议，使读者陷入理解难的困局。不能期待读者认真仔细阅读隐私政策的全文，以及读者的教育背景不一所带来的对于各条款的理解能力偏差均可能成为难以获得无效力瑕疵的读者意思表示的重要原因。另一方面，大数据的非线性部分致使图书馆无法在告知文本或者同意采集协议中向读者作出清晰、具体、确定的告知，为了履行告知义务，其多采用“改善读者体验”“保护信息安全”等模糊性表述。例如，广东科学技术职业学院图书馆指出，人脸信息收集遵循自愿原则，而且收集的人脸信息仅用于学校内部系统身份认证使用，并提供完善的信息安全保证[14]。而如此模糊的告知内容使得读者难以准确了解图书馆采集人脸识别信息的目的。人脸识别技术内部运行逻辑的复杂性导致了读者表面上作出同意的决定而实际上却可能毫不知情。读者可能无法知道自己的什么信息什么时候被收集和使用，或者读者本人知情人脸识别信息被图书馆收集，其也可能对日后人脸识别信息的具体用途以及据此分析出哪些关于个人的事项一无所知。

2.2 程序正义与追求效率的抵牾造成读者同意难

读者人脸识别信息系属读者的敏感个人信息，图书馆处理读者的敏感个人信息应当取得读者的单独同意。单独同意规则作为个人信息自决权理论的延伸和扩展，对同意内容的特定化提出了更高的要求，即图书馆应就读者人脸识别信息的处理单独取得读者明确的、专项的、自愿的同意，不能通过一揽子告知同意的方式征得读者同意[15]。立法上明示敏感个人信息的处理应取得信息主体的单独同意，暗含信息主体具有控制或支配敏感个人信息的权利。这意味着未取得读者的同意擅自处理其人脸识别信息的行为构成违法行为，应当承担相应的法律责任。但是，由于人脸识别技术与生俱来的高效便捷特征，技术本质上的效率性追求与立法明示同意的程序性要求形成了天然的“敌对”，作为读者人脸识别信息处理的正当性基础，单独同意规则逐渐式微。具体来说，图书馆引进人脸识别技术的原初目的意在节省服务时间、提升服务水平和优化管理能力。而单独同意规则虽然大幅强化了读者人脸识别信息的保护，但在程序性要求上会与人脸识别技术对效率的追求本身背道而驰。

第一，在图书馆处理读者人脸识别信息过程中，读者对其人脸识别信息既难具决定自由，又缺乏控制能力，单独同意规则的正当性基础大打折扣。读者固然有权决定个人信息能否收集以及如何使用，但这种决定自由应受到个人信息价值的社会性限制。社会性作为人的本质，最重要的体现就在于参与社会交往，只有通过交往，人才能体验人的整体性存在[16]。作为能够识别到具体个体的信息，个人信息实际上在个体之间、个体与社会之间担负起了连接角色，其首要价值即是促进个体实现社会交往。人脸识别信息的价值性在于流动，只有处于流通中的人脸识别信息才能真正实现其价值。从这个维度来说，图书馆对读者的个人信息理应享有一定的利益，反过来读者个人信息的决定自由就应受到限制。然而，在现实生活中读者的决定自由往往会受到过度限制，即有些图书馆凭借其所处的优势性地位为读者设置了“不选即走”的选择模式，除了同意图书馆收集和使用其人脸识别信息，读者并无第二个选项，根本不具有决定的自由。例如，哈尔滨商业大学图书馆向读者告知，图书馆的人脸识别门禁系统需要先在人脸识别系统注册机录入人脸识别信息才能通过人脸识别进出图书馆。该图书馆还强调，校园一卡通和人脸识别系统并行使用1个月，1个月后禁止刷卡入馆[17]。再如，哈尔滨体育学院图书馆的门禁也全部使用人脸识别系统，对图书馆阅览学习区进行统一座位管理[18]。还有的图书馆在刷脸进馆试运行期间，强制读者在图书馆门禁的人脸识别机器上刷一卡通并收集读者人脸识别信息，禁止其余的一卡通通道通行[19]。图书馆为了追求效率而采取如上措施后，读者只能任由图书馆收集其人脸识别信息，否则就无法享受图书馆的服务，个人信息同意权的控制效能被图书馆完全架空。

第二，人脸识别信息的使用方式和目的日益多样化，图书馆将面临无休止的告知且取得读者同意的窘境。如此显然会增加图书馆管理上的成本，降低人脸识别技术的应用效率，无益于图书馆的数字化、智能化、智慧化建设。图书馆还会因此陷入稍有不慎就侵犯读者个人信息权益的危险之中，危机四伏的境遇会极大束缚图书馆实施创新行为，同时也将遏制读者福祉的实现。何况，对于读者人脸识别信息的使用，图书馆可能缺乏或根本上就没有告知且取得读者同意的渠道，此时仍要求告知和征得读者同意，无疑会产生巨大成本，如时间成本、通信费用、交通费用、文本费用等，而且这最终可能会反映在图书馆向读者提供的服务上。随着图书馆领域人脸识别技术的大量应用，很难再去苛求每一次人脸识别信息的收集都需要取得读者的单独同意，再次使用都应与读者重新签订同意协议。若需要读者时时事事的同意，那么对读者带来的骚扰可能远甚于信息使用行为本身。

2.3 算法的“黑箱”运行导致读者同意撤回难

传统的“告知—同意”模型仅允许信息主体在信息收集阶段作出同意的决定，但实际上，在信息收集阶段信息主体往往难以判断信息在后续的深度分析与流通中将会对个人产生何种影响[20]。因此，要求更加严格地对待信息主体的信息自决权并允许同意的撤回，可以一定程度纾解信息主体仅能在信息收集阶段行权的僵硬性问题。同意撤回是信息主体基于信息自决权，对已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示。在图书馆人脸识别技术应用下，读者对其人脸识别信息的收集同意难的同时，其人脸识别信息在被图书馆识别分析后读者同样很难进行有效控制。人脸识别技术的底层逻辑是通过人脸信息的捕获、检测、提取、比对从而完成身份的验证或识别，属于一种身份识别机制[21]。然而，随着图书馆对人脸识别技术应用的不断进步与革新，当前图书馆对人脸识别技术的运用已经不再局限于“把读者认出来”的身份识别，而是能够在人脸识别的基础上，借助于算法决策对读者人脸识别信息进行进一步的整合分析或其他关联性分析。例如，广州市南沙区图书馆的人脸识别数据库在应用层面，可以在图书馆的人脸大数据分析平台中提前录入特定读者的人脸识别信息，调取数据库后，设备终端即可自动识别，从而引导该特定读者并为之提供个性化服务[22]。在读者人脸识别/验证的基础上，广州市南沙区图书馆基于人脸识别信息分析绘制读者的人格画像，对读者进行个人性格、行为偏好、身份特质等个人特征分析。然而，一方面，对读者人脸信息进行识别分析过程中，图书馆的信息处理行为可能会超越原场景中读者的目的性拘束，导致读者的知情权和控制权丧失，继而造成知情同意机制进一步失灵。另一方面，算法的“黑箱”运行缺乏透明性，读者无法参与并知情人脸识别信息的具体处理进程。在这种情况下，读者如何撤回已经进入算法决策的人脸识别信息，同意撤回权的行使能否达到即时停止图书馆对人脸识别信息分析利用的实在效果，都是亟待思考的问题。可见，在图书馆对人脸识别技术的应用由身份识别阶段过渡到了识别分析阶段后，识别分析中的算法黑箱无疑成为了同意撤回规则能否实现的最大障碍。

3 重构读者人脸识别信息处理模式的理念遵循

以“知情—同意”为实现机制的个人信息处理模式尽管可以在一定程度上缓和读者人脸识别信息被侵犯的危险，但这一处理模式因过于机械而在图书馆人脸识别技术的应用场景下面临诸多困境。对此，应当重构读者人脸识别信息处理模式。为了防止机制设置不科学而导致的功能偏离，在对读者人脸识别信息处理模式进行完善时理应遵循一定的指导原理，即有必要在利益平衡理念的指引下构建兼顾读者保护利益与图书馆发展利益的读者人脸识别信息处理模式。

3.1 价值导向：重视主体间的利益平衡

在信息社会个人信息不可避免地分化出公共属性，展现出个人性与公共性共存的时代特征。个人信息是社会信息的源泉，社会信息是个人信息的转化形式，保护和利用个人信息是信息社会的基本矛盾，两者分别与信息的个人属性和公共属性相应合。相关个人信息保护政策的制定为个人信息的治理模式和保护机制提供了建构依据。党的十八届三中全会后，习近平总书记就《中共中央关于全面深化改革若干重大问题的决定》所作的说明中指出：“网络和信息安全牵涉到国家安全和社会稳定”，“全会决定提出坚持积极利用、科学发展、依法管理、确保安全的方针”[23]。2016年11月《中华人民共和国网络安全法》的制定与实施是我国网络安全治理的重要里程碑，该法第3条规定“国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针”。2021年6月公布的《中华人民共和国数据安全法》第7条作出宣示性规定，“鼓励数据依法合理有效利用”，并“保障数据依法有序自由流动”。同年8月公布的《个人信息保护法》第1条将“为了保护个人信息权益”和“促进个人信息合理利用”作为该法的立法目的。2022年12月，中共中央、国务院在《关于构建数据基础制度更好发挥数据要素作用的意见》中提出既要“促进个人信息合理利用”，又要“加大个人信息保护力度”。相关法律与政策互为呼应，共同构成我国个人信息保护政策的综合框架。从这些重要的政策性文件以及法律来看，我国在解决基本矛盾过程中既要求充分保护个人信息，又要求个人信息的积极利用，特别重视个人信息保护利益和利用利益的平衡。

读者人脸识别信息虽然是读者个人的信息，但是这一信息背后不乏其他的利益相关者。这些利益相关者归纳起来主要有两类，即读者和图书馆。无论如何定义，读者都是其人脸识别信息的直接利益相关者，其中的利益既包括隐私权以及由之衍生的人格权，也包括经济利益以及相对应的财产性权利。当然，在个体维度还存在其他利益相关者，比如未成年读者的监护人针对未成年的人脸识别信息的处置权利。为了避免问题的复杂化，笔者在此不讨论其他主体对读者人脸识别信息享有的实然或者应然利益。在个人利益之外，图书馆也是读者人脸识别信息的重大利益相关者。在人脸识别技术参与图书馆的数字化、智能化和智慧化体系建设后，不难预见大量读者人脸识别信息将会被收集与使用。没有读者人脸识别信息的收集与使用，基于人脸识别信息得以运转的人脸识别技术就失去了存在的根基，“图书馆建设要紧跟时代的发展”只能永远停留于纸面而最终成为不切实际的臆想。可见，被人脸识别技术裹挟的人脸识别信息背后蕴含的实际是个人信息的个人属性和社会属性的结合。换言之，读者人脸识别信息的价值功能决定了其具有复合型属性，其中个人属性和社会属性既彼此关联，又相互转化。流动与安全作为读者人脸识别信息的二元价值目标，两者产生的结构性冲突从根本上可以划归为个人利益和公共利益的界限问题。在利益平衡理念指引下设计的法律规则能够充分权衡法律调整对象之间的利益，有效避免或减少某一利益主体对自身利益的过度追逐。因此，笔者认为可以在利益衡量的基础上构建读者人脸识别信息的处理模式，以实现读者和图书馆的利益均衡。遵循利益平衡理念，重塑读者人脸识别信息处理模式的总体导向是：既要推动读者人脸识别信息更好地融入图书馆的数字化、智能化、智慧化建设进程，又要防止人脸识别系统和设备可能给读者个人利益带来的侵害，保障人脸识别信息安全。

3.2 构建方向：阶段式的信息处理模式

与高速发展的现代科技相比，法律规范显得相对滞后，而成文法的滞后性在数字时代表现得尤为突出。图书馆人脸识别技术应用下读者人脸识别信息的复杂性与复合性，决定了在构建读者人脸识别信息处理模式时应针对不同应用场景实施特殊治理。《个人信息保护法》第4条第2款规定：“个人信息的处理行为包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”从广义上理解，使用行为应是指囊括所有发挥个人信息功效的行为。因此，加工、传输、提供、公开、删除等行为均可以看作广义的使用行为。与此不同，收集是个人信息的从无到有，而存储则是将收集后的个人信息进行保存，这两种个人信息处理行为并未发挥个人信息的功效，与使用行为具有本质上的差异性。由此来看，人脸识别技术的应用主要涉及人脸识别信息的收集、存储、使用三个环节。其中，收集是存储和使用的前提，没有收集自然就不可能涉及后续的存储和使用。

在收集读者人脸识别信息前，图书馆应当对读者就有关其人脸识别信息被收集、存储和使用的情况进行充分告知，使读者了解其人脸识别信息将会被如何收集、存储和使用，以有利于当事人同意权之行使。这种同意模式将读者的同意权置于人脸识别信息的收集阶段，固然可以避免因频繁沟通而带来的高昂成本，但会导致读者的知情同意权形同虚设。一方面，在同意图书馆收集人脸识别信息前，读者对于图书馆告知的人脸识别信息的存储形式和使用目的未来可能发生的风险无法充分理解，难以作出基于自愿的、明确的同意之意思表示；另一方面，图书馆在比对核验读者人脸识别信息或者在读者人脸识别信息使用所对应的服务中，可能会因为适用场景的变化而超越原初个人同意的范围和目的使用读者人脸识别信息，读者事前不可能给出符合期待的同意。虽然《个人信息保护法》第14条第2款规定，“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”但这种以自我事后监督的方式完成对自我非授权行为的纠正往往动因不足，可能导致对非法存储和使用读者人脸识别信息的人为放纵现象发生。因此，应当结合读者人脸识别信息处理的不同阶段，设置阶段式的读者人脸识别信息处理机制，以对读者人脸识别信息施以更加具有针对性的保护。否则，当司法实践中出现通过合法手段获取读者人脸识别信息后再非法存储、使用的情况，现行法律势必难以应对。值得注意的是，尽管存储行为与使用行为在语义以及行为方式上存在差别，但图书馆在合法收集读者人脸识别信息后，对于人脸识别信息的存储形式和使用范围发生变更的都应再征得读者的同意，两者在时间序列上都同样处于收集后的使用阶段。由此，阶段式的读者人脸识别信息处理模式，即指应当区分读者人脸识别信息在收集阶段的同意与在使用阶段的同意。

4 阶段式读者人脸识别信息处理模式的具体展开

遵循于利益平衡理念，有必要重新构建一套兼顾读者保护利益与图书馆发展利益的阶段式读者人脸识别信息处理模式，即对于读者人脸识别信息处理的同意应当区分在收集阶段的同意与在使用阶段的同意，本部分主要就如何构建阶段式的读者人脸识别信息处理模式展开分析。

4.1 在收集阶段配置择出机制

有鉴于私人自治价值的局限性，大多数国家的立法都有对信息收集过程中信息主体的决定权这一私人自治环节进行一定程度的规则干预。从当前各个国家的立法情况来看，信息主体对个人信息收集过程的参与主要有两种基本路径：一是择入机制，即信息主体需要实施肯定性行为参与个人信息的采集，取得信息主体的同意是收集得以进行的合法性基础。例如，欧盟《一般数据保护条例》（General Data Protection Regulation， GDPR）第6条将数据主体的“同意”作为数据收集合法性最重要的前置性条件，第7条规定数据主体同意收集的证明责任由数据控制者承担[24]。可见，欧盟对个人信息的收集采取了择入机制作为主要模式。二是择出机制，即信息处理者不需要取得信息主体的同意便能收集信息主体的个人信息，信息主体仅享有选择退出的权利。美国的同意机制主要采取的是择出机制。联邦立法上，1996年《电信法》（Telecommunications Act of 1996）关于消费者信息隐私之规定，互联网内容提供商使用或分享收集的敏感个人信息应当遵从择入机制，而对于收集内容更为丰富的非敏感个人信息则采取择出规则[25]。在州立法层面，2018年《加州消费者隐私法案》（California Consumer Privacy Act of 2018， CCPA）规定企业收集消费者个人信息仅需要在收集发生时或发生前向消费者告知个人信息的收集类别与使用目的，并无征求同意之义务[25]。择入机制和择出机制是两种截然不同的立法形式，背后体现了信息主体与信息处理者之间利益博弈的不同政策考量。择入机制在制度设计上显然更注重对信息自决权的保护，而择出机制则明显倾向于个人信息的利用利益。

“如果人们试图想满足这两种在社会法治国中都具有正当性的要求，解决方案只能‘审慎地衡量当时彼此对立，甚至相互冲突的利益的重要性’”[26]。因此，在读者人脸识别收集的法律控制当中，究竟是适用择入机制还是择出机制，必须要经过一定的利益衡量才能作出合理判断。首先，择出机制中的同意是被推定的“默示同意”，这意味着图书馆收集读者的人脸识别信息时尽管没有取得读者的单独同意，但仍可以视为读者作出了同意的意思表示，或者读者录入人脸信息的行为本身就代表了同意，读者所切实享有的权利只是在人脸识别信息被收集后选择退出的拒绝权。由于图书馆不需要取得读者同意即可收集读者人脸识别信息，从整体上可以促进信息收集行为的社会效益产出。相比于择出机制，择入机制固然能够一定程度遏制图书馆利用默示同意规则任意地收集读者人脸识别信息，但择入机制的僵化性问题无疑会增加图书馆收集读者人脸识别信息的成本与负担，从而变相钳制人脸识别技术在图书馆领域的发展。其次，图书馆作为读者人脸识别信息的收集主体，掌握着收集手段和目的以及后续的处理风险在内的诸多信息。在读者并未实际享受图书馆应用人脸识别技术带来的便利之前，披露的信息越多，在知悉可能潜藏的各种风险后，读者同意图书馆收集其人脸识别信息的可能性就越小。尽管将相关信息尽数披露给读者能够协调双方在信息掌握方面的不对称问题，但图书馆作为“逐利”的理性主体，可能会为了追逐图书馆的自身利益而刻意隐瞒部分重要信息，以保证己方在信息收集过程中处于最优位置。最后，对于没有取得读者单独同意图书馆就擅自收集读者人脸识别信息的情形，读者行使同意撤回权能否阻止图书馆继续侵入其私人自治领域，对该问题的回答不仅涉及同意撤回权的行使前提是否需要存有读者现实性的同意，而且关系到择出机制的构建。在择出机制下，退出与拒绝权利的行使往往需要经由一系列程序方能实现。事实上，后文笔者倡导在使用阶段利用技术创新建构的动态同意机制恰好能够保证读者退出与拒绝权利的行使。

在读者人脸识别信息收集阶段采取择出机制，并不意味着免除了图书馆的告知义务。由于读者人脸识别信息具有特殊性，一旦被收集读者就可能对其失去控制，进而可能侵害读者的正当权益。因此，读者应要求图书馆在收集时向读者履行充分的告知义务，以保证读者的知情权与信息收集后拒绝权的行使。然而，一方面，由于作为人脸识别信息处理者的图书馆藏匿于收集终端设备之后，从图书馆提供的服务终端设备中读者无法查询其人脸识别信息被收集的情况，或者图书馆设置的同意采集协议内容冗长导致读者阅读不便；另一方面，人脸识别技术专业性强，技术壁垒触发的知识鸿沟致使读者难以理解告知的内容。有鉴于此，笔者建议，在读者人脸识别信息收集阶段，图书馆的告知义务应从两个方面进行规范：第一，图书馆收集读者人脸识别信息的，不得免除其告知义务，即不论图书馆基于何种目的（不违反法律的禁止性规定）收集读者人脸识别信息，都应如实向读者进行告知，且告知的内容至少要包括收集的手段和目的、使用的范围、存储的方式与时限以及潜在的风险等基本信息。第二，应使用通俗易懂的语言进行显著的书面告知，同时对不易理解的重点内容进行单独告知。在读者人脸识别信息的收集阶段，可能面临收集规模巨大或线上远程收集等情况，此时图书馆应通过移动终端推送或者以弹窗等形式向读者单独告知。若告知内容属于格式条款，则应由相关监管机构进行事前审查。通过这一系列举措的实施，可以在读者人脸识别信息的处理周期开始前，让读者的知情权得到充分保障。

4.2 在使用阶段适用动态同意机制

在收集读者人脸识别信息后，处理场景的动态化将会导致读者的知情同意需求处于不断变化之中，处理模式的重新塑造理应符合这一基本需求。构建一种由场景理论指导下的动态同意机制能够很好地对之进行回应，在满足读者合理预期与场景完整性的前提下鼓励读者人脸识别信息的适当流动。“场景”一词源于Helen Nissenbaum创制的动态情境理论，该理论强调个人信息的保护应注重考虑情景关联因素，以及信息主体在当下的情景作出的同意与合理预期[27]。有学者根据动态情境理论设计了一种兼具灵活、便捷、效率的动态同意机制，即在信息使用者和信息主体之间运用现代化信息技术手段搭建一个可供沟通的平台，使得信息主体的知情同意成为一个持续性、动态性、开放性的过程。在平台上，信息主体不仅可以突破时间和空间的束缚自由查阅个人信息的处理情况和阶段，方便作出选择同意加入或者退出的决定，而且能够对包括希望接收的信息范围、种类、时间段与频度等进行个性化的偏好设置，并可随时修改；信息处理者可以即时向信息主体告知个人信息处理的情况和阶段，如果个人信息的处理超越了收集阶段双方的约定或者需要提供给第三方处理，也应在平台上进行告知[28]。动态同意机制确保了信息主体同意撤回权的行使，让信息主体能够参与到信息处理进程中，对于读者人脸识别信息知情同意规则的重新构建具有借鉴意义。

首先，动态同意机制始终将读者居于人脸识别信息处理的轴心。在快速迭代的信息社会，个人信息处理的透明性将成为人脸识别信息保护的重要基础之一，能够有效地向信息主体传达其人脸识别信息正在接受何种形式的处理，从而方便信息主体做出理性决策。在动态同意机制下，图书馆可以通过技术平台动态地、开放地、及时地披露读者人脸识别信息的具体处理细节，读者可以根据自身意愿选择继续接受图书馆的服务或者撤回同意后退出，而不是在同意人脸识别信息的收集后，即使原初目的发生改变也不能拒绝并撤回同意，只能被迫接受图书馆的服务。与此同时，图书馆为了不流失读者资源，会不断调整和改善读者的人脸识别信息处理的安全性，图书馆和读者的角色和地位俨然发生了转换。

其次，动态同意机制能够提高读者同意的真实性，实现充分的意思自治。在现有人脸识别协议的文本调查中，虽然部分图书馆采取了字体加粗或者使用着重符号提示读者注意阅读重点内容，但内容的冗长增加了读者的阅读负担，读者可能由于理解能力不足或者时间紧迫等原因而无法充分知情。动态同意机制要求在图书馆和读者之间搭建可供沟通的平台，读者可以根据自身要求进行偏好设置，并依据图书馆告知的内容决定在何种情况下作出同意或者拒绝的选择。这种同意模式通过改变知情权的实现方式保障读者的权益，避免事前的一次性告知向后续信息处理过程的不当延伸，即确保告知在信息处理过程中的动态性、持续性和清晰性。换言之，随着图书馆对读者人脸识别信息使用的逐渐深化，采取阶段性告知的方式，更加有益于读者依据具体情景了解人脸识别信息的使用可能蕴含的风险，以便作出符合其内心真实意思的同意。

最后，动态同意机制可以保障读者同意撤回权的行使。虽然我国《个人信息保护法》明确规定了撤回同意规则，但由于图书馆和读者之间缺乏可供沟通的平台与渠道，现实生活中并不存在一个有效、快捷的同意撤回机制，这使得读者在人脸识别信息收集后很难干预图书馆对人脸识别信息的处理进程。若要阻止图书馆对读者人脸识别信息的不当处理，读者只能在收集阶段作出明确拒绝的意思表示。动态同意机制将作为信息处理者的图书馆与作为信息主体的读者直接联系起来，读者可以在平台上自由行为，允许其根据所了解到的事实决定选择进入和退出，极大便利了同意撤回权的行使，打破了既往“同意即终身”模式的桎梏，吻合情境理论中合理预期的要求。并且，万物互联时代的到来和5G网络技术的发展，依托于极具实力的超级平台搭建一个高效动态同意机制不再是难以克服的技术难题，在当今技术发展水平的支撑下动态同意具备实现的可能性。

5 结语

作为大数据和人工智能等新兴科技发展的成果结晶，人脸识别技术在我国图书馆领域已经得到了大范围的应用，这固然有助于提升图书馆的管理能力与服务水平，但也给读者人脸识别信息的保护带来了诸多挑战。我国相继出台的《中华人民共和国公共图书馆法》《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律为读者人脸识别信息的保护所作出的功绩值得肯定且不容忽视。然而，我国现行法律确立的以“知情—同意”为实现机制的个人信息处理模式，在规范图书馆对读者人脸识别信息的处理过程中存在不足之处。对此，有必要构建阶段式的读者人脸识别信息处理模式，即在读者人脸识别信息的收集阶段配置择出机制并保证读者的知情权，而在收集后的使用阶段采取基于动态情境理论的动态同意机制，以规范图书馆对读者人脸识别信息的处理。此外，我国还应当大力宣扬和鼓励“科技向善”，由图书馆主管部门或者行业协会根据阶段式的读者人脸识别信息处理模式出台具有可操作性的细则，以更加立体地指导和约束图书馆对读者人脸识别信息的处理，最终形成法律和自律相互协力，达到经由法律治理实现“科技向善”的目标，以科技造福人类。

* 本文系国家社会科学基金一般项目“刑事合规背景下单位刑事归责模式和归责条件研究”（项目编号：23BFX114）；司法部国家法治与法学理论研究一般项目“新型预防性犯罪的立法限度研究”（项目编号：19SFB2021）的阶段性研究成果。

*

参考文献：

[1] 王鸿.人脸识别技术应用的现行规制综述及立法趋势分析[J].东北师大学报（哲学社会科学版），2022，316（2）：97-101.

[2] 徐磊.读者个人信息保护的世界图景与中国方案：以国外国家图书馆网站读者个人信息保护政策为视角[J].图书馆工作与研究，2021，310（12）：22-31.

[3] 高志宏.大数据时代“知情—同意”机制的实践困境与制度优化[J].法学评论，2023，41（2）：117-126.

[4] 王维秋，刘春丽.基于人脸识别技术的我国图书馆智慧服务功能设计与模式构建[J].图书馆学研究，2018，437（18）：44-50.

[5] PROSSER W L.Privacy[J].California Law Review，1960，48（3）：383-423.

[6] GINDIN S E.Creating an online privacy policy[J].Preventive Law Reporter，2000，18（3）：10-12.

[7] 辽宁石油化工大学图书馆.好消息！图书馆智慧人脸识别门禁系统试运行[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/RO5bdLfNTjoyfj9qbgUTFA.

[8] 丹江口市图书馆.科技与文化的融合：市图书馆实现人脸识别借阅[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/5Bcfq RDpJJf6CAOLnQ9GFw.

[9] 怀化学院图书馆.人脸识别来了！图书馆“入馆黑科技”初体验[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/0B8KKbXs Vygfs1gdCLc9lg.

[10] 珠海市图书馆.“刷脸”即可借阅！珠海市图书馆推出人脸识别借阅功能[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/zx_ zFBYhay-6JQUkZSCOZA.

[11] 西华大学图书馆.图书馆门禁系统人脸图片的采集来啦！[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/EE6SdJm0cYUY d0H48_vYCA.

[12] 广州商学院图书馆.图书馆人脸识别系统信息采集操作说明[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/VExW4 VXhd_ZzVCiw44HxQw.

[13] 李仪，陶乃航.高校图书馆读者个人信息处理的困境及其应对机制[J].图书馆论坛，2021，41（7）：108-115.

[14] 广东科学技术职业学院图书馆.关于通行道人脸识别功能试运行及人脸信息采集的通知[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/L0-cblRalRPzqszawDUZUQ.

[15] 郑晓圳，钟晓雯.论读者个人信息处理中“同意”的类型化适用[J].图书馆研究与工作，2023（10）：5-12.

[16] 谢晖.法律的意义追问：诠释学视野中的法哲学[M].北京：商务印书馆，2003：36-37.

[17] 哈尔滨商业大学图书馆.图书馆人脸识别门禁系统使用通知[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/lgk382o NSs3tUL9U3KihMA.

[18] 哈尔滨体育学院图书馆.关于图书馆启用座位管理系统及人脸识别的通知[EB/OL].[2023-05-28].https：//mp.weixin.qq.com/s/7BpH97E5hnoUTdZRqxwjWw.

[19] 亢琦，陈芝荣.人脸识别技术在图书馆的应用实践与发展思考[J].图书与情报，2018，184（6）：97-100.

[20] SOLOVE D.Introduction：Privacy self-management and the consent dilemma[J].Harvard Law Review，2013，126（7）：1880-1903.

[21] 韩旭至.刷脸的法律治理：由身份识别到识别分析[J].东方法学，2021，83（5）：69-79.

[22] 杨焱，屈义华.人工智能赋能专业服务：广州市南沙区图书馆新探索[J].图书馆论坛，2020，40（12）：137-142.

[23] 习近平.关于《中共中央关于全面深化改革若干重大问题的决定》的说明[N].人民日报.2013-11-16（1）.

[24] 任虎.欧盟一般数据保护条例[M].上海：华东理工大学出版社，2018：16，20.

[25] 郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学，2020（2）：198-208.

[26] 拉伦茨.法学方法论[M].黄家镇，译，北京：商务印书馆，2020：510.

[27] NISSENBAUM H.Privacy as contextual integrity[J].Washington Law Review，2004，79（1）：119-158.

[28] 田野.大数据时代知情同意原则的困境与出路：以生物资料库的个人信息保护为例[J].法制与社会发展，2018，24（6）：111-136.

作者简介：陈曼，贵州民族大学法学院硕士研究生，研究方向为理论法学、数据法学；李想，中南财经政法大学刑事司法学院博士研究生，研究方向为数据法学、刑法学。

收稿日期：2023-12-12编校：李萍 王伊艺