1、20232023年第年第4 4期期第 53 卷 第 4 期 总 第 236 期2023 年 7 月图书馆研究(Library Research)信息资源建设整体法秩序下图书馆人脸识别信息保护研究*吕晨,蒋林君(湖南工商大学法学院,湖南长沙410205)摘要 智慧图书馆建设背景下,人脸识别信息保护面临新的难题。当前,我国图书馆法相关条款中缺乏人脸识别等信息保护专门规定,个人信息保护法中存在对事前合规和事后追责方面规定有所疏虞等问题。认为需要以整体法秩序为视角,充分借鉴先进国家和地区的制度经验,从图书馆人脸识别信息保护的立法体系、事前规则和事后责任三个维度出发,健全我国图书馆人脸识别信息保护立法制
2、度,推动中国式图书馆法治现代化进程。关键词 图书馆;个人信息保护;人脸识别信息;整体法秩序中图分类号D923;G252.0文献标识码A文章编号2095-5197(2023)04-0031-11Research on Library Face Recognition Information Protection under Holistic Law OrderLYU Chen,JIANG Lin-jun(College of Law,Hunan University of Technology and Business,Changsha 410205,China)Abstract:Under t
3、he background of intelligent library construction,face recognition information protection is facedwith new problems.At present,there is a lack of specialized provisions on information protection such asface recognition in the relevant provisions of library law in China.There are some problems in the
4、 personalinformation protection law in China,such as the lack of provisions on prior compliance and subsequent accountability.This paper holds that it need to take the whole legal order as the perspective,fully study the institutional experience of advanced countries and regions,and start from the t
5、hree dimensions of the legislative system of library facial recognition information protection,prior rules and post-responsibility to improvethe legislation system of library facial recognition information protection,and promote the modernization process of Chinese-style library rule by law.Keywords
6、:library;personal information protection;face recognition information;holistic law orderCLC number:D923;G252.01引言个人信息保护是我国当下面临的重要课题,2021年8月20日,中华人民共和国个人信息保护法(以下简称 个人信息保护法)的出台为个人信息保护提供了全新的立法制度方案。图书馆是数字时代重要的个人信息处理者,其在收集大量读者信息时面临处理不善等问题,加剧了信息泄露等风险1。图书馆读者的人脸识别信息属于敏感个人信息,其一旦泄露、丢失或被不当利用,对读者人格尊严、人身财产安全等诸多本
7、权权益和知情同意、更正和删除等多项保护本权权益的权利造成极大损害,且难以弥补和挽回2。智慧图书馆建设背景下,图书馆领域对人脸*本文系湖南省社会科学基金项目“民法典 背景下机器生成数据重要法律问题研究”(项目编号:21YBQ070)研究成果之一。31第 53 卷 第 4 期 总 第 236 期2023 年 7 月20232023年第年第4 4期期图书馆研究识别技术的研发与应用如火如荼,人脸识别技术应用广泛,为图书馆工作带来了诸多利好,但所暗藏的风险同样不容小觑3。而图书馆人脸识别信息保护是一个系统性工程,这就需要从读者人脸识别信息保护的整体法视角进行检视,并通过一般法与专门领域法共治、专门领域法
8、与相关法之间的协调衔接,适时视需借鉴域外立法制度经验,更新和完善事前事后相关制度内容。2我国图书馆人脸识别信息保护立法制度审视我国图书馆人脸识别信息保护立法制度体系既包括个人信息保护立法制度体系又包括图书馆领域立法中有关人脸识别信息保护的制度规定。个人信息保护法 与 中华人民共和国公共图书馆法(以下简称 公共图书馆法)作为各自领域的基础性法律,发挥着相应的统领作用,在图书馆人脸识别信息保护中属于一般法与专门领域法的关系,构成图书馆人脸识别信息保护立法制度体系。2.1图书馆法的调整范围和专门规定罅隙我国现有图书馆法律体系主要由 公共图书馆法 和各省(市)图书馆立法构成。在“国家法律法规数据库”中
9、输入“图书馆”关键词,查阅到已出台法律1部、地方性法规8部,另查到地方政府规章1部。从图书馆立法的调整范围来看:现有图书馆法研究中缺乏系统性,内容单一,对其他类型图书馆相关法律的研究也相当匮乏4。除 北京市图书馆条例 以外,公共图书馆法 及各地方立法中的调整范围均仅限于“公共图书馆”这一类型,不足以对学校图书馆、科研机构图书馆等类型图书馆处理人脸识别信息行为加以规制,而当前学校图书馆等类型图书馆对于人脸识别技术的应用占据相当体量,且现有立法尚无法调整学校图书馆等类型图书馆的处理行为,极为容易导致权利义务失衡5 13。从图书馆人脸识别信息保护专门规定来看:一是人脸识别信息处理规则,公共图书馆法四
10、川省公共图书馆条例 东莞市公共图书馆管理办法 安徽省实施办法 均是以保护读者个人信息和隐私为目的加以调整,而相关内容却较为笼统,无法为图书馆提供具有针对性的行为指引,难以形成适应图书馆特点的数治模式。当前,有如 天津市社会信用条例杭州市物业管理条例 等其他领域地方性法规已明确保护人脸识别信息6,形成场景化的数治模式,有益于图书馆领域立法参考和借鉴。二是法律责任的划定,公共图书馆法 规定了责令改正、没收违法所得和治安管理处罚,对于其他类型处罚或违反其他法律的责任未有列举,且未区分不同程度的违法情形。安徽省实施办法 中的法律责任是以 公共图书馆法为基础,未予进一步细化。东莞市公共图书馆管理办法 界
11、定了责令限期改正和处分的法律后果,区分一般和严重情形,但总体来看相关规定依然甚少、过于简略。四川省公共图书馆条例设置了责令限期改正、予以处分和依法追究刑事责任,区分一般违法、严重违法和构成犯罪的责任情形。虽其施行时间较早,其条款内容也需更新完善,但较之上述图书馆法而言更为系统、明晰,可供后续立法参考。总体而言,公共图书馆法 主导的图书馆立法对人脸识别信息保护规定缺乏全面性、妥善性和规范性7。其调整图书馆的范围、人脸识别信信息资源建设包括作为专门领域法的 公共图书馆法,以及 个人信息保护法 民法典 刑法 等相关法,其中,个人信息保护法为读者人脸识别信息保护的一般法。需要说明的是:我国 个人信息保
12、护法 是个人信息保护的基础性法律,在人脸识别信息保护方面具有一般性,而图书馆法是调整图书馆活动的专门领域法,在读者人脸识别信息保护方面更具针对性,故而本文以一般法和专门领域法分别称谓。法律层面即 中华人民共和国公共图书馆法;地方性法规包括 内蒙古自治区公共图书馆管理条例 湖北省公共图书馆条例 北京市图书馆条例 四川省公共图书馆条例 广州市公共图书馆条例 深圳经济特区公共图书馆条例 贵州省公共图书馆条例 安徽省实施办法;地方政府规章即 东莞市公共图书馆管理办法。3220232023年第年第4 4期期第 53 卷 第 4 期 总 第 236 期2023 年 7 月息的处理规则和法律责任方面存在明显
13、缺陷,尤其是在 个人信息保护法 施行后,业已无法与之相互衔接,需通过立法修正抑或是法律解释等过渡性方式加以完善。2.2 个人信息保护法 事前合规和事后追责制度欠佳个人信息保护法 是我国个人信息保护乃至整个网络信息/空间法领域的基本法,对 民法典刑法 等法律起到了重要的互补和衔接作用8,形成了系统、融贯的人脸识别信息立法保护体系,我国个人信息专门保护时代正式拉开帷幕。尽管我国现行法律规范相对完善,个人信息保护法 出台后,人脸识别信息保护法律体系相互融通、富含中国特色。但是,从我国立法现状来看,我国对人脸识别信息的处理活动采取了较为包容之态度9 37,相关规定付诸实践还有一定差距。个人信息保护法
14、等立法在事前合规和事后追责方面制度还需进一步完善。个人信息保护法 本质上属于事后救济模式10,对于发掘监管机构指导咨询职能、发挥行业协会合规指引作用等促进个人信息处理者事前合规方面的规定匮乏。同时,其原则性规定较多、可操作性不强11,虽确立了严格的法律责任,但在第六十六条的行政责任中将违反 个人信息保护法 相关规定的法律责任堆集于一个条款,仅区分一般违法和情节严重两种情形,对于故意和过失情形、侵犯个人信息类型等具体责任承担未予明晰,难以为监管部门提供明确指引,并可能导致自由裁量权过大等问题滋生。3欧美图书馆人脸识别信息保护立法制度借鉴欧盟层面关于图书馆人脸识别信息保护立法制度主要集中于 通用数
15、据保护条例(GDPR)。美国主要集中于以伊利诺伊州 生物信息隐私法(BIPA)为代表的州隐私保护立法,以及48个州和哥伦比亚特区图书馆立法的相关规定。从立法模式上看,欧盟与美国不尽一致,但二者作为世界范围内人脸识别信息保护立法最先进的地区和国家,其立法制度经验可资借鉴。3.1欧美立法体系各具特色纵使欧盟和美国在人脸识别信息保护已经具备较为先进和成熟的制度经验,但从其立法体系上看还缺乏一定系统性,欧盟呈现出单一立法保护模式,美国呈现出分散立法保护模式。3.1.1欧盟呈现单一立法保护模式欧盟图书馆人脸识别信息保护的立法制度集中于以GDPR为核心的数据保护立法,这一曾被誉为欧盟乃至世界最具代表性、最
16、为严格的数据保护法12,对欧盟图书馆人脸识别信息保护举足轻重。GDPR从原则、数据主体权利、数据处理规则及至法律责任,无一不体现出对人脸识别信息的严格保护态势。随着GDPR施行及其强大影响力,欧盟还发布 人脸识别技术:执法中的基本权利考虑 人工智能白皮书 人脸识别指南 等一系列政策文件,试图在人工智能领域复刻GDPR在全球范围内的示范效应以保持欧盟竞争力9 43。其在人脸识别信息保护领域立法具有相当的先进性,也已成为各国立法参考借鉴的蓝本。但是,在欧盟层面的图书馆立法却未有人脸识别信息保护相关规定,缺乏对图书馆领域的专门化、场景化规制,不具备“普遍+个别”的一般法与专门领域法共治模式,这与其本
17、身由多国组成的政治经济联盟体制具有直接关联。但与我国实践不相匹配,该模式若在我国运用可能难以确保图书馆人脸识别信息保护的广度和深度。3.1.2美国呈现分散立法保护模式美国诸多州隐私立法中,较具代表性的是伊利诺伊州2008年出台的 生物信息隐私法(BI在美国各州、地区图书馆立法相关规定中,虽然对于读者人脸识别信息的界定隐现于“图书馆记录”相关概念中,缺乏对于读者人脸识别信息的专门规定,但其能够将人脸识别信息保护涵盖在内,并且相关规定较为详尽、全面,具有相当参考价值。吕晨,蒋林君:整体法秩序下图书馆人脸识别信息保护研究信息资源建设例如第七十条纳入具有中国特色的公益诉讼制度,从个体权益和公共利益双重
18、视角看待人脸识别信息保护,突破公力或私力救济单一保护模式的局限性,为人脸识别信息保护提供有力司法保障,对人脸识别信息保护具有重要意义。33第 53 卷 第 4 期 总 第 236 期2023 年 7 月20232023年第年第4 4期期图书馆研究PA)。其作为美国最“强硬”的州立法,对收集人脸识别信息做出了严格的限制13。图书馆立法中,共有48个州和哥伦比亚特区有相关法律保护,其中新墨西哥州、密歇根州以及蒙大拿州则是以专门法的形式出现,对图书馆人脸识别信息形成场景化的保护模式14。当前,美国图书馆人脸识别信息保护业已实现“普遍+个别”(隐私法+图书馆法)的共治形态,通过“普遍+个别”的共治格局
19、,有益于确保图书馆人脸识别信息保护的深度与广度。同时,其对人脸识别技术使用秉持审慎态度,对人脸识别信息保护力度较大,Facebook也曾因违法使用人脸识别技术多遭诉讼并承担巨额罚金。然而,在其国家体制之下,其立法体系呈现出了分散保护模式,虽已实现各法的共治,但其立法制度在各州之间“各自为战”,规定参差不齐,可能面临某一处理行为在某一州合法而在另一州被认定为违法的窘境,不利于国家层面对图书馆人脸识别技术应用的整体性治理,这一点也与我国的实践不相符。3.2事前合规规则设置先进通过对欧盟和美国图书馆人脸识别信息保护立法制度文本考察发现,其事前合规规则较为先进、完备。如美国图书馆法的调整范围、GDPR
20、的事先咨询制度以及GDPR与BIPA鼓励行业协会发挥合规指引作用等制度,在我国当前立法制度中匮乏且具有现实需要。3.2.1图书馆法的调整范围较为周延纵观美国各州和特区图书馆立法制度,共有37个州图书馆法中明确所调整图书馆的类型,并且80%以上州立法不局限于公共图书馆这一调整类型,而是包括公共图书馆、公共资金资助的图书馆、学校图书馆、协会图书馆、私人图书馆等诸多类型,密苏里州等调整的则是所有类型图书馆,还有8个州、特区未予限定范围,只有亚拉巴马州等8个州明确仅调整公共图书馆类型(详见表1)。总体来看,美国图书馆州立法调整类型较为详尽,对不同图书馆类型的人脸识别信息保护较为周延。诚然,仅调整公共图
21、书馆的立法制度难以对其他图书馆侵犯人脸识别信息行为加以规制,更遑论其人脸识别信息保护。表1 所调整的图书馆类型亚拉巴马州特拉华州佛罗里达州马里兰州马萨诸塞州南达科他州西弗吉尼亚州明尼苏达州阿拉斯加州缅因州佛蒙特州南卡罗来纳州阿肯色州新墨西哥州(图书馆隐私法)公共图书馆公共图书馆公共图书馆公共图书馆公共图书馆公共图书馆公共图书馆政府运营的图书馆州、市或公立学校运营的图书馆任何公共、州立、法律和立法参考、大学、社区学院或海事学院系统的图书馆公共图书馆,学院、大学或学校图书馆,其他定期开放并在现场提供或免费向公众传播材料的图书馆公共资金支持的公共、私人、学校、学院、技术学院、大学和国家机构图书馆公共
22、资金支持的公共、学校、学术和特殊图书馆任何接受公共资金的、作为国家机关的和由国家、国家机关、地方政府、地区或当局建立的图书馆州名称适用图书馆诚然,还有学者已对数据保护官、数据保护影响评估、数据认证等事前合规制度展开深入研究,此处不再列举。信息资源建设3420232023年第年第4 4期期第 53 卷 第 4 期 总 第 236 期2023 年 7 月内布拉斯加州犹他州科罗拉多州亚利桑那州威斯康星州加利福尼亚州得克萨斯州路易斯安那州密西西比州俄克拉荷马州北达科他州纽约州伊利诺伊州康涅狄格州蒙大拿州(图书馆记录保密法案)北卡罗来纳州田纳西州俄亥俄州宾夕法尼亚州新泽西州新罕布什尔州内华达州密苏里州公
23、共资助的图书馆公共资助的图书馆公共支持的图书馆公共资金支持的图书馆公共资金支持的图书馆公共资金支持的图书馆由公共资金支持的图书馆由公共资金支持的任何图书馆由公共资金资助的任何图书馆任何公共资金支持的图书馆接受公共资金的图书馆州公共、自由协会、学校、学院和大学图书馆任何公共图书馆或教育、历史或慈善机构、组织或社团的图书馆除学校和高等教育机构管理以外定期向公众开放的公共或私人图书馆州、县、市、镇、学区或这些政府单位、学院或大学的组合建立的图书馆,或任何向公众开放的私人图书馆州、县、市、乡、村、学区或其他地方政府或当局设立或由地方政府和当局联合设立的图书馆,社区学院或大学图书馆,或任何向公众开放的私
24、人图书馆向公众开放并由州任何行政区划、政府单位或当局联合、大学或社区学院设立或经营的图书馆以及任何向公众开放的私人图书馆向公众开放的图书馆州立图书馆,根据联邦和州法设立或运营的图书馆,联邦特许的大学、学院或教育机构图书馆,公立学校图书馆,上述图书馆相关的分支阅览室、寄存站或代理处任何公共或私人运营的图书馆公共图书馆或非公共图书馆公共图书馆或其他图书馆任何图书馆州名称适用图书馆3.2.2发掘监管机构的事先咨询职能GDPR第三十六条规定了“事先咨询”制度,该制度是在该法第三十五条“数据保护影响评估”制度基础上对数据控制者合规的又一制度设计,即数据控制者在经数据保护影响评估后表明其缺乏减轻风险措施并
25、可能导致高风险的矛盾时应当向监管机构咨询,并提供必要信息,而监管机构在收到咨询请求的法定期限内需反馈书面建议。在该情形下,数据控制者可以通过监管机构给出的书面建议可以得到明确的合规指引,从而进一步降低人脸识别合规的成本和风险,在保护人脸识别数据的同时也在一定程度上激发了人脸识别数据的经济效能。当前,除了GDPR以外,国际标准化组织(ISO)与国际电工委员会(IEC)制定的 隐私信息管理要求与指南(ISO/IEC 27701)也设立了事前咨询制度,与隐私、信息安全影响评估报告形成内外协同的风险预防机制15。英国 数据保护法(2018)同样确立了事先咨询制度16。事先咨询制度的要义在于发掘监管机构
26、的事先咨询职能,进一步加强对数据处理行为的事前风险防范,确保处理行为和数据保护的事前合规。续表基于数据与信息在内容上的一致性和保留相关立法原有表述的考虑,本文在探讨相关国家或地区立法时分别称谓。吕晨,蒋林君:整体法秩序下图书馆人脸识别信息保护研究信息资源建设35第 53 卷 第 4 期 总 第 236 期2023 年 7 月20232023年第年第4 4期期图书馆研究3.2.3发挥行业协会的合规指引作用行业协会的合规指引作用主要表现在各行业协会出台的政策准则中。行业政策准则作为一种具有“组织规范”特质的软法规范,能够发挥其应有的规范和指导作用17。较之处理者自行制定的政策准则而言更具约束力和稳
27、定性,较之具有普遍效力的法律规范而言更具针对性和可操作性。GDPR第四十条鼓励协会起草行为准则以促进GDPR合理实施。要求制定行为准则应考虑各领域的具体特点和中小微企业的具体需求,并交由监管机构审查、提出意见和批准,继而由有权监管机构对被批准行为准则的遵守进行监控。该条以行业协会作为对数据处理企业监管的抓手,进而契合行业特性和需求,能够形成适应不同场景、更为严谨细致的人脸数据保护和人脸识别技术治理模式。BIPA第十五条(e)要求拥有人脸识别信息的私人实体应当通过行业内合理保护标准存储、传输和保护人脸识别信息免受披露,此种方式应与存储、传输和保护其他机密和敏感信息的方式相同或更甚。该条款凸显了B
28、IPA对行业自律的严格要求,也为仅具“软法”特性的行业政策准则赋予了“硬法”依据和有力保障。3.3事后法律责任划定明细欧美人脸识别信息保护立法不仅拥有先进的事前合规制度,在事后法律责任划定方面同样也条理分明、逻辑清晰。3.3.1欧美人脸识别信息保护法的责任划定从 GDPR 第八十三条“行政罚款的一般条件”来看,其明晰了可以行政罚款应当充分考虑违法者故意或过失的主观意图、违法行为侵犯的数据类型等因素;载明了不同类型违法行为的罚款规则和严格的处罚标准,如违反人脸识别数据处理原则的罚款较之违反部分数据控制者和处理者义务的罚款上限更高,最高可处以2千万欧元罚款(若是企业或可处以相当于其上一年全球总营业
29、额4%金额的罚款,以数额较高者为准)。该条在充分考虑了违法者的主观意图、违法行为的严重程度等要素基础上,设置了梯度合理、处罚严厉的责任规则,对监管机构事后追责具有很强的指引性和可操作性。从BIPA 第二十条的责任划定看,该条明确在法律责任认定中需区分故意和过失两种情形,被害者可以通过诉讼要求过失者赔偿损害赔偿金1 000美元或根据实际损害赔偿,要求故意或间接故意者赔偿损害赔偿金5 000美元或根据实际损害赔偿(以数额较大者为准),并且明确可以申请合理的律师费、专家证人费等其他费用,另对州或联邦法院认为如禁令等其他适当的救济方式予以认可和支持。虽然BIPA设置而损害赔偿金上限远不及GDPR,但其
30、将实际损害赔偿纳入其中,确保责任认定的合理性,避免因损害过大、赔偿不足导致的权利义务失衡;同时,通过违法者主观意图区分违法行为的后果,实现了事后追责的梯度设置,进一步体现出其制度设计的科学性。3.3.2美国各州和特区图书馆法的责任划定目前,美国共有11个州、特区载明了违反人脸识别信息保护条款的法律责任,包括追究刑事责任、民事责任、投诉以及衡平法救济等方式。其中:亚利桑那州等5个州采用刑事责任的单一救济模式,新墨西哥州采用民事责任的单一救济模式,密歇根州采用民事责任和衡平法救济的双重救济模式,蒙大拿州等3个州和地区采用民事和刑事责任的双重救济模式,密苏里州采用投诉、民事责任和衡平法救济的三重救济
31、模式。部分州图书馆立法中责任条款规定较为明细,如南卡罗来纳州根据不同违法次数规定了递增式处罚幅度(详见表 2)。总体来看,其相关规定细化、责任明晰,裁判者在法律责任条款适用中更易于操作。信息资源建设3620232023年第年第4 4期期第 53 卷 第 4 期 总 第 236 期2023 年 7 月表2违反图书馆人脸识别信息保护条款的法律责任序号1234567891011州、特区名称亚利桑那州阿肯色州科罗拉多州佛罗里达州南卡罗来纳州新墨西哥州(图书馆隐私法)密歇根州(图书馆隐私法案)蒙大拿州(图书馆记录保密法案)罗得岛州哥伦比亚特区密苏里州法律责任故意违反构成第三类轻罪构成轻罪,单处或并处不超
32、过200美元的罚款或30天监禁,或者是单处或并处适当的公共服务或教育(须在违法行为发生或发现之日起两年内起诉)构成二级轻罪,处以不超过300美元罚款二级轻罪,根据州法规“第四十六章 犯罪775.082或775.083条”规定处罚第一次被定罪应罚款不超过500美元或监禁不超过30天;第二次应罚款不超过1 000美元或监禁不超过60天;第三次或以后被定罪应罚款不超过2 000美元或监禁不超过90天民事责任,由法院决定损害赔偿和诉讼费就实际损失或250美元(以较大者为准)提起民事诉讼,并主张合理律师费和诉讼费,法院也可根据本款予以衡平法救济;民事诉讼应在首次知道或有理由知道披露之日后180日内提起犯
33、轻罪并负有责任;提起民事诉讼,主张赔偿实际损失或100美元(以数额较大者为准);合理的律师费和诉讼费可判给胜诉方单处或并处每次不超过1 000美元的罚款,或不超过6个月的监禁;受侵害者可提起民事诉讼,主张赔偿实际损失或每次250美元(以金额较大者为准),以及合理的律师费和诉讼费构成轻罪,处以不超过300美元的罚款;受侵害者也可以提起民事诉讼,要求赔偿实际损失或250美元(以数额较大者为准)、合理的律师费和诉讼费受损害者可在损害行为发生后180天内向司法部部长办公室提交书面投诉;还可提起民事诉讼;法院可裁定惩罚性赔偿、胜诉方律师费、可提供其认为必要或适当的衡平法救济备注刑事责任民事责任民事责任、
34、衡平法救济民事、刑事责任投诉、民事责任、衡平法救济4我国图书馆人脸识别信息保护立法制度完善当前,我国图书馆人脸识别信息保护的现行立法制度有所不及,有必要进一步思考其人脸识别信息保护的立法体系导向,更新事前合规规则、明晰事后法律责任,完善图书馆人脸识别信息立法体制机制,推动中国式图书馆法治现代化的进程。4.1图书馆人脸识别信息保护的立法体系导向较之欧美而言,我国图书馆人脸识别信息保护虽初具个人信息保护法及相关法与图书馆法共治的系统立法模式,但各法共治及其协调衔接方面仍亟待完善。4.1.1欧美经验借鉴与中国方案选择从欧盟立法体系看,其对图书馆人脸识别信息保护的专门规定阙如,尚未实现人脸识别信息保护
35、的一般法与专门领域法相结合,这与其由多国组成的政治经济联盟体制具有关联,但其人脸识别信息保护立法制度方面值得借鉴。在美国立法中,因其本身国家联邦体制的因素,各州享有较大的立法权限,在国家层面的统一立法则相对欠缺,但是从各州的立法情况来看已实现较为完备的一般法与专门领域法衔接融贯的共治格局,且相关制度较为完善,值得我国借鉴。在我国,一般法与专门领域法等诸法共存格局已然存在,诸法共治在各个领域有所倡导,不仅在图书馆领域立法,还有如生态法治18、体育法治19、全民健身与乡村振兴融合20、网络文学作家权益保吕晨,蒋林君:整体法秩序下图书馆人脸识别信息保护研究信息资源建设37第 53 卷 第 4 期 总
36、 第 236 期2023 年 7 月20232023年第年第4 4期期图书馆研究护21等领域也是如此。诸法共治也可谓是我国现行立法体系、整体法秩序下的治理趋向和取向。但是,立法中不宜将“共治”等同于“融合”而过多地冲击现行法律体系22,这也是在图书馆人脸识别信息保护中深化诸法共治所需注意的问题。4.1.2深化一般法与专门领域法共治个人信息保护法 是图书馆人脸识别信息保护的一般法,图书馆法则是其专门领域法。二者目标不同,着力点也难免有所不同。个人信息保护法 是个人信息保护的基础性法律,调整国家和社会生活各领域个人信息处理行为,调整对象和条文内容具有普适性,难以形成对图书馆人脸识别信息的专门保护。
37、而图书馆法作为调整图书馆活动的专门领域法,其能够包括图书馆工作的各个方面。图书馆读者的人脸识别信息也不例外,是图书馆法所应调整的重要对象之一,并且能够在图书馆法中将人脸识别信息保护相关内容根据图书馆自身特点进一步细化,这是个人信息保护法 难以企及的重要方面。故此,在 个人信息保护法 统领下,深化该一般法与专门领域法“图书馆法”共治,形成“普遍+个别”的科学治理模式,确保图书馆人脸识别信息保护的广度和深度。4.1.3实现专门领域法与相关法衔接在图书馆立法过程中应当与时俱进,尽可能地将图书馆当前的信息安全等核心问题以及未来发展趋势一并考虑,并适时进行修订和补充23。对此,需要完善现有图书馆法中人脸
38、识别信息保护相关的条款,并与 民法典 刑法 个人信息保护法 等法律有机衔接,强化图书馆领域人脸识别信息的专门保护。而在一般法与专门领域法共治的模式下,专门法与相关法的衔接是关键,该衔接需要建立在现有法律体系、法的效力位阶以及一般法与特别法关系的基础上,否则共治将变成“个治”和“各治”,不同法律规范之间也将面临难以调适矛盾和冲突,法秩序的整体性和统一性将无法保证。实现专门领域法与相关法的衔接主要体现在两个方面:一是处理者义务和行为规则的衔接,图书馆法应根据图书馆处理人脸识别信息行为的特点,在 个人信息保护法的基础上深化并与之协调衔接。二是法律责任的衔接,法律责任方面可以分化为民事责任、行政责任和
39、刑事责任,主要与 民法典 个人信息保护法 刑法 相衔接,避免出现责任设定与责任落实之间的鸿沟。4.2图书馆人脸识别信息保护的事前规则更新事前规则是实现对图书馆应用人脸识别技术前端治理的重要依据,也是推动图书馆人脸识别信息合规的重要指引。相比欧盟和美国立法制度,我国的图书馆人脸识别信息保护的事前规则仍有进一步更新完善的空间和必要。4.2.1扩充现有公共图书馆法调整类型科学的制度来自自身的合理性、严密性等方面,如同一张结实完整、没有漏洞的“渔网”24。我国现有图书馆法的规制主体狭窄,仅限于公共图书馆及其直接负责的主管人员和其他直接责任人员5 13。而公共图书馆仅是图书馆众多类型之一,不足以涵盖所有
40、类型图书馆。缺乏制度本身的严密性,图书馆法律体系这张“渔网”则存有缺陷和漏洞,无法编制成一张完整的“渔网”。故此,应扩充图书馆法的调整类型,确保所调整图书馆类型的科学性。一方面,可以对 公共图书馆法 及相关地方性法规的名称和部分内容进行修改,将国家图书馆、学校图书馆、科学图书馆等类型25纳入图书馆法调整范围中;另一方面,可以通过出台法律解释或实施细则等过渡性方式增补上述类型图书馆并予以释明,但该种方式仅为权宜之计,最终还需回到立法修正这一轨道。4.2.2增补图书馆法人脸信息保护条款有学者从馆员角度调查得出,法律具有强制仅有 北京市图书馆条例 第二条规定:“本条例适用于本市的公共图书馆及其他各类
41、图书馆。”由于该法2002年便正式施行,对于人脸识别信息保护相关规定空缺,但其调整图书馆类型的全面性在国内具有标杆意义。信息资源建设3820232023年第年第4 4期期第 53 卷 第 4 期 总 第 236 期2023 年 7 月性和普遍性,没有法律的统一约束,公共图书馆很难主动承担起责任并发表声明来保障用户权益,用户个人信息保护也很难引起图书馆领导的重视26。目前,已有针对社会信用和物业管理领域人脸识别信息保护相关规定。据此,除 个人信息保护法 以外,在我国 公共图书馆法 和各地图书馆地方性法规中也应增补必要的人脸识别信息保护的一般性条款,以及适应图书馆场景的专门性条款,既是对 个人信息
42、保护法 等法律法规在图书馆领域立法中做出的回应,又可以提高图书馆行业合规自律的可操作性和主动性,避免成为其怠于开展合规自律活动的托词。4.2.3纳入事先咨询制度以加强风险防范我国现行人脸识别信息保护法律体系更具事后规制色彩,人脸识别信息作为敏感个人信息具有唯一性,并且一旦泄露损失难以弥补,其潜藏风险不言而喻,故对于人脸识别信息的事前保护显得尤为关键。可以参考借鉴欧盟GDPR,建立事先咨询制度,推动图书馆领域行业合规、强化对处理人脸识别信息活动的事前风险防范。对此,有必要借鉴并建立事先咨询制度以加强事前规制、预防风险27。一方面,可以在 个人信息保护法 事前影响评估制度中增设事先咨询制度,即经评
43、估表明存在高风险隐患且处理者无法提供减轻风险措施时,对处理者可以向监管机构咨询的义务。进而强化 个人信息保护法 的事前规制力度,降低处理活动中人脸识别等个人信息的风险隐患。另一方面,可以在图书馆领域率先试点探索,在修改 公共图书馆法 的同时,将事先咨询制度及相关联的事前影响评估制度纳入其中,在图书馆处理人脸识别等个人信息保护活动中先试先行,为 个人信息保护法 后续修改提供实践经验。此外,对于事先咨询制度还应明确处理者的可选项,对该制度进一步释明,即在上述情形下:一是可以选择停止人脸识别等个人信息处理活动,二是如若欲继续处理则必须向监管机构咨询并得到其认可后方可实施。4.2.4增加行业协会合规指
44、引相关内容当前,还需进一步发挥行业协会的合规指引作用,加强对图书馆处理人脸识别信息行为的规范。个人信息保护法 第五十一条仅要求个人信息处理者制定内部制度和操作规程,但未规定行业协会制定行业政策相关内容。尽管 公共图书馆法 第十二条要求公共图书馆行业组织应当依法制定行业规范,加强行业自律。但目前人脸识别信息保护相关行业政策依然缺位,以至于图书馆对相关制度和措施一片茫然,其在健全、完善图书馆行业政策方面有待加强28。行业政策在行业合规自律方面起到正向指引作用,其“软法特性”对于本行业的发展具有较强的约束力。为此,在 个人信息保护法 的基础上还需进一步完善相关规定,对各行业协会发挥其政策指引作用提供
45、“硬法”依据。在此基础上,上述两法还需加强对该规定的落实,敦促行业协会根据行业特点制定相应的行业政策,在推动智慧图书馆建设的同时加快人脸识别信息保护合规化进程。4.3图书馆人脸识别信息保护的事后责任明晰法律责任是事后规制的重要关卡,如何合理划分相应法律责任则是重中之重。无论是 个人信息保护法 还是 公共图书馆法,法律责任内容均较为笼统,须进一步明晰。4.3.1区别侵犯不同类型信息的责任在 个人信息保护法 的合规框架中,已经明确区分处理一般个人信息和敏感个人信息的行为规则,但在法律责任尤其是第六十六条中尚未体现,致使行为规则与法律责任规定间不平衡、不协调。较之一般个人信息而言,人脸识别信息等敏感
46、个人信息具有唯一性,一旦泄露或被他人冒用可能会造成永久性的损害且难以弥补29。处理敏感个人信息违法理应承担重于一般个人信息的责任。故此,个人信息保护法 第六十六条的法律责任内容应当进一步完善,以个人信息的类型构建总体框架,按照不同类型的个人信息划分不同梯度的法律责任,实现对侵犯不同类型个人信息的违法行为在法律责任中分级规制。同时,公共图书馆法 也需相应修改,以实现与吕晨,蒋林君:整体法秩序下图书馆人脸识别信息保护研究信息资源建设39第 53 卷 第 4 期 总 第 236 期2023 年 7 月20232023年第年第4 4期期图书馆研究相关法的衔接与适配。4.3.2区分实施违法行为的主观意图
47、在 个人信息保护法 第六十六条区分一般和严重违法情形法律责任的基础上,还需根据违法者的主观意图,区分故意和过失下的责任情形。有学者从侵权法角度指出故意与过失的区分及其意义,因故意和过失的道德可责性有根本不同,二者的归责根据也应有别,并且将故意与过失明文并列也是目前多数大陆法典的普遍做法30。在侵犯个人信息的责任承担情形中区分故意和过失同样具有合理性和必要性,对法律条款的逻辑呈现、法律责任的合理划定、监管机构的追责指引等方面不可偏废。个人信息保护法应当根据违法者的主观意图分别设置不同层次的罚则,公共图书馆法 同样需要相应修改,以期为裁判者提供明确的指引,确保处理个人信息活动中各方权利义务的平衡。
48、5结语随着新一代信息技术发展迭代、图书馆智慧化建设与日俱进,图书馆领域的信息风险也正在漫延,高度复杂的数据安全问题和严重犯罪活动时有发生31。而人脸识别技术与数字密码不同,其不可撤销性成为图书馆人脸识别信息保护的重大问题,该信息一旦泄露将无法更改和更换,只能“被迫”与非法者共享32。鉴于当前我国立法现状,还需加紧更新、优化人脸识别信息保护法律,以期为图书馆人脸识别信息保护提供有力的制度支撑。囿于条件限制,对相关法律制度考察广度和深度有所不足,成为本文缺憾之处,后续将继续完善。参考文献1陈祥玲,肖冬梅,杨忠.图书馆处理个人信息的合规义务研究 J.图书情报工作,2022(17):69-80.2张新
49、宝.论个人信息权益的构造 J.中外法学,2021(5):1144-1166.3吕晨,蒋林君.我国 个人信息保护法 视阈下图书馆人脸识别信息保护合规研究 C/上海图书馆(上海科学技术情报研究所).智慧图书馆:韧性发展与未来挑战第十一届上海国际图书馆论坛论文集.上海:上海科学技术文献出版社,2022:220-225.4白清礼,张舒扬.图书馆法研究的学科化路径选择J.图书馆理论与实践,2022(3):17-22.5孙道锐.读者个人信息侵权保护的完善兼论 公共图书馆法 相关规定的修改 J.新世纪图书馆,2020(11):10-16.621世纪经济报道.多地规范人脸识别:天津立法禁止采集人脸信息,南京、
50、杭州等地出手监管 EB/OL.2021-11-30.https:/ 中华人民共和国公共图书馆法 与 信息安全技术个人信息安全规范 分析 J.图书馆工作与研究,2018(6):5-9.8龙卫球.个人信息保护法 的基本法定位与保护功能基于新法体系形成及其展开的分析 J.现代法学,2021(5):84-104.9张新宝,葛鑫.人脸识别法律规制的利益衡量与制度构建 J.湖湘法学评论,2021(1):36-51.10刘为军.重在前端治理:人脸数据保护立法展望EB/OL.2021-11-06.https:/ 中华人民共和国个人信息保护法 的词频统计与分析 J.图书馆理论与实践,2022(4):12-21,
浙ICP备2021020529号-1 | 浙B2-20240490 
