已有法律制度对通过技术识别的人脸识别信息适用个人信息保护，将其视为生物识别信息或敏感个人信息；对可以自然识别的人脸图像信息适用隐私权保护，将其视为公开个人信息与非私密信息。此类基于信息区分的二分保护具有一定合理性，但也存在困境。法律应转向基于制度区分的保护，在侵权隐私、信息隐私、执法隐私的制度模块下保护不同场景下的人脸信息。侵权隐私制度具有横向性特征，主要针对违反社会关系的人脸信息获取场景；信息隐私制度具有倾斜性特征，主要针对信息能力不平等主体之间的人脸信息处理场景；执法隐私制度具有纵向性特征，主要针对人脸信息的公共执法场景。人脸信息保护的关键是实现制度与场景的对齐。应将不同制度模块适用于与其相匹配的典型场景；对于与制度模块不匹配的非典型场景，则应对制度模块进行改造与转型升级。

侵权隐私；信息隐私；执法隐私；人脸识别；人脸图像 

人脸信息保护是一个老生常谈的社会与法律热点问题，每隔一段时间，新闻媒体就会报道我国和域外有关人脸信息的立法与相关案例。例如，在杭州的“人脸识别第一案”中，杭州野生动物园仅允许游客使用人脸识别的方式入园，游客据此向法院提起诉讼，引发全社会关注。又比如，在山东济南的一个楼盘售楼处，部分看房人为躲避售楼处的面部识别监控技术，头戴摩托车头盔前去看房，引发媒体广泛报道。而随着人工智能技术的兴起，利用网络技术在互联网空间爬取人脸图片、创建人脸识别信息库并用于人工智能训练，也引发了法律风险与争议。这一做法目前在美国被认定为合法活动，但却被欧盟多个国家的数据保护机构认定为违法。此外，涉及人脸信息拍摄、监控的案件也层出不穷。例如有人从事街拍活动，将拍到的人像图片和视频上传至网络，引发了被拍摄者的不满；有的居民在自家门口安装监控视频，拍到其邻居的人脸信息，引起邻居的投诉与不满；一些网民的人脸被他人用AI技术移花接木到淫秽色情图片与视频上，并遭遇敲诈勒索。

为了合理保护人脸信息，我国、域外国家和地区均出台了相关法律法规或指南。例如，我国最高人民法院于2021年出台了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，国务院于2024年发布了《公共安全视频图像信息系统管理条例》，对采集与处理包括人脸信息在内的个人信息进行规范。同年，我国国家互联网信息办公室、公安部联合发布了《人脸识别技术应用安全管理办法》，对利用人脸识别技术处理人脸信息进行规范。域外国家和地区也发布了相应指南。美国于2025年通过了《删除法案》，其中相关条款规定，平台需要采取技术措施删除利用AI技术进行换脸的私密或裸露图像。欧盟早在2019年就发布了《关于通过视频设备处理个人数据的准则》的指南，对通过视频监控方式处理人脸信息的行为进行规范。欧洲理事会《关于个人数据自动化处理中的个人保护公约》（第108号公约）咨询委员会发布《人脸识别指南》的报告，就人脸识别对立法与政策制定者、制造商、使用者和个人给出了全方位的建议。欧盟于2024年通过的《人工智能法案》也对人脸识别进行了规定，将从互联网或监控视频中“爬取人脸图像来创建或扩展人脸识别数据库”列入禁止性人工智能实践。

对于人脸信息保护，学界已经从不同角度进行了深入分析，但仍有一些关于人脸信息保护的核心问题尚未得到分析与探讨。首先，人脸信息保护应当适用何种制度？是否可以说，经过技术识别的人脸识别信息适用《个人信息保护法》，而未经技术识别的人脸图像信息则不适用？如果人脸信息保护适用《个人信息保护法》的框架，则个人可以行使《个人信息保护法》中的一系列权利，例如，个体知情决定权、查阅复制权、携带转移权、更正补充权、删除权、解释说明权等权利；信息处理者则要遵守一系列义务，例如，安全保护措施、合规审计、影响性评估、个人信息泄露等情形中的补救措施。相反，则上述《个人信息保护法》的一般制度将不适用。当人脸图像信息不适用个人信息保护时，法律又应当采取其他何种保护制度？例如，在摄影街拍、监控录像的场景下，法律是否以及如何保护人脸图像信息？

其次，如何看待人脸信息的敏感性、公开性与私密性等属性与特征？敏感个人信息与公开个人信息的概念为各国的个人信息保护法所规定。对于敏感个人信息，各国都采取强化保护措施。对于处理公开个人信息，各国则对其进行弱化保护。而私密信息则与传统隐私权密切相关，《中华人民共和国民法典》（以下简称《民法典》）规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”是否可以说，经过技术识别的人脸信息都是生物识别个人信息，因此属于敏感个人信息、非公开个人信息、私密信息，而未经技术识别的人脸信息则是非敏感个人信息、公开个人信息、非私密信息？但在人脸图像信息和人脸识别信息相互转换的背景下，又应当如何看待人脸信息的属性及其法律适用？

上述问题环环相扣，密不可分。例如人脸信息适用何种制度，将决定或影响法律对敏感个人信息、公开个人信息与私密信息概念的讨论。反之，人脸信息是否具有敏感性、公开性与私密性特征，又会影响法律采取何种制度保护人脸信息。此外，人脸信息的敏感性、公开性与私密性也会相互影响。本文对上述问题进行讨论，指出人脸识别信息与人脸图像信息二分保护面临着重大挑战与困境。为应对这些挑战与困境，本文引入域外法学界最近二十多年来广受关注的制度模块理论（modularity theory），指出这些挑战与困境的根源在于制度模块与场景的不匹配。法律需要区分不同制度与场景，将不同功能的制度模块适用于与其相匹配的典型场景；而对于与制度模块不匹配的非典型场景，则需要对制度模块进行拆分、重组、改造或转型升级，使得新制度能够适应非典型场景或新场景。本文提出信息隐私、侵权隐私与执法隐私这三种不同制度模块，对这三种制度模块的制度设计、功能与基本原理进行分析，在此基础上对人脸信息保护的制度进行重构。

在行文方面，本文第二部分对人脸信息保护的制度适用与信息属性展开分析；第三部分阐述信息隐私、侵权隐私与执法隐私的不同制度模块，借此分析与重构人脸信息保护的基本原理；第四部分对人脸信息保护的具体制度进行重构；结语部分对制度与场景的对应问题进行法理学反思。在术语使用方面，为了简便起见，本文将把经过技术识别的人脸信息称为人脸识别信息，把暂时未经技术识别的人脸信息称为人脸图像信息，把人脸识别信息和人脸图像信息统称为人脸信息。同时，本文所称的信息隐私制度与个人信息保护制度是同一制度，但在不同语境中采用不同表达。

人脸信息收集与利用的场景多元，既包括人脸识别信息，也包括人脸图像信息。前者又包括一对一的个体验证、多对一的个体识别、多对多的身份归类。后者则包括摄影拍照、录像监控、网络爬取等多种不同场景。对人脸信息进行分析，可以发现其适用的制度与人脸信息的特殊性都存在争议。

对于人脸识别信息，一对一的人脸识别主要用于身份验证，例如，有的大学和小区门口设置刷脸设备，对进入其中的学生、老师和访客进行验证；酒店在旅客入住、银行在顾客开户时通过公安机关身份信息数据库进行比对。在此类场景中，人脸识别技术的使用者与个人具有显著的信息处理关系，而且利用个人信息保护制度可以有效规制此类信息处理关系。一方面，赋予个人信息主体相关权利可以有效维护个人权益，例如,个人信息更正权可以有效防止个体人脸识别出现差错。另一方面，对信息处理者施加相关责任则可以有效维护用户的信息安全、金融账户安全、公共安全等各类权益。