首先，侵权隐私可以适用于拍照录像、个人视频监控等各类与该制度相对应的典型场景。在这些场景下，判断相关人脸信息处理是否构成隐私侵权，取决于相关行为是否违反社会规范或一个社会中理性个体的合理预期。以拍照录像为例，利用手机进行拍照录像，拍到他人人脸；在公共广场、商业街道、旅游景区拍摄包含一般人脸图像的视频并上传至社交网络，都不应被视为侵权。在这类场景中，每个个体都应当能够预期自己的人脸信息有可能被他人拍摄与分享。但是，如果此类拍照录像是对特定个体进行跟踪拍摄，或者是针对未成年人进行未经允许的人脸特写拍照并将其广泛分享，则相关行为可能构成隐私侵权。再以个人视频监控为例，当普通个体在其房屋外或家门口安装视频监控，如果这类视频监控的区域属于社会理性个体所能预期的范围，则其视频监控到的人脸信息应不属于侵权。但是如果此类监控可以拍摄到他人房屋内的活动，或者此类监控可能构成对邻居等特定个体的行踪轨迹的监控，则此类视频监控就属于侵犯他人隐私。

侵权隐私中的人脸信息保护也常常需要考虑其他合法权益。例如，在涉及媒体报道、公共人物与公共事件的情形中，法律需要平衡隐私权与舆论监督、公共讨论的需求。而且即使是个人从事此类行为，其侵权行为的边界也应当有所变化。例如2019年，有父母将一名6岁的小女孩绑在树上进行教育，一位路人担忧小女孩情况，对这一情形进行了录像，并将视频私信给新浪微博大V进行传播，此案最终引发了相关诉讼。在本文看来，此案对未成年人的人脸信息进行法律保护具有合理性。但此案与一般拍摄未成年人的行为不同之处在于，此案中的路人是因为担忧未成年人的安全而进行的拍摄和传播，具有见义勇为和社会监督的性质。虽然事后证明该案中的父母并没有伤害其孩子的意图，但在当时的情形下，该名路人的拍摄与传播行为不应受到法律的否定。

其次，在非典型场景下，侵权隐私也可以适用于信息隐私或执法隐私对应的场景。尽管侵权隐私是一种横向保护的制度，但当事人仍然可以将信息处理者或执法者视为侵权法上的侵权者。当然正如上文所述，在信息隐私或执法隐私的人脸保护场景中，适用侵权隐私可能面临制度失效的困境。例如，信息处理者违规处理大量人脸信息、执法者违规对个人人脸信息进行识别。在这些场景中，个体很难对自身权益进行有效救济，在绝大多数情形下，个体既难发现其权益受到侵害，也难对造成的损害进行举证。而且即使极少数个体能够对自身权益进行救济，其他被违规处理的海量个体权益也无法得到保护。

面对非典型场景下制度与场景的错位，一种方案是直接诉诸信息隐私或执法隐私保护制度，寻求与场景更相对应的制度工具。而另外一种方案则是对侵权隐私制度进行改造与升级，使得侵权隐私制度仍然能够发挥其作用。例如，在综合性个人信息保护制度仍然缺位的美国，很多学者就主张降低隐私侵权中“损害”的认定标准，允许更多的隐私侵权被法院接受与认可，以重新发挥侵权法对于大规模侵权的治理作用。不过，这种制度的改造也是双刃剑，降低隐私侵权中“损害”的认定标准，可能导致法院的案件大量增加、监管过度等“私人执法”问题。

首先，正如上文所述，信息隐私高度对应一对一人脸识别验证这一场景。在一对一的人脸识别场景下，处理者与个人之间不但具有不平等的信息处理关系，而且人脸识别信息又具有很强的个体属性。人脸识别信息的这种特征使得这类信息具有类似早期档案类个人信息的属性。个人信息保护法的早期制度，即公平信息实践制度，起源于对个人税收记录等个人档案类信息的保护。对于此类较为重要和处理频次较低的信息，个体具有较强的自我保护动力，赋予个人信息权利和强化个体的信息自我控制，不会陷入“隐私悖论”（privacy paradox）或隐私自我管理的困境。就一对一的人脸识别本身而言，这一制度适用信息隐私制度应无疑议。

其次，对于一些与信息隐私保护不完全匹配的非典型场景，信息隐私制度模块应当进行改造和适用。以上文提到的商业化多对一或多对多的人脸识别场景为例，当商场对顾客进行人脸识别并进行商品推荐、顾客服务，此类场景中的商场与个人之间仅具有有限的交互性，而且其交互性是针对进入商场的所有顾客，而非针对特定个人。针对其场景的特殊性，法律应当赋予个体以个人信息权利中的知情权，但不应要求商场保证个体的决定权等其他权利。商场如果选择使用人脸识别技术，就需要在入口等显著位置对顾客进行提示，告知其使用了人脸技术，但商场不太可能无法获得顾客的事前明示同意，对于已经进行人脸信息识别的顾客。而且由于商场是与整体顾客进行有限交互，商场也很难保证某个个体用户的人脸信息可以被查阅复制、携带转移、更正补充或删除。当然，由于顾客对于人脸图像或人脸识别信息处理往往较为敏感，商场应当遵守信息处理者责任中的相关制度，特别是严格遵守“目的限定”“数据最小化”等要求。一旦商场的人脸识别突破“目的限定”与“数据最小化”要求，将其应用于跨商场追踪，个人的隐私合理期待就会受到严重挑战。

再以目前争议较大的人工智能人脸识别训练为例，人工智能人脸训练所依赖的人脸识别数据早期主要依赖个体授权，但随着人工智能对于数据量的需求暴增，目前的人工智能人脸识别训练数据主要源于对互联网上可公开获取的人脸图片进行爬取、识别与标注。在本文看来，信息隐私的制度模块应避免对此类场景适用个人信息权利部分，但应当适用信息处理者责任部分。就个人信息权利而言，人工智能企业与个人之间完全没有交互场景，而且其对人脸信息的训练型利用也不会对个体直接产生侵害，此时个人信息权利中的知情决定权等权利都无法有效行使。就个人信息处理原则而言，人工智能人脸识别训练的目的也往往和其人脸信息在互联网上公开的初始目的并不一致。在个人信息权利与个人信息处理原则方面对个人信息保护制度进行调整，允许人工智能企业对互联网公开途径获取的人脸图像与人脸识别信息进行训练，既符合我国《个人信息保护法》的相关规定，也有利于大规模数据的聚合与人工智能的发展。当然，人工智能企业处理此类人脸信息也会带来社会风险，例如，大规模泄露人脸数据可能造成安全风险、人脸数据训练不当可能对特定人群造成歧视。基于这些考虑，法律应对人工智能企业适用人脸信息安全保护、合规审计、影响性评估、信息泄露补救措施等法律责任。

执法隐私制度涉及的人脸保护典型场景包括个案侦查与公共监控。二者的共同之处在于均基于公共利益需求，且执法者与个体均构成纵向执法关系。从二者的共同性出发，执法隐私制度在这两种场景中都应当注重对执法者收集、传输、显示、存储、使用人脸信息进行全流程规范，而非通过信息隐私制度中的个人信息权利而保护人脸信息。正如上文所述，执法隐私中的执法者与个人之间具有纵向侵入性与对抗性关系，这种关系不同于典型信息隐私场景下兼具互惠性与侵入性的信息处理关系。

当然，个案侦查与公共监控中的人脸信息保护也有不同之处。个案侦查涉及刑事案件，往往需要对具有私密性或秘密性的人脸信息进行侵入性侦查。这决定了个案侦查中的人脸信息保护需要法律对执法者进行更为特定具体的授权，对执法者进行更为严格的程序性规范。我国《刑事诉讼法》规定，采取“技术侦查措施”需要“根据侦查犯罪的需要，经过严格的批准手续”“必须严格按照批准的措施种类、适用对象和期限执行”。美国宪法也规定法院发出的搜查令（warrants）必须“有合理根据（probable cause），以宣誓或代誓宣言保证，并具体说明搜查地点和扣押的人或物”，一般性的搜查令（general warrants）与美国宪法相抵触。中美等国家和地区的此类规定，都反映了法律需要对人脸信息的侦查进行严格规范。而且正如上文所述，此类规范需要突破美国法仅关注非公开场所的制度模块，将人脸信息侦查的全流程纳入法律规范框架。