《办法》延续了《中华人民共和国个人信息保护法》的要求，规定个人信息处理者在使用人脸识别前应当开展个人信息保护影响评估。第9条列举了评估内容，包括处理目的合法必要性、对个人权益的影响及缓解措施、人脸信息泄露篡改等安全风险评估。可以看出，此评估主要围绕数据安全与合规展开，例如，防范信息泄露滥用、确保处理目的正当最小等。这是一种事前风控，即在实施前由数据处理者自我评估可能风险，并保存评估报告供监管检查。然而，该机制存在两大局限：一是评估侧重个人信息层面，缺少对算法技术系统性风险（如识别准确率、偏误率、模型稳健性）的要求；二是评估结果并不需要向独立机构备案或批准，监管部门事前缺位，仅在特定潜在风险出现（人脸信息存储数量达到10万人）时通过备案介入，或事后检查或发生事故后才介入。

相比之下，人工智能风险治理强调事前审批和持续监测并重。如前所述，欧盟对于高风险人脸识别系统，要求在上市前通过第三方合格评定确保其符合所有指标要求。此外，《人工智能法》还要求提供者建立质量管理和监控体系，持续收集和分析系统在实际运行中的表现，定期评估是否需要改进或重新认证。这相当于将风险评估从“一次性手续”变为“持续性义务”。美国国家标准与技术研究院的人工智能风险管理框架也倡导对算法进行全生命周期的风险监控，及时应对模型偏移或环境变化导致的新风险。相较而言，中国《办法》缺乏对算法精度和偏差的前置测试要求，也无定期报告或重新评估的机制。一旦系统上线运行，除非在特定潜在风险出现、发生数据安全事件或被投诉检查，否则监管部门难以及时发现算法性能问题。事前审查与持续监管的缺失，意味着对人脸识别“精准度风险”和“误用风险”的管控不到位。

《办法》要求个人信息处理者在使用人脸识别时，必须以显著方式告知个人有关信息，包括处理者身份、目的方式、保存期限、对个人权益的影响、个人权利行使途径等。这实际上是用户知情权的一部分，旨在提高数据处理活动的透明度。然而，这种透明义务局限于告知用户，并未涉及算法技术本身的透明。换言之，企业无需向监管部门或公众披露其人脸识别算法的工作机制、性能指标、模型是否经过独立审查等。这与欧盟在高风险人工智能治理中的多层次透明性形成对比。所以，《办法》缺乏对更深层次的算法可解释性和外部监督机制的要求。例如，当人脸识别技术用于执法或社会管理时，公众或被识别者往往无法得知算法依据何种标准作出识别或判断结果。如果发生误识或歧视性结果，责任如何认定也不清晰。相比之下，“布里奇斯案”判决和阿达·洛芙莱斯研究所的研究都强调独立审查算法性能的重要性，“布里奇斯案”中法院批评警方未验证算法是否存在种族或性别偏见，违反了公共部门的平等义务；阿达·洛芙莱斯研究所则建议建立算法备案和审核制度，让独立专家能够测试人脸识别系统在不同人群上的准确率，并公开报告结果，以提升系统的问责。在美国，多个地区司法管辖也尝试推行所谓算法影响评估（AIA）制度，要求部署影响公众的算法前公开相关信息并接受公众反馈。中国《办法》目前仅有模糊的“承担社会责任”条款和备案要求，但备案内容主要围绕数据处理规则，且备案资料并不公开，这使得算法透明度停留在行政内部。总体而言，《办法》体现的是传统数据保护视角下的透明度要求（告知、备案），而非人工智能治理所倡导的算法机制透明和公众监督，且针对算法透明与可解释性要求尚且置空。

《办法》的规制范围主要针对验证个人身份（1∶1）和辨识特定个人（1∶N）两类用途。这两类均涉及通过比对人脸信息来识别人的身份。《办法》对这两类用途设定了一些限制，如不得将人脸识别作为唯一验证个人身份方式（若有其他方式可满足目的）；在公共场所安装人脸识别设备须“出于维护公共安全的必要”，且禁止在公共浴室、更衣室等私密空间部署。这些规定旨在避免不必要的人脸收集和过度监控。但问题在于人脸识别技术的实际应用已经超出上述身份识别范畴，出现了大量推断性识别的情形。例如，利用人脸数据去推断个人的种族、性别、年龄、情绪、健康状况，甚至信用评分和犯罪倾向等。这类“衍生/推断识别”往往风险更高，因为其既可能侵犯个人敏感信息（如种族、健康属于特别敏感数据），又可能基于伪科学或相关性推断导致严重歧视和误导。欧美监管者对此已有警觉，欧盟《人工智能法》明令将基于生物特征推断敏感属性和情绪识别纳入高风险人工智能，并要求此类系统满足严格许可条件；欧洲委员会甚至考虑在立法过程中对实时情感识别实行全面禁止。欧洲许多机构和人权组织也呼吁禁止利用人脸识别推断种族、性取向、性格等特征，认为此类用途侵害人性尊严且技术不可靠。例如，欧洲理事会（Council of Europe）2021年发布的人脸识别指南明确指出：识别人种肤色、性别、情绪、个性等用途应被禁止。

反观中国《办法》，并未覆盖除“识别个体身份”之外的人脸识别技术用途。这意味着，如果企业利用人脸技术对消费者进行情绪分析或身份特征标记，只要履行了个人信息告知同意义务，在法规上并无明文禁止。然而，这类推断型识别带来的歧视和滥用风险更难通过用户同意来消除。例如，购物中心若通过摄像头分析顾客情绪以定向营销，消费者很难真正知情且给予自由同意。再如，人脸识别用于招聘中预测求职者“诚信度”或“智力水平”，明显涉及对个人的偏见推断，可能违反就业公平。这方面，中国现有规则（包括《办法》）尚属空白。

偏见与歧视是人脸识别技术饱受批评的问题之一。欧美大量研究和实践已证实，一些算法对少数族裔或女性的误识率显著更高，原因可能在于训练数据不均衡或算法设计偏差。这类技术偏见会直接导致歧视性后果，如非洲裔群体更易被错误地匹配为嫌疑人，从而承受不公正待遇。《办法》在总则中提到要“尊重社会公德和伦理”“不得侵害个人合法权益”，但未对算法歧视做出任何具体规制。例如，没有要求企业在部署前测试算法在不同人群上的性能，也没有要求持续监测算法输出的公平性或定期报告潜在偏倚。在“布里奇斯案”中，英国法院首次将平等法引入人脸识别审查，认定警方未充分考虑算法的种族/性别偏差，违反了公共部门的法定“平等义务”。这一判决凸显出监管者应当对算法歧视进行实质性审查：不仅考量使用目的是否合法，也要评估技术本身有无系统性偏见。欧盟《人工智能法》则进一步在立法要求中嵌入了防歧视原则，要求高风险人工智能在设计时尽可能确保“不存在利用敏感属性的不合理偏差”，提供者需在技术文件中说明为降低偏差所采取的措施，并在风险管理中重点关注算法对不同群体的影响。欧盟《人工智能伦理准则》和欧盟数据保护委员会（EDPB）指南也反复强调公平原则，敦促开发者采用多样化数据、消除训练偏见并引入独立审计。与此形成对照，中国的监管目前缺少算法公平的考量，没有平等权相关的评估要求，也无投诉救济渠道专门针对算法歧视。如果某人因为人脸识别误判而遭受损失，现行法律只能依据《中华人民共和国民法典》寻求民事侵权救济，举证和归责均有难度。在高风险人工智能治理逻辑下，理应通过立法明确要求算法供应者证明其产品不会产生不合理歧视，并赋予监管机构权力对算法进行审查测试。从这个角度看，《办法》在防范歧视上还是流于软性的伦理要求，缺乏刚性的制度保障。