综上对比可见，我国的《办法》基本框架仍停留在保护个人信息和规范数据处理活动的层面，对算法本身的高风险属性及其可能引发的社会后果考虑不足。这既有立法导向的原因，也受制于当前我国尚未建立针对人工智能的体系化监管设计。

笔者此前提出，要全面适配并应对人脸识别技术带来的各类风险，需要建立一种分层治理的思维框架，即同时关注应用层、技术层、信息层、系统层四个方面：其一，应用层聚焦技术部署的前置条件与场景准入，通过最小必要原则、比例原则与公共利益衡量，回答“谁可在何种场景、出于何种目的部署并使用该技术”；其二，技术层关注实现算法与工程品质，包括图像采集精度、训练与验证数据的代表性、公平偏差与稳健性，以及活体检测、对抗样本等；其三，信息层规范面部图像与特征模板的收集、关联、加工、流转与使用，强调合法性基础、目的限定、最小化、透明与个体救济；其四，系统层确保机密性、完整性、可用性等底座安全与可追溯运行，以支撑持续合规与问责。相比于拙作所讨论的《征求意见稿》，现已生效实施的《办法》显著缩减了对应用层与技术层的规制密度，而主要着力于信息层的数据处理规则与系统层的安全防护措施。

然而，这种“信息+系统”相对收缩的治理思路，难以充分覆盖新型智能技术的复合风险。首先，当前智能技术风险不再仅限于“是否允许收集数据”的简单问题，而更多涉及技术系统本身如何稳定运行、如何避免算法出现偏差以及出现异常状况时如何及时停用等复杂问题。这些问题单靠信息层面的规制显然无法有效解决。其次，智能技术带来的影响范围更广泛，不再局限于个体，甚至可能涉及大规模群体的利益与公共空间的安全，例如，公共场所实时的人脸识别或对弱势群体的潜在影响，这些问题超出了个体通过自身数据保护权利能够控制的范围。再次，智能技术的开发者（提供者）与具体应用场景的管理者（部署者）通常并非同一主体，这种分工导致了责任上的断裂，仅关注具体的“数据处理者”无法充分追究和解决技术本身的缺陷和运行管理中的问题。最后，新兴的在线学习技术与知识更新意味着智能技术需要持续的性能监测、动态更新和实时风险控制，传统一次性的合规审查与事后救济方式明显不足。因此，需要引入事前测试、持续运行监测和定期再评估等更加主动、更加系统的工程化风险管控措施。

基于此，笔者认为亟须从更为系统和理论化的视角深入分析智能技术治理的路径问题。这种理论化的梳理不仅是为了完善我国当前人脸识别技术的治理方案并支持后续的持续优化，更是为了在未来面对层出不穷的各类智能技术时，避免再次陷入类似的治理困境。为此，本文将智能技术的治理路径细分为两种类型：一是以保护个人信息和基本权利为核心的“个体权利导向”，强调通过赋予个体对其个人信息和相关决策的有效控制权，确保隐私、平等和人格尊严得到根本保障；二是以公共利益和风险防控为核心的“系统风险导向”，通过场景化的风险评估和差异化管理，动态设置技术应用的准入条件、技术测试要求以及持续监测措施，针对风险较高的智能技术实施重点监管。

在实际治理过程中，这两条路径并非完全分离，而是以“权利保障、风险管控”的方式密切协作，个体权利导向首先设定明确的数据处理规则和个体基本权利保障措施，为技术应用划定边界；系统风险导向则在此基础上针对技术应用场景与技术特征设置具体的监管要求，包括分级管理、第三方评估、持续监测和审计等措施。同时，这些技术层面的监管活动及所获得的数据，也为个体权利导向提供了更充分的信息支撑，使个体可以更有效地行使知情权、申诉权、纠错权等权利。

尽管这两条治理路径在实践中紧密结合，但在具体实施时仍体现出明显的结构性差异。这种差异主要体现在监管对象与责任主体、风险定义与介入时机、合规措施与评估标准、监管逻辑与执法模式、公众参与与权利救济机制、适应能力与动态更新频率这六个关键维度上。对这些差异进行深入、细致地辨析，是建立高效、稳健的智能技术治理体系的基础。本部分将聚焦于分析这六个维度的结构性差异。在明确上述结构性差异后，本文的余下部分将进一步探讨如何根据智能技术自身特性精准选择和调整治理路径。即不同技术特征所产生的风险水平与治理需求，将决定何时优先适用个体权利导向、何时更需要强调系统风险导向，或何时需要将两者进行灵活整合，以实现治理方式与治理对象之间的最佳匹配，为不断涌现的智能技术风险治理提供更加清晰、有效和精准的政策指导。

个体权利导向路径将监管对象聚焦于个人信息处理活动，以保护个人信息、隐私和自主决策等基本权利为核心。该路径将个人信息主体的权利置于制度中心，要求信息控制者/处理者遵守告知、同意、最小化、目的限定等原则。风险要素在此仅用于调节合规强度：处理活动若涉及敏感生物识别信息或可能严重损害个人权益，法律要求更严格的评估和防护措施，但不会因此全面禁止该技术进入市场。系统风险导向路径则视整个技术系统及应用场景为监管对象，关注其潜在的系统性外部风险。在这一逻辑下，风险评估成为技术市场准入的门槛。例如，欧盟《人工智能法》预先将某些用途界定为不可接受或高风险，只有通过严格评估并满足质量管理、数据治理、人类监督等要求，相关系统方可上线。

在责任主体上，个体权利导向路径明确了个人与处理者的权利义务关系：个人作为权利主体，可行使知情权、访问权、更正权、删除权等，对抗不当技术干预；控制者/处理者负有遵守规范、保障个人权利的责任。该路径通过赋权个人来矫正技术和信息不对称，允许个人通过投诉监管机构或诉诸司法维护自身权益。相比之下，系统风险导向按照风险产生环节确定责任主体：开发者、提供者或部署者被视为主要责任方，须在设计和投放阶段履行风险评估和减缓义务。个人无直接权利要求停止高风险系统，监管由专门机构自上而下介入。因此，风险导向路径的责任链更多沿“开发者、监管者”轴线展开，而非“个人、控制者”轴线。

两种路径背后的正当性基础也不同：权利路径诉诸基本法保障的公民权利，强调不可触碰个人权利底线；风险路径则以公共利益和整体福祉为依归，通过专业管控将总体风险降低到可接受水平。尽管两种路径在实践中并非绝对对立，权利路径也根据风险高低差异化部分义务，风险路径亦强调防止歧视等基本人权，但在理论起点上确有根本区别：前者从个人权利出发，以风险大小调整合规程度；后者从整体风险出发，以风险等级决定市场准入与监管强度。

两种路径在“风险”的界定上存在根本差异。个体权利导向以定性方式看待风险，实质是判断某项技术行为是否可能侵犯特定个人权利。只要被认定侵害了个人隐私等基本权利，就跨过不可逾越的红线，被视为不可接受的风险。对于基本权利而言并不存在部分侵犯的连续光谱：要么被侵犯，要么未被侵犯。如有研究者所指出的，将权利侵害程度量化为滑动刻度是错误的。因此权利导向路径倾向于将风险视为质的门槛：一旦触及权利红线，就不考虑发生概率，一律视为不可容忍。

系统风险导向路径要求对风险进行量化评估和分级管理。风险被定义为造成某种法益损害的可能性和严重程度组合，监管者据此将人工智能系统按风险等级分类，高风险系统对应更严格的监管介入措施。风险被视作连续谱意味着某些低程度风险在权衡利弊后可被接受。但这种量化方法也易忽视个体差异：以“平均收益”判断可接受风险，可能无意中容忍少数人遭受重大损害。这与权利导向路径坚持每个人权利都不可侵犯形成鲜明对比。

在监管介入时点上，权利导向路径倾向于事前设红线、事后强救济的模式，法律预先明确禁止某些本质侵犯权利的行为或要求特别保护（如未经同意不得处理敏感信息），只要发现技术行为威胁到个人权利，监管就会在事前介入禁止；事后若权利确被侵犯，则提供投诉、申诉和司法诉讼途径补救。换言之，权利导向路径只要察觉权利受威胁就立即干预，而不等待对损害概率的计算。