人脸识别技术(facial recognition technology ，“FRT”)的核心技术特征在于其基于个体的独特生物特征识别模式(如面部特征识别)。FRT基于的生物识别数据被广泛认定为“敏感个人数据”，其特性表现为不可遗忘性、终生一致性及天然拥有性(无需个体主动干预即可获取)。因此FRT被视为具有高效性与侵入性并存的双重特征技术，易引发个人隐私、社会大规模监控和歧视以及诈骗的风险，各国也正加速构建针对FRT的法律框架。

　　FRT治理的整体原则

　　不同法域对FRT的界定存在差异。例如，美国将FRT定义为涵盖身份验证、情绪推断及其组合用途的自动化过程;欧盟则强调其通过数字图像处理实现个体识别或分类的生物特征属性，并将此类数据直接纳入《通用数据保护条例》(GDPR)的敏感数据范畴。这种差异反映了技术应用场景与法律文化之间的复杂互动。

　　全球对FRT的治理普遍遵循“以人权保护为核心，结合场景化风险评估”的框架。世界经济论坛(WEF)在《负责任的面部识别使用框架——流程管理用例》白皮书(2021)概括了FRT的治理原则，被全球各国普遍接受。包括需避免偏见和歧视、面部识别系统使用比例、涉及隐私、问责制、风险评估与审查、性能、知情权、通知和同意、无障碍获取权和儿童权利以及替代选择和人工存在。

　　在管控治理层面的实践中，需要数据处理者关注明确透明度、制定与最终用户特征相匹配的数据计划、减少偏见风险等流程和产品设计。同时，技术措施的管控也是重要手段。例如土耳其《生物识别数据处理指南》要求数据控制者采用加密技术存储生物识别模板，确保原始数据无法被恢复，同时需在系统部署前使用合成数据进行测试，并限制用户操作权限。此类技术措施旨在平衡技术创新与隐私保护，但其实际效果仍依赖于监管机构的动态审查与企业的合规执行力。

　　值得注意的是，部分监管政策已对特定场景下的FRT使用实施明确禁令。“第108号公约+”咨询委员会发布《关于人脸识别的指南》禁止公共实体在秘密的环境中使用人脸识别技术，除非是以防止对公共安全造成迫在眉睫的重大风险为目的。禁止私营实体在购物中心等非受控环境中使用人脸识别技术，特别是用于营销和私人安全目的。 指南还禁止仅以确定个人肤色、宗教信仰、性别、种族或族裔、年龄、健康状况或社会状况为目的而使用人脸识别技术。通过面部表情进行情绪识别，检测人格特质或心理健康状况，以此评估雇员的敬业度或确定获得保险和受教育的机会同样被禁止。

　　典型法域监管热点

　　(1) “一对一匹配”VS“一对多匹配”

　　针对具体技术实现方式而言，FRT划分为“一对一匹配”以及“一对多匹配”。技术处理的区分探讨，有助于针对性的监管实施。 2024 年 11 月 19 日，澳大利亚信息专员办公室 (OAIC) 发布了一份评估面部识别技术 (FRT) 隐私风险的指南。该指南区分了面部验证和面部识别，前者被定义为“一对一”匹配(以iPhone Face ID为例)，以确定人脸是否与单个生物识别模板匹配，后者是指“一对多”匹配，以确定人脸是否与数据库中的任何生物识别模板匹配(例如犯罪嫌疑人识别，导致多个人的照片被持续使用，可能导致影响个人的虚假匹配)。

　　西班牙数据保护局AEPD 在报告中争辩道一般来说，生物识别数据仅在经过旨在生物识别的技术处理(一对多匹配过程)的情况下被视为敏感数据，但在生物识别身份验证(一对一匹配过程)的情况下不被视为敏感数据。但更过的国家监管体现的是不做区分对待，加泰罗尼亚数据保护机构 ('APDCAT')APDCAT 第 21/2020 号意见，认为生物识别与生物识别认证都可以实现对自然人的唯一识别。这两种技术中的任何一种处理的生物识别数据都应该得到 GDPR 第 9 条中规定的相同级别的增强保护。

　　(2) BIPA的私人诉讼权影响力

　　美国最流行的监管生物识别信息的法律是 2008 年的《伊利诺伊州生物识别信息隐私法》('BIPA')。BIPA制定了一套全面的规则，包括与收集有关的知情同意;维护有关保留和销毁的书面公共政策;披露限制;合理的数据安全保障措施;禁止从生物识别数据中获利。

　　自 BIPA 颁布以来，已提起 2,000 多起推定的集体诉讼。这种猛烈的攻击主要是由于 BIPA 的私人诉讼权条款，该条款为每项疏忽违规行为提供最高 1,000 美元的法定赔偿，为每项故意或鲁莽违规行为提供最高 5,000 美元的法定赔偿。司法实践中，伊利诺伊州最高法院明确“每次扫描或传输生物数据均构成独立索赔”，且适用五年诉讼时效。另外，《伊利诺伊州工伤赔偿法》的排他性条款也不禁止雇员根据 BIPA 向雇主提出法定违约金索赔7。立法和司法的支撑，引发了其他州效仿，也推动了BIPA在全球立法监管地位的提升。

　　(3) 欧盟一刀切原则的放缓

　　生物识别信息是欧盟《通用数据保护条例》(GDPR)监管的高敏感个人信息。根据GDPR，原则上只允许在三种情况下使用FRT：如果FRT仅用于个人或家庭用途，例如解锁手机;如果FRT对于身份验证或安全是必要的，尽管这种关注必须是重大的，例如访问核电厂或国家机密信息;或被扫描面部的人明确同意这样做。

　　欧洲数据保护委员会(EDPB)也发布了关于执法领域人脸识别技术的指南。指南强调，人脸识别工具应严格遵守执法指令，并且只有在必要和相称的情况下才能使用。

　　人脸识别技术被列入欧盟人工智能技术和用用的监管范畴。欧盟《人工智能白皮书(草案)》初稿发布中，针对FRT的使用进行了极为严格的限制，禁止实时人脸识别系统在公共场所的执法使用。该等明令禁止性要求最终没有直接在AI法案中严格要求，但FRT需要遵循AI技术风险分级的整体原则，大多数人脸识别技术将被视为“高风险”系统监管。

　　(4) 其他典型国家规定

　　未来趋势与挑战

　　当前全球FRT监管呈现三大趋势：其一，风险分层治理成为主流，例如区分低风险“验证”与高风险“识别”场景;其二，权利保护机制不断强化，通过知情权、透明度要求及私人诉讼权平衡技术红利与隐私风险;其三，技术合规融合深化，加密、定期测试与多重认证逐步成为法定标配。

　　展望未来，随着各国人工智能管理政策的落地及跨境数据流动规则的完善，FRT监管将更趋严格化与精细化。然而，如何在技术创新与伦理约束之间找到动态平衡，仍是各国立法者、企业与公民社会共同面临的长期挑战。