近年来,人脸识别技术以其特有的非接触性、便捷性等特性而在多元社会场景中加速落地。实践中该项技术已成为仅次于指纹识别的第二大生物特征认证方法。然而,技术与风险相伴而生。人脸识别技术在不断向精准化、纵深化方向发展的同时,势必会带来风险的流变。尤其是在商业场景中,企业的逐利本质促使人脸识别技术完成由身份识别机制向识别分析机制的自然跃迁。“刷脸”不再局限于把人认出来,而是以更为“精准目.持续”的识别能力对信息主体进行分析、推测,甚至十涉、影响。在此过程中,技术的准确性、透明性风险被不当放大,并由此引发对于技术应用的正当必要性争论与质疑。但现阶段,我国以信息保护和算法治理为主要内容的传统人脸识别法律规范路径不足以有效规制场景多义性带来的风险变动,也无法消除信息主体在不同场景下对信息处理透明度和技术使用必要性的信任危机。对此,在审视和反思现有法律规范与理论研究的基础上,我国可以场景风险理论为导向,以风险评估为手段,根据人脸识别技术应用场景的风险等级高低等比例地适用差异化规制方案,以实现个人信息保护与技术应用之间的平衡。文章第一部分简要概述技术应用过程中所涉的相关概念与理论内涵,以明晰文章的讨论范围与研究基础。首先,人脸识别技术作为一种新型身份认证方式,其相较于传统身份认证方式和其他生物识别技术而言,具有远程识别性、自然性、关联验证性等特性,由此成为信息处理者优化身份认证服务、全面了解信息主体的有益工具。其次,人脸信息作为信息处理法律关系的客体,对其内涵与外延的界定将直接影响针对人脸识别技术的法律规制。结合人脸识别技术的技术路径与相关规范表述可知,狭义人脸信息是指信息主体面部特征的数字化表达,广义上还包括具有提取完整面部特征数据可能性的人脸图像等信息。最后,由场景一致性理论与风险预防原则组成的场景风险理论以一种精细化、体系化的治理思路为人脸识别技术的法律规制问题带来了新的评价视角。在该理论指导下,文章将讨论范围限定在人脸识别技术的商业化应用场景中,以此为基础建构一种具有普遍适用意义的人脸识别技术法律规制方案。文章第二部分对人脸识别技术的应用现状与规制需求进行了分析梳理,总结出人脸识别技术在具体应用场景中因功能嬗变带来的风险异化问题。一方面,人脸识别技术的固有特性与信息技术的成熟、人工智能算法的迭新发展,共同促使该项技术的社会嵌入性不断增加,市场潜力巨大。现阶段,结合技术的功能目的、应用现状等因素,可以将人脸识别技术的商业应用场景划分为三类:以人脸验证为目的的基础应用场景、以人脸辨识为目的的增强应用场景和以人脸分析为目的的衍生应用场景。另一方面,在技术由验证辨识的基础应用场景向识别分析的衍生应用场景过渡过程中,技术安全风险并不是强化技术规制的充分必要事由,因技术功能嬗变而带来的风险异化主要表现为技术应用的正当必要性争论与不当放大的透明性、准确性风险。这是技术发展带来的新问题、新挑战,也是引发社会公众普遍忧虑的原因所在。针对人脸识别技术场景化应用带来的特殊风险,我国人脸识别法律规范体系已初步建立,但在法律规范和理论研究层面仍存在一定的欠缺和空白。一方面,在人脸识别技术的法律规制层面,我国现行法律规范体系主要从信息保护和算法治理两条路径出发以规制刷脸技术泛滥带来的信息安全风险。其中,在以人脸信息保护为核心的信息（数据）规制路径中,我国对于人脸信息的法律保护以敏感个人信息的特殊处理规则为基础,形成了以“特定目的+单独同意”为核心的信息处理法律规范体系。但经梳理发现,对于人脸分析机制的冲突性规定以及信息处理合法性事由的割裂矛盾使得信息技术应用的正当必要性问题欠缺具体审查标准。同时,人脸识别过程的隐蔽性与知情同意规则的形式化、程序化缺陷也导致“知情同意”成为一纸空文。而在以人脸识别技术治理为核心的算法规制路径中,整体而言,我国始终呈现出“重数据,轻算法”的规制倾向,致使超出信息保护框架外的技术安全风险呈现出弥散化趋势。在具体规则建构层面,人脸识别算法优化的外在标准欠缺与算法解释的透明度标准失衡等问题仍在不断加剧社会公众与新兴技术之间的信任危机。另一方面,在人脸识别技术的理论研究层面,我国学者分别从信息保护或技术治理的角度提出制度建构方案,但部分治理方案或浅尝辄止,或陷入“特殊保护”的规制误区,整体上仍呈现出分散化的规制倾向,尚未形成体系化的治理思路。因此,现阶段,我国首先应明确人脸识别技术治理的基本规制立场,以此为基础讨论具体规制方案的制定与落实。具体而言,基于人脸识别技术发展现状考量,单一的信息或算法规制路径无法在技术应用场景变动中进行动态衡量和调整,简单机械的规范制度也无法有效回应技术于特定场景中应用的正当必要性问题和不当放大的准确性、透明性风险。对此,在我国人脸识别技术治理实践中,引入场景风险理论具有一定的现实必要性。同时,场景风险理论的理论内涵与信息处理法律关系的构成要素之间具有内在一致性,“人脸”本就是场景的体现,并且世界各国的立法实践均不同程度地体现出对于该理论的吸收与运用。故而,在理论适用层面,引入场景风险理论具有一定的切实可行性。综上所述,我国人脸识别技术的法律规制应充分吸收服务于信息保护的“场景一致性理论”与防患于未然的“风险预防原则”,以“场景风险理论”为基础探索符合人脸识别技术应用现状的、实现技术应用风险可控化的法律规制方案。首先,以风险评估为手段,以场景一致性理论的三要件为标准,将我国人脸识别技术应用场景划分为低、中、高和不可接受四个风险等级,以此作为场景化治理的基础;其次,人脸识别技术应用的正当必要性是技术场景化治理的前提和基础。对此,我国在等比例提供差异化规制方案前,应从技术应用的具体场景出发,严格限制合法性事由的适用,在此基础上,以比例原则检验技术应用目的的充分必要性,从而为特定场景下信息处理活动的正当性提供判断标准。最后,因技术应用的正当必要性检验主要针对技术应用的事前阶段,我国还应制定一套覆盖技术应用事中、事后阶段的差异化规制方案,即以提升技术准确性和可理解性为核心,根据技术应用场景的风险等级判定基本级或增强级要求的适用。