问题1：

　　人脸是否属于法律意义上的“个人信息”？

　　河南继春律师事务所律师张波表示，根据《网络安全法》规定：“个人信息，是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”因此，他认为，指纹、人脸等信息均属于个人生物识别信息，属于法律意义上的个人信息。

　　问题2：动物园升级为“刷脸”系统是否侵权？

　　浙江浙杭律师事务所高级合伙人、律师姜海斌：这个案件中，原告引用了消费者权益保护法的相关规定，认为被告不能强制收集原告的个人生物识别信息，属于服务合同纠纷案件。原告在杭州野生动物世界购买年卡即和园方之间成立了合同关系，园方在履行合同的过程中突然增加人脸识别入园的限制性条件，属于变更合同的内容，需要与原告协商一致。

　　我国网络安全法第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。而目前很多运营者在使用“刷脸”技术时，并未考虑到收集个人生物识别信息过程中所存在的法律风险。

　　问题3：人脸识别能否说上就上，法律边界在哪里？

　　不少网友在担心“刷脸”引发个人信息泄露的同时，也提出是否有必要对人脸识别的应用场景进行限制？

　　专家认为：从技术上看，人脸识别的适用场景应该包括三大要素。首先是需要绑定设备，比如手机“刷脸”支付功能，是通过绑定手机实现的，用自己的手机“刷脸”可以，但用别人的手机“刷脸”就不行。其次是应用场景最好有人值守。第三是配合其他安全技术共同使用。

　　浙江大学计算机学院人工智能研究所教授李玺认为，从目前技术看，脸部和声音都可以在技术上实现辨伪。但“人脸识别”等生物识别技术如果仅凭“我的特征是什么”这一个因素，很容易被攻破或利用。从物理层面上，它可能会因为个人数据被滥用而被恶意“复制”；技术层面讲，现有技术还需要更多安全验证，才能被进一步推广。

　　安全专家建议，在人脸识别的应用场景下，个人应尽量选择大型的企业、机构上传信息，这些机构数据库安全系数相对较高，同时注意相关条款，避免不知情的情况下随意授权。

　　相关法律界人士认为，个人信息保护法正在加紧制定中，但这并不意味着人脸识别可以无限制推广。收集信息、服务提供者应该自我审视应用场景是否合适。应用人脸识别技术之前，相关商业机构、社会组织等主体需要确保数据安全，这也符合我国网络安全法“谁收集、谁负责”的原则。