守護(hù)業(yè)主信息安全

    近年來，業(yè)內(nèi)頻繁出現(xiàn)物業(yè)服務(wù)企業(yè)因泄露業(yè)主個(gè)人信息而引發(fā)糾紛或訴訟的案例。業(yè)界普遍認(rèn)為，隨著《個(gè)人信息保護(hù)法》的實(shí)施以及業(yè)主權(quán)利意識(shí)的覺醒和個(gè)人信息保護(hù)意識(shí)的不斷增強(qiáng)，未來類似這樣的糾紛還會(huì)不斷增多。因此，強(qiáng)化業(yè)主個(gè)人信息的保護(hù)，全力構(gòu)筑業(yè)主信息安全防護(hù)墻，將是物業(yè)服務(wù)企業(yè)未來亟須做好的一項(xiàng)重點(diǎn)工作。

業(yè)主個(gè)人信息保護(hù)類糾紛訴訟頻發(fā)

     今年4月份，中國(guó)法院網(wǎng)上的一則司法判例在物業(yè)管理行業(yè)引發(fā)關(guān)注。判例顯示，2019年至2021年期間，被告人鄭某曾先后在浙江某地兩家物業(yè)服務(wù)企業(yè)就職，從事物業(yè)管理工作。工作期間，鄭某先后為他人無償提供了4500余條業(yè)主信息，以幫助其拓展業(yè)務(wù)。法院審理后認(rèn)為，被告人鄭某違反國(guó)家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，提供給他人，其行為已構(gòu)成侵犯公民個(gè)人信息罪，依法判處鄭某有期徒刑八個(gè)月，緩刑一年，并處罰金。

無獨(dú)有偶。因不滿只能通過“刷臉”出入小區(qū)，天津一名住戶將小區(qū)物業(yè)服務(wù)企業(yè)告上法庭，要求物業(yè)服務(wù)企業(yè)刪除他的人臉信息，并提供能夠保證其隱私權(quán)的出入小區(qū)的驗(yàn)證方式。

• 一審中，法院以收集人臉信息確為疫情防控需要、原告未提交被告存在泄露信息相關(guān)證據(jù)等為由駁回原告訴訟請(qǐng)求。因不服一審判決，原告決定上訴。

• 二審法院支持了原告的部分訴訟請(qǐng)求，要求物業(yè)服務(wù)企業(yè)刪除原告人臉信息并為其提供其他通行驗(yàn)證方式。

而今年6月份，重慶某小區(qū)業(yè)主劉先生反映，小區(qū)物業(yè)服務(wù)公司工作人員將一份業(yè)主車位費(fèi)用欠費(fèi)的相關(guān)統(tǒng)計(jì)表格誤發(fā)在了一小學(xué)家長(zhǎng)群，其中，涉及小區(qū)上千戶業(yè)主的姓名、房號(hào)、車位、車牌號(hào)、車位欠費(fèi)等隱私信息，引起業(yè)主不滿。后經(jīng)了解屬于物業(yè)服務(wù)企業(yè)的工作人員誤發(fā)，小區(qū)物業(yè)服務(wù)企業(yè)向業(yè)主公開道歉。

其實(shí)，在網(wǎng)上檢索可以發(fā)現(xiàn)，類似的訴訟或糾紛并不少見。其內(nèi)容基本都是物業(yè)服務(wù)企業(yè)的工作人員在任職期間獲取了業(yè)主的個(gè)人信息，但或故意或無意將這些信息進(jìn)行泄露；或業(yè)主不滿物業(yè)服務(wù)企業(yè)未經(jīng)自己許可就收集了自己的個(gè)人信息，最終引發(fā)訴訟或糾紛。

在此類糾紛或訴訟中，不少物業(yè)服務(wù)企業(yè)都被法院判處向信息被泄露的業(yè)主道歉或賠償，或?yàn)闃I(yè)主提供其他合理方式（非人臉識(shí)別）出入物業(yè)管理區(qū)域，個(gè)別物業(yè)服務(wù)企業(yè)的工作人員甚至為此身陷囹圄。

強(qiáng)化內(nèi)部管理，構(gòu)筑業(yè)主信息安全守護(hù)墻

     通過分析解讀上述司法判例，我們可以充分認(rèn)識(shí)到保護(hù)業(yè)主個(gè)人信息的重要性，不過，在解決這個(gè)問題之前，我們首先要搞清楚到底有哪些信息屬于需要保護(hù)的業(yè)主信息？根據(jù)《民法典》第一千零三十四條規(guī)定，“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。”

具體到物業(yè)管理行業(yè)，物業(yè)服務(wù)企業(yè)為了工作需要，在為業(yè)主提供日常物業(yè)服務(wù)的過程中往往會(huì)很容易收集到業(yè)主的大量個(gè)人信息。譬如，物業(yè)服務(wù)企業(yè)在業(yè)主辦理入住等相關(guān)手續(xù)時(shí)，一般均會(huì)留存業(yè)主的個(gè)人信息，包括業(yè)主姓名、住址、聯(lián)系電話、身份證號(hào)碼、家庭成員情況、銀行托收賬戶等基本信息；如果物業(yè)服務(wù)企業(yè)在小區(qū)出入口安裝人臉識(shí)別門禁系統(tǒng)或車行道閘系統(tǒng)后，也會(huì)收集到業(yè)主的人像信息、車牌號(hào)信息以及行蹤信息等。

這些個(gè)人信息對(duì)業(yè)主自身的安全非常重要，因?yàn)閭€(gè)人信息一旦泄露，輕則可能造成業(yè)主個(gè)人正常生活被打亂，重則可能影響到業(yè)主的人身財(cái)產(chǎn)安全。因此，《個(gè)人信息保護(hù)法》第十條規(guī)定：“任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。”

那么，作為物業(yè)服務(wù)企業(yè)，應(yīng)如何有效構(gòu)筑業(yè)主信息安全守護(hù)墻以保護(hù)業(yè)主的個(gè)人信息不被泄露呢？中國(guó)物業(yè)管理協(xié)會(huì)法律政策工作委員會(huì)委員、安居（深圳）城市運(yùn)營(yíng)科技服務(wù)有限公司副總經(jīng)理鹿欽連認(rèn)為，在保證業(yè)主信息安全方面，以下措施值得物業(yè)服務(wù)企業(yè)參考：

規(guī)范外部合作，注意控制業(yè)主信息安全保護(hù)領(lǐng)域相關(guān)風(fēng)險(xiǎn)

     對(duì)于物業(yè)服務(wù)企業(yè)來說，要做好業(yè)主的信息安全保護(hù)工作，僅靠做好以上五項(xiàng)工作仍然不夠，因?yàn)閺囊酝脑V訟案例來看，一些涉?zhèn)€人信息保護(hù)類糾紛或訴訟完全是物業(yè)服務(wù)企業(yè)在與外部單位或組織合作的過程中出現(xiàn)的，而與內(nèi)部管理無關(guān)。在此類糾紛中，物業(yè)服務(wù)企業(yè)往往認(rèn)為自己很無辜，但一旦進(jìn)入訴訟程序，卻仍然面臨敗訴，被判道歉或賠償。

    譬如，一家物業(yè)服務(wù)企業(yè)未經(jīng)業(yè)主同意，將有某業(yè)主個(gè)人信息的資料在一次有小區(qū)其他業(yè)主參加的會(huì)議上進(jìn)行發(fā)放，導(dǎo)致這名業(yè)主的姓名、電話等個(gè)人信息在小區(qū)居民間流傳。這位業(yè)主獲悉后向法院起訴，認(rèn)為物業(yè)服務(wù)企業(yè)的做法侵害其隱私權(quán)及個(gè)人信息權(quán)益，請(qǐng)求判令物業(yè)服務(wù)在報(bào)紙上公開賠禮道歉。

最終，法院審理后認(rèn)為，對(duì)自然人不愿為他人知曉的私密空間、私密活動(dòng)、私密信息進(jìn)行刺探、侵?jǐn)_、泄露、公開均系侵犯隱私權(quán)的行為，物業(yè)服務(wù)企業(yè)在沒有得到同意就把寫有原告?zhèn)€人信息的資料泄露給小區(qū)業(yè)主和物業(yè)服務(wù)人員，侵害了原告的個(gè)人信息權(quán)益，應(yīng)承擔(dān)侵權(quán)責(zé)任。

     此類訴訟糾紛的出現(xiàn)也提示我們，在處理業(yè)主個(gè)人信息保護(hù)類糾紛方面，物業(yè)服務(wù)企業(yè)不僅要在企業(yè)內(nèi)部通過強(qiáng)化管理來加強(qiáng)業(yè)主個(gè)人信息的保護(hù)，而且要從頂層設(shè)計(jì)出發(fā)，提升自身的信息安全保護(hù)意識(shí)，規(guī)范外部合作，并注意控制物業(yè)服務(wù)全過程中的各個(gè)風(fēng)險(xiǎn)點(diǎn)。目前來看，為做好業(yè)主個(gè)人信息保護(hù)，需要物業(yè)服務(wù)企業(yè)重點(diǎn)關(guān)注的風(fēng)險(xiǎn)點(diǎn)主要集中在三個(gè)關(guān)鍵時(shí)段，分別是進(jìn)駐項(xiàng)目時(shí)、與外包方合作時(shí)以及撤離項(xiàng)目時(shí)。

首先，物業(yè)服務(wù)企業(yè)在進(jìn)駐項(xiàng)目時(shí)，要在收集或處理業(yè)主個(gè)人信息之前就對(duì)業(yè)主做好事前告知或取得業(yè)主的同意及授權(quán)。《個(gè)人信息保護(hù)法》第十七條規(guī)定，個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)以顯著方式、清晰易懂的語言，真實(shí)、準(zhǔn)確、完整地向個(gè)人告知相關(guān)法定事項(xiàng)。

    因此，作為物業(yè)服務(wù)企業(yè)，在收集業(yè)主個(gè)人信息時(shí)，應(yīng)當(dāng)以書面方式明確告知業(yè)主收集、使用個(gè)人信息的目的、方式、范圍和用途。之后，物業(yè)服務(wù)企業(yè)需履行法定和約定義務(wù)，不允許違反與業(yè)主的約定或在未經(jīng)業(yè)主同意的情況下，隨意泄露、公開或向其他人非法提供業(yè)主信息。這樣，后期即便出現(xiàn)糾紛，只要物業(yè)服務(wù)企業(yè)在處理業(yè)主的個(gè)人信息時(shí)沒有超出之前約定的使用范圍，或者處理業(yè)主個(gè)人信息時(shí)取得了業(yè)主的同意，也就不用承擔(dān)侵權(quán)責(zé)任。

     需要強(qiáng)調(diào)的是，2021 年 8 月 1 日起實(shí)施的《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》明確規(guī)定，物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識(shí)別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗(yàn)證方式，不同意的業(yè)主或者物業(yè)使用人請(qǐng)求其提供其他合理驗(yàn)證方式的，人民法院依法予以支持。

換句話說，物業(yè)服務(wù)企業(yè)在引進(jìn)使用人臉識(shí)別門禁系統(tǒng)時(shí)不僅需要告知業(yè)主并取得業(yè)主同意，而且對(duì)于那些不同意的業(yè)主，物業(yè)服務(wù)企業(yè)必須提供其他的合理驗(yàn)證方式，否則就可能在個(gè)人信息保護(hù)類訴訟中敗訴，并承擔(dān)賠償責(zé)任。

  其次是在與外包方合作時(shí)，物業(yè)服務(wù)企業(yè)要對(duì)他們進(jìn)行有效約束，避免因外包方泄露業(yè)主個(gè)人信息而被追責(zé)。當(dāng)前，為了降低人工成本，越來越多的企業(yè)開始實(shí)行專業(yè)服務(wù)外包的模式。秩序維護(hù)、保潔及停車等業(yè)務(wù)在外包給第三方單位后，業(yè)主個(gè)人信息保護(hù)工作面臨的困難和復(fù)雜性也相應(yīng)增加。

因?yàn)檫@些人員或企業(yè)并不屬于物業(yè)服務(wù)企業(yè)的員工或下屬單位，一旦第三方公司人員泄露了所掌握的業(yè)主個(gè)人信息，業(yè)主在追責(zé)時(shí)仍然會(huì)找到物業(yè)服務(wù)企業(yè)，因?yàn)闃I(yè)主和這些第三方公司并沒有直接的合同委托關(guān)系，所以，這也就要求物業(yè)服務(wù)企業(yè)在與第三方公司簽訂合作協(xié)議時(shí)必須明確告知第三方公司掌握業(yè)主個(gè)人信息后只能用于工作領(lǐng)域，要求其不得超范圍使用業(yè)主個(gè)人信息，主動(dòng)采取保護(hù)業(yè)主個(gè)人信息的有力舉措，并承擔(dān)保護(hù)業(yè)主個(gè)人信息不力的責(zé)任和后果。

     如果第三方公司在與物業(yè)服務(wù)企業(yè)的委托協(xié)議到期后，第三方公司必須在物業(yè)服務(wù)企業(yè)的監(jiān)督下主動(dòng)刪除、銷毀所掌握的業(yè)主個(gè)人信息。只要這樣，物業(yè)服務(wù)企業(yè)才能避免在可能出現(xiàn)的個(gè)人信息保護(hù)類糾紛中處于被動(dòng)地位。

再次是在小區(qū)更換物業(yè)服務(wù)企業(yè)的過程中，要重視并做好業(yè)主信息安全保護(hù)工作。隨著物業(yè)管理行業(yè)市場(chǎng)化進(jìn)程的不斷提速，小區(qū)更換物業(yè)服務(wù)企業(yè)的現(xiàn)象也越來越常見，從實(shí)踐中看，如果新老物業(yè)服務(wù)企業(yè)交接不太規(guī)范，這個(gè)階段也往往最容易出現(xiàn)業(yè)主個(gè)人信息泄露的問題。

     建議老物業(yè)服務(wù)企業(yè)在交接過程中把業(yè)主個(gè)人信息直接交接給業(yè)主委員會(huì)或者經(jīng)過業(yè)主委員會(huì)允許后再將業(yè)主個(gè)人信息移交給新物業(yè)服務(wù)企業(yè)，而且老物業(yè)服務(wù)企業(yè)在交接完成后還要及時(shí)刪除或銷毀自己掌握的業(yè)主個(gè)人信息，并告知業(yè)主委員會(huì)和新物業(yè)服務(wù)企業(yè)。新物業(yè)服務(wù)企業(yè)則要及時(shí)按照與業(yè)主委員會(huì)的約定建立新的業(yè)主信息安全保護(hù)制度，確保業(yè)主信息安全。

     總之，新老物業(yè)服務(wù)企業(yè)交接過程是業(yè)主個(gè)人信息泄露的高風(fēng)險(xiǎn)期，相關(guān)各方應(yīng)按照之前的約定和法律法規(guī)的要求，保護(hù)好業(yè)主的個(gè)人信息安全，也避免自身遭遇業(yè)主信息安全保護(hù)方面的糾紛或訴訟。

總體來看，保護(hù)業(yè)主個(gè)人信息安全是一項(xiàng)系統(tǒng)工程，需要業(yè)主、物業(yè)服務(wù)第三方供應(yīng)商、物業(yè)服務(wù)企業(yè)、主管部門等相關(guān)主體，從進(jìn)一步完善業(yè)主信息保護(hù)立法，建立個(gè)人信息保護(hù)的作業(yè)標(biāo)準(zhǔn)，嚴(yán)格業(yè)主信息的管理，增強(qiáng)各方主體的業(yè)主信息保護(hù)意識(shí)等方面共同發(fā)力，多向奔赴，才能最終實(shí)現(xiàn)守護(hù)業(yè)主個(gè)人信息安全的目標(biāo)。