客户至上 专业立本 协同创新 追求卓越
以案说法 | 物业企业“要脸”指南,从“天津人脸识别第一案”说起
“因门禁系统升级,以后进入小区须采取人脸识别的方式,请尽快录入人脸信息,否则无法正常出入”。某物业公司如是通知。
近年来,随着信息技术的飞速发展,人脸识别技术逐步渗透到人们生活的方方面面。物业服务企业也不甘落后,努力追赶“时髦”,争做信息时代的弄潮儿,在出入服务管理方面推行“刷脸进门”即是表现形式之一。人脸识别技术在给我们生活带来便利的同时,也给我们提出了新的问题与思考:我们能否拒绝“给脸”,物业企业能否“要脸”,物业企业如何规范“要脸”……本文将以“天津人脸识别第一案”为切入点,对物业企业“要脸”行为进行法律分析,通过梳理法律对物业企业“仅凭颜值出入”的态度,为物业服务企业提供“要脸”合规指南。
一、从“天津人脸识别第一案”说起
因顾某居住的小区物业公司更新门禁系统,物业公司将人脸识别作为出入小区的唯一验证方式。顾某不同意采取该验证方式,要求删除其人脸识别信息,并提供其他出入小区方式,但物业公司拒绝顾某该要求。经与物业公司多次协商未果,顾某将某物业公司诉至法院,现该案经两审程序业已生效。该案虽历经波折,但法院最终支持了顾某“我的脸我做主”的要求,认定物业公司采取人脸识别作为出入小区验证方式侵犯了顾某的个人信息权益,判决物业公司删除顾某的人脸信息,采取其他通行验证方式,并赔偿顾某为维权所合理支出的律师费6200元。
二、何为人脸信息
透过前案我们可清晰洞见法律对物业企业“仅凭颜值出入”的态度,那么何为人脸信息,对于“颜值”担当的人脸信息,法律是如何界定,又有哪些特别保护规则呢?
根据《中华人民共和国个人信息保护法》(下称《个保法》)第二十八条1以及《信息安全技术个人信息安全规范》(GB/T 35273-2020,下称《个人信息安全规范》)3.2条2及附录B等规定,人脸信息属于生物识别信息,属于个人信息的敏感信息。人脸信息作为一种特殊的个人信息,具有不可更改属性,而且人脸信息通畅与我们的金融账户相关联,一旦泄露或者非法使用,会产生个人尊严受到侵害或者人身、财产安全受到危害的风险。人脸信息与生物识别信息、敏感信息、个人信息的逻辑关系如下图所示:
三、人脸信息处理的特殊规则
相较于普通个人信息,《个保法》对于包括人脸信息在内敏感信息的处理规定了特殊规则,并提出了更为严苛安全保护要求。物业企业采用人脸识别方式进行服务场所出入管理,即属于个人信息的敏感信息处理活动,受《个保法》及相关法律规制,故物业企业对人脸信息的处理应依法依规进行。
(一)人脸信息的收集处理
收集人脸识别信息属于收集敏感信息,根据《个保法》相关规定3,敏感信息收集时除了向信息自然人告知处理的目的、范围、规则外,还应向信息自然人告知收集人脸信息的必要性以及处理人脸识别信息对个人权益的影响。另,如委托第三方处理或者共同处理,还应告知第三方的相关信息。
在收集时,应就收集人脸信息事项单拎出来向个人信息主体告知,单独征得被收集主体的同意,也即单独同意,而不能通过概括告知同意等方式征得个人同意,属于更高要求的同意授权。同时,此处所指同意应当是实质同意,应在知情并自愿的前提下作出,且个人具有选择性。
实践中,物业企业往往告知不到位、不全面,且联合业主单位(甚至业委会)直接以下发通知方式推行,且多采用“不同意无法正常出入”“与其他授权捆绑”“不同意无法提供服务”等类似方式强迫或者变相逼迫个人同意,但这种形式上的“同意”不符合法律规定的“同意”要求,不具有收集的正当性,有违《个保法》处理个人信息活动的正当性原则,一旦出现纠纷,将面临极大的法律风险。
(二)人脸信息的存储
在人脸信息收集处理后,随之而来的就是人脸信息的存储问题。根据法律规定,存储人脸信息应符合以下要求:
1. 应符合最小必要存储期限。人脸信息的存储期限应为实现个人信息主体授权使用的目的所必需的最短时间。
2. 敏感信息存储应当采取机密措施、生物识别与身份识别信息分开存储。原则上不应存储原始个人生物识别信息,具体来说:(1)存储生物识别信息的摘要信息;(2)采集终端直接使用个人生物识别信息实现身份识别、认证功能;(3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证功能后删除可提取个人生物识别信息的原始图像。
(三)个人信息保护影响评估
除了以上处理及存储要求外,《个保法》规定处理前应当进行个人信息保护影响评估。也即处理个人敏感信息应事先开展个人信息保护影响评估,并对处理情况进行记录,评估记录应至少保存3年。
四、违法“要脸”的法律责任
物业企业违法“要脸”,未依法处理包括人脸信息在内的个人信息,或将承担相应的法律责任。
(一)民事侵权责任
如前述“天津人脸识别第一案”所述,物业企业不当收集处理、使用人脸信息的行为可能会侵犯自然人的个人信息权益,并应承担相应民事侵权责任,如停止侵权、排除妨害、损害赔偿等。法院对应此类侵权行为的认定,采取过错推定原则,也即自然人仅需证明其个人信息权益受到物业的处理行为损害即可,而物业企业应当就其处理个人信息的合法、合规性承担举证责任。如物业不能证明自己无过错的,则应承担举证不能的不利后果,进而承担相应的侵权责任。
关于损害赔偿的确定,首先应根据个人因受到的损失或者个人信息处理者因违规处理个人信息所获得的利益确定赔偿金额;如个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。同时,依据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号,下称《人脸识别司法解释》)第八条4规定,信息主体对侵权行为的进行调查、取证的合理费用以及律师费也纳入了赔偿范围。
(二)行政及刑事责任
从监管措施来看,《个保法》规定了严苛的行政责任。从罚款数额来看,最高可以处以5000万或者上一年度营业额5%的罚款,并规定了“记入企业信用档案,公示”“主要人员的从业禁止”等处罚措施。如构成犯罪的,还应当追究刑事责任。
五、“要脸”指南及合规管理建议
看似“时髦”、先进、方便的“凭脸出入”的方式,如处理不规范,将会给物业企业带来巨大管理成本及法律风险。医者讲求“消未起之患、治未病之疾,医之于无事之前”,企业法律风险应对亦应如此,故本文针对物业企业人脸信息处理,提出如下“要脸”指南及合规管理建议,供物业企业参考借鉴:
(一)开展个人信息保护影响评估
物业企业拟采取人脸识别的验证方式进行出入服务场所管理的,应先行开展个人信息保护影响评估,根据《个保法》第五十六条规定,评估至少应当包括以下三项内容,且评估记录按照法律规定应至少保存3年:
1. 个人信息的处理目的、处理方式等是否合法、正当、必要;
2. 对个人权益的影响及安全风险;
3. 所采取的保护措施是否合法、有效并与风险程度相适应。
(二)制定健全的告知制度
在收集人脸信息时,应按照法律规定进行明确告知,告知内容包括但不限于以下三个方面:1.向信息主体告知处理个人敏感信息的目的、范围、规则;2.告知信息主体,处理其人脸信息的必要性;3.告知信息主体处理其人脸信息产生的影响。
对此,建议物业企业就处理敏感个人信息单独拟定个人信息保护政策,将需要告知事项明确记载在书面协议里,向信息主体履行法律要求的告知义务。另外,在征得信息主体同意时,应当就处理人脸信息事项单独列出,获取信息主体的单独同意,故相关书面协议应当充分保障信息主体的选择权,不能强迫或者变相强迫信息主体同意授权。
(三)采取安全的技术措施
《个保法》《个人信息安全规范》等相关法律规定,对物业企业人脸信息储存提出了更高要求,故在人脸信息这类敏感信息的存储上,物业企业必须采取技术手段进行安全存储,涉及的具体措施包括但不限于:
1. 存储人脸识别信息应当采用加密等安全措施(采用密码技术时应当遵循国家的相应标准),杜绝出现生物识别信息可以随意不经授权地访问;
2. 分别存储,个人的身份信息应当与个人的生物识别信息分开存储;
3. 不宜直接存储原始的面部信息,比如在使用面部识别特征实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像,仅存储生物识别的摘要信息等(一般情况下,摘要信息无法还原信息主体的原始面部信息,这些摘要信息可以满足人脸识别或者验证即可)。
(三)强化对第三方公司资质能力的审查,并对其处理行为进行有效监督
因人脸识别技术的专业性,物业企业受其技术能力限制,在采取人脸识别的方式进行出入服务区域管理时,其自身往往并不具备直接处理人脸信息的能力,一般会通过委托具有人脸识别技术服务能力的第三方公司代为处理或者购买第三方公司的硬件设备和软件自行处理相关信息。更有甚者,部分第三方公司通过无偿为物业服务企业提供人脸识别的硬件设备和软件支持,换取其在人脸识别设备上投放广告的权利,以获取广告收入,看似是“免费的午餐”,却是另藏玄机。
在共同处理或者委托处理人脸信息情景下,物业企业更应擦亮眼睛,加强对第三方公司的审查与监督。在引入第三方人脸识别门禁服务时,应持审慎态度,对第三方公司的资质及能力进行充分审查,并签订书面合作协议,明确第三方个人信息合规义务及相应法律责任(例如约定物业企业赔偿后的追偿权等)。在第三方服务过程中,加强对第三方公司数据管控、安全存储、在授权范围内进行合法使用等活动的监督,若第三方公司提供的服务不能达到《个保法》的要求(处理活动不符合要求或者未按照《个保法》采取相应的安全措施等),及时指出并要求其限期纠正,避免为第三方的违法、违规行为埋单。
(四)提供其他出入验证方式
《人脸识别司法解释》第十条规定,物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。据此,物业企业可以采取以人脸识别的方式进行出入服务区域管理,但不能将其作为唯一验证方式,必须提供给不同意采取该方式的业主或物业使用人其他的合理验证方式。
需要提示的是,虽《人脸识别司法解释》仅是针对人脸识别问题的特殊规定,但透过该司法解释可以窥见最高人民法院对待敏感个人信息的裁判态度,如采取指纹等其他生物识别类敏感信息进行验证的,亦应采取其他出入验证方式,例如传统的门禁卡、密码等,否则,从司法裁判角度出发,亦有被认定为侵犯个人信息权益行为的风险。
(五)建立积极的反馈机制
个人对其同意处理的人脸信息有撤回权,在信息主体行使撤回权的情况下,物业企业应当依照信息主体的要求删除其已经收集的人脸信息。故物业企业应当建立积极的反馈机制,定期对业主信息进行更新,在有业主或者物业使用人要求删除人脸信息的情况下,按法律规定及时进行删除。
(六)定期进行合规审计
《个保法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。据此,建议物业在采取人脸识别方式进行验证的同时,就人脸信息这类敏感信息的处理事项,定期进行合规审计,至少每年进行一次。
2. 个人敏感信息 personal sensitive information。一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。注2:关于个人敏感信息的判定方法和类型参见附录 B。注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。
3.《个人信息保护法》第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。第三十二条法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
4. 信息处理者处理人脸信息侵害自然人人格权益造成财产损失,该自然人依据民法典第一千一百八十二条主张财产损害赔偿的,人民法院依法予以支持。自然人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将合理的律师费用计算在赔偿范围内。