【建纬观点】试论物业服务企业获取业主生物识别信息的边界及合规指南

作者：

引言 

       案例一：“某小区强制刷脸案”

       某小区业主在进入小区时被物业服务企业要求强制使用人脸识别门禁。业主认为，物业服务企业存在未经业主同意，擅自获取其人脸生物识别信息的情况且拒绝提供其他替代方案，遂起诉至法院。

       法院审理案件后，认定物业服务企业无权在未获得业主同意的情况下，强制收集其人脸信息，遂判决物业服务企业提供门禁卡或其他替代方案，以解决业主出入小区门禁事宜。

       案例二：“某公司生物识别信息泄露案”

       某物业服务企业的服务器遭到黑客攻击，服务器中存储的业主个人基本信息、指纹识别信息、人脸识别信息被黑客窃取并用于非法用途。业主发现自己的个人生物识别信息在网上被打包售卖后，向有关部门进行了举报，并同步向人民法院提起诉讼。最终，物业服务企业因自身的数据管理存在问题，承担了相应的法律责任。

       从上述两个案例可以看出：近年来，随着业主法律意识的不断增强，其对于生物识别信息、个人隐私权等问题已越来越重视。一旦物业服务企业不慎泄露或者使用生物识别信息，可能面临小业主的投诉、举报、诉讼等各类风险。

       结合上述定义，物业服务领域中的生物识别信息通常包括：指纹、人脸、虹膜、笔迹、声音等。

       业主在发现物业服务企业侵害其知情及同意权时，有权向物业服务企业提出异议，并要求其删除违法收集的生物识别信息。

       根据《民法典》第一千零三十五条、《个人信息保护法》第十三条等规定，物业服务企业在向业主收集指纹、人脸、虹膜等生物信息之前，应当事先通过书面、电子等方式获取业主方的同意（如需获取未成年人相关信息的，应获得其监护人同意）。

       从案例二可见，物业服务企业必须重视生物识别信息的存储、传输工作，一旦发生信息泄露或遭黑客攻击，或将造成不可估量的损失。

       根据《民法典》第一千零三十五条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理。简单来讲，需遵守“最小必要原则”，即：收集来的指纹、人脸、虹膜、声纹等可且仅可用于门禁识别、安全认证等已事先取得业主同意的范围，禁止超范围使用、加工、提供或者公开。

       在提供物业服务时，如需采集指纹、人脸、虹膜、声纹的，应当事先向业主充分说明。必要时，可在物业服务合同、管理规约中明示有关的生物识别信息采集条款。信息采集条款建议包含以下内容：

       1）收集内容：包括但不限于指纹、人脸、虹膜、声纹等。

       如业主在物业释明后依旧不同意采集的，应当提供相应的替代方案。例如：

       1）若为门禁识别用途的，可提供门禁卡、手机NFC系统等各类实体身份验证途径；

       2、事中加强管理

       对于物业服务企业的日常管理，建议从以下几个方面展开：

       1）完成数据采集后，物业服务企业应当采用加密存储、防火墙设置、定期安检等技术手段，加强日常的存储及传输管理。

       3、事后及时处理

       个人生物识别信息的保护，离不开物业服务企业和业主个人的共同努力。作为物业服务企业，需要及时更新相关行业知识及法律法规，处理信息时守好“底线”、不越“边界”。作为业主个人，也需加强防范意识，共同为物业服务智能化管理工作打造一个良好的环境。

注释：

1.《百度百科》：生物识别技术https://baike.baidu.com/item/%E7%94%9F%E7%89%A9%E8%AF%86%E5%88%AB%E6%8A%80%E6%9C%AF/6464567

       附：核心法律、法规等条款摘录

夏晶

建纬律师事务所 合伙人

       上海市建纬律师事务所党总支纪律委员、第二党支部书记、青年工作委员会副主任、不动产金融部合伙人，任第十一届、第十二届上海市律师协会物业管理专业委员会委员、第二届黄浦区青年律师联谊会理事、上海宋庆龄基金会新时代文化专项基金公益法律顾问、赣江新区国际仲裁院 IACG 仲裁员等职务，被上海市律师协会评定为“建筑房地产”专业律师，拥有中国证券投资基金业协会AMAC基金从业资格。

END

作者 | 夏晶

编辑 | 建纬品牌部