文/謝羅群
近年來(lái)�,業(yè)內頻繁出現物業(yè)服務(wù)企業(yè)因泄露業(yè)主個(gè)人信息而引發(fā)糾紛或訴訟的案例����。業(yè)界普遍認為���,隨著(zhù)《個(gè)人信息保護法》的實(shí)施以及業(yè)主權利意識的覺(jué)醒和個(gè)人信息保護意識的不斷增強�,未來(lái)類(lèi)似這樣的糾紛還會(huì )不斷增多����。因此�,強化業(yè)主個(gè)人信息的保護�,全力構筑業(yè)主信息安全防護墻�,將是物業(yè)服務(wù)企業(yè)未來(lái)亟須做好的一項重點(diǎn)工作����。
01
業(yè)主個(gè)人信息保護類(lèi)糾紛訴訟頻發(fā)
今年4月份���,中國法院網(wǎng)上的一則司法判例在物業(yè)管理行業(yè)引發(fā)關(guān)注����。判例顯示�����,2019年至2021年期間����,被告人鄭某曾先后在浙江某地兩家物業(yè)服務(wù)企業(yè)就職�,從事物業(yè)管理工作��。工作期間��,鄭某先后為他人無(wú)償提供了4500余條業(yè)主信息����,以幫助其拓展業(yè)務(wù)����。法院審理后認為��,被告人鄭某違反國家有關(guān)規定���,將在履行職責或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息����,提供給他人�����,其行為已構成侵犯公民個(gè)人信息罪��,依法判處鄭某有期徒刑八個(gè)月�,緩刑一年�����,并處罰金��。
無(wú)獨有偶��。因不滿(mǎn)只能通過(guò)“刷臉”出入小區�����,天津一名住戶(hù)將小區物業(yè)服務(wù)企業(yè)告上法庭�����,要求物業(yè)服務(wù)企業(yè)刪除他的人臉信息�,并提供能夠保證其隱私權的出入小區的驗證方式����。一審中��,法院以收集人臉信息確為疫情防控需要����、原告未提交被告存在泄露信息相關(guān)證據等為由駁回原告訴訟請求����。因不服一審判決�,原告決定上訴����。二審法院支持了原告的部分訴訟請求�,要求物業(yè)服務(wù)企業(yè)刪除原告人臉信息并為其提供其他通行驗證方式���。
而今年6月份�,重慶某小區業(yè)主劉先生反映�,小區物業(yè)服務(wù)公司工作人員將一份業(yè)主車(chē)位費用欠費的相關(guān)統計表格誤發(fā)在了一小學(xué)家長(cháng)群��,其中�����,涉及小區上千戶(hù)業(yè)主的姓名����、房號����、車(chē)位��、車(chē)牌號�、車(chē)位欠費等隱私信息���,引起業(yè)主不滿(mǎn)�。后經(jīng)了解屬于物業(yè)服務(wù)企業(yè)的工作人員誤發(fā)�,小區物業(yè)服務(wù)企業(yè)向業(yè)主公開(kāi)道歉����。
其實(shí)��,在網(wǎng)上檢索可以發(fā)現�,類(lèi)似的訴訟或糾紛并不少見(jiàn)����。其內容基本都是物業(yè)服務(wù)企業(yè)的工作人員在任職期間獲取了業(yè)主的個(gè)人信息��,但或故意或無(wú)意將這些信息進(jìn)行泄露����;或業(yè)主不滿(mǎn)物業(yè)服務(wù)企業(yè)未經(jīng)自己許可就收集了自己的個(gè)人信息���,最終引發(fā)訴訟或糾紛���。在此類(lèi)糾紛或訴訟中����,不少物業(yè)服務(wù)企業(yè)都被法院判處向信息被泄露的業(yè)主道歉或賠償����,或為業(yè)主提供其他合理方式(非人臉識別)出入物業(yè)管理區域���,個(gè)別物業(yè)服務(wù)企業(yè)的工作人員甚至為此身陷囹圄���。
02
強化內部管理��,構筑業(yè)主信息安全守護墻
通過(guò)分析解讀上述司法判例�,我們可以充分認識到保護業(yè)主個(gè)人信息的重要性���,不過(guò)���,在解決這個(gè)問(wèn)題之前���,我們首先要搞清楚到底有哪些信息屬于需要保護的業(yè)主信息�����?根據《民法典》第一千零三十四條規定�,“個(gè)人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息����,包括自然人的姓名�����、出生日期�����、身份證件號碼���、生物識別信息���、住址����、電話(huà)號碼�、電子郵箱�、健康信息���、行蹤信息等��。”
具體到物業(yè)管理行業(yè)�����,物業(yè)服務(wù)企業(yè)為了工作需要���,在為業(yè)主提供日常物業(yè)服務(wù)的過(guò)程中往往會(huì )很容易收集到業(yè)主的大量個(gè)人信息����。譬如��,物業(yè)服務(wù)企業(yè)在業(yè)主辦理入住等相關(guān)手續時(shí)�,一般均會(huì )留存業(yè)主的個(gè)人信息����,包括業(yè)主姓名�、住址���、聯(lián)系電話(huà)����、身份證號碼�、家庭成員情況����、銀行托收賬戶(hù)等基本信息�;如果物業(yè)服務(wù)企業(yè)在小區出入口安裝人臉識別門(mén)禁系統或車(chē)行道閘系統后���,也會(huì )收集到業(yè)主的人像信息�����、車(chē)牌號信息以及行蹤信息等�����。這些個(gè)人信息對業(yè)主自身的安全非常重要�,因為個(gè)人信息一旦泄露�����,輕則可能造成業(yè)主個(gè)人正常生活被打亂���,重則可能影響到業(yè)主的人身財產(chǎn)安全����。因此�����,《個(gè)人信息保護法》第十條規定:“任何組織�����、個(gè)人不得非法收集�、使用����、加工���、傳輸他人個(gè)人信息����,不得非法買(mǎi)賣(mài)����、提供或者公開(kāi)他人個(gè)人信息��。”
那么��,作為物業(yè)服務(wù)企業(yè)���,應如何有效構筑業(yè)主信息安全守護墻以保護業(yè)主的個(gè)人信息不被泄露呢��?中國物業(yè)管理協(xié)會(huì )法律政策工作委員會(huì )委員�����、安居(深圳)城市運營(yíng)科技服務(wù)有限公司副總經(jīng)理鹿欽連認為�,在保證業(yè)主信息安全方面���,以下措施值得物業(yè)服務(wù)企業(yè)參考:一是應建立健全業(yè)主個(gè)人信息安全管理的規章制度�,并采取措施在工作中嚴格進(jìn)行貫徹落實(shí)��,尤其是在一些高端社區�,業(yè)主對信息安全保護的要求更高���,這也就要求物業(yè)服務(wù)企業(yè)必須制定更為嚴格的信息安全保護制度措施���;二是規范業(yè)主個(gè)人信息的使用與管理��,對于業(yè)主信息的查詢(xún)���,建議實(shí)行分級管理并做好登記(涉及的重要影像資料信息等��,除業(yè)主本人外�����,不得交由他人查詢(xún)和復制儲存�。如遇公安機關(guān)需要調查取證�,則應要求對方出示相關(guān)證件與證明����,并做好登記)�;三是指定或設置業(yè)主信息安全保護的專(zhuān)職人員��,負責業(yè)主檔案的保管�、借閱����、登記與銷(xiāo)毀��,依法履行保護職責����,公司則不定期檢查信息安全工作��,這將有利于維護業(yè)主��、企業(yè)的合法權益�����;四是要對員工進(jìn)行個(gè)人信息安全保護方面的專(zhuān)業(yè)培訓���,組織員工學(xué)習《民法典》《個(gè)人信息保護法》以及《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規定》�����,引導員工依法依規做好業(yè)主信息安全保護工作����;五是要加強員工的保密教育�����,提升員工對業(yè)主信息的保密意識�,明確要求公司員工對掌握的業(yè)主個(gè)人信息����,無(wú)論在職還是離職�����,都不得隨意泄露�。
03
規范外部合作����,注意控制業(yè)主信息安全保護領(lǐng)域相關(guān)風(fēng)險
對于物業(yè)服務(wù)企業(yè)來(lái)說(shuō)���,要做好業(yè)主的信息安全保護工作�����,僅靠做好以上五項工作仍然不夠���,因為從以往的訴訟案例來(lái)看��,一些涉個(gè)人信息保護類(lèi)糾紛或訴訟完全是物業(yè)服務(wù)企業(yè)在與外部單位或組織合作的過(guò)程中出現的��,而與內部管理無(wú)關(guān)�。在此類(lèi)糾紛中���,物業(yè)服務(wù)企業(yè)往往認為自己很無(wú)辜�����,但一旦進(jìn)入訴訟程序�,卻仍然面臨敗訴�����,被判道歉或賠償����。
譬如���,一家物業(yè)服務(wù)企業(yè)未經(jīng)業(yè)主同意�,將有某業(yè)主個(gè)人信息的資料在一次有小區其他業(yè)主參加的會(huì )議上進(jìn)行發(fā)放�����,導致這名業(yè)主的姓名���、電話(huà)等個(gè)人信息在小區居民間流傳����。這位業(yè)主獲悉后向法院起訴��,認為物業(yè)服務(wù)企業(yè)的做法侵害其隱私權及個(gè)人信息權益����,請求判令物業(yè)服務(wù)在報紙上公開(kāi)賠禮道歉��。最終����,法院審理后認為����,對自然人不愿為他人知曉的私密空間�、私密活動(dòng)���、私密信息進(jìn)行刺探�����、侵擾��、泄露��、公開(kāi)均系侵犯隱私權的行為�����,物業(yè)服務(wù)企業(yè)在沒(méi)有得到同意就把寫(xiě)有原告個(gè)人信息的資料泄露給小區業(yè)主和物業(yè)服務(wù)人員��,侵害了原告的個(gè)人信息權益���,應承擔侵權責任��。
此類(lèi)訴訟糾紛的出現也提示我們�,在處理業(yè)主個(gè)人信息保護類(lèi)糾紛方面�����,物業(yè)服務(wù)企業(yè)不僅要在企業(yè)內部通過(guò)強化管理來(lái)加強業(yè)主個(gè)人信息的保護�,而且要從頂層設計出發(fā)���,提升自身的信息安全保護意識���,規范外部合作���,并注意控制物業(yè)服務(wù)全過(guò)程中的各個(gè)風(fēng)險點(diǎn)���。目前來(lái)看��,為做好業(yè)主個(gè)人信息保護���,需要物業(yè)服務(wù)企業(yè)重點(diǎn)關(guān)注的風(fēng)險點(diǎn)主要集中在三個(gè)關(guān)鍵時(shí)段�,分別是進(jìn)駐項目時(shí)���、與外包方合作時(shí)以及撤離項目時(shí)����。
首先���,物業(yè)服務(wù)企業(yè)在進(jìn)駐項目時(shí)���,要在收集或處理業(yè)主個(gè)人信息之前就對業(yè)主做好事前告知或取得業(yè)主的同意及授權��?���!秱€(gè)人信息保護法》第十七條規定����,個(gè)人信息處理者在處理個(gè)人信息前�����,應以顯著(zhù)方式�����、清晰易懂的語(yǔ)言��,真實(shí)���、準確��、完整地向個(gè)人告知相關(guān)法定事項�。因此�����,作為物業(yè)服務(wù)企業(yè)�,在收集業(yè)主個(gè)人信息時(shí)�,應當以書(shū)面方式明確告知業(yè)主收集�����、使用個(gè)人信息的目的����、方式���、范圍和用途���。之后���,物業(yè)服務(wù)企業(yè)需履行法定和約定義務(wù)��,不允許違反與業(yè)主的約定或在未經(jīng)業(yè)主同意的情況下�,隨意泄露���、公開(kāi)或向其他人非法提供業(yè)主信息���。這樣�,后期即便出現糾紛�,只要物業(yè)服務(wù)企業(yè)在處理業(yè)主的個(gè)人信息時(shí)沒(méi)有超出之前約定的使用范圍�����,或者處理業(yè)主個(gè)人信息時(shí)取得了業(yè)主的同意�,也就不用承擔侵權責任�����。需要強調的是�����,2021 年 8 月 1 日起實(shí)施的《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規定》明確規定����,物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區域的唯一驗證方式�,不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的���,人民法院依法予以支持����。換句話(huà)說(shuō)�����,物業(yè)服務(wù)企業(yè)在引進(jìn)使用人臉識別門(mén)禁系統時(shí)不僅需要告知業(yè)主并取得業(yè)主同意����,而且對于那些不同意的業(yè)主���,物業(yè)服務(wù)企業(yè)必須提供其他的合理驗證方式�����,否則就可能在個(gè)人信息保護類(lèi)訴訟中敗訴���,并承擔賠償責任�。
其次是在與外包方合作時(shí)���,物業(yè)服務(wù)企業(yè)要對他們進(jìn)行有效約束����,避免因外包方泄露業(yè)主個(gè)人信息而被追責����。當前�����,為了降低人工成本��,越來(lái)越多的企業(yè)開(kāi)始實(shí)行專(zhuān)業(yè)服務(wù)外包的模式���。秩序維護��、保潔及停車(chē)等業(yè)務(wù)在外包給第三方單位后�,業(yè)主個(gè)人信息保護工作面臨的困難和復雜性也相應增加���。因為這些人員或企業(yè)并不屬于物業(yè)服務(wù)企業(yè)的員工或下屬單位�,一旦第三方公司人員泄露了所掌握的業(yè)主個(gè)人信息��,業(yè)主在追責時(shí)仍然會(huì )找到物業(yè)服務(wù)企業(yè)��,因為業(yè)主和這些第三方公司并沒(méi)有直接的合同委托關(guān)系�����,所以����,這也就要求物業(yè)服務(wù)企業(yè)在與第三方公司簽訂合作協(xié)議時(shí)必須明確告知第三方公司掌握業(yè)主個(gè)人信息后只能用于工作領(lǐng)域��,要求其不得超范圍使用業(yè)主個(gè)人信息�����,主動(dòng)采取保護業(yè)主個(gè)人信息的有力舉措����,并承擔保護業(yè)主個(gè)人信息不力的責任和后果�。如果第三方公司在與物業(yè)服務(wù)企業(yè)的委托協(xié)議到期后�,第三方公司必須在物業(yè)服務(wù)企業(yè)的監督下主動(dòng)刪除����、銷(xiāo)毀所掌握的業(yè)主個(gè)人信息��。只要這樣�,物業(yè)服務(wù)企業(yè)才能避免在可能出現的個(gè)人信息保護類(lèi)糾紛中處于被動(dòng)地位�����。
再次是在小區更換物業(yè)服務(wù)企業(yè)的過(guò)程中����,要重視并做好業(yè)主信息安全保護工作���。隨著(zhù)物業(yè)管理行業(yè)市場(chǎng)化進(jìn)程的不斷提速�,小區更換物業(yè)服務(wù)企業(yè)的現象也越來(lái)越常見(jiàn)�,從實(shí)踐中看�����,如果新老物業(yè)服務(wù)企業(yè)交接不太規范���,這個(gè)階段也往往最容易出現業(yè)主個(gè)人信息泄露的問(wèn)題��。建議老物業(yè)服務(wù)企業(yè)在交接過(guò)程中把業(yè)主個(gè)人信息直接交接給業(yè)主委員會(huì )或者經(jīng)過(guò)業(yè)主委員會(huì )允許后再將業(yè)主個(gè)人信息移交給新物業(yè)服務(wù)企業(yè)�����,而且老物業(yè)服務(wù)企業(yè)在交接完成后還要及時(shí)刪除或銷(xiāo)毀自己掌握的業(yè)主個(gè)人信息�,并告知業(yè)主委員會(huì )和新物業(yè)服務(wù)企業(yè)�����。新物業(yè)服務(wù)企業(yè)則要及時(shí)按照與業(yè)主委員會(huì )的約定建立新的業(yè)主信息安全保護制度����,確保業(yè)主信息安全����??傊?����,新老物業(yè)服務(wù)企業(yè)交接過(guò)程是業(yè)主個(gè)人信息泄露的高風(fēng)險期�����,相關(guān)各方應按照之前的約定和法律法規的要求���,保護好業(yè)主的個(gè)人信息安全���,也避免自身遭遇業(yè)主信息安全保護方面的糾紛或訴訟��。
總體來(lái)看���,保護業(yè)主個(gè)人信息安全是一項系統工程����,需要業(yè)主���、物業(yè)服務(wù)第三方供應商�、物業(yè)服務(wù)企業(yè)���、主管部門(mén)等相關(guān)主體�����,從進(jìn)一步完善業(yè)主信息保護立法�,建立個(gè)人信息保護的作業(yè)標準��,嚴格業(yè)主信息的管理�����,增強各方主體的業(yè)主信息保護意識等方面共同發(fā)力����,多向奔赴�,才能最終實(shí)現守護業(yè)主個(gè)人信息安全的目標���。(原載于《中國物業(yè)管理》雜志2022年第7期)