在2021年3.15晚会节目中，曝光出某些商家违法使用人脸识别技术对消费者的面部信息进行采集，但由于保管不当，从而导致消费者个人信息大量流失。这一事件引发了社会对于商家使用人脸识别技术获取客户信息合法性的讨论。为了规范人脸识别技术的使用，2021年7月28日，最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（法释〔2021〕15号）（以下简称为《规定》），该规定对个人信息保护中通过人脸识别获取个人信息这一行为的合法边界进行了进一步明确。

　　本文分上下两篇，主要结合《规定》的相关内容，分别对物业服务企业与房地产开发企业在使用人脸识别技术时可能出现的风险点进行研究并提出合规化建议。

　　一、现阶段物业服务企业对人脸识别技术的使用

　　根据现有的裁判文书以及资料显示，大量物业服务企业在物业服务区域入口处设置了人脸识别门禁系统，并且很多小区、写字楼为了防止非业主人员进入物业服务区域，在入口处设置了面部识别门禁系统，用“刷脸”进入的方式取代钥匙、芯片等传统进出方式。伴随着疫情暴发，某些小区与写字楼的门禁系统甚至还会有报警、测温等功能。

　　但是，部分物业服务企业在设置门禁系统时会将面部识别作为物业使用人进出的唯一方式，并且在记录物业使用人面部信息时也仅仅只是向物业使用人口头告知了其权利，并未取得物业使用人对使用个人信息的书面同意，也没有明确告知这些个人信息的存储、使用、传输方式，极易发生个人信息的泄露，从而损害物业使用人的合法权益。最高人民检察院于2021年7月22日公布的公益诉讼检察听证典型案例中，广东省江门市江海区人民检察院督促整治保护个人信息安全行政公益诉讼案就是物业服务企业违规设置人脸识别系统危害居民个人信息安全的典型案例。

　　该案中，广东省江门市江海区“某某花园”、“某某豪庭”等7个住宅小区物管公司在未向行政主管部门申请并审核验收的情况下，擅自安装并投入使用“人脸信息识别”门禁系统，且已完成大部分小区物业使用人的人脸信息采集。小区物业服务企业仅口头告知收集物业使用人的人脸信息、联系电话、住宅地址等个人信息用于安保门禁，但是并未明示“人脸信息”的存储、传输、提供等处理情况。该物业服务企业擅自安装并使用“人脸信息识别系统”的行为，极易造成物业使用人个人信息被不法分子获取、利用，危及公民人身、财产安全，侵害社会公共利益。因此江海区检察院向社区所在辖区的公安分局发出行政公益诉讼诉前检察建议，督促其对辖区擅自安装并投入使用“人脸信息识别”门禁系统的违法行为依法履职。

　　二、《规定》在物业管理领域的具体适用

　　（一）《规定》对物业服务企业使用“人脸识别门禁”技术进行规定。

　　《规定》第十条第一款规定：“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。”该条明确了物业服务企业在使用人脸识别技术作为出入物业服务区域唯一验证方式的前提是，在提前告知物业使用人的同时，必须获得物业使用人的同意。对于不同意的物业使用人，物业服务企业应当提供其他合理验证方式，否则物业使用人可以要求物业服务企业承担损害赔偿、删除人脸信息等民事责任。

　　（二）《规定》明确在公共场所、经营场所不得违法使用人脸识别技术处理个人信息。

　　《规定》第二条明确，在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析，该行为属于侵害自然人人格的行为。该条再次对特定场所使用人脸识别技术构成侵权的标准进行了明确，即判断的依据是人脸识别技术使用人的行为是否具有合法性，并进一步明确在公共场所与经营场所违法违规使用人脸识别技术属于侵权行为。因此该条要求所有经营者在特定场所（主要是公共、经营场所）应当合法合规使用人脸识别技术，物业服务区域出入口也包含在其中。

　　三、物业服务企业使用人脸识别技术的合规化建议

　　1、对于小区门禁的设置，建议物业服务企业提供更多元的进出验证方式，如钥匙、指纹识别、芯片识别等。对于使用人脸识别进出小区的物业使用人，物业服务企业必须要征得其同意。物业服务企业可以在与物业使用人签订《物业服务合同》时，以签订补充条款的形式，对该人脸识别技术的用途进行说明并征得物业使用人的同意。对于不同意使用人脸识别技术的物业使用人，也应提供其他验证方式。

　　2、规范人脸识别信息管理，保障物业使用人个人信息合法收集后能够被合法利用、防止信息外漏与滥用，物业服务企业既要完善内部信息管理，加强信息系统的技术安全防护，完善公共存储电脑安全系统，还需要防范企业内部有关人员泄露相关信息。物业服务企业可以通过制定内部管理制度、个人信息分类管理、定期对从业人员进行安全教育和培训等方式，加强内部管理，防止个人信息泄露。

　　3、物业服务企业应当对每一个被采集信息的物业使用人单独采取“告知+同意”程序进行告知，不能为图方便而采用笼统性协议来囊括。“告知”程序应当涵盖以下内容：1、个人信息被采集者的姓名、年龄、身份证号码、联系方式、家庭住址等信息；2、个人信息的使用目的、采集方式、保存时间、保存方式；3、个人信息采集与保存过程中各方的权利与义务。

　　物业服务企业在向被采集者明确告知后，还应当取得物业使用人的“同意”，该程序应当以与物业使用人签署“告知同意书”的形式加以固定，并在“告知同意书”中明确载明用户权益的保护渠道，以便于物业使用人维护自身合法权益。物业服务企业对于不同意的物业使用人，应当考虑其他可行的身份认定方式，对物业使用人出入进行管理，不能简单地一拒了之，不然根据《规定》，物业服务企业要承担相应民事责任。