張 敏，羅 雨

（河南大學法學院，河南開封 475001）

引言

習近平總書記強調(diào)：“要切實保障國家數(shù)據(jù)安全，加強關鍵數(shù)據(jù)資源的保護，強化數(shù)據(jù)安全的預警和溯源能力。促進個人隱私數(shù)據(jù)資源相關制度的建設，保障社會穩(wěn)定和國家安全?！痹谛畔⒒髷?shù)據(jù)時代下，學者們對于如何保護個人隱私權的研究逐漸增多。王俊秀（2020）[1]、文銘（2020）[2]、郭春鎮(zhèn)（2020）[3]、邢會強（2020）[4]、林凌（2020）[5]、石佳友（2021）[6]等學者分別從數(shù)字社會中的隱私重塑、人臉識別技術的法律規(guī)制與路徑、人臉識別技術的應用治理、人臉識別技術中的個人信息保護等角度研究數(shù)字化時代下的個人隱私保護。但是，現(xiàn)有的研究大多是從宏觀角度探討如何在大數(shù)據(jù)信息化時代下保護個人信息，對人臉識別技術應用于住宅小區(qū)門禁系統(tǒng)的具體研究還比較缺乏。對住宅小區(qū)應用人臉識別技術進出的人臉信息采集主體的資格授權、信息采集后的保護方式和信息泄露后的處罰手段以及政府在這一過程中如何利用公權力監(jiān)管市場主體等缺乏論述，這些都構成了本文研究的問題意識。

一、住宅小區(qū)人臉識別門禁系統(tǒng)的應用風險：從勞東燕案談起

2020 年3 月，在法學教授勞東燕居住的小區(qū)里，物業(yè)公司貼出了要求業(yè)主方提供身份證、房產(chǎn)證和人臉圖像等個人信息辦理安裝人臉識別門禁系統(tǒng)的公告[7]。小區(qū)內(nèi)大多數(shù)業(yè)主對物業(yè)公司收集人臉信息這一通知并不在意，只是擔心自己的房產(chǎn)信息會被泄露。事實上，人臉信息被非法收集和濫用帶來的風險要比房產(chǎn)信息被他人濫用的風險更大，會導致不可忽視的業(yè)主“同意機制”的運行風險、業(yè)主隱私權被侵犯的風險、信息采集程序的不透明風險和采集后的業(yè)主信息被濫用或泄露等風險。

（一）業(yè)主“知情同意機制”失靈的風險

我國人臉識別門禁系統(tǒng)的法律規(guī)制主要以“知情同意機制”為保護前提。業(yè)主的同意是物業(yè)公司安裝人臉識別門禁系統(tǒng)的合法性來源。但在實踐中，物業(yè)公司大多未取得業(yè)主個人和業(yè)主大會的同意就自行采集業(yè)主信息，該行為不僅使業(yè)主喪失了信息自決權，還導致了“知情同意”保護機制的失靈。

第一，物業(yè)公司未征得業(yè)主與業(yè)主委員會同意強制采集其面部信息的行為不符合法律規(guī)定，剝奪了公民個人的信息自決權與業(yè)主委員會的群體決策權。一方面，《個人信息保護法》第十三條規(guī)定，個人信息同意豁免情形主要包括“為訂立履行合同、履行職責義務、在突發(fā)公共衛(wèi)生事件或緊急情況下保護自然人健康安全、實現(xiàn)公共利益和在法律規(guī)定合理范圍內(nèi)處理個人信息”。物業(yè)公司強制性的公告采集業(yè)主面部信息的行為不符合上述例外情形，業(yè)主為了獲取相應服務而不得不“同意”，導致業(yè)主事實上喪失信息自決權。另一方面，從小區(qū)業(yè)主大會的群體決策來看，根據(jù)住房和城鄉(xiāng)建設部2009 年公布的《業(yè)主大會和業(yè)主委員會指導規(guī)則》（下文簡稱《指導規(guī)則》）第十七條第七款①《業(yè)主大會和業(yè)主委員會指導規(guī)則》第十七條規(guī)定：“業(yè)主大會決定以下事項：（七）改建、重建建筑物及其附屬設施。”的規(guī)定，“改建、重建建筑物及其附屬設施的決策主體是業(yè)主大會?！倍俏飿I(yè)公司。此外，《指導規(guī)則》第二十九條②《業(yè)主大會和業(yè)主委員會指導規(guī)則》第二十九條規(guī)定：“業(yè)主大會會議決定籌集和使用專項維修資金以及改造、重建建筑物及其附屬設施的，應當經(jīng)專有部分占建筑物總面積三分之二以上的業(yè)主且占總?cè)藬?shù)三分之二以上的業(yè)主同意；決定本規(guī)則第十七條規(guī)定的其他共有和共同管理權利事項的，應當經(jīng)專有部分占建筑物總面積過半數(shù)且占總?cè)藬?shù)過半數(shù)的業(yè)主同意?！币裁鞔_規(guī)定了需經(jīng)過“雙三分之二”的業(yè)主同意。故而，物業(yè)公司未得到業(yè)主大會上“雙三分之二”業(yè)主的同意即修建或改建人臉識別門禁系統(tǒng)的行為剝奪了業(yè)主委員會的群體決策權。

第二，物業(yè)公司大多未取得業(yè)主個人和業(yè)主大會的同意就自行采集業(yè)主信息的行為違背了《個人信息保護法》的立法邏輯，導致“知情同意”保護機制失靈。個人信息利用的正當性基礎在于獲取信息權利人的“知情同意”，根據(jù)《個人信息保護法》第十四條③《個人信息保護法》第十四條規(guī)定：“個人信息處理者要取得個人的同意才能處理個人信息。并且要在充分知情的情況下自愿、明確作出該同意。”的規(guī)定，知情同意原則的有效要素應當包括自由、具體、知情、明確以及形式等五個方面。而物業(yè)公司僅以公告的方式通知業(yè)主提交個人信息及面部信息，默認業(yè)主看到公告即表示“同意”，違背了《個人信息保護法》所規(guī)定的“知情同意原則”中自愿、明確、具體的執(zhí)行標準，實際上違背了《個人信息保護法》的立法宗旨，使得“知情同意”保護機制失靈。

（二）業(yè)主信息權益被侵犯的風險

人臉信息屬于高度敏感的個人信息，一旦丟失匹配了身份信息的人臉信息，人們將面臨終身的安全隱患，也將引發(fā)一系列社會風險。此時應當有強有力的監(jiān)管機關介入以規(guī)范人臉信息利用所導致的各類負外部性行為。但當前尚缺乏系統(tǒng)性的監(jiān)督制度，導致業(yè)主面臨著信息權益被侵犯的巨大風險。

一方面，業(yè)主信息權益被侵犯將引發(fā)系統(tǒng)性風險。第一，物業(yè)未經(jīng)同意獲取人臉信息的行為將侵犯業(yè)主的個人隱私權。物業(yè)公司未經(jīng)業(yè)主和業(yè)主大會的同意自行安裝人臉識別門禁系統(tǒng)并進行使用，增加了個人信息泄露的風險。物業(yè)公司對業(yè)主隱私權造成侵害主要后果在精神損害方面。由于受害人的隱私因被他人知悉而產(chǎn)生羞辱、痛苦、焦躁、憂慮等不正常的心理情緒。第二，業(yè)主不合法利用人臉信息的行為將侵害業(yè)主生活安寧權并破壞社會秩序?，F(xiàn)實中存在部分物業(yè)公司將非法收集到的業(yè)主人臉信息出售給一些網(wǎng)絡服務商，網(wǎng)絡服務商將買獲的業(yè)主信息數(shù)據(jù)進行打包二次倒賣的情形。物業(yè)公司和網(wǎng)絡服務機構的行為并未取得業(yè)主本人的同意，物業(yè)公司的獲益具有違法性。這種違法性已嚴重破壞社會秩序，主要表現(xiàn)為：其一，不法分子獲取大量非法收益。不法分子可能會利用其倒賣的他人個人信息進行違法犯罪活動，獲取大量社會財富。其二，被泄露信息者名譽受損。普通公民被泄露個人信息后，不法分子冒用其名義所做的不法事件全部歸于其名下。

另一方面，業(yè)主信息權益面臨著侵權風險。當前物業(yè)公司采集、處理業(yè)主個人信息的過程缺乏有效的監(jiān)督機制，主要表現(xiàn)為監(jiān)管主體缺位。根據(jù)《個人信息保護法》的相關規(guī)定，對個人信息保護負有監(jiān)督職責的地方管理主體是縣級以上地方人民政府有關部門，但法律并未再進一步細化。法律規(guī)定模糊、泛化，使得住宅小區(qū)人臉識別門禁系統(tǒng)的安裝與信息的采集過程中存在監(jiān)督缺位、權責不清、地方管理真空的情況。若不進一步完善物業(yè)公司收集業(yè)主人臉信息行為的監(jiān)督管理制度，就會埋下人臉信息數(shù)據(jù)被濫用和泄露的隱患，從而威脅到民眾的人身與財產(chǎn)安全。

（三）信息采集程序不正當?shù)娘L險

物業(yè)公司應當根據(jù)合法、正當?shù)某绦騺硭鸭瘶I(yè)主的個人信息，但由于當前信息搜集主體不合法，導致信息搜集存在程序瑕疵。其程序瑕疵常以現(xiàn)實主體不適格、法律主體違法與程序不透明的形式表現(xiàn)出來，進而難以保障業(yè)主的知情權與參與權。

首先，在實踐層面，物業(yè)公司隸屬于街道辦事處主管，其沒有采集信息的主體權利。小區(qū)人臉識別門禁系統(tǒng)的應用共涉及四個主體：業(yè)主（房屋產(chǎn)權所有人）、物業(yè)公司（商業(yè)公司）、街道辦事處（政府派出機關）、居民委員會（群眾自治組織）。這四個主體對于“刷臉”門禁進小區(qū)的態(tài)度各異。各方角力之下，業(yè)主處于弱勢地位，且行動也較為分散，難以保護自己的人臉數(shù)據(jù)安全。物業(yè)公司以營利為目的，在其逐利的本質(zhì)下，若無外力牽制，容易導致人臉數(shù)據(jù)的泄露和濫用，這樣會有違人臉識別門禁系統(tǒng)安裝的初衷，不僅不利于維護社區(qū)安全，甚至還可能猛增相關的違法犯罪活動。居民委員會主要發(fā)揮著輔助人民政府及其派出機關開展工作的作用，力量較弱小。在管理社區(qū)方面、專業(yè)性方面也沒有物業(yè)公司強。居民委員會對于社區(qū)的管理功能被進一步擠壓。所以需要群眾自治組織的業(yè)務指導機關——街道辦事處的推動和引導，從而監(jiān)管物業(yè)公司采集個人信息的行為。

其次，在法律層面上，物業(yè)公司的信息采集主體身份未得到合法授權，存在主體違法性問題?，F(xiàn)有的法律條文雖未具體說明授權信息采集主體。根據(jù)《個人信息保護法》第六十條①《中華人民共和國個人信息保護法》第六十條規(guī)定：“國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關監(jiān)督管理工作。國務院有關部門依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作。縣級以上地方人民政府有關部門的個人信息保護和監(jiān)督管理職責，按照國家有關規(guī)定確定。前兩款規(guī)定的部門統(tǒng)稱為履行個人信息保護職責的部門?！钡囊?guī)定：“宏觀層面，由國家網(wǎng)信部門來統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關監(jiān)督管理工作；落實到地方，由縣級以上地方人民政府有關部門負責地方的個人信息保護和相關監(jiān)管工作?！狈芍灰?guī)定了由國家網(wǎng)信部門、國務院有關部門、縣級以上地方人民政府有關部門來統(tǒng)籌、協(xié)調(diào)和監(jiān)管個人信息保護工作，并未規(guī)定授權主體。所以，住宅小區(qū)個人信息保護的授權與監(jiān)管的這一過程，街道辦事處無權作為。物業(yè)公司的授權來自于哪個主體，存在授權混亂、責任不清的問題。

最后，物業(yè)公司采集、處理業(yè)主個人信息的過程不透明，業(yè)主知情權和參與權未能得到保障。其一，過程不透明導致業(yè)主知情權不能得到保障。為了增進業(yè)主對物業(yè)公司采集信息行為的信任，物業(yè)公司需持續(xù)不斷的披露其采集和處理信息的過程。但目前的物業(yè)公司信息披露水平較低，無法保障業(yè)主知情同意權的實現(xiàn)，進而也無法確保業(yè)主做出同意是基于真正的知情。其二，過程不透明導致業(yè)主參與權不能得到保障。在住宅小區(qū)中，物業(yè)公司應將業(yè)主置于中心地位，尊重業(yè)主的意見，加強與業(yè)主的交流。但在實踐中，業(yè)主扮演著消極被動的角色，處于被通知的邊緣位置，無法參與物業(yè)公司采集與處理其個人信息的過程。

二、住宅小區(qū)人臉識別門禁系統(tǒng)應用風險的成因分析

目前，我國在住宅小區(qū)人臉識別門禁系統(tǒng)的應用上存在著一些法律風險，這是由多種原因共同造成的，如相關立法效力等級低，法律執(zhí)行不到位，算法黑箱導致程序不透明，內(nèi)部監(jiān)督、被動監(jiān)督和事后監(jiān)督導致監(jiān)督不力等。

（一）相關立法效力等級低

一方面，地方立法對小區(qū)人臉識別門禁系統(tǒng)的應用做出規(guī)范，保障業(yè)主對物業(yè)管理區(qū)域的正常出入權?！逗贾菔形飿I(yè)管理條例》(以下簡稱《條例》) 肯定了物業(yè)采取數(shù)字化新技術提升社區(qū)服務構建智慧社區(qū)的舉措，并對住宅小區(qū)人臉識別門禁系統(tǒng)應用導致的個人信息泄露做出了相應規(guī)制?！稐l例》規(guī)定了物業(yè)公司需要保護業(yè)主的隱私和個人信息，明確了物業(yè)公司的保護職責。第五條①《杭州市物業(yè)管理條例》第五條規(guī)定：“開展物業(yè)管理活動，應當依法保護業(yè)主、非業(yè)主使用人的隱私和個人信息?！币?guī)定：“物業(yè)公司開展物業(yè)管理活動，要保護業(yè)主和使用人的隱私和個人信息。”《條例》第五十條第二款進一步規(guī)定：“物業(yè)不得強制業(yè)主通過驗證指紋、人臉識別等生物信息方式進出小區(qū)。”《條例》也因此稱為國內(nèi)首個要求物業(yè)公司保護業(yè)主及使用人隱私的立法。

另一方面，地方立法存在著層級低且規(guī)定較模糊的情況?！稐l例》是杭州市地方性法規(guī)，僅對杭州市起著約束作用，對我國的其他地區(qū)僅具有借鑒意義，而無實質(zhì)性的幫助。我國使用人臉識別門禁系統(tǒng)的小區(qū)數(shù)量不斷增多、地區(qū)不斷擴大，需要更高層次的立法來規(guī)制人臉識別門禁系統(tǒng)的運行和發(fā)展。法律應該明確規(guī)定可以采集個人信息的主體資格、應該承擔的法律義務和采集主體違法采集或者泄露個人信息的處罰手段。

此外，地方性立法對相關內(nèi)容的規(guī)定仍存在空白之處。對于物業(yè)公司收集業(yè)主人臉信息后怎么儲存，儲存平臺的建設，如何界定物業(yè)公司非法處理業(yè)主信息的情形，如何處罰物業(yè)公司侵犯業(yè)主個人隱私等內(nèi)容，《條例》還未做出具體規(guī)定，這也是未來規(guī)范物業(yè)公司收集業(yè)主信息所努力的方向。

（二）法律執(zhí)行不到位

根據(jù)《民法典》現(xiàn)有規(guī)定，“知情同意”原則是處理個人信息的合法性前提，但在執(zhí)行過程中應當依照“特別法優(yōu)于一般法”的原則，將《個人信息保護法》作為優(yōu)先適用的法律規(guī)范?！秱€人信息保護法》是一部保護個人信息的綜合性立法文件，《民法典》與其內(nèi)容所包含的個人信息的私法規(guī)則構成一般法與特別法的關系[8]?！睹穹ǖ洹返谝磺Я闳鍡l第一項②《中華人民共和國民法典》第一千零三十五條規(guī)定：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外。”原則上規(guī)定個人信息處理應遵循“同意”的前提?！秱€人信息保護法》出臺后，進一步對“知情同意”進行了限縮和明確的界定，其中第二十九條①《個人信息保護法》第二十九條規(guī)定：“處理敏感個人信息應當取得個人的單獨同意；法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，從其規(guī)定。”規(guī)定：“處理人臉信息獲得的同意授權應該是本人單獨、書面同意”?！皢为殹币辉~，釋義上解釋為“獨自，不與他人聯(lián)合做事”。所以，該同意是獨立且明確的“專項同意”，不與他人的意見混同或隨意被他人代替其意見的表示。在同意形式上，要求意見主體以“完全知情”為基礎，做出書面“具體、清晰、明確”的同意。實踐中，物業(yè)公司在安裝人臉識別門禁系統(tǒng)時，需要遵循特別法——《個人信息保護法》的規(guī)定，征得業(yè)主單獨的書面同意。

《個人信息保護法》對“知情同意原則”做出了全面的原則性規(guī)定，但并未進一步細化其執(zhí)行與確認的標準，司法實踐中也尚未出臺相關配套措施。現(xiàn)實生活中，知情同意原則的落實與遵守還未真正發(fā)揮作用，社會上物業(yè)公司還存在任意收集民眾的人臉信息的非法行為?！爸橥庠瓌t” 中的同意作用逐漸虛化和異化。其一，面對物業(yè)公司張貼的公告，由于看不懂、沒有時間看或者看了也沒有用等因素，現(xiàn)實中很少有業(yè)主會認真查看其中冗長的隱私聲明。其二，拒絕同意物業(yè)公司采集個人信息意味著無法享受服務，影響日常出行。業(yè)主很難對物業(yè)公司采集個人信息的行為說不。在這樣的背景下，同意物業(yè)公司采集個人信息成為既定的常規(guī)操作。在這種例行公事式的同意中，自決的成分就算有也微乎其微，同意的作用被虛化和弱化[9]。故而“知情同意原則”的立法邏輯不足以保障業(yè)主信息權益。

（三）算法黑箱導致程序不透明

一方面，算法黑箱具有不透明性。算法是為解決某一特定問題而對特定數(shù)據(jù)進行分析、計算和求解的操作程序。算法的本質(zhì)則是對數(shù)據(jù)信息的獲取、占有和處理，在此基礎上產(chǎn)生新的數(shù)據(jù)和信息。簡言之，人臉識別門禁系統(tǒng)內(nèi)的算法是對個人數(shù)據(jù)信息或獲取的所有信息進行改造和再生產(chǎn)。系統(tǒng)進行深度學習輸入數(shù)據(jù)和輸出答案的過程中，存在著我們無法洞悉的“隱層”，即“黑箱”。這里的“黑箱”意味著不能被業(yè)主觀察到。人臉識別門禁系統(tǒng)的運作規(guī)則猶如一個未知的“黑箱”——業(yè)主并不清楚算法的目標和意圖，也無從獲悉算法設計者、實際控制者以及機器生成內(nèi)容的責任歸屬等信息，更不能對其進行評判和監(jiān)督。由于人臉識別門禁系統(tǒng)具有不透明性，物業(yè)公司可以利用其不透明性根據(jù)自己的利益傾向操縱算法，處理業(yè)主個人信息。

另一方面，算法黑箱引起程序不透明，黑箱社會日益加劇[10]。正義的結果需要程序公正來保障。算法黑箱本身具有不透明性，進而會危害業(yè)主生活安全。日常使用小區(qū)人臉識別門禁系統(tǒng)，物業(yè)公司和網(wǎng)絡服務商能通過系統(tǒng)檢索、審視我們的生活、工作習慣和日常穿著，整合我們?nèi)粘Ｉ畹募毠?jié)。這種整合起來的數(shù)據(jù)極其詳細，甚至堪稱對我們個人生活的入侵。

（四）內(nèi)部監(jiān)督、被動監(jiān)督和事后監(jiān)督導致監(jiān)督不力

目前，在個人信息的監(jiān)督保護方面，我國主要采取行政內(nèi)部監(jiān)督、被動監(jiān)督和事后監(jiān)督的方式，由國家網(wǎng)信辦指導有關地方網(wǎng)信辦對網(wǎng)絡平臺信息系統(tǒng)進行查處?？萍嫉陌l(fā)展需要更新相關的監(jiān)督理念，外部監(jiān)督、主動監(jiān)督和事前監(jiān)督的缺乏與當前市場的發(fā)展不相匹配。

首先，外部監(jiān)督的缺乏。國家網(wǎng)信辦采取檢查監(jiān)督的手段，開展專門治理的行動，關停和封禁惡意營銷賬號，大力整治和肅清了網(wǎng)絡環(huán)境。但是，目前國家網(wǎng)信辦指導地方網(wǎng)信辦采取的措施，大多針對“軟色情”、賭博等方面，較少是關于保護個人信息權利的領域。新行業(yè)的產(chǎn)生伴隨著新的風險，國家網(wǎng)信辦需根據(jù)《個人信息保護法》的規(guī)定，對新行業(yè)進行監(jiān)管，對個人信息進行保護。

其次，主動監(jiān)督的缺乏。網(wǎng)絡涉及范圍廣、平臺和賬號數(shù)量多，網(wǎng)信辦主要依靠網(wǎng)民的舉報來監(jiān)督和治理網(wǎng)絡違法亂像，大多是以被動監(jiān)督的方式。但是，在人臉識別技術應用于智能門禁系統(tǒng)時，由于科技的發(fā)展，人臉信息已經(jīng)被納入高度敏感范疇，一旦丟失匹配了身份信息的人臉信息，我們終身將面臨安全隱患。因此，網(wǎng)信辦不能只依靠于被動監(jiān)督，需要完善一下監(jiān)督方式，提高監(jiān)督能力，化被動為主動，變事后懲處為預先審查。

最后，事前監(jiān)督的缺乏。網(wǎng)信部門多依賴公民事后向法院尋求司法救濟，沒有發(fā)揮網(wǎng)信部門可以通過網(wǎng)絡渠道提前審查物業(yè)公司采集、使用個人信息主體的合法性的優(yōu)勢，造成行政效率不高且公民個人信息權利易受侵害等不利后果?！吧鐣?chuàng)造法律制度的真正意義和價值，在于規(guī)范和尋求技術層面上的可以管理的，哪怕是發(fā)生可能性很小或影響范圍不大的風險[11]?！本W(wǎng)信部門現(xiàn)有的治理模式有利于及時制止低俗、庸俗信息的傳播，維護網(wǎng)絡傳播秩序和保護網(wǎng)絡生態(tài)，但對公民個人信息保護方面的監(jiān)管力度還不足。

三、住宅小區(qū)人臉識別門禁系統(tǒng)應用風險的法律規(guī)制路徑

科技風險的源頭治理問題，根本上是對主體使用行為的規(guī)制問題?？萍际前央p刃劍，在給人們的生產(chǎn)生活帶來便利的同時，也引發(fā)了一系列安全隱患。然而，科技本身具有價值中立性，其是否產(chǎn)生風險及風險的程度取決于科技研發(fā)者或使用者。人臉識別門禁系統(tǒng)的應用風險主要歸結為使用者的不當利用行為。人臉識別門禁系統(tǒng)在缺少法律規(guī)制使用主體行為的基礎上廣泛推廣，最終的結果很可能是公眾在犧牲隱私的同時并未獲得安全[12]。因此，對住宅小區(qū)人臉識別門禁系統(tǒng)應用風險必須予以法律規(guī)制，其具體規(guī)制路徑如下所述。

（一）制定隱私保護的專門立法

我國對個人敏感信息采集的規(guī)定主要集中在個人信息保護層面，缺乏系統(tǒng)的法律規(guī)范?！秱€人信息保護法》有關敏感信息的規(guī)定難以有效保障個人生物識別信息的安全，為使得管理有據(jù)，對這類高度敏感信息需進行專項立法，強調(diào)立法先行來保障公民的權益及公共利益。專門立法可借鑒張新寶教授提出的“兩頭強化，三方平衡”理念[13]。即“強化敏感個人信息的保護”和“強化一般個人信息的利用”，調(diào)和個人信息保護與利用的沖突，以達到均衡個人、商業(yè)主體與國家的利益的目的。對于住宅小區(qū)人臉識別門禁系統(tǒng)的現(xiàn)實應用，個人信息的保護具體有如下三種需要規(guī)制的情況。

第一，立法強化對敏感個人信息的保護。其一，立法細化敏感個人信息的處理規(guī)則?！秱€人信息保護法》中處理敏感個人信息的規(guī)則具體分布在第二章第二節(jié)，但條文規(guī)定較粗略且僅以“同意告知原則”為處理敏感個人信息的規(guī)則。該規(guī)定不足以保護民眾的敏感個人信息，立法須補充細化、重新制定敏感個人信息的處理規(guī)則。其二，具體化敏感個人信息處理者的義務。《個人信息保護法》對個人信息處理者的義務進行了專章規(guī)定，但未規(guī)定敏感個人信息處理者的義務。其處理敏感個人信息的規(guī)則部分也不足以保障民眾信息安全，故而須立法具體化敏感個人信息處理者的義務。

第二，立法強化對一般個人信息的利用。均衡敏感個人信息可利用性與被保護性的關系?！秱€人信息保護法》對敏感個人信息的范圍進行了具體界定，還對其制定了更嚴格的處理規(guī)則，強化對敏感個人信息保護到位但缺乏對一般個人信息利用層面的引導。立法需在保護的前提下發(fā)揮商業(yè)主體的公共管理價值，給予物業(yè)公司等商業(yè)主體收集、處理和利用一般個人信息的較大自由。

第三，立法構建保護機制，平衡三方利益。其一，區(qū)分侵害敏感個人信息和一般個人信息需承擔的法律責任?！秱€人信息保護法》僅規(guī)定了侵害個人信息權的法律責任，未區(qū)分侵害敏感個人信息和一般個人信息的法律責任區(qū)別。但在司法實踐中，侵害自然人敏感個人信息和一般個人信息給受害人帶來的損害后果差異明顯。立法需分別界定敏感個人信息和一般個人信息的救濟程度，加大對侵害敏感個人信息需承擔法律責任的懲罰強度。其二，分別構建事前保護機制和事后保護機制。法律主要規(guī)定以事后救濟機制為主，但敏感個人信息具有易受侵害性，且此種機制的救濟成本高、取證難度大，不利于對民眾的個人信息權進行保護。故而對敏感個人信息需構建事前保護機制，與一般個人信息分屬不同的保護機制。

（二）用數(shù)據(jù)控制者的合規(guī)義務代替?zhèn)鹘y(tǒng)的“知情同意”保護框架

“知情同意”原則是目前我國法律規(guī)定對人臉識別技術中個人信息處理的合法性前提，法律強調(diào)處理個人信息需獲得信息所有者的同意。但無論是從受益程度、風險預防能力和風險預防效果來看，都應當將監(jiān)管重點落實在數(shù)據(jù)處理者——物業(yè)公司。相應地，立法對人臉信息技術的規(guī)制重心，也應當從知情同意機制轉(zhuǎn)向數(shù)據(jù)處理者的合規(guī)義務體系[14]。

第一，強化對物業(yè)公司的監(jiān)管和規(guī)制，發(fā)揮其“守護者”的作用。我國法律從業(yè)主同意或拒絕物業(yè)公司安裝人臉識別門禁系統(tǒng)兩個方面著手，分別保護業(yè)主的選擇權和個人生物識別信息的安全。其一，因為業(yè)主并不都贊成在小區(qū)內(nèi)安裝人臉識別門禁系統(tǒng)，為了保護業(yè)主不安裝、不使用人臉識別門禁系統(tǒng)的權利。《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》①《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》第十條第一款規(guī)定：“物業(yè)服務企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務區(qū)域的唯一驗證方式，不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的，人民法院依法予以支持。”（下文簡稱《規(guī)定》）強調(diào)：“業(yè)主如果不同意使用人臉識別門禁系統(tǒng)進出小區(qū)，可以要求物業(yè)公司提供其他的進出驗證方式”。其二，為了保護同意安裝、使用人臉識別門禁系統(tǒng)的業(yè)主個人信息安全，《規(guī)定》第二條②《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》第二條第二、三、四、五、六項規(guī)定：“（二）未公開處理人臉信息的規(guī)則或者未明示處理的目的、方式、范圍；（三）基于個人同意處理人臉信息的，未征得自然人或者其監(jiān)護人的單獨同意，或者未按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護人的書面同意；（四）違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等；（五）未采取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失；（六）違反法律、行政法規(guī)的規(guī)定或者雙方的約定，向他人提供人臉信息?！泵鞔_規(guī)定：“物業(yè)收集業(yè)主信息要以業(yè)主‘同意’為前提。物業(yè)須讓業(yè)主知悉，公開收集業(yè)主信息的方式和目的。如果物業(yè)違反了向業(yè)主公開收集人臉信息的目的、范圍、方式等，會被認定為侵害自然人人格權益，需承擔相應民事責任。并且要求物業(yè)公司需要具備相應的技術措施或保密措施，來保護收集到的業(yè)主信息安全。在此過程中，物業(yè)公司需要承擔‘守護者’的角色，承擔起‘保密’的義務和責任，不向他人提供業(yè)主的人臉信息?！?/p>

第二，適當借鑒歐盟《通用數(shù)據(jù)保護法案》（GDPR）的立法經(jīng)驗，加強對我國對人臉識別門禁系統(tǒng)的管理方（物業(yè)公司）主體資格的法律監(jiān)管。GDPR 要求數(shù)據(jù)控制者必須采取“足夠的措施”來確保其數(shù)據(jù)安全。具體包括：其一，數(shù)據(jù)控制者本身需要具備GDPR 要求所要具備的專業(yè)知識；工作身份須獨立，不受他人或其他部門干擾；與外界溝通渠道須暢通，聯(lián)系方式向公眾公布；工作內(nèi)容向管理部門備案，向上級監(jiān)管部門對接、匯報工作結果。其二，數(shù)據(jù)控制者必須詳實的記載其處理數(shù)據(jù)全過程，分門別類留檔保存。包括信息數(shù)據(jù)的類型、處理方式和傳送、接收數(shù)據(jù)者的類別等等。其三，GDPR 第三十三條規(guī)定：“如果發(fā)生數(shù)據(jù)泄露的事故，相關人員反應一定要迅速。數(shù)據(jù)控制者需要在泄露事件發(fā)現(xiàn)后72 小時內(nèi)，將事件報告給相應的監(jiān)管機構。”由此可見，GDPR 是要求公司企業(yè)建立自己的安全策略和救濟方案，而且應該與公認的比如ISO/IEC 27001/27002、NIST 等網(wǎng)絡安全框架相一致。

第三，我國對物業(yè)主體資格的監(jiān)管措施可凸顯三個方面。其一，物業(yè)公司需具備妥善保管業(yè)主個人信息的專業(yè)能力；處理業(yè)主信息時保持身份獨立性，禁止向其他網(wǎng)絡服務商倒賣信息；物業(yè)公司與業(yè)主間溝通渠道暢通，聯(lián)系方式向業(yè)主公開；工作內(nèi)容向管理部門備案，向上級監(jiān)管部門對接、匯報工作結果。其二，物業(yè)公司須詳細記載處理業(yè)主個人信息的全過程并進行留檔保存，以便事故發(fā)生時追本溯源。其三，當發(fā)生業(yè)主個人信息泄露或濫用時，物業(yè)公司需在事故發(fā)生后規(guī)定時間內(nèi)向監(jiān)管機構報告。

（三）加強中央與地方管理部門對人臉識別門禁系統(tǒng)運用的協(xié)同治理

第一，國家網(wǎng)信部門應當建立國家、省、市、縣四級聯(lián)系通道，形成上行下達、下情上報工作模式。一方面，國家網(wǎng)信辦作為法律規(guī)定個人信息保護的監(jiān)管主體，應與地方網(wǎng)信部門加強協(xié)作與合作，在內(nèi)在的信息交流方面相互協(xié)助合作，在外在的監(jiān)管方式上參照一致的法律法規(guī)標準，運用相同的執(zhí)法手段和采取高質(zhì)量的相互協(xié)作方式。發(fā)揮網(wǎng)信部門在管理、處理網(wǎng)絡安全、信息化、網(wǎng)絡傳播等方面的技術優(yōu)勢。另一方面，中央加強組織領導地方網(wǎng)信部門酌情開展聯(lián)合行動，包括聯(lián)合調(diào)查和聯(lián)合執(zhí)法措施，由地方網(wǎng)信部門的成員或工作人員參與，以提高工作效率。例如，有些網(wǎng)絡用戶利用網(wǎng)絡平臺造謠，發(fā)布虛假短視頻和不實文章。尤其是在如今疫情防控的關口，2020 年2 月有用戶在“皮皮搞笑”網(wǎng)絡社區(qū)平臺違法發(fā)布了涉新冠病毒感染的疫情有害短視頻，引起大量轉(zhuǎn)發(fā)與評論，向民眾散播不實的恐慌情緒[15]。國家網(wǎng)信辦聯(lián)合地方網(wǎng)信辦采取行動對該平臺進行嚴肅處理，對其所屬軟件在網(wǎng)絡軟件商店進行了下架。國家網(wǎng)信辦應加強其領導作用，對地方網(wǎng)信辦進行積極指導，要求各大互聯(lián)網(wǎng)平臺和應用APP 嚴格履行自己的主體責任。同時，地方網(wǎng)信辦也要落實監(jiān)管責任，為最終贏得疫情防控攻堅戰(zhàn)的勝利營造積極向上的網(wǎng)絡環(huán)境。

第二，網(wǎng)信部門應當強化跨部門協(xié)作能力。在查處業(yè)主信息被泄露與濫用的事件中，國家網(wǎng)信辦可以會同其他國家機構在各司其職的基礎上進行合作、溝通和協(xié)調(diào)，提高工作效率優(yōu)化工作完成效果。例如，在處理“魏則西事件”中，國家網(wǎng)信辦會同國家工商總局、國家衛(wèi)生計生委成立聯(lián)合調(diào)查組進駐涉事互聯(lián)網(wǎng)企業(yè)——百度公司，跨部門協(xié)作對此事件及互聯(lián)網(wǎng)企業(yè)依法經(jīng)營事項進行調(diào)查并依法處理。因此，推進網(wǎng)信部門跨部門協(xié)作，建立處理問題有效機制，有利于縮短事件處理時間，提高工作效率。

（四）政府與企業(yè)公私合作共建“云平臺”

第一，政府應加強對人工智能的全過程監(jiān)管。美國為了保障公民的基本權利不受侵害，嚴格限制公權力機構使用該技術。美國許多州地區(qū)都頒布了人臉識別信息的相關系統(tǒng)法案，如加利福尼亞州、伊利伊諾州和華盛頓州等地。還有其他州地區(qū)頒布禁止令，禁止公權力機關使用人臉識別技術[16]。我國不適宜像美國一樣禁止政府和警察使用人臉識別技術，為規(guī)范我國人臉識別門禁系統(tǒng)的盲目安裝使用和無序采集信息，我國政府部門須參與住宅小區(qū)人臉識別信息的采集、使用過程中，讓公權力發(fā)揮其剛性作用對人臉識別門禁系統(tǒng)的運作過程進行規(guī)制。政府相關部門須進一步觀察和分析算法在人臉識別門禁系統(tǒng)的運行機制，進一步分析算法“黑箱”的影響因素及其生成機理，提供更有針對性的應對策略。具體來說，一方面，政府相關部門要從技術維度加強對算法及其運行過程的常態(tài)化監(jiān)督，比如由專門的監(jiān)控算法來監(jiān)督其他治理算法的運行。另一方面，要從法律層面推動算法規(guī)則的透明化，比如世界上很多國家建立的數(shù)據(jù)保護法或算法合法性審查機制，《國務院關于印發(fā)新一代人工智能發(fā)展規(guī)劃的通知》也提出，要建立健全公開透明的人工智能監(jiān)督管理體系，實現(xiàn)對智能算法的全過程監(jiān)管。

第二，允許“私權”介入，以公私合作的方式共建“云平臺”。目前我國已出現(xiàn)“云平臺”治理。國土資源部和國家測繪地理信息局共建國土空間基礎信息平臺，通過平臺制訂和實施統(tǒng)一的技術標準，協(xié)調(diào)林業(yè)、住建和發(fā)改等相關部門建立國土空間共享機制，指導全國建立各級節(jié)點信息平臺，實現(xiàn)互聯(lián)互通，為政府部門開展國土空間相關的規(guī)劃、分析決策、審批和監(jiān)管提供基礎信息服務支持，提高國土空間治理能力現(xiàn)代化水平。智能門禁系統(tǒng)行業(yè)也可依托此種管理模式，政府部門與民營企業(yè)（物業(yè)公司）在智能門禁系統(tǒng)的建設或運營中進行相互合作，發(fā)揮各自優(yōu)勢提供公共服務。提高公權力機關部門的把控能力和信息運營者使用云計算服務的安全水平，降低使用云計算技術帶來的濫用泄露風險，增強公權力機關部門、信息運營者將工作內(nèi)容和信息數(shù)據(jù)轉(zhuǎn)移至網(wǎng)絡平臺的決心。

第三，遵循《云計算服務安全評估辦法》，共建專門服務于智慧城市的全國聯(lián)網(wǎng)人臉信息大規(guī)模數(shù)據(jù)庫“云平臺”。民營企業(yè)（“云服務商”）具有提供專業(yè)技術優(yōu)勢，可以共同投資與協(xié)作管理。此種情形下，住宅小區(qū)使用人臉識別門禁裝置則不需要再向業(yè)主收集個人信息，可直接向“云平臺”申請訪問數(shù)據(jù)庫。由“云平臺”審核物業(yè)公司的資質(zhì)，判斷其是否有調(diào)取業(yè)主信息的資格。物業(yè)公司不享有數(shù)據(jù)移植性權利，其只能使用業(yè)主信息，不能轉(zhuǎn)移業(yè)主的信息。這樣可以減少業(yè)主被無資質(zhì)的物業(yè)公司或多個物業(yè)公司采集個人信息的風險，從而降低個人信息被泄露的風險。

結語

新時代的快速發(fā)展讓人們享受到了科技帶來的便捷，客觀上對相關法律的規(guī)制和科技發(fā)展速率的相對持平提出了要求。為及時化解住宅小區(qū)人臉識別門禁系統(tǒng)缺少法律規(guī)制的爭議，保障公民的隱私安全。我國應當制定保護隱私的專門法律，并將立法規(guī)制重心由知情同意機制向合規(guī)義務機制轉(zhuǎn)移。加強中央與地方的協(xié)作能力，協(xié)同規(guī)制人臉識別門禁系統(tǒng)。政府部門與民營企業(yè)公私合作共建“云平臺”，集中管理業(yè)主信息。多方合力，既不打擊科技發(fā)展活力，也不讓公民變成“透明人”，提升公民生活幸福感。當然，本課題仍有進一步的研究空間，物業(yè)公司及相關網(wǎng)絡服務商侵犯業(yè)主隱私權后，其相應處罰規(guī)則仍需進一步探討。對物業(yè)公司及相關網(wǎng)絡服務商泄露業(yè)主個人信息的主觀心態(tài)界定與客觀歸責處罰，這些問題仍需下一步的研究。