住宅小区人脸识别门禁系统的应用风险及其法律规制

张 敏，罗 雨

（河南大学法学院，河南开封 475001）

引言

习近平总书记强调：“要切实保障国家数据安全，加强关键数据资源的保护，强化数据安全的预警和溯源能力。促进个人隐私数据资源相关制度的建设，保障社会稳定和国家安全。”在信息化大数据时代下，学者们对于如何保护个人隐私权的研究逐渐增多。王俊秀（2020）[1]、文铭（2020）[2]、郭春镇（2020）[3]、邢会强（2020）[4]、林凌（2020）[5]、石佳友（2021）[6]等学者分别从数字社会中的隐私重塑、人脸识别技术的法律规制与路径、人脸识别技术的应用治理、人脸识别技术中的个人信息保护等角度研究数字化时代下的个人隐私保护。但是，现有的研究大多是从宏观角度探讨如何在大数据信息化时代下保护个人信息，对人脸识别技术应用于住宅小区门禁系统的具体研究还比较缺乏。对住宅小区应用人脸识别技术进出的人脸信息采集主体的资格授权、信息采集后的保护方式和信息泄露后的处罚手段以及政府在这一过程中如何利用公权力监管市场主体等缺乏论述，这些都构成了本文研究的问题意识。

一、住宅小区人脸识别门禁系统的应用风险：从劳东燕案谈起

2020 年3 月，在法学教授劳东燕居住的小区里，物业公司贴出了要求业主方提供身份证、房产证和人脸图像等个人信息办理安装人脸识别门禁系统的公告[7]。小区内大多数业主对物业公司收集人脸信息这一通知并不在意，只是担心自己的房产信息会被泄露。事实上，人脸信息被非法收集和滥用带来的风险要比房产信息被他人滥用的风险更大，会导致不可忽视的业主“同意机制”的运行风险、业主隐私权被侵犯的风险、信息采集程序的不透明风险和采集后的业主信息被滥用或泄露等风险。

（一）业主“知情同意机制”失灵的风险

我国人脸识别门禁系统的法律规制主要以“知情同意机制”为保护前提。业主的同意是物业公司安装人脸识别门禁系统的合法性来源。但在实践中，物业公司大多未取得业主个人和业主大会的同意就自行采集业主信息，该行为不仅使业主丧失了信息自决权，还导致了“知情同意”保护机制的失灵。

第一，物业公司未征得业主与业主委员会同意强制采集其面部信息的行为不符合法律规定，剥夺了公民个人的信息自决权与业主委员会的群体决策权。一方面，《个人信息保护法》第十三条规定，个人信息同意豁免情形主要包括“为订立履行合同、履行职责义务、在突发公共卫生事件或紧急情况下保护自然人健康安全、实现公共利益和在法律规定合理范围内处理个人信息”。物业公司强制性的公告采集业主面部信息的行为不符合上述例外情形，业主为了获取相应服务而不得不“同意”，导致业主事实上丧失信息自决权。另一方面，从小区业主大会的群体决策来看，根据住房和城乡建设部2009 年公布的《业主大会和业主委员会指导规则》（下文简称《指导规则》）第十七条第七款①《业主大会和业主委员会指导规则》第十七条规定：“业主大会决定以下事项：（七）改建、重建建筑物及其附属设施。”的规定，“改建、重建建筑物及其附属设施的决策主体是业主大会。”而非物业公司。此外，《指导规则》第二十九条②《业主大会和业主委员会指导规则》第二十九条规定：“业主大会会议决定筹集和使用专项维修资金以及改造、重建建筑物及其附属设施的，应当经专有部分占建筑物总面积三分之二以上的业主且占总人数三分之二以上的业主同意；决定本规则第十七条规定的其他共有和共同管理权利事项的，应当经专有部分占建筑物总面积过半数且占总人数过半数的业主同意。”也明确规定了需经过“双三分之二”的业主同意。故而，物业公司未得到业主大会上“双三分之二”业主的同意即修建或改建人脸识别门禁系统的行为剥夺了业主委员会的群体决策权。

第二，物业公司大多未取得业主个人和业主大会的同意就自行采集业主信息的行为违背了《个人信息保护法》的立法逻辑，导致“知情同意”保护机制失灵。个人信息利用的正当性基础在于获取信息权利人的“知情同意”，根据《个人信息保护法》第十四条③《个人信息保护法》第十四条规定：“个人信息处理者要取得个人的同意才能处理个人信息。并且要在充分知情的情况下自愿、明确作出该同意。”的规定，知情同意原则的有效要素应当包括自由、具体、知情、明确以及形式等五个方面。而物业公司仅以公告的方式通知业主提交个人信息及面部信息，默认业主看到公告即表示“同意”，违背了《个人信息保护法》所规定的“知情同意原则”中自愿、明确、具体的执行标准，实际上违背了《个人信息保护法》的立法宗旨，使得“知情同意”保护机制失灵。

（二）业主信息权益被侵犯的风险

人脸信息属于高度敏感的个人信息，一旦丢失匹配了身份信息的人脸信息，人们将面临终身的安全隐患，也将引发一系列社会风险。此时应当有强有力的监管机关介入以规范人脸信息利用所导致的各类负外部性行为。但当前尚缺乏系统性的监督制度，导致业主面临着信息权益被侵犯的巨大风险。

一方面，业主信息权益被侵犯将引发系统性风险。第一，物业未经同意获取人脸信息的行为将侵犯业主的个人隐私权。物业公司未经业主和业主大会的同意自行安装人脸识别门禁系统并进行使用，增加了个人信息泄露的风险。物业公司对业主隐私权造成侵害主要后果在精神损害方面。由于受害人的隐私因被他人知悉而产生羞辱、痛苦、焦躁、忧虑等不正常的心理情绪。第二，业主不合法利用人脸信息的行为将侵害业主生活安宁权并破坏社会秩序。现实中存在部分物业公司将非法收集到的业主人脸信息出售给一些网络服务商，网络服务商将买获的业主信息数据进行打包二次倒卖的情形。物业公司和网络服务机构的行为并未取得业主本人的同意，物业公司的获益具有违法性。这种违法性已严重破坏社会秩序，主要表现为：其一，不法分子获取大量非法收益。不法分子可能会利用其倒卖的他人个人信息进行违法犯罪活动，获取大量社会财富。其二，被泄露信息者名誉受损。普通公民被泄露个人信息后，不法分子冒用其名义所做的不法事件全部归于其名下。

另一方面，业主信息权益面临着侵权风险。当前物业公司采集、处理业主个人信息的过程缺乏有效的监督机制，主要表现为监管主体缺位。根据《个人信息保护法》的相关规定，对个人信息保护负有监督职责的地方管理主体是县级以上地方人民政府有关部门，但法律并未再进一步细化。法律规定模糊、泛化，使得住宅小区人脸识别门禁系统的安装与信息的采集过程中存在监督缺位、权责不清、地方管理真空的情况。若不进一步完善物业公司收集业主人脸信息行为的监督管理制度，就会埋下人脸信息数据被滥用和泄露的隐患，从而威胁到民众的人身与财产安全。

（三）信息采集程序不正当的风险

物业公司应当根据合法、正当的程序来搜集业主的个人信息，但由于当前信息搜集主体不合法，导致信息搜集存在程序瑕疵。其程序瑕疵常以现实主体不适格、法律主体违法与程序不透明的形式表现出来，进而难以保障业主的知情权与参与权。

首先，在实践层面，物业公司隶属于街道办事处主管，其没有采集信息的主体权利。小区人脸识别门禁系统的应用共涉及四个主体：业主（房屋产权所有人）、物业公司（商业公司）、街道办事处（政府派出机关）、居民委员会（群众自治组织）。这四个主体对于“刷脸”门禁进小区的态度各异。各方角力之下，业主处于弱势地位，且行动也较为分散，难以保护自己的人脸数据安全。物业公司以营利为目的，在其逐利的本质下，若无外力牵制，容易导致人脸数据的泄露和滥用，这样会有违人脸识别门禁系统安装的初衷，不仅不利于维护社区安全，甚至还可能猛增相关的违法犯罪活动。居民委员会主要发挥着辅助人民政府及其派出机关开展工作的作用，力量较弱小。在管理社区方面、专业性方面也没有物业公司强。居民委员会对于社区的管理功能被进一步挤压。所以需要群众自治组织的业务指导机关——街道办事处的推动和引导，从而监管物业公司采集个人信息的行为。

其次，在法律层面上，物业公司的信息采集主体身份未得到合法授权，存在主体违法性问题。现有的法律条文虽未具体说明授权信息采集主体。根据《个人信息保护法》第六十条①《中华人民共和国个人信息保护法》第六十条规定：“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。”的规定：“宏观层面，由国家网信部门来统筹协调个人信息保护工作和相关监督管理工作；落实到地方，由县级以上地方人民政府有关部门负责地方的个人信息保护和相关监管工作。”法律只规定了由国家网信部门、国务院有关部门、县级以上地方人民政府有关部门来统筹、协调和监管个人信息保护工作，并未规定授权主体。所以，住宅小区个人信息保护的授权与监管的这一过程，街道办事处无权作为。物业公司的授权来自于哪个主体，存在授权混乱、责任不清的问题。

最后，物业公司采集、处理业主个人信息的过程不透明，业主知情权和参与权未能得到保障。其一，过程不透明导致业主知情权不能得到保障。为了增进业主对物业公司采集信息行为的信任，物业公司需持续不断的披露其采集和处理信息的过程。但目前的物业公司信息披露水平较低，无法保障业主知情同意权的实现，进而也无法确保业主做出同意是基于真正的知情。其二，过程不透明导致业主参与权不能得到保障。在住宅小区中，物业公司应将业主置于中心地位，尊重业主的意见，加强与业主的交流。但在实践中，业主扮演着消极被动的角色，处于被通知的边缘位置，无法参与物业公司采集与处理其个人信息的过程。

二、住宅小区人脸识别门禁系统应用风险的成因分析

目前，我国在住宅小区人脸识别门禁系统的应用上存在着一些法律风险，这是由多种原因共同造成的，如相关立法效力等级低，法律执行不到位，算法黑箱导致程序不透明，内部监督、被动监督和事后监督导致监督不力等。

（一）相关立法效力等级低

一方面，地方立法对小区人脸识别门禁系统的应用做出规范，保障业主对物业管理区域的正常出入权。《杭州市物业管理条例》(以下简称《条例》) 肯定了物业采取数字化新技术提升社区服务构建智慧社区的举措，并对住宅小区人脸识别门禁系统应用导致的个人信息泄露做出了相应规制。《条例》规定了物业公司需要保护业主的隐私和个人信息，明确了物业公司的保护职责。第五条①《杭州市物业管理条例》第五条规定：“开展物业管理活动，应当依法保护业主、非业主使用人的隐私和个人信息。”规定：“物业公司开展物业管理活动，要保护业主和使用人的隐私和个人信息。”《条例》第五十条第二款进一步规定：“物业不得强制业主通过验证指纹、人脸识别等生物信息方式进出小区。”《条例》也因此称为国内首个要求物业公司保护业主及使用人隐私的立法。

另一方面，地方立法存在着层级低且规定较模糊的情况。《条例》是杭州市地方性法规，仅对杭州市起着约束作用，对我国的其他地区仅具有借鉴意义，而无实质性的帮助。我国使用人脸识别门禁系统的小区数量不断增多、地区不断扩大，需要更高层次的立法来规制人脸识别门禁系统的运行和发展。法律应该明确规定可以采集个人信息的主体资格、应该承担的法律义务和采集主体违法采集或者泄露个人信息的处罚手段。

此外，地方性立法对相关内容的规定仍存在空白之处。对于物业公司收集业主人脸信息后怎么储存，储存平台的建设，如何界定物业公司非法处理业主信息的情形，如何处罚物业公司侵犯业主个人隐私等内容，《条例》还未做出具体规定，这也是未来规范物业公司收集业主信息所努力的方向。

（二）法律执行不到位

根据《民法典》现有规定，“知情同意”原则是处理个人信息的合法性前提，但在执行过程中应当依照“特别法优于一般法”的原则，将《个人信息保护法》作为优先适用的法律规范。《个人信息保护法》是一部保护个人信息的综合性立法文件，《民法典》与其内容所包含的个人信息的私法规则构成一般法与特别法的关系[8]。《民法典》第一千零三十五条第一项②《中华人民共和国民法典》第一千零三十五条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。”原则上规定个人信息处理应遵循“同意”的前提。《个人信息保护法》出台后，进一步对“知情同意”进行了限缩和明确的界定，其中第二十九条①《个人信息保护法》第二十九条规定：“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”规定：“处理人脸信息获得的同意授权应该是本人单独、书面同意”。“单独”一词，释义上解释为“独自，不与他人联合做事”。所以，该同意是独立且明确的“专项同意”，不与他人的意见混同或随意被他人代替其意见的表示。在同意形式上，要求意见主体以“完全知情”为基础，做出书面“具体、清晰、明确”的同意。实践中，物业公司在安装人脸识别门禁系统时，需要遵循特别法——《个人信息保护法》的规定，征得业主单独的书面同意。

《个人信息保护法》对“知情同意原则”做出了全面的原则性规定，但并未进一步细化其执行与确认的标准，司法实践中也尚未出台相关配套措施。现实生活中，知情同意原则的落实与遵守还未真正发挥作用，社会上物业公司还存在任意收集民众的人脸信息的非法行为。“知情同意原则” 中的同意作用逐渐虚化和异化。其一，面对物业公司张贴的公告，由于看不懂、没有时间看或者看了也没有用等因素，现实中很少有业主会认真查看其中冗长的隐私声明。其二，拒绝同意物业公司采集个人信息意味着无法享受服务，影响日常出行。业主很难对物业公司采集个人信息的行为说不。在这样的背景下，同意物业公司采集个人信息成为既定的常规操作。在这种例行公事式的同意中，自决的成分就算有也微乎其微，同意的作用被虚化和弱化[9]。故而“知情同意原则”的立法逻辑不足以保障业主信息权益。

（三）算法黑箱导致程序不透明

一方面，算法黑箱具有不透明性。算法是为解决某一特定问题而对特定数据进行分析、计算和求解的操作程序。算法的本质则是对数据信息的获取、占有和处理，在此基础上产生新的数据和信息。简言之，人脸识别门禁系统内的算法是对个人数据信息或获取的所有信息进行改造和再生产。系统进行深度学习输入数据和输出答案的过程中，存在着我们无法洞悉的“隐层”，即“黑箱”。这里的“黑箱”意味着不能被业主观察到。人脸识别门禁系统的运作规则犹如一个未知的“黑箱”——业主并不清楚算法的目标和意图，也无从获悉算法设计者、实际控制者以及机器生成内容的责任归属等信息，更不能对其进行评判和监督。由于人脸识别门禁系统具有不透明性，物业公司可以利用其不透明性根据自己的利益倾向操纵算法，处理业主个人信息。

另一方面，算法黑箱引起程序不透明，黑箱社会日益加剧[10]。正义的结果需要程序公正来保障。算法黑箱本身具有不透明性，进而会危害业主生活安全。日常使用小区人脸识别门禁系统，物业公司和网络服务商能通过系统检索、审视我们的生活、工作习惯和日常穿着，整合我们日常生活的细节。这种整合起来的数据极其详细，甚至堪称对我们个人生活的入侵。

（四）内部监督、被动监督和事后监督导致监督不力

目前，在个人信息的监督保护方面，我国主要采取行政内部监督、被动监督和事后监督的方式，由国家网信办指导有关地方网信办对网络平台信息系统进行查处。科技的发展需要更新相关的监督理念，外部监督、主动监督和事前监督的缺乏与当前市场的发展不相匹配。

首先，外部监督的缺乏。国家网信办采取检查监督的手段，开展专门治理的行动，关停和封禁恶意营销账号，大力整治和肃清了网络环境。但是，目前国家网信办指导地方网信办采取的措施，大多针对“软色情”、赌博等方面，较少是关于保护个人信息权利的领域。新行业的产生伴随着新的风险，国家网信办需根据《个人信息保护法》的规定，对新行业进行监管，对个人信息进行保护。

其次，主动监督的缺乏。网络涉及范围广、平台和账号数量多，网信办主要依靠网民的举报来监督和治理网络违法乱像，大多是以被动监督的方式。但是，在人脸识别技术应用于智能门禁系统时，由于科技的发展，人脸信息已经被纳入高度敏感范畴，一旦丢失匹配了身份信息的人脸信息，我们终身将面临安全隐患。因此，网信办不能只依靠于被动监督，需要完善一下监督方式，提高监督能力，化被动为主动，变事后惩处为预先审查。

最后，事前监督的缺乏。网信部门多依赖公民事后向法院寻求司法救济，没有发挥网信部门可以通过网络渠道提前审查物业公司采集、使用个人信息主体的合法性的优势，造成行政效率不高且公民个人信息权利易受侵害等不利后果。“社会创造法律制度的真正意义和价值，在于规范和寻求技术层面上的可以管理的，哪怕是发生可能性很小或影响范围不大的风险[11]。”网信部门现有的治理模式有利于及时制止低俗、庸俗信息的传播，维护网络传播秩序和保护网络生态，但对公民个人信息保护方面的监管力度还不足。

三、住宅小区人脸识别门禁系统应用风险的法律规制路径

科技风险的源头治理问题，根本上是对主体使用行为的规制问题。科技是把双刃剑，在给人们的生产生活带来便利的同时，也引发了一系列安全隐患。然而，科技本身具有价值中立性，其是否产生风险及风险的程度取决于科技研发者或使用者。人脸识别门禁系统的应用风险主要归结为使用者的不当利用行为。人脸识别门禁系统在缺少法律规制使用主体行为的基础上广泛推广，最终的结果很可能是公众在牺牲隐私的同时并未获得安全[12]。因此，对住宅小区人脸识别门禁系统应用风险必须予以法律规制，其具体规制路径如下所述。

（一）制定隐私保护的专门立法

我国对个人敏感信息采集的规定主要集中在个人信息保护层面，缺乏系统的法律规范。《个人信息保护法》有关敏感信息的规定难以有效保障个人生物识别信息的安全，为使得管理有据，对这类高度敏感信息需进行专项立法，强调立法先行来保障公民的权益及公共利益。专门立法可借鉴张新宝教授提出的“两头强化，三方平衡”理念[13]。即“强化敏感个人信息的保护”和“强化一般个人信息的利用”，调和个人信息保护与利用的冲突，以达到均衡个人、商业主体与国家的利益的目的。对于住宅小区人脸识别门禁系统的现实应用，个人信息的保护具体有如下三种需要规制的情况。

第一，立法强化对敏感个人信息的保护。其一，立法细化敏感个人信息的处理规则。《个人信息保护法》中处理敏感个人信息的规则具体分布在第二章第二节，但条文规定较粗略且仅以“同意告知原则”为处理敏感个人信息的规则。该规定不足以保护民众的敏感个人信息，立法须补充细化、重新制定敏感个人信息的处理规则。其二，具体化敏感个人信息处理者的义务。《个人信息保护法》对个人信息处理者的义务进行了专章规定，但未规定敏感个人信息处理者的义务。其处理敏感个人信息的规则部分也不足以保障民众信息安全，故而须立法具体化敏感个人信息处理者的义务。

第二，立法强化对一般个人信息的利用。均衡敏感个人信息可利用性与被保护性的关系。《个人信息保护法》对敏感个人信息的范围进行了具体界定，还对其制定了更严格的处理规则，强化对敏感个人信息保护到位但缺乏对一般个人信息利用层面的引导。立法需在保护的前提下发挥商业主体的公共管理价值，给予物业公司等商业主体收集、处理和利用一般个人信息的较大自由。

第三，立法构建保护机制，平衡三方利益。其一，区分侵害敏感个人信息和一般个人信息需承担的法律责任。《个人信息保护法》仅规定了侵害个人信息权的法律责任，未区分侵害敏感个人信息和一般个人信息的法律责任区别。但在司法实践中，侵害自然人敏感个人信息和一般个人信息给受害人带来的损害后果差异明显。立法需分别界定敏感个人信息和一般个人信息的救济程度，加大对侵害敏感个人信息需承担法律责任的惩罚强度。其二，分别构建事前保护机制和事后保护机制。法律主要规定以事后救济机制为主，但敏感个人信息具有易受侵害性，且此种机制的救济成本高、取证难度大，不利于对民众的个人信息权进行保护。故而对敏感个人信息需构建事前保护机制，与一般个人信息分属不同的保护机制。

（二）用数据控制者的合规义务代替传统的“知情同意”保护框架

“知情同意”原则是目前我国法律规定对人脸识别技术中个人信息处理的合法性前提，法律强调处理个人信息需获得信息所有者的同意。但无论是从受益程度、风险预防能力和风险预防效果来看，都应当将监管重点落实在数据处理者——物业公司。相应地，立法对人脸信息技术的规制重心，也应当从知情同意机制转向数据处理者的合规义务体系[14]。

第一，强化对物业公司的监管和规制，发挥其“守护者”的作用。我国法律从业主同意或拒绝物业公司安装人脸识别门禁系统两个方面着手，分别保护业主的选择权和个人生物识别信息的安全。其一，因为业主并不都赞成在小区内安装人脸识别门禁系统，为了保护业主不安装、不使用人脸识别门禁系统的权利。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》①《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条第一款规定：“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。”（下文简称《规定》）强调：“业主如果不同意使用人脸识别门禁系统进出小区，可以要求物业公司提供其他的进出验证方式”。其二，为了保护同意安装、使用人脸识别门禁系统的业主个人信息安全，《规定》第二条②《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条第二、三、四、五、六项规定：“（二）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；（三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；（四）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；（五）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；（六）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息。”明确规定：“物业收集业主信息要以业主‘同意’为前提。物业须让业主知悉，公开收集业主信息的方式和目的。如果物业违反了向业主公开收集人脸信息的目的、范围、方式等，会被认定为侵害自然人人格权益，需承担相应民事责任。并且要求物业公司需要具备相应的技术措施或保密措施，来保护收集到的业主信息安全。在此过程中，物业公司需要承担‘守护者’的角色，承担起‘保密’的义务和责任，不向他人提供业主的人脸信息。”

第二，适当借鉴欧盟《通用数据保护法案》（GDPR）的立法经验，加强对我国对人脸识别门禁系统的管理方（物业公司）主体资格的法律监管。GDPR 要求数据控制者必须采取“足够的措施”来确保其数据安全。具体包括：其一，数据控制者本身需要具备GDPR 要求所要具备的专业知识；工作身份须独立，不受他人或其他部门干扰；与外界沟通渠道须畅通，联系方式向公众公布；工作内容向管理部门备案，向上级监管部门对接、汇报工作结果。其二，数据控制者必须详实的记载其处理数据全过程，分门别类留档保存。包括信息数据的类型、处理方式和传送、接收数据者的类别等等。其三，GDPR 第三十三条规定：“如果发生数据泄露的事故，相关人员反应一定要迅速。数据控制者需要在泄露事件发现后72 小时内，将事件报告给相应的监管机构。”由此可见，GDPR 是要求公司企业建立自己的安全策略和救济方案，而且应该与公认的比如ISO/IEC 27001/27002、NIST 等网络安全框架相一致。

第三，我国对物业主体资格的监管措施可凸显三个方面。其一，物业公司需具备妥善保管业主个人信息的专业能力；处理业主信息时保持身份独立性，禁止向其他网络服务商倒卖信息；物业公司与业主间沟通渠道畅通，联系方式向业主公开；工作内容向管理部门备案，向上级监管部门对接、汇报工作结果。其二，物业公司须详细记载处理业主个人信息的全过程并进行留档保存，以便事故发生时追本溯源。其三，当发生业主个人信息泄露或滥用时，物业公司需在事故发生后规定时间内向监管机构报告。

（三）加强中央与地方管理部门对人脸识别门禁系统运用的协同治理

第一，国家网信部门应当建立国家、省、市、县四级联系通道，形成上行下达、下情上报工作模式。一方面，国家网信办作为法律规定个人信息保护的监管主体，应与地方网信部门加强协作与合作，在内在的信息交流方面相互协助合作，在外在的监管方式上参照一致的法律法规标准，运用相同的执法手段和采取高质量的相互协作方式。发挥网信部门在管理、处理网络安全、信息化、网络传播等方面的技术优势。另一方面，中央加强组织领导地方网信部门酌情开展联合行动，包括联合调查和联合执法措施，由地方网信部门的成员或工作人员参与，以提高工作效率。例如，有些网络用户利用网络平台造谣，发布虚假短视频和不实文章。尤其是在如今疫情防控的关口，2020 年2 月有用户在“皮皮搞笑”网络社区平台违法发布了涉新冠病毒感染的疫情有害短视频，引起大量转发与评论，向民众散播不实的恐慌情绪[15]。国家网信办联合地方网信办采取行动对该平台进行严肃处理，对其所属软件在网络软件商店进行了下架。国家网信办应加强其领导作用，对地方网信办进行积极指导，要求各大互联网平台和应用APP 严格履行自己的主体责任。同时，地方网信办也要落实监管责任，为最终赢得疫情防控攻坚战的胜利营造积极向上的网络环境。

第二，网信部门应当强化跨部门协作能力。在查处业主信息被泄露与滥用的事件中，国家网信办可以会同其他国家机构在各司其职的基础上进行合作、沟通和协调，提高工作效率优化工作完成效果。例如，在处理“魏则西事件”中，国家网信办会同国家工商总局、国家卫生计生委成立联合调查组进驻涉事互联网企业——百度公司，跨部门协作对此事件及互联网企业依法经营事项进行调查并依法处理。因此，推进网信部门跨部门协作，建立处理问题有效机制，有利于缩短事件处理时间，提高工作效率。

（四）政府与企业公私合作共建“云平台”

第一，政府应加强对人工智能的全过程监管。美国为了保障公民的基本权利不受侵害，严格限制公权力机构使用该技术。美国许多州地区都颁布了人脸识别信息的相关系统法案，如加利福尼亚州、伊利伊诺州和华盛顿州等地。还有其他州地区颁布禁止令，禁止公权力机关使用人脸识别技术[16]。我国不适宜像美国一样禁止政府和警察使用人脸识别技术，为规范我国人脸识别门禁系统的盲目安装使用和无序采集信息，我国政府部门须参与住宅小区人脸识别信息的采集、使用过程中，让公权力发挥其刚性作用对人脸识别门禁系统的运作过程进行规制。政府相关部门须进一步观察和分析算法在人脸识别门禁系统的运行机制，进一步分析算法“黑箱”的影响因素及其生成机理，提供更有针对性的应对策略。具体来说，一方面，政府相关部门要从技术维度加强对算法及其运行过程的常态化监督，比如由专门的监控算法来监督其他治理算法的运行。另一方面，要从法律层面推动算法规则的透明化，比如世界上很多国家建立的数据保护法或算法合法性审查机制，《国务院关于印发新一代人工智能发展规划的通知》也提出，要建立健全公开透明的人工智能监督管理体系，实现对智能算法的全过程监管。

第二，允许“私权”介入，以公私合作的方式共建“云平台”。目前我国已出现“云平台”治理。国土资源部和国家测绘地理信息局共建国土空间基础信息平台，通过平台制订和实施统一的技术标准，协调林业、住建和发改等相关部门建立国土空间共享机制，指导全国建立各级节点信息平台，实现互联互通，为政府部门开展国土空间相关的规划、分析决策、审批和监管提供基础信息服务支持，提高国土空间治理能力现代化水平。智能门禁系统行业也可依托此种管理模式，政府部门与民营企业（物业公司）在智能门禁系统的建设或运营中进行相互合作，发挥各自优势提供公共服务。提高公权力机关部门的把控能力和信息运营者使用云计算服务的安全水平，降低使用云计算技术带来的滥用泄露风险，增强公权力机关部门、信息运营者将工作内容和信息数据转移至网络平台的决心。

第三，遵循《云计算服务安全评估办法》，共建专门服务于智慧城市的全国联网人脸信息大规模数据库“云平台”。民营企业（“云服务商”）具有提供专业技术优势，可以共同投资与协作管理。此种情形下，住宅小区使用人脸识别门禁装置则不需要再向业主收集个人信息，可直接向“云平台”申请访问数据库。由“云平台”审核物业公司的资质，判断其是否有调取业主信息的资格。物业公司不享有数据移植性权利，其只能使用业主信息，不能转移业主的信息。这样可以减少业主被无资质的物业公司或多个物业公司采集个人信息的风险，从而降低个人信息被泄露的风险。

结语

新时代的快速发展让人们享受到了科技带来的便捷，客观上对相关法律的规制和科技发展速率的相对持平提出了要求。为及时化解住宅小区人脸识别门禁系统缺少法律规制的争议，保障公民的隐私安全。我国应当制定保护隐私的专门法律，并将立法规制重心由知情同意机制向合规义务机制转移。加强中央与地方的协作能力，协同规制人脸识别门禁系统。政府部门与民营企业公私合作共建“云平台”，集中管理业主信息。多方合力，既不打击科技发展活力，也不让公民变成“透明人”，提升公民生活幸福感。当然，本课题仍有进一步的研究空间，物业公司及相关网络服务商侵犯业主隐私权后，其相应处罚规则仍需进一步探讨。对物业公司及相关网络服务商泄露业主个人信息的主观心态界定与客观归责处罚，这些问题仍需下一步的研究。