业主个人信息保护类纠纷频发,物业服务企业如何规避风险?
文/谢罗群
近年来,业内频繁出现物业服务企业因泄露业主个人信息而引发纠纷或诉讼的案例。业界普遍认为,随着《个人信息保护法》的实施以及业主权利意识的觉醒和个人信息保护意识的不断增强,未来类似这样的纠纷还会不断增多。因此,强化业主个人信息的保护,全力构筑业主信息安全防护墙,将是物业服务企业未来亟须做好的一项重点工作。
01 业主个人信息保护类纠纷诉讼频发
今年4月份,中国法院网上的一则司法判例在物业管理行业引发关注。判例显示,2019年至2021年期间,被告人郑某曾先后在浙江某地两家物业服务企业就职,从事物业管理工作。工作期间,郑某先后为他人无偿提供了4500余条业主信息,以帮助其拓展业务。法院审理后认为,被告人郑某违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,提供给他人,其行为已构成侵犯公民个人信息罪,依法判处郑某有期徒刑八个月,缓刑一年,并处罚金。
无独有偶。因不满只能通过“刷脸”出入小区,天津一名住户将小区物业服务企业告上法庭,要求物业服务企业删除他的人脸信息,并提供能够保证其隐私权的出入小区的验证方式。
一审中,法院以收集人脸信息确为疫情防控需要、原告未提交被告存在泄露信息相关证据等为由驳回原告诉讼请求。因不服一审判决,原告决定上诉。
二审法院支持了原告的部分诉讼请求,要求物业服务企业删除原告人脸信息并为其提供其他通行验证方式。
而今年6月份,重庆某小区业主刘先生反映,小区物业服务公司工作人员将一份业主车位费用欠费的相关统计表格误发在了一小学家长群,其中,涉及小区上千户业主的姓名、房号、车位、车牌号、车位欠费等隐私信息,引起业主不满。后经了解属于物业服务企业的工作人员误发,小区物业服务企业向业主公开道歉。
其实,在网上检索可以发现,类似的诉讼或纠纷并不少见。其内容基本都是物业服务企业的工作人员在任职期间获取了业主的个人信息,但或故意或无意将这些信息进行泄露;或业主不满物业服务企业未经自己许可就收集了自己的个人信息,最终引发诉讼或纠纷。
在此类纠纷或诉讼中,不少物业服务企业都被法院判处向信息被泄露的业主道歉或赔偿,或为业主提供其他合理方式(非人脸识别)出入物业管理区域,个别物业服务企业的工作人员甚至为此身陷囹圄。
02 强化内部管理,构筑业主信息安全守护墙
通过分析解读上述司法判例,我们可以充分认识到保护业主个人信息的重要性,不过,在解决这个问题之前,我们首先要搞清楚到底有哪些信息属于需要保护的业主信息?根据《民法典》第一千零三十四条规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
具体到物业管理行业,物业服务企业为了工作需要,在为业主提供日常物业服务的过程中往往会很容易收集到业主的大量个人信息。譬如,物业服务企业在业主办理入住等相关手续时,一般均会留存业主的个人信息,包括业主姓名、住址、联系电话、身份证号码、家庭成员情况、银行托收账户等基本信息;如果物业服务企业在小区出入口安装人脸识别门禁系统或车行道闸系统后,也会收集到业主的人像信息、车牌号信息以及行踪信息等。
这些个人信息对业主自身的安全非常重要,因为个人信息一旦泄露,轻则可能造成业主个人正常生活被打乱,重则可能影响到业主的人身财产安全。因此,《个人信息保护法》第十条规定:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
那么,作为物业服务企业,应如何有效构筑业主信息安全守护墙以保护业主的个人信息不被泄露呢?中国物业管理协会法律政策工作委员会委员、安居(深圳)城市运营科技服务有限公司副总经理鹿钦连认为,在保证业主信息安全方面,以下措施值得物业服务企业参考:
一是应建立健全业主个人信息安全管理的规章制度,并采取措施在工作中严格进行贯彻落实,尤其是在一些高端社区,业主对信息安全保护的要求更高,这也就要求物业服务企业必须制定更为严格的信息安全保护制度措施;
二是规范业主个人信息的使用与管理,对于业主信息的查询,建议实行分级管理并做好登记(涉及的重要影像资料信息等,除业主本人外,不得交由他人查询和复制储存。如遇公安机关需要调查取证,则应要求对方出示相关证件与证明,并做好登记);
三是指定或设置业主信息安全保护的专职人员,负责业主档案的保管、借阅、登记与销毁,依法履行保护职责,公司则不定期检查信息安全工作,这将有利于维护业主、企业的合法权益;
四是要对员工进行个人信息安全保护方面的专业培训,组织员工学习《民法典》《个人信息保护法》以及《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,引导员工依法依规做好业主信息安全保护工作;
五是要加强员工的保密教育,提升员工对业主信息的保密意识,明确要求公司员工对掌握的业主个人信息,无论在职还是离职,都不得随意泄露。
03 规范外部合作,注意控制业主信息安全保护领域相关风险
对于物业服务企业来说,要做好业主的信息安全保护工作,仅靠做好以上五项工作仍然不够,因为从以往的诉讼案例来看,一些涉个人信息保护类纠纷或诉讼完全是物业服务企业在与外部单位或组织合作的过程中出现的,而与内部管理无关。在此类纠纷中,物业服务企业往往认为自己很无辜,但一旦进入诉讼程序,却仍然面临败诉,被判道歉或赔偿。
譬如,一家物业服务企业未经业主同意,将有某业主个人信息的资料在一次有小区其他业主参加的会议上进行发放,导致这名业主的姓名、电话等个人信息在小区居民间流传。这位业主获悉后向法院起诉,认为物业服务企业的做法侵害其隐私权及个人信息权益,请求判令物业服务在报纸上公开赔礼道歉。
最终,法院审理后认为,对自然人不愿为他人知晓的私密空间、私密活动、私密信息进行刺探、侵扰、泄露、公开均系侵犯隐私权的行为,物业服务企业在没有得到同意就把写有原告个人信息的资料泄露给小区业主和物业服务人员,侵害了原告的个人信息权益,应承担侵权责任。
此类诉讼纠纷的出现也提示我们,在处理业主个人信息保护类纠纷方面,物业服务企业不仅要在企业内部通过强化管理来加强业主个人信息的保护,而且要从顶层设计出发,提升自身的信息安全保护意识,规范外部合作,并注意控制物业服务全过程中的各个风险点。目前来看,为做好业主个人信息保护,需要物业服务企业重点关注的风险点主要集中在三个关键时段,分别是进驻项目时、与外包方合作时以及撤离项目时。
首先,物业服务企业在进驻项目时,要在收集或处理业主个人信息之前就对业主做好事前告知或取得业主的同意及授权。《个人信息保护法》第十七条规定,个人信息处理者在处理个人信息前,应以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知相关法定事项。
因此,作为物业服务企业,在收集业主个人信息时,应当以书面方式明确告知业主收集、使用个人信息的目的、方式、范围和用途。之后,物业服务企业需履行法定和约定义务,不允许违反与业主的约定或在未经业主同意的情况下,随意泄露、公开或向其他人非法提供业主信息。这样,后期即便出现纠纷,只要物业服务企业在处理业主的个人信息时没有超出之前约定的使用范围,或者处理业主个人信息时取得了业主的同意,也就不用承担侵权责任。
需要强调的是,2021 年 8 月 1 日起实施的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》明确规定,物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
换句话说,物业服务企业在引进使用人脸识别门禁系统时不仅需要告知业主并取得业主同意,而且对于那些不同意的业主,物业服务企业必须提供其他的合理验证方式,否则就可能在个人信息保护类诉讼中败诉,并承担赔偿责任。
其次是在与外包方合作时,物业服务企业要对他们进行有效约束,避免因外包方泄露业主个人信息而被追责。当前,为了降低人工成本,越来越多的企业开始实行专业服务外包的模式。秩序维护、保洁及停车等业务在外包给第三方单位后,业主个人信息保护工作面临的困难和复杂性也相应增加。
因为这些人员或企业并不属于物业服务企业的员工或下属单位,一旦第三方公司人员泄露了所掌握的业主个人信息,业主在追责时仍然会找到物业服务企业,因为业主和这些第三方公司并没有直接的合同委托关系,所以,这也就要求物业服务企业在与第三方公司签订合作协议时必须明确告知第三方公司掌握业主个人信息后只能用于工作领域,要求其不得超范围使用业主个人信息,主动采取保护业主个人信息的有力举措,并承担保护业主个人信息不力的责任和后果。
如果第三方公司在与物业服务企业的委托协议到期后,第三方公司必须在物业服务企业的监督下主动删除、销毁所掌握的业主个人信息。只要这样,物业服务企业才能避免在可能出现的个人信息保护类纠纷中处于被动地位。
再次是在小区更换物业服务企业的过程中,要重视并做好业主信息安全保护工作。随着物业管理行业市场化进程的不断提速,小区更换物业服务企业的现象也越来越常见,从实践中看,如果新老物业服务企业交接不太规范,这个阶段也往往最容易出现业主个人信息泄露的问题。
建议老物业服务企业在交接过程中把业主个人信息直接交接给业主委员会或者经过业主委员会允许后再将业主个人信息移交给新物业服务企业,而且老物业服务企业在交接完成后还要及时删除或销毁自己掌握的业主个人信息,并告知业主委员会和新物业服务企业。新物业服务企业则要及时按照与业主委员会的约定建立新的业主信息安全保护制度,确保业主信息安全。
总之,新老物业服务企业交接过程是业主个人信息泄露的高风险期,相关各方应按照之前的约定和法律法规的要求,保护好业主的个人信息安全,也避免自身遭遇业主信息安全保护方面的纠纷或诉讼。
总体来看,保护业主个人信息安全是一项系统工程,需要业主、物业服务第三方供应商、物业服务企业、主管部门等相关主体,从进一步完善业主信息保护立法,建立个人信息保护的作业标准,严格业主信息的管理,增强各方主体的业主信息保护意识等方面共同发力,多向奔赴,才能最终实现守护业主个人信息安全的目标。