住宅小區人臉識別門禁系統的應用風險及其法律規制

張 敏，羅 雨

（河南大學法學院，河南開封 475001）

引言

習近平總書記強調：“要切實保障國家數據安全，加強關鍵數據資源的保護，強化數據安全的預警和溯源能力。促進個人隱私數據資源相關制度的建設，保障社會穩定和國家安全。”在信息化大數據時代下，學者們對于如何保護個人隱私權的研究逐漸增多。王俊秀（2020）[1]、文銘（2020）[2]、郭春鎮（2020）[3]、邢會強（2020）[4]、林凌（2020）[5]、石佳友（2021）[6]等學者分別從數字社會中的隱私重塑、人臉識別技術的法律規制與路徑、人臉識別技術的應用治理、人臉識別技術中的個人信息保護等角度研究數字化時代下的個人隱私保護。但是，現有的研究大多是從宏觀角度探討如何在大數據信息化時代下保護個人信息，對人臉識別技術應用于住宅小區門禁系統的具體研究還比較缺乏。對住宅小區應用人臉識別技術進出的人臉信息采集主體的資格授權、信息采集后的保護方式和信息泄露后的處罰手段以及政府在這一過程中如何利用公權力監管市場主體等缺乏論述，這些都構成了本文研究的問題意識。

一、住宅小區人臉識別門禁系統的應用風險：從勞東燕案談起

2020 年3 月，在法學教授勞東燕居住的小區里，物業公司貼出了要求業主方提供身份證、房產證和人臉圖像等個人信息辦理安裝人臉識別門禁系統的公告[7]。小區內大多數業主對物業公司收集人臉信息這一通知并不在意，只是擔心自己的房產信息會被泄露。事實上，人臉信息被非法收集和濫用帶來的風險要比房產信息被他人濫用的風險更大，會導致不可忽視的業主“同意機制”的運行風險、業主隱私權被侵犯的風險、信息采集程序的不透明風險和采集后的業主信息被濫用或泄露等風險。

（一）業主“知情同意機制”失靈的風險

我國人臉識別門禁系統的法律規制主要以“知情同意機制”為保護前提。業主的同意是物業公司安裝人臉識別門禁系統的合法性來源。但在實踐中，物業公司大多未取得業主個人和業主大會的同意就自行采集業主信息，該行為不僅使業主喪失了信息自決權，還導致了“知情同意”保護機制的失靈。

第一，物業公司未征得業主與業主委員會同意強制采集其面部信息的行為不符合法律規定，剝奪了公民個人的信息自決權與業主委員會的群體決策權。一方面，《個人信息保護法》第十三條規定，個人信息同意豁免情形主要包括“為訂立履行合同、履行職責義務、在突發公共衛生事件或緊急情況下保護自然人健康安全、實現公共利益和在法律規定合理范圍內處理個人信息”。物業公司強制性的公告采集業主面部信息的行為不符合上述例外情形，業主為了獲取相應服務而不得不“同意”，導致業主事實上喪失信息自決權。另一方面，從小區業主大會的群體決策來看，根據住房和城鄉建設部2009 年公布的《業主大會和業主委員會指導規則》（下文簡稱《指導規則》）第十七條第七款①《業主大會和業主委員會指導規則》第十七條規定：“業主大會決定以下事項：（七）改建、重建建筑物及其附屬設施?！钡囊幎?，“改建、重建建筑物及其附屬設施的決策主體是業主大會。”而非物業公司。此外，《指導規則》第二十九條②《業主大會和業主委員會指導規則》第二十九條規定：“業主大會會議決定籌集和使用專項維修資金以及改造、重建建筑物及其附屬設施的，應當經專有部分占建筑物總面積三分之二以上的業主且占總人數三分之二以上的業主同意；決定本規則第十七條規定的其他共有和共同管理權利事項的，應當經專有部分占建筑物總面積過半數且占總人數過半數的業主同意?！币裁鞔_規定了需經過“雙三分之二”的業主同意。故而，物業公司未得到業主大會上“雙三分之二”業主的同意即修建或改建人臉識別門禁系統的行為剝奪了業主委員會的群體決策權。

第二，物業公司大多未取得業主個人和業主大會的同意就自行采集業主信息的行為違背了《個人信息保護法》的立法邏輯，導致“知情同意”保護機制失靈。個人信息利用的正當性基礎在于獲取信息權利人的“知情同意”，根據《個人信息保護法》第十四條③《個人信息保護法》第十四條規定：“個人信息處理者要取得個人的同意才能處理個人信息。并且要在充分知情的情況下自愿、明確作出該同意?！钡囊幎?，知情同意原則的有效要素應當包括自由、具體、知情、明確以及形式等五個方面。而物業公司僅以公告的方式通知業主提交個人信息及面部信息，默認業主看到公告即表示“同意”，違背了《個人信息保護法》所規定的“知情同意原則”中自愿、明確、具體的執行標準，實際上違背了《個人信息保護法》的立法宗旨，使得“知情同意”保護機制失靈。

（二）業主信息權益被侵犯的風險

人臉信息屬于高度敏感的個人信息，一旦丟失匹配了身份信息的人臉信息，人們將面臨終身的安全隱患，也將引發一系列社會風險。此時應當有強有力的監管機關介入以規范人臉信息利用所導致的各類負外部性行為。但當前尚缺乏系統性的監督制度，導致業主面臨著信息權益被侵犯的巨大風險。

一方面，業主信息權益被侵犯將引發系統性風險。第一，物業未經同意獲取人臉信息的行為將侵犯業主的個人隱私權。物業公司未經業主和業主大會的同意自行安裝人臉識別門禁系統并進行使用，增加了個人信息泄露的風險。物業公司對業主隱私權造成侵害主要后果在精神損害方面。由于受害人的隱私因被他人知悉而產生羞辱、痛苦、焦躁、憂慮等不正常的心理情緒。第二，業主不合法利用人臉信息的行為將侵害業主生活安寧權并破壞社會秩序。現實中存在部分物業公司將非法收集到的業主人臉信息出售給一些網絡服務商，網絡服務商將買獲的業主信息數據進行打包二次倒賣的情形。物業公司和網絡服務機構的行為并未取得業主本人的同意，物業公司的獲益具有違法性。這種違法性已嚴重破壞社會秩序，主要表現為：其一，不法分子獲取大量非法收益。不法分子可能會利用其倒賣的他人個人信息進行違法犯罪活動，獲取大量社會財富。其二，被泄露信息者名譽受損。普通公民被泄露個人信息后，不法分子冒用其名義所做的不法事件全部歸于其名下。

另一方面，業主信息權益面臨著侵權風險。當前物業公司采集、處理業主個人信息的過程缺乏有效的監督機制，主要表現為監管主體缺位。根據《個人信息保護法》的相關規定，對個人信息保護負有監督職責的地方管理主體是縣級以上地方人民政府有關部門，但法律并未再進一步細化。法律規定模糊、泛化，使得住宅小區人臉識別門禁系統的安裝與信息的采集過程中存在監督缺位、權責不清、地方管理真空的情況。若不進一步完善物業公司收集業主人臉信息行為的監督管理制度，就會埋下人臉信息數據被濫用和泄露的隱患，從而威脅到民眾的人身與財產安全。

（三）信息采集程序不正當的風險

物業公司應當根據合法、正當的程序來搜集業主的個人信息，但由于當前信息搜集主體不合法，導致信息搜集存在程序瑕疵。其程序瑕疵常以現實主體不適格、法律主體違法與程序不透明的形式表現出來，進而難以保障業主的知情權與參與權。

首先，在實踐層面，物業公司隸屬于街道辦事處主管，其沒有采集信息的主體權利。小區人臉識別門禁系統的應用共涉及四個主體：業主（房屋產權所有人）、物業公司（商業公司）、街道辦事處（政府派出機關）、居民委員會（群眾自治組織）。這四個主體對于“刷臉”門禁進小區的態度各異。各方角力之下，業主處于弱勢地位，且行動也較為分散，難以保護自己的人臉數據安全。物業公司以營利為目的，在其逐利的本質下，若無外力牽制，容易導致人臉數據的泄露和濫用，這樣會有違人臉識別門禁系統安裝的初衷，不僅不利于維護社區安全，甚至還可能猛增相關的違法犯罪活動。居民委員會主要發揮著輔助人民政府及其派出機關開展工作的作用，力量較弱小。在管理社區方面、專業性方面也沒有物業公司強。居民委員會對于社區的管理功能被進一步擠壓。所以需要群眾自治組織的業務指導機關——街道辦事處的推動和引導，從而監管物業公司采集個人信息的行為。

其次，在法律層面上，物業公司的信息采集主體身份未得到合法授權，存在主體違法性問題?，F有的法律條文雖未具體說明授權信息采集主體。根據《個人信息保護法》第六十條①《中華人民共和國個人信息保護法》第六十條規定：“國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作。縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。前兩款規定的部門統稱為履行個人信息保護職責的部門?！钡囊幎ǎ骸昂暧^層面，由國家網信部門來統籌協調個人信息保護工作和相關監督管理工作；落實到地方，由縣級以上地方人民政府有關部門負責地方的個人信息保護和相關監管工作?！狈芍灰幎擞蓢揖W信部門、國務院有關部門、縣級以上地方人民政府有關部門來統籌、協調和監管個人信息保護工作，并未規定授權主體。所以，住宅小區個人信息保護的授權與監管的這一過程，街道辦事處無權作為。物業公司的授權來自于哪個主體，存在授權混亂、責任不清的問題。

最后，物業公司采集、處理業主個人信息的過程不透明，業主知情權和參與權未能得到保障。其一，過程不透明導致業主知情權不能得到保障。為了增進業主對物業公司采集信息行為的信任，物業公司需持續不斷的披露其采集和處理信息的過程。但目前的物業公司信息披露水平較低，無法保障業主知情同意權的實現，進而也無法確保業主做出同意是基于真正的知情。其二，過程不透明導致業主參與權不能得到保障。在住宅小區中，物業公司應將業主置于中心地位，尊重業主的意見，加強與業主的交流。但在實踐中，業主扮演著消極被動的角色，處于被通知的邊緣位置，無法參與物業公司采集與處理其個人信息的過程。

二、住宅小區人臉識別門禁系統應用風險的成因分析

目前，我國在住宅小區人臉識別門禁系統的應用上存在著一些法律風險，這是由多種原因共同造成的，如相關立法效力等級低，法律執行不到位，算法黑箱導致程序不透明，內部監督、被動監督和事后監督導致監督不力等。

（一）相關立法效力等級低

一方面，地方立法對小區人臉識別門禁系統的應用做出規范，保障業主對物業管理區域的正常出入權?！逗贾菔形飿I管理條例》(以下簡稱《條例》) 肯定了物業采取數字化新技術提升社區服務構建智慧社區的舉措，并對住宅小區人臉識別門禁系統應用導致的個人信息泄露做出了相應規制?！稐l例》規定了物業公司需要保護業主的隱私和個人信息，明確了物業公司的保護職責。第五條①《杭州市物業管理條例》第五條規定：“開展物業管理活動，應當依法保護業主、非業主使用人的隱私和個人信息?！币幎ǎ骸拔飿I公司開展物業管理活動，要保護業主和使用人的隱私和個人信息?！薄稐l例》第五十條第二款進一步規定：“物業不得強制業主通過驗證指紋、人臉識別等生物信息方式進出小區?！薄稐l例》也因此稱為國內首個要求物業公司保護業主及使用人隱私的立法。

另一方面，地方立法存在著層級低且規定較模糊的情況?！稐l例》是杭州市地方性法規，僅對杭州市起著約束作用，對我國的其他地區僅具有借鑒意義，而無實質性的幫助。我國使用人臉識別門禁系統的小區數量不斷增多、地區不斷擴大，需要更高層次的立法來規制人臉識別門禁系統的運行和發展。法律應該明確規定可以采集個人信息的主體資格、應該承擔的法律義務和采集主體違法采集或者泄露個人信息的處罰手段。

此外，地方性立法對相關內容的規定仍存在空白之處。對于物業公司收集業主人臉信息后怎么儲存，儲存平臺的建設，如何界定物業公司非法處理業主信息的情形，如何處罰物業公司侵犯業主個人隱私等內容，《條例》還未做出具體規定，這也是未來規范物業公司收集業主信息所努力的方向。

（二）法律執行不到位

根據《民法典》現有規定，“知情同意”原則是處理個人信息的合法性前提，但在執行過程中應當依照“特別法優于一般法”的原則，將《個人信息保護法》作為優先適用的法律規范?！秱€人信息保護法》是一部保護個人信息的綜合性立法文件，《民法典》與其內容所包含的個人信息的私法規則構成一般法與特別法的關系[8]。《民法典》第一千零三十五條第一項②《中華人民共和國民法典》第一千零三十五條規定：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外?！痹瓌t上規定個人信息處理應遵循“同意”的前提?！秱€人信息保護法》出臺后，進一步對“知情同意”進行了限縮和明確的界定，其中第二十九條①《個人信息保護法》第二十九條規定：“處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定?！币幎ǎ骸疤幚砣四樞畔@得的同意授權應該是本人單獨、書面同意”?！皢为殹币辉~，釋義上解釋為“獨自，不與他人聯合做事”。所以，該同意是獨立且明確的“專項同意”，不與他人的意見混同或隨意被他人代替其意見的表示。在同意形式上，要求意見主體以“完全知情”為基礎，做出書面“具體、清晰、明確”的同意。實踐中，物業公司在安裝人臉識別門禁系統時，需要遵循特別法——《個人信息保護法》的規定，征得業主單獨的書面同意。

《個人信息保護法》對“知情同意原則”做出了全面的原則性規定，但并未進一步細化其執行與確認的標準，司法實踐中也尚未出臺相關配套措施?，F實生活中，知情同意原則的落實與遵守還未真正發揮作用，社會上物業公司還存在任意收集民眾的人臉信息的非法行為。“知情同意原則” 中的同意作用逐漸虛化和異化。其一，面對物業公司張貼的公告，由于看不懂、沒有時間看或者看了也沒有用等因素，現實中很少有業主會認真查看其中冗長的隱私聲明。其二，拒絕同意物業公司采集個人信息意味著無法享受服務，影響日常出行。業主很難對物業公司采集個人信息的行為說不。在這樣的背景下，同意物業公司采集個人信息成為既定的常規操作。在這種例行公事式的同意中，自決的成分就算有也微乎其微，同意的作用被虛化和弱化[9]。故而“知情同意原則”的立法邏輯不足以保障業主信息權益。

（三）算法黑箱導致程序不透明

一方面，算法黑箱具有不透明性。算法是為解決某一特定問題而對特定數據進行分析、計算和求解的操作程序。算法的本質則是對數據信息的獲取、占有和處理，在此基礎上產生新的數據和信息。簡言之，人臉識別門禁系統內的算法是對個人數據信息或獲取的所有信息進行改造和再生產。系統進行深度學習輸入數據和輸出答案的過程中，存在著我們無法洞悉的“隱層”，即“黑箱”。這里的“黑箱”意味著不能被業主觀察到。人臉識別門禁系統的運作規則猶如一個未知的“黑箱”——業主并不清楚算法的目標和意圖，也無從獲悉算法設計者、實際控制者以及機器生成內容的責任歸屬等信息，更不能對其進行評判和監督。由于人臉識別門禁系統具有不透明性，物業公司可以利用其不透明性根據自己的利益傾向操縱算法，處理業主個人信息。

另一方面，算法黑箱引起程序不透明，黑箱社會日益加劇[10]。正義的結果需要程序公正來保障。算法黑箱本身具有不透明性，進而會危害業主生活安全。日常使用小區人臉識別門禁系統，物業公司和網絡服務商能通過系統檢索、審視我們的生活、工作習慣和日常穿著，整合我們日常生活的細節。這種整合起來的數據極其詳細，甚至堪稱對我們個人生活的入侵。

（四）內部監督、被動監督和事后監督導致監督不力

目前，在個人信息的監督保護方面，我國主要采取行政內部監督、被動監督和事后監督的方式，由國家網信辦指導有關地方網信辦對網絡平臺信息系統進行查處?？萍嫉陌l展需要更新相關的監督理念，外部監督、主動監督和事前監督的缺乏與當前市場的發展不相匹配。

首先，外部監督的缺乏。國家網信辦采取檢查監督的手段，開展專門治理的行動，關停和封禁惡意營銷賬號，大力整治和肅清了網絡環境。但是，目前國家網信辦指導地方網信辦采取的措施，大多針對“軟色情”、賭博等方面，較少是關于保護個人信息權利的領域。新行業的產生伴隨著新的風險，國家網信辦需根據《個人信息保護法》的規定，對新行業進行監管，對個人信息進行保護。

其次，主動監督的缺乏。網絡涉及范圍廣、平臺和賬號數量多，網信辦主要依靠網民的舉報來監督和治理網絡違法亂像，大多是以被動監督的方式。但是，在人臉識別技術應用于智能門禁系統時，由于科技的發展，人臉信息已經被納入高度敏感范疇，一旦丟失匹配了身份信息的人臉信息，我們終身將面臨安全隱患。因此，網信辦不能只依靠于被動監督，需要完善一下監督方式，提高監督能力，化被動為主動，變事后懲處為預先審查。

最后，事前監督的缺乏。網信部門多依賴公民事后向法院尋求司法救濟，沒有發揮網信部門可以通過網絡渠道提前審查物業公司采集、使用個人信息主體的合法性的優勢，造成行政效率不高且公民個人信息權利易受侵害等不利后果。“社會創造法律制度的真正意義和價值，在于規范和尋求技術層面上的可以管理的，哪怕是發生可能性很小或影響范圍不大的風險[11]?！本W信部門現有的治理模式有利于及時制止低俗、庸俗信息的傳播，維護網絡傳播秩序和保護網絡生態，但對公民個人信息保護方面的監管力度還不足。

三、住宅小區人臉識別門禁系統應用風險的法律規制路徑

科技風險的源頭治理問題，根本上是對主體使用行為的規制問題?？萍际前央p刃劍，在給人們的生產生活帶來便利的同時，也引發了一系列安全隱患。然而，科技本身具有價值中立性，其是否產生風險及風險的程度取決于科技研發者或使用者。人臉識別門禁系統的應用風險主要歸結為使用者的不當利用行為。人臉識別門禁系統在缺少法律規制使用主體行為的基礎上廣泛推廣，最終的結果很可能是公眾在犧牲隱私的同時并未獲得安全[12]。因此，對住宅小區人臉識別門禁系統應用風險必須予以法律規制，其具體規制路徑如下所述。

（一）制定隱私保護的專門立法

我國對個人敏感信息采集的規定主要集中在個人信息保護層面，缺乏系統的法律規范?！秱€人信息保護法》有關敏感信息的規定難以有效保障個人生物識別信息的安全，為使得管理有據，對這類高度敏感信息需進行專項立法，強調立法先行來保障公民的權益及公共利益。專門立法可借鑒張新寶教授提出的“兩頭強化，三方平衡”理念[13]。即“強化敏感個人信息的保護”和“強化一般個人信息的利用”，調和個人信息保護與利用的沖突，以達到均衡個人、商業主體與國家的利益的目的。對于住宅小區人臉識別門禁系統的現實應用，個人信息的保護具體有如下三種需要規制的情況。

第一，立法強化對敏感個人信息的保護。其一，立法細化敏感個人信息的處理規則?！秱€人信息保護法》中處理敏感個人信息的規則具體分布在第二章第二節，但條文規定較粗略且僅以“同意告知原則”為處理敏感個人信息的規則。該規定不足以保護民眾的敏感個人信息，立法須補充細化、重新制定敏感個人信息的處理規則。其二，具體化敏感個人信息處理者的義務。《個人信息保護法》對個人信息處理者的義務進行了專章規定，但未規定敏感個人信息處理者的義務。其處理敏感個人信息的規則部分也不足以保障民眾信息安全，故而須立法具體化敏感個人信息處理者的義務。

第二，立法強化對一般個人信息的利用。均衡敏感個人信息可利用性與被保護性的關系?！秱€人信息保護法》對敏感個人信息的范圍進行了具體界定，還對其制定了更嚴格的處理規則，強化對敏感個人信息保護到位但缺乏對一般個人信息利用層面的引導。立法需在保護的前提下發揮商業主體的公共管理價值，給予物業公司等商業主體收集、處理和利用一般個人信息的較大自由。

第三，立法構建保護機制，平衡三方利益。其一，區分侵害敏感個人信息和一般個人信息需承擔的法律責任。《個人信息保護法》僅規定了侵害個人信息權的法律責任，未區分侵害敏感個人信息和一般個人信息的法律責任區別。但在司法實踐中，侵害自然人敏感個人信息和一般個人信息給受害人帶來的損害后果差異明顯。立法需分別界定敏感個人信息和一般個人信息的救濟程度，加大對侵害敏感個人信息需承擔法律責任的懲罰強度。其二，分別構建事前保護機制和事后保護機制。法律主要規定以事后救濟機制為主，但敏感個人信息具有易受侵害性，且此種機制的救濟成本高、取證難度大，不利于對民眾的個人信息權進行保護。故而對敏感個人信息需構建事前保護機制，與一般個人信息分屬不同的保護機制。

（二）用數據控制者的合規義務代替傳統的“知情同意”保護框架

“知情同意”原則是目前我國法律規定對人臉識別技術中個人信息處理的合法性前提，法律強調處理個人信息需獲得信息所有者的同意。但無論是從受益程度、風險預防能力和風險預防效果來看，都應當將監管重點落實在數據處理者——物業公司。相應地，立法對人臉信息技術的規制重心，也應當從知情同意機制轉向數據處理者的合規義務體系[14]。

第一，強化對物業公司的監管和規制，發揮其“守護者”的作用。我國法律從業主同意或拒絕物業公司安裝人臉識別門禁系統兩個方面著手，分別保護業主的選擇權和個人生物識別信息的安全。其一，因為業主并不都贊成在小區內安裝人臉識別門禁系統，為了保護業主不安裝、不使用人臉識別門禁系統的權利?！蹲罡呷嗣穹ㄔ宏P于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》①《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第十條第一款規定：“物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式，不同意的業主或者物業使用人請求其提供其他合理驗證方式的，人民法院依法予以支持?！保ㄏ挛暮喎Q《規定》）強調：“業主如果不同意使用人臉識別門禁系統進出小區，可以要求物業公司提供其他的進出驗證方式”。其二，為了保護同意安裝、使用人臉識別門禁系統的業主個人信息安全，《規定》第二條②《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第二條第二、三、四、五、六項規定：“（二）未公開處理人臉信息的規則或者未明示處理的目的、方式、范圍；（三）基于個人同意處理人臉信息的，未征得自然人或者其監護人的單獨同意，或者未按照法律、行政法規的規定征得自然人或者其監護人的書面同意；（四）違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等；（五）未采取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失；（六）違反法律、行政法規的規定或者雙方的約定，向他人提供人臉信息?！泵鞔_規定：“物業收集業主信息要以業主‘同意’為前提。物業須讓業主知悉，公開收集業主信息的方式和目的。如果物業違反了向業主公開收集人臉信息的目的、范圍、方式等，會被認定為侵害自然人人格權益，需承擔相應民事責任。并且要求物業公司需要具備相應的技術措施或保密措施，來保護收集到的業主信息安全。在此過程中，物業公司需要承擔‘守護者’的角色，承擔起‘保密’的義務和責任，不向他人提供業主的人臉信息。”

第二，適當借鑒歐盟《通用數據保護法案》（GDPR）的立法經驗，加強對我國對人臉識別門禁系統的管理方（物業公司）主體資格的法律監管。GDPR 要求數據控制者必須采取“足夠的措施”來確保其數據安全。具體包括：其一，數據控制者本身需要具備GDPR 要求所要具備的專業知識；工作身份須獨立，不受他人或其他部門干擾；與外界溝通渠道須暢通，聯系方式向公眾公布；工作內容向管理部門備案，向上級監管部門對接、匯報工作結果。其二，數據控制者必須詳實的記載其處理數據全過程，分門別類留檔保存。包括信息數據的類型、處理方式和傳送、接收數據者的類別等等。其三，GDPR 第三十三條規定：“如果發生數據泄露的事故，相關人員反應一定要迅速。數據控制者需要在泄露事件發現后72 小時內，將事件報告給相應的監管機構。”由此可見，GDPR 是要求公司企業建立自己的安全策略和救濟方案，而且應該與公認的比如ISO/IEC 27001/27002、NIST 等網絡安全框架相一致。

第三，我國對物業主體資格的監管措施可凸顯三個方面。其一，物業公司需具備妥善保管業主個人信息的專業能力；處理業主信息時保持身份獨立性，禁止向其他網絡服務商倒賣信息；物業公司與業主間溝通渠道暢通，聯系方式向業主公開；工作內容向管理部門備案，向上級監管部門對接、匯報工作結果。其二，物業公司須詳細記載處理業主個人信息的全過程并進行留檔保存，以便事故發生時追本溯源。其三，當發生業主個人信息泄露或濫用時，物業公司需在事故發生后規定時間內向監管機構報告。

（三）加強中央與地方管理部門對人臉識別門禁系統運用的協同治理

第一，國家網信部門應當建立國家、省、市、縣四級聯系通道，形成上行下達、下情上報工作模式。一方面，國家網信辦作為法律規定個人信息保護的監管主體，應與地方網信部門加強協作與合作，在內在的信息交流方面相互協助合作，在外在的監管方式上參照一致的法律法規標準，運用相同的執法手段和采取高質量的相互協作方式。發揮網信部門在管理、處理網絡安全、信息化、網絡傳播等方面的技術優勢。另一方面，中央加強組織領導地方網信部門酌情開展聯合行動，包括聯合調查和聯合執法措施，由地方網信部門的成員或工作人員參與，以提高工作效率。例如，有些網絡用戶利用網絡平臺造謠，發布虛假短視頻和不實文章。尤其是在如今疫情防控的關口，2020 年2 月有用戶在“皮皮搞笑”網絡社區平臺違法發布了涉新冠病毒感染的疫情有害短視頻，引起大量轉發與評論，向民眾散播不實的恐慌情緒[15]。國家網信辦聯合地方網信辦采取行動對該平臺進行嚴肅處理，對其所屬軟件在網絡軟件商店進行了下架。國家網信辦應加強其領導作用，對地方網信辦進行積極指導，要求各大互聯網平臺和應用APP 嚴格履行自己的主體責任。同時，地方網信辦也要落實監管責任，為最終贏得疫情防控攻堅戰的勝利營造積極向上的網絡環境。

第二，網信部門應當強化跨部門協作能力。在查處業主信息被泄露與濫用的事件中，國家網信辦可以會同其他國家機構在各司其職的基礎上進行合作、溝通和協調，提高工作效率優化工作完成效果。例如，在處理“魏則西事件”中，國家網信辦會同國家工商總局、國家衛生計生委成立聯合調查組進駐涉事互聯網企業——百度公司，跨部門協作對此事件及互聯網企業依法經營事項進行調查并依法處理。因此，推進網信部門跨部門協作，建立處理問題有效機制，有利于縮短事件處理時間，提高工作效率。

（四）政府與企業公私合作共建“云平臺”

第一，政府應加強對人工智能的全過程監管。美國為了保障公民的基本權利不受侵害，嚴格限制公權力機構使用該技術。美國許多州地區都頒布了人臉識別信息的相關系統法案，如加利福尼亞州、伊利伊諾州和華盛頓州等地。還有其他州地區頒布禁止令，禁止公權力機關使用人臉識別技術[16]。我國不適宜像美國一樣禁止政府和警察使用人臉識別技術，為規范我國人臉識別門禁系統的盲目安裝使用和無序采集信息，我國政府部門須參與住宅小區人臉識別信息的采集、使用過程中，讓公權力發揮其剛性作用對人臉識別門禁系統的運作過程進行規制。政府相關部門須進一步觀察和分析算法在人臉識別門禁系統的運行機制，進一步分析算法“黑箱”的影響因素及其生成機理，提供更有針對性的應對策略。具體來說，一方面，政府相關部門要從技術維度加強對算法及其運行過程的常態化監督，比如由專門的監控算法來監督其他治理算法的運行。另一方面，要從法律層面推動算法規則的透明化，比如世界上很多國家建立的數據保護法或算法合法性審查機制，《國務院關于印發新一代人工智能發展規劃的通知》也提出，要建立健全公開透明的人工智能監督管理體系，實現對智能算法的全過程監管。

第二，允許“私權”介入，以公私合作的方式共建“云平臺”。目前我國已出現“云平臺”治理。國土資源部和國家測繪地理信息局共建國土空間基礎信息平臺，通過平臺制訂和實施統一的技術標準，協調林業、住建和發改等相關部門建立國土空間共享機制，指導全國建立各級節點信息平臺，實現互聯互通，為政府部門開展國土空間相關的規劃、分析決策、審批和監管提供基礎信息服務支持，提高國土空間治理能力現代化水平。智能門禁系統行業也可依托此種管理模式，政府部門與民營企業（物業公司）在智能門禁系統的建設或運營中進行相互合作，發揮各自優勢提供公共服務。提高公權力機關部門的把控能力和信息運營者使用云計算服務的安全水平，降低使用云計算技術帶來的濫用泄露風險，增強公權力機關部門、信息運營者將工作內容和信息數據轉移至網絡平臺的決心。

第三，遵循《云計算服務安全評估辦法》，共建專門服務于智慧城市的全國聯網人臉信息大規模數據庫“云平臺”。民營企業（“云服務商”）具有提供專業技術優勢，可以共同投資與協作管理。此種情形下，住宅小區使用人臉識別門禁裝置則不需要再向業主收集個人信息，可直接向“云平臺”申請訪問數據庫。由“云平臺”審核物業公司的資質，判斷其是否有調取業主信息的資格。物業公司不享有數據移植性權利，其只能使用業主信息，不能轉移業主的信息。這樣可以減少業主被無資質的物業公司或多個物業公司采集個人信息的風險，從而降低個人信息被泄露的風險。

結語

新時代的快速發展讓人們享受到了科技帶來的便捷，客觀上對相關法律的規制和科技發展速率的相對持平提出了要求。為及時化解住宅小區人臉識別門禁系統缺少法律規制的爭議，保障公民的隱私安全。我國應當制定保護隱私的專門法律，并將立法規制重心由知情同意機制向合規義務機制轉移。加強中央與地方的協作能力，協同規制人臉識別門禁系統。政府部門與民營企業公私合作共建“云平臺”，集中管理業主信息。多方合力，既不打擊科技發展活力，也不讓公民變成“透明人”，提升公民生活幸福感。當然，本課題仍有進一步的研究空間，物業公司及相關網絡服務商侵犯業主隱私權后，其相應處罰規則仍需進一步探討。對物業公司及相關網絡服務商泄露業主個人信息的主觀心態界定與客觀歸責處罰，這些問題仍需下一步的研究。