在日常生活与工作中，我们一次又一次穿梭在不同的“门”与“门”之间，往返于居住空间、办公、娱乐场所等场所。每经过一道“门”的时候，我们总需事先获取“门禁”设备的“认可”。而近年来，智能化门禁设备的发展也在不断演变及进化，从传统的钥匙到门禁卡，再到指纹识别与人脸识别，技术的迭代让我们的生活更加便捷。 

在安全性、便捷性增加的同时，作为“门禁”管理方的物业服务企业，也掌握了业主们的生物识别信息及相关隐私内容。如何把握及平衡安全、便捷和隐私之间的边界，也逐渐成为物业服务企业和业主共同关注的问题。 

本文旨在讨论、分析物业服务企业应如何合法、合规地获取业主生物识别信息，确保业主刷的安心、物业存的合规。 

一、案例分享

案例一：“某小区强制刷脸案”

某小区业主在进入小区时被物业服务企业要求强制使用人脸识别门禁。业主认为，物业服务企业存在未经业主同意，擅自获取其人脸生物识别信息的情况且拒绝提供其他替代方案，遂起诉至法院。

法院审理案件后，认定物业服务企业无权在未获得业主同意的情况下，强制收集其人脸信息，遂判决物业服务企业提供门禁卡或其他替代方案，以解决业主出入小区门禁事宜。 

案例二：“某公司生物识别信息泄露案”

某物业服务企业的服务器遭到黑客攻击，服务器中存储的业主个人基本信息、指纹识别信息、人脸识别信息被黑客窃取并用于非法用途。业主发现自己的个人生物识别信息在网上被打包售卖后，向有关部门进行了举报，并同步向人民法院提起诉讼。最终，物业服务企业因自身的数据管理存在问题，承担了相应的法律责任。 

从上述两个案例可以看出：近年来，随着业主法律意识的不断增强，其对于生物识别信息、个人隐私权等问题已越来越重视。一旦物业服务企业不慎泄露或者使用生物识别信息，可能面临小业主的投诉、举报、诉讼等各类风险。 

二、概述

1、生物识别信息的定义及分类

根据《民法典》第一千零三十四条规定，自然人的个人信息包括生物识别信息。经笔者进一步检索，现行法律、法规并未直接对生物识别信息进行定义。

经笔者归纳，生物识别信息是指：通过计算机和光学、声学、生物传感器和生物统计学原理等高科技手段密切结合所获取的人体固有的生理特征（如指纹、脸像、虹膜等）和行为特征（如笔迹、声音、步态）等相关信息。

结合上述定义，物业服务领域中的生物识别信息通常包括：指纹、人脸、虹膜、笔迹、声音等。 

2、生物识别信息与隐私权的关系

根据《民法典》第一千零三十四条规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。同时，根据《民法典》第一千零三十二条、第一千零三十三条等规定，自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。

因此，泄露或者滥用生物识别信息的行为将构成对隐私权的侵犯。根据《民法典》第一百七十九条规定，需承担停止侵害、排除妨碍、赔偿损失等民事责任。 

三、 法律分析

1、 业主的核心权利

1） 知情及同意权

业主有权在物业服务企业收集生物识别信息前，要求其主动告知收集的原因、用途、存储方式及存储期限。未经业主同意，物业服务企业不得随意启动收集程序。

2） 异议及删除权

业主在发现物业服务企业侵害其知情及同意权时，有权向物业服务企业提出异议，并要求其删除违法收集的生物识别信息。 

2、 物业服务企业获取业主生物识别信息的合规边界

根据《民法典》等相关规定，生物识别信息的处理包括：收集、存储、使用、加工、传输、提供、公开等。因此，物业服务企业在处理业主的生物信息的整个过程中，应当注意以下问题：

1）收集过程的合规性

根据《民法典》第一千零三十五条、《个人信息保护法》第十三条等规定，物业服务企业在向业主收集指纹、人脸、虹膜等生物信息之前，应当事先通过书面、电子等方式获取业主方的同意（如需获取未成年人相关信息的，应获得其监护人同意）。

2）存储传输的保密性

根据《民法典》第一千零三十八条、《消费者权益保护法》第二十九条等规定，物业服务企业不得泄露业主信息，且应当采取技术措施和其他必要措施，确保信息安全，防止业主信息泄露、丢失。若发生相关情况，应当及时采取补救措施。

从案例二可见，物业服务企业必须重视生物识别信息的存储、传输工作，一旦发生信息泄露或遭黑客攻击，或将造成不可估量的损失。

3）使用范围的限定性

根据《民法典》第一千零三十五条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理。简单来讲，需遵守“最小必要原则”，即：收集来的指纹、人脸、虹膜、声纹等可且仅可用于门禁识别、安全认证等已事先取得业主同意的范围，禁止超范围使用、加工、提供或者公开。 

四、 物业服务企业获取业主生物识别信息的合规指南

1、事先取得同意

在提供物业服务时，如需采集指纹、人脸、虹膜、声纹的，应当事先向业主充分说明。必要时，可在物业服务合同、管理规约中明示有关的生物识别信息采集条款。信息采集条款建议包含以下内容：

1） 收集内容：包括但不限于指纹、人脸、虹膜、声纹等。

2） 使用范围：包括但不限于如门禁识别、身份认证、在线支付。

3） 保存期限：若为住宅、办公、工业物业的，建议设定为自采集之日至业主出售房屋/承租人的租赁合同履行完毕之日；若为商业物业的，建议设定一定的期限（如3-6个月或其他合适的期限）。

如业主在物业释明后依旧不同意采集的，应当提供相应的替代方案。例如：

1） 若为门禁识别用途的，可提供门禁卡、手机NFC系统等各类实体身份验证途径；

2） 若为身份认证用途的，可采取人工上门验证并书面确认等形式；

3） 若为在线支付用途的，可采取现金、二维码、储值卡等形式替换。 

2、事中加强管理

对于物业服务企业的日常管理，建议从以下几个方面展开：

1）完成数据采集后，物业服务企业应当采用加密存储、防火墙设置、定期安检等技术手段，加强日常的存储及传输管理。

2）对于使用、加工、提供或者公开生物识别信息，应当加设审批权限，由专门的安全员或者级别较高的管理人员审批通过方可进行。

3）对于无需再保存或者超出保存期限的生物识别信息，应当由专门的安全员对该等数据进行删除，避免被不法分子通过技术手段恢复、利用。

4）必要时，还可以通过购买网络安全责任保险，降低在意外事件发生时的经济损失。

3、事后及时处理

若发生生物识别信息意外泄露的，建议及时向政府主管部门进行汇报，并及时采取补救措施，避免泄露范围进一步扩大。同时，如购买了网络安全责任保险，建议第一时间与保险人联系出险，尽快办理理赔手续。必要时，物业服务企业还可通过司法途径向侵权人主张赔偿损失。 

五、结语

个人生物识别信息的保护，离不开物业服务企业和业主个人的共同努力。作为物业服务企业，需要及时更新相关行业知识及法律法规，处理信息时守好“底线”、不越“边界”。作为业主个人，也需加强防范意识，共同为物业服务智能化管理工作打造一个良好的环境。

 

附：核心法律、法规等条款摘录

序号	名称	条文
1	民法典	第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。 第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。 隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。 第一千零三十三条 除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为： （一）以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁； （二）进入、拍摄、窥视他人的住宅、宾馆房间等私密空间； （三）拍摄、窥视、窃听、公开他人的私密活动； （四）拍摄、窥视他人身体的私密部位； （五）处理他人的私密信息； （六）以其他方式侵害他人的隐私权。 第一千零三十四条 自然人的个人信息受法律保护。 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。 第一千零三十五条 处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件： （一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外； （二）公开处理信息的规则； （三）明示处理信息的目的、方式和范围； （四）不违反法律、行政法规的规定和双方的约定。 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。 第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。
2	最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定 （法释〔2021〕15号）	第一条 因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件，适用本规定。 人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。 本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。 第四条 有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持： （一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外； （二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的； （三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。 第五条 有下列情形之一，信息处理者主张其不承担民事责任的，人民法院依法予以支持： （一）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的； （二）为维护公共安全，依据国家有关规定在公共场所使用人脸识别技术的； （三）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的； （四）在自然人或者其监护人同意的范围内合理处理人脸信息的； （五）符合法律、行政法规规定的其他情形。 第十条 物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。 物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形，当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的，人民法院依法予以支持。
3	个人信息保护法	第十三条 符合下列情形之一的，个人信息处理者方可处理个人信息： （一）取得个人的同意； （二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需； （三）为履行法定职责或者法定义务所必需； （四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需； （五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息； （六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息； （七）法律、行政法规规定的其他情形。 依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。
4	网络安全法	第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。
5	消费者权益保护法	第二十九条 经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。 经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。 经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。