010-85197758

《个人信息保护法》视角下物业服务企业合规建议

  2021-11-01 11:05:12

信息化时代下,具有“识别”功能的个人信息常被用于牟利,个人信息被违法使用、个人权益遭受损害情况屡见不鲜。2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并定于2021年11月1日正式施行,该法对个人、企业等信息处理者在个人信息的收集、使用方面作出了详细规定。

作为依法设立、从事物业管理服务活动的企业,在提供物业服务过程中,不可避免会涉及到众多业主的个人信息处理,若处理不当,则可能面临严厉处罚。本文将结合物业服务企业提供物业服务的特点,从《个人信息保护法》角度提出具体合规建议。


01.

签订物业服务合同时,以合同条款或附件形式告知相关人员信息保护的法定事项


《个人信息保护法》第十七条规定了个人信息处理者在处理个人信息前,应以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知相关法定事项。物业服务企业在提供物业服务过程中,通常会收集业主或相关人员的个人信息,如姓名、楼宇座落、电话、车牌号等。依照前述法律规定,物业服务企业在处理个人信息前,应当告知如个人信息的处理目的、方式、保存期限,及个人行使法定权利的方式和程序等法定事项。


同时为避免产生争议并留存证据,物业服务企业应将告知事项明确在合同中或作为附件让相关人员签字确认。根据物业服务合同通常系业主代表或业委会代签的特点,获得所涉及的全部人员签字较难实现,对此,有两种方案可供参考:其一,就告知事项让所涉及的全部人员专门委托签约业主代表或业委会;其二,依法制定个人信息处理规则,公开告知。如果涉及到法定敏感个人信息的处理,如人脸、指纹识别等生物信息及不满十四周岁未成年人信息等,还需遵守相关法律的特别规定,告知处理的必要性及对个人权益的影响,取得相关个人的单独同意。


02.

物业服务区域内安装图像采集、个人身份识别设备,应遵守“必需”和“特定目的”原则,并设置显著提示标识


《个人信息保护法》第二十六条对于在公共场所安装图像采集、个人身份识别设备作出了规定,要求安装是为维护公共安全所“必需”,且只能用于“维护公共安全的目的”,但取得个人单独同意的除外。依此规定,在物业服务区内的公共领域,如小区公共道路、停车场、楼宇内楼梯及电梯内安装监控设备,尤其是安装人脸识别、指纹识别等个人身份识别设备,均需符合“必需”和“特定目的”要求。


即原则上不能安装,只有不安装就无法维护公共安全时才可以安装;所收集的个人信息也只能用于维护公共安全目的。如小区内强制安装人脸识别设备作为门禁就违反了“必需”原则,因为可以用门禁卡或其它方式替代,此点在2019年杭州法院审理的“人脸识别第一案”中,和最高人民法院颁布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中均已予以确定。


关于在公共区域安装监控设备,个人认为出于防盗、防火等公共安全考虑,确有必要,但仍需符合《个人信息保护法》规定的采取对个人权益影响最小的方式,安装数量、安装位置等均需符合“必需”要求,而在落实上尚需相关部门进一步出具实施细则予以明确。 


03.

物业服务企业委托第三方提供部分物业服务,该第三方应依据《个人信息保护法》处理个人信息,物业服务企业负有监督义务


《个人信息保护法》第二十一条对于委托处理个人信息作出了规定,即应与受托人约定处理目的、期限、信息种类及保护措施等,并对受托人的处理活动进行监督。


实践中,物业服务企业会将停车管理等部分物业服务外包,其中涉及到的业主姓名、楼宇座落、车牌号等信息将被外包企业获取并处理。此时,物业服务企业应在与外包企业签订的委托合同中明确,业主的个人信息仅限用于停车管理,外包企业应采取必要措施保护业主个人信息等;如果委托合同无效、被撤销或终止的,外包企业应将掌握的相关个人信息返还物业服务企业或删除,不得保留。物业服务企业应对外包企业处理业主的个人信息活动的合法性、合理性、正当性进行监督,如果因外包企业处理业主个人信息不当,物业服务企业将会承担相应法律责任。


04.

更换物业服务企业需转移业主个人信息的,原物业服务企业应将信息返还,或取得业主个人同意后直接转移给新物业服务企业


物业服务难以避免存在新售小区前期物业和成立业委会后更换物业,以及因服务不达标或服务期满而更换物业的情形,小区业主的个人信息则存在于多个物业服务企业之间转移的问题。


《个人信息保护法》第二十二条只对因合并、分立、解散、被宣告破产等原因而转移个人信息的情形作出规定,却并未规定前述小区业主通过行使自治权或合同到期后更换物业服务企业的情形。


事实上,变更物业服务企业,新的物业企业就相当于新的个人信息处理者,其依据《个人信息保护法》规定,在重新履行法定的告知义务后即可处理个人信息。此时,新旧物业企业之间还存在着交接的问题。涉及到个人信息的交接,原物业应在退出时履行法定的个人信息返还或删除义务,若直接交接给新物业企业,则应在事前取得业主个人的同意。


05.

定期对个人信息处理情况进行合规审计,法定情形需事前进行个人信息保护影响评估,同时指定个人信息保护负责人


《个人信息保护法》第五十四条规定了个人信息处理者的定期合规审计义务,同时,该法第五十五条还规定了特殊情形需事前进行个人信息保护影响评估,如涉及到个人面部、指纹识别,行踪轨迹,不满十四周岁未成年人的个人信息等敏感信息的处理。


物业服务企业在提供服务过程中,涉及业主个人及相关人员个人信息的收集、存储、使用、提供、删除等多个环节,其中更是可能涉及敏感个人信息的处理。随着客观情形的不断变化及新的法律、法规的出台,原来合法的处理方法现在或将来也有可能不再合法。如物业服务企业公布欠交物业费业主名单的做法,就有可能涉及违反《个人信息保护法》相关规定。


因此依法定期合规审计及专项事前个人信息保护影响评估,是保证企业依法处理个人信息的关键,有助于防范潜在的个人信息泄露、不当使用等违法风险。企业可指定个人信息保护负责人,尤其是为一些大型社区、高端社区提供物业服务的企业,此种类型的社区涉及的个人信息数量巨大、业主个人对隐私保护需求亦更高。指定专门信息保护负责人,依法履行保护职责,将有利于维护业主、企业的合法权益。另外,前述措施不仅是为了更好地履行《个人信息保护法》规定的依法处理个人信息的义务,也是为了避免企业发生法律风险,一旦个人信息纠纷发生时,企业可以据此证明已尽到了合理保护义务,从而避免或减少相应的法律责任。


业主个人信息的合规处理,将伴随物业服务企业提供服务的整个流程,对企业生存、发展至关重要。一旦处理不慎,不仅企业甚至负责人及相关责任人员都将面临严厉处罚。因此,物业服务企业应适应新形势、新法律、新政策,依照要求尽早对企业涉及个人信息处理的活动进行专项合规管理,以期提升物业服务企业自身管理水平、企业市场竞争力与企业效益,并规避遭受声誉损失及身陷法律纠纷之虞。


策略概况 专业领域 精英团队 新闻中心 策略资讯 社会责任 加入我们
  • 010-85197758
  • 010-85197768
  • 北京市东城区东直门南大街1号来福士中心办公楼25层 (东直门桥西南角,紧邻来福士购物中心)
新浪微博

邮箱:celuelaw@bjcelue.com

京ICP备11018893号-2