天津一物业公司以人脸识别门禁作为唯一通行方式被诉侵权，一审法院认为被告系因疫情防控所需，未侵犯住户隐私权。近日，该案二审作出改判，法院要求物业公司应删除人脸信息并为其提供其他验证方式。

澎湃新闻注意到，2021年9月，原告顾某与被告兰州城关物业服务集团有限公司、兰州城关物业服务集团有限公司天津分公司(以下简称城关天津分公司)隐私权纠纷一案，经天津和平区法院立案后适用简易程序公开开庭审理。

案情显示，原告居住于天津市和平区诚基经贸中心，被告采用人脸识作为出入物业服务区域的验证方式。2021年8月2日至5日期间，原告曾与被告天津分公司诚基经贸中心项目部工作人员多次沟通,要求删除其人脸信息并提供无障碍出入方式，但均被拒绝。

基于此，原告认为被告侵犯其人格权，违反了处理人脸信息需要遵循的合法、正当、必要原则，将对方起诉至法院。

城关天津公司在一审抗辩称，使用人脸信息是按照天津市疫情防控的相关规定和要求，系疫情防控的必要措施和需要。人脸识别系统经过业主委员会、综合治理办公室一致认可，并于2020年疫情暴发的时候正式启用。一审法院对此抗辩理由予以采信。

一审法院认为，原告并未提交城关物业公司、城关天津公司对人脸信息存在泄露、篡改、丢失的相关证据，且不能证明城关物业公司、城关天津公司侵犯了其隐私权。最终，以原告诉求没有事实和法律依据不予支持，作出驳回判决。

顾某不服，遂向天津一中院提出上诉。上诉人认为，一审法院认为被上诉人系疫情防控之需要，没有事实和法律依据，“使用人脸信息作为防疫工具缺乏必要性，不符合必要、合法原则”。

经天津一中院审查认为，本案系因处理个人信息引发的纠纷，案由应确定为个人信息保护纠纷。

二审法院审理指出，城关天津公司基于涉案小区人员密集、安全防范难度较大的情况，在征得业主及物业使用人同意的情形下，于2020年2月启用人脸识别系统作为业主及物业使用人出入验证方式，能够更精准识别出入小区人员，在新冠肺炎疫情防控中发挥了较大作用，并不违反法律规定。

但是，根据2021年8月1日起施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第10条规定，如果有业主或者物业使用人不同意采取上述验证方式而请求物业公司提供其他合理验证方式的，物业公司不能以智能化管理为由予以拒绝。

法院认为，城关天津公司以人脸识别验证方式系业主委员会同意，拒绝为提供其他验证方式的抗辩理由，与前述规定相悖。同时，城关天津公司关于使用人脸识别验证方式是按照疫情防控的相关规定和要求的主张，亦无证据证实。

基于此，天津一中院作出终审判决：撤销一审判决，要求被上诉人删除人脸信息并提供其他通行验证方式，并赔偿合理费用6200元。

随着网络信息技术的高速发展，网络空间规范治理与网络安全保障成为各国各地区高度重视的问题。习近平总书记指出：没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，2016年11月7日，《中华人民共和国网络安全法》（以下简称《网络安全法》）审议通过，并于2017年6月1日起正式施行。

施行五年以来，《网络安全法》确立的网络运行安全、网络信息安全等网络安全领域的基本制度，通过执法、立法和司法三个方面的工作得到充分贯彻落实和不断发展完善。到目前为止，我国已经构建起以《网络安全法》等法律为核心，包括《中华人民共和国数据安全法》（以下简称《数据安全法》）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规在内的科学合理完备的网络安全法律规范体系。

以网络信息安全为例，《网络安全法》确立了我国个人信息保护的体系框架和基本内容，如个人信息保护的基本原则、告知同意规则、网络运营者保护个人信息安全的义务、个人要求网络运营者删除或更正的权利等。在《网络安全法》等基础上，经过《中华人民共和国民法典》（以下简称《民法典》）、《个人信息保护法》等法律的充实和发展，最终建立了有中国特色的个人信息保护法律制度。

首先，《网络安全法》明确了网络运营者在收集、使用个人信息时应当遵循合法、正当、必要三项原则，同时确立个人信息处理中的知情同意规则，即网络运营者必须明示收集、使用信息的目的、方式和范围，并经被收集者同意。《网络安全法》将网络运营者处理个人信息的合法性根据明确为两类，即用户的同意或者有关法律、行政法规的规定。这些规定都为《民法典》《个人信息保护法》进一步规定个人信息处理的基本原则以及合法性根据提供了依据。例如，《民法典》第1035条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”。《个人信息保护法》第13条第1款第2-7项将《网络安全法》中的法律、行政法规的规定细化为六类情形，如“为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息”等。

其次，《网络安全法》明确了网络运营者对其收集的用户信息负有严格保密义务，并要求其建立健全用户信息保护制度。同时，该法明确规定了网络运营者对其收集的个人信息所负有的法定义务，包括：不得泄露、篡改、毁损收集的个人信息；未经被收集者同意，不得向他人提供个人信息；采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失；在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。此外，《网络安全法》还规定，网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。根据《网络安全法》对网络运营者应当保护用户信息的义务的规定，《个人信息保护法》专章（第5章）对个人信息处理者的义务作出了详细的规定，如：明确了应当采取哪些措施防止未经授权的访问以及个人信息泄露、篡改、丢失（第51条）；定期进行合规审计的义务（第54条）；在规定的情形下事前进行个人信息保护影响评估，并对处理情况进行记录的义务（第55-56条）；发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者采取补救措施以及通知的义务（第57条）等。

再次，《网络安全法》明确了个人享有删除权与更正权，即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。《民法典》与《个人信息保护法》在此基础上，将删除权和更正权扩展到所有的个人信息处理者，如《民法典》第1037条规定：“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”《个人信息保护法》第47条则进一步明确了个人信息处理者应当主动删除个人信息的情形。