2021年6月10日，PropTech地产科技创新峰会在北京召开，本次峰会作为清华校友三创大赛系列活动之一，联合发布“地产科技创新需求”，用真实的需求推动地产科技创新。峰会召开期间，君合律师事务所合伙人杨锦文律师发表了《房地产业的数据合规和隐私保护》的演讲。

杨锦文：大家下午好！先简单的做一个自我介绍，我是君合律师事务所北京办公室的合伙人，毕业于北大法学院，这几年主要做网络安全和数据保护方面的业务。具体来说，是协助企业建立个人信息保护制度，APP的合规运营，一些数据的合规审计，以及数据出境等业务。

今天的主题是房地产业的数据合规和隐私保护。展开具体话题之前，首先介绍一下全球主要法域的一些立法动态。

目前属于全球科技产业升级转型的战略机遇期。党的十九届、五中全会提到要发展数字经济，要推进数字产业化和产业数字化，要推动数字经济和实体经济的深度融合，同时打造具有国际竞争力的数据产业集群。以大数据，以及人工智能、云计算等新一代技术为基础的数字经济是体现了目前经济发展的基本动向。而作为数字经济的“血液”和“石油”，自然人的交易记录，健康身体，以及行动轨迹，对于经济转型的重要性体现得越来越重要。所以，作为最新的生产要素，个人信息现在是被各个国家作为重要的资源来争夺。在这种背景下，各主要法域出台了一系列的法规，欧盟2018年出台了《通用数据保护条例》，英文简称GDPR，GDPR有一些特征，立法技术非常先进；对个人信息的保护非常严格；还有的是处罚力度非常大，对于违反规定的可以处罚到2000万欧元，或者全球销售额的4％，金额是非常巨大的；另外，GDPR有域外效力，所以GDPR2018年一经公布，引起了全球广泛的关注和学习。我们国家的一些立法也参照了GDPR的一些立法精神和立法技术。美国相对来说更复杂一些，美国有各洲的一些法律，2018年3月份美国公布了一个Cloud法案，主要解决跨境执法请求引发的数据争端的问题。日本2005年已经公布了的《个人信息保护法》，随着技术的大力发展，日本2015年对他的《个人信息保护法》做了比较大的修改，2017年开始实施。我们国家2017年公布了《网络安全法》，因为《网络安全法》是比较原则性的一个法律，去年年底出台了《个人信息保护法（一审稿）》和《数据安全法（一审稿）》，今年4月份迅速出台了二审稿，我们中国应该很快会颁布实施《个人信息保护法》。

这些相关的法律法规，对于个人信息的保护，以及违法的处罚都做了非常详细、严格的规定。对于企业的经营管理中运营，处理个人信息，都设定了一条无形的高压线。个人信息对企业来说有可能是一个“摇钱树”，也有可能是一个烫手的山芋。

我们今天要讲的具体内容分五部分：第一，房地产业常见的个人信息违规的场景。第二，房地产业个人信息保护国内的立法动态。第三，房地产业个人信息保护的规制要点。第四，法律责任。第五，合规要点，以及一些建议。

第一，房地产业常见的个人信息违规的场景。

因为房地产业是非常宽的一个领域，包括各种各样的业态。我们首先选择针对房地产业的一个比较常见的违规场景。这是去年年底2020年11月底，一条济南男子戴着头盔去看房上了热搜。起因就是楼盘都安装了人脸识别的系统，他为了防止自己的人脸被采集，戴着头盔去看房。戴着头盔去看房起因就是房地产开发公司是为了区分顾客究竟是自然访客，还是渠道访客，如果是渠道访客，房地产开发公司需要给销售公司一定的佣金。

这是针对房地产中介的一个违法案例，这是前两年上海市公安局破获的一起侵犯个人信息的一个案子。有四名犯罪嫌疑人全部都是中介公司的业务人员，其中一个业务员向其他三人花了一千块钱购买了十万条个人信息，其中包括姓名、手机、生日、居住地址等非常详尽的信息。根据警察的询问，这些中介的业务人员供认，是为了提高个人业绩，相互之间交换个人信息是行业的公开秘密。

下面这个是针对购物中心的一些违规场景。这是今年3·15晚会曝光的一个案子，就是一个购物中心的连锁店隐匿使用人脸识别系统来采集顾客的人脸，通过人脸抓拍，起到到店提示或者购物信息关联，形成用户画像，提升导购的转化率。

这是针对小区物业的，物业的违规场景，物业员工泄露2万余条小区居民的个人信息被抓了。物业把个人信息全部共享给这边的建材公司或者装潢公司。

这是针对酒店行业的，这是2018年比较轰动的一个案子，当时是比较有名的国际连锁酒店，他的客房预订数据库被黑客所攻击，导致数亿条个人信息泄露，其中包括房客开房记录、身份证号、有的信用卡也被泄露，酒店当时公布这个信息之后，导致公司股价当时暴跌。

第二，房地产业个人信息保护目前我们国家保护的立法动态。

立法包括两个层面：一个层面是基础法规。还有一个是针对房地产行业的一些特殊规定。基础法规这块：《民法典》和《个人信息保护法（二审稿）》规定自然人的个人权益、隐私受到法律保护。《消费者权益保护法》，其实更早规定了经营者收集使用个人信息遵循合法政党必要的原则，对消费者个人的信息应当保密。《网络安全法》是对于网络运营者的网络安全和数据安全具有保护义务。《个人信息安全规范》是2018年10月1号开始实施的，这个《规范》虽然是一个推荐性国标，不是强制适用，因为《安全规范》里面规定的非常详细，从信息收集、使用、共享、跨境传输，都有非常详尽，可操作性的规定。所以，目前是执法部门重要的参考依据。

APP合规方面，APP现在是一个违规的重灾区。2019年四部委规定了一个专项整治的报告，公告里边对于APP运营者规定了很多合规义务。

这是针对房地产领域的，有针对房地产开发公司的一些规定，也有针对物业公司、住房租赁或者商业服务业的一些规定。具体我们看下一页。

比如，针对房地产企业的，3·15曝光之后，昆明市就出台了一个《关于规范商品房销售场所人脸识别系统使用行为的通知》，这里边要求房地产企业对商品房消费者进行身份识别，收集使用的时候应当遵循合法、正当、必要的原则，不得强调消费者通过指纹、人脸识别等生物信息进入商品房销售场所和使用公共设施设备，如果确实有需要使用人脸识别，房地产开发企业应当明确标识人脸识别区域和个人信息采集使用的用途，未经消费者本人同意，不得使用人脸识别系统进行信息采集。这是针对房地产开发企业的规定。

关于物业公司的，北京的《物业管理条例》要求物业从业人员不得泄露在物业服务活动中获取的业主信息，如果泄露业主信息会有公安机关依法予以处理。针对租赁业，北京市21号文要求网络交易平台、房产中介、住房租赁企业应当对获取的租赁当事人的相关信息负有保密义务。商业服务企业北京市有一个三年行动计划，严厉打击侵犯消费者个人信息安全等违法违规的行为。这是一个基本的立法的动态。我这儿主要是列了北京市的一些规定，其他各个地方可能也有类似的规定。

第三，房地产企业个人信息保护规制的要点。

首先，第一个基本的原则，就是收集使用个人信息应遵循合法正当必要的原则，这个原则都是非常宽泛，非常模糊的一个原则。具体来说，一是不应收集与业务功能无关的个人信息，比如刚才昆明市的要求，是说房地产开发企业房地产不得强制通过指纹、人脸识别等生物识别信息进入商品房销售场所，因为毕竟客户只是来看房，没必要收集他的指纹或者人脸识别。并且通报案例是某小区门禁系统收集用户的宗教信仰、婚史等个人敏感信息，与业务功能无关。主要是小区门禁，只要能够确定是小区的住客就可以，通常来说，只要提供身份证、租房合同，或者产权证书基本的信息就可以，对于宗教信仰、婚史这些跟业务功能是无关的。

二是不得强制收集非必要的信息，不得因用户拒绝收集，拒绝提供业务功能。主要有一个案例讲的是杭州的一个公园和大学副教授之间的一个争议，最近被各大媒体报道，称为人脸识别第一案。我简单介绍一下案情，2019年4月7号，大学教授花了1360元购买了这个公园的畅游365天双人年卡，年卡要求用指纹识别入园。原告跟妻子在园区留存了姓名、身份证号码、电话号码等个人信息，并且应园方的要求，去了年卡中心进行了拍照。此后夫妻双方多次入园游玩，2019年7月和10月，园方发了几次短信要求变更入园识别系统，要求激活人脸识别系统，否则将无法正常入园。

大学教授认为这个属于自己的高度敏感信息，不同意接受入园方式，要求退卡，双方对此达不成一致意见，最后大学教授提起诉讼，在杭州富阳区法院做了一审判决，判决园方删除原告以及妻子的照片和面部特征信息。一审判决出来之后，双方当事人都不服，都提起了上诉，二审维持了一审的判决之外，还要求园方删除原告及其妻子的指纹识别信息。在这个案件中，这个大学教授主张的是要求退卡，没有主张继续履行这个合同。通常我们都认为如果大学教授要求继续履行合同，园方应当专门设定相应的闸机，然后按照原来的指纹识别信息，如果游客不同意，他应当专门设定特定的闸机供游客通过指纹识别入园。

应当明示告知收集使用信息的目的、方式和范围，并取得消费者的同意。对于这个《个人信息保护法（二审稿）》有了进一步的严格的要求，个人的同意应当在其充分知情的前提上自愿、明确作出。这是根据经济学统计的，20％的顾客决定了80％的销售额。然后，商店为了开展有针对性的营销，隐匿使用人脸识别系统采集、分析消费者，形成用户画像，他收集的目的主要是统计客户访问连锁店的次数，简单来说是属于偷拍行为，没有取得个人的同意，也是在个人不知情的情况下做了一些偷拍。

不应以欺诈、诱骗、误导的方式获得同意。这也是央视报道的，填表送礼，填表收集的个人信息用于房屋推荐，主要是针对老年人的行为更多一些。

使用个人信息不得超出收集个人信息时所声称的范围。刚才简单介绍就是物业员工泄露2万余条小区居民的信息被抓。这个案子大概情况是这样的，业主李某拿到新房之后，刚入住没几天，装潢公司就给他打来电话，问要不要装修。然后一而再，再而三骚扰他，不胜其烦，怀疑自己的个人信息被泄露，然后就去举报。民警去装潢公司调查的时候，发现装潢公司的业务员手里面拿着大量的业主信息逐个拨打电话。上面有大量的个人信息，包括姓名、入住时间、身份证号码，很多这样的信息。然后，经过民警调查，这些个人信息都是来自于其他的建材店，大概涉及到10多家店铺，最后的源头发现是小区物业的姜某，他利用工作之便收集了大量的个人信息，然后又把这个信息送给自己比较相熟的装潢公司的老板和建材界的老板，这些老板平时请姜某吃个饭，然后娱乐旅游作为回报。物业公司收集信息目的应该是提供物业服务，《北京市物业管理条例》去年生效的，要求物业服务人员不得泄露在物业服务过程中获取的业主信息。同时，潜江市组织了一次行政约谈会，对物业行业布六个承诺，其中涉及不得向他人出售业主信息，不向其发送商业信息。

2017年生效的《网络安全法》要求企业办理网络安全等级保护，具体网络安全等级保护，简单来说，就是对公司经常使用的一些OA系统或一些工业系统，应当在律师以及外部的测评公司和一些专家的配合下做一个定级，然后再检测，最后去公安作为备案手续。目前公安对这种等级保护采取双罚制和双查制。因为以前如果是被黑客攻击，公安首先查黑客，《网安法》出来之后，公安不仅去查黑客，而且首先会查公司，究竟有没有做等级保护制度，如果没有做等级保护制度，也会对公司进行处罚。对公司处罚的时候，不仅处罚公司，而且处罚公司的这些相应的管理人员，以及主管人员。

这个是这两年处罚的案例，国内酒店未落实网络安全等级保护制度被处罚的一些案例。时间关系不再具体展开了。

第四，法律责任。

违反侵害个人信息从大的方面来说有三块责任：1.民事责任。2.行政责任。3.刑事责任。

民事责任值得大家注意的是，侵权责任这块，通常我们都是谁主张谁举证，但是《个人信息保护法》二审稿为了保护个人的权益，用了一个过错推定的原则，如果个人信息受到侵害，个人信息处理者如果不能证明自己没有过错，就应当承担损害赔偿责任，作为企业，平时最好留下相应的证据，以便到诉讼这一步的时候要留有证据，证明自己是没有过错的。

从行政责任来说，目前生效的《网安法》里边对侵害个人信息的做了一些处罚规定，首先责令整改、警告、没收违法所得，如果没有违法所得，处100万以下的罚款，情节严重的也可以吊销营业执照，也是采取双罚制度，不仅罚公司，而且罚直接负责主管人员和其他责任人员。

值得注意的是《个人信息保护法》二审稿对于处罚做了一个非常大的调整。情节严重的并处5000万元以下，或者上一年度营业额的5％以下的罚款，5％是非常高的一个金额，对房地产企业来说销售金额动不动上千亿，5％就是50亿。当然，不一定会顶格罚，但是这个风险是非常巨大的。而且对于直接负责的主管人员的责任的处罚金额，也是提高10倍，由原来的1万以上10万以下，变为10万元以上100万元以下。所以，《个人信息保护法》生效以后，是需要引起大家足够的重视。

关于行政责任，因为现在APP这块违规的比较多。然后每个人基本现在工信部都会定期的公布违规的一些信息，其中要求企业在15日内完成整改，如果不整改直接会被下架，根据我们的经验，如果被下架，再重新上线，大概需要2个月左右的时间，对企业的影响是非常巨大的，特别是主要从事数据存活的这类企业，如果一旦被下架，公司的现金流可能会出现问题。

从刑事责任来看，刑事责任这块主要涉及两条罪名：

1.拒不履行信息网络安全管理义务罪。这个罪与结果直接相关的，如果致使违法信息大量传播，致使用户信息泄露造成严重后果的，这种会触犯拒不履行信息网络安全管理义务罪。

2.侵犯公民信息罪。主要针对刚才说的那几个物业小区，贩卖个人信息，非法出售提供窃取个人信息，也是采取双罚制，不仅罚公司，而且罚直接负责的主管人员和其他直接责任人员。

第五，合规要点。

企业应当做哪些？

首先，应该建立健全制度规范体系，建立健全规范体系。公司是要做数据合规审计，首先摸底和掌握公司的数据资源和数据处理的合规性的问题。我们通常会给企业出具合规差距性分析报告，供企业进行整改。

第二，制定和完善用户协议、隐私保护政策，这些个人信息管理制度。从数据收集、使用、共享、跨境传输，各个环节进行规范性的要求。

第三，与第三方共享，或者委托第三方处理这些数据的时候，为了保护公司的利益，使风险最小化，通常会用一些合适范本，加入一些保护公司的相关数据条款。

第二部分是构建网络安全保护体系，实施网络安全等级保护，建立健全网络安全事件应急处置机制。三是加强从业人员的教育和行为约束，强化制度的宣导和培训。

有很多企业也是有很规范的制度，但是更多的主要是从业人员的意识不够，特别是最近法规，以及国标出来一大堆，专业人员都来不及学习。所以，对于这些从业人员，他可能这方面意识转变也是需要一定的时间，加强从业人员的教育和行为约束变得非常重要。

谢谢大家！