2025年2月10日,国务院正式发布《公共安全视频图像信息系统管理条例》(以下简称“CCTV条例”),全文三十四条,将于2025年4月1日开始实施。在此之前,公安部于2016年、2024年先后两次公开征求意见。相较于征求意见稿,正式稿适度减轻了一般经营场所部署CCTV的合规责任,适度放宽了厉害关系人查看关联CCTV片段的限制条件,理清了条例与《个人信息保护法》等的规范边界。在此之前,广东、北京、重庆、江苏等地已经先后发布了公共CCTV监管相关的地方性规范。

结合近期立法、监管及司法实践,并参考类似项目经验,就CCTV条例对企业在经营场所部署CCTV的合规影响,汇业律师事务所黄春林律师团队解读如下,仅供参考。

一、设备类型

根据相关法律法规和监管实践,CCTV条例规定的视频图像信息系统主要包括两类:

(1)仅具有图像采集功能的传统监控设备及其系统;

(2)具有个人身份识别的图像采集设备及其系统。

二、场所范围

(一)应当部署CCTV的场所

编号

场所类型

实例

主体

一类场所

公共安全场所

城乡主要路段、行政区域道路边界、地下通道、广场等;

治安保卫重点单位周边区域,例如金融、新闻机构等。

法定主体或者负有经营管理责任的单位

二类场所

人员聚集场所

商贸、会展中心,文体娱乐场所,停车场,医疗机构等;

交通枢纽、大中型公共交通工具、主干道沿线等;等

(二)可以部署CCTV的场所

编号

场所类型

实例

条件

三类场所

经营性公共场所

商场、超市、餐厅、宾馆、厂区、园区、办公楼等的出入口、主要通道、大厅等

(1)非封闭的公共经营场所;

(2)为维护公共安全所必需;

(3)安装主体仅为对该场所负有安全防范义务的单位;

(4)符合最小化原则;等等

四类场所

非公共场所

私人住宅周边

(1)不得危害公共安全或者侵犯他人的合法权益;

(2)不得非法对外提供或者公开传播。

根据CCTV条例,企业违反前述规定拒不改正的,由公安机关没收相关设备设施,删除所收集的视频图像信息,对单位处2万元以下罚款,并对直接负责的主管人员和其他直接责任人员处5千元以下罚款。

(三)禁止部署CCTV的场所

根据CCTV条例及《人脸识别技术应用安全管理规定(试行)(征求意见稿)》等规定,下列可能侵害他人隐私的区域、部位不得安装CCTV:

(1)第三类场所的封闭式私人空间,例如用户具有隐私期待的客房、包房、单间、VIP独立休息区、主管独立办公室、胶囊区、电话间等;

(2)第三类场所的敏感、隐私部位,例如浴室、卫生间、育婴室、更衣室、试衣间、化妆间等的内部区域;

(3)学生宿舍、单位住宿或休息场所的内部空间;

(4)能够拍摄、窥视、窃听他人隐私的其他区域、部位,以及可能造成歧视性、身心不适或隐私焦虑的其他部位,例如怼脸监控、定向拍摄等;等等。

根据CCTV条例,企业违反前述禁止规定的,由公安机关没收相关设备设施,删除所收集的视频图像信息,对单位处1万元以上2万元以下罚款,并对直接负责的主管人员和其他直接责任人员处5千元以上1万元以下罚款。

三、设备、安装及数据规范

根据CCTV条例及相关立法要求:

(1)部署的相关设备应当符合相关标准的强制性检测、评估要求,相关系统必须符合网络安全等级保护等要求,其他符合《公安视频图像信息系统安全技术要求》《信息安全技术 人脸识别数据安全要求》等标准。

(2)部署时应当合理确定安装位置、角度,确保精度和采集范围的最小必要。

(3)设置显著的提示标识,并参照《信息安全技术 个人信息处理中告知和同意的实施指南》等内容落实告知同意责任。

(4)第一、二类场所部署的CCTV的数据留存日期为30日,第三类场所的留存日期建议不得超过30日;留存日期期满后,应当对删除数据或者匿名化。

(5)收集的图像类个人信息,只能用于维护公共安全的目的,不得用于基于个人信息的热区分析、客流统计、熟客识别其他目的;取得个人单独同意的除外。

四、备案管理

根据CCTV条例,第一、二类场所部署的新增CCTV应当在系统启用前30日内向公安机关办理备案,存量CCTV应当在90日内补办备案;备案情况发生变化的应当办理变更备案。在国家层面,第三类场所部署的CCTV暂无强制公安备案的要求。

此外,根据《人脸识别技术应用安全管理规定(试行)(征求意见稿)》规定,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。

五、调取、查看及传播规范

1. 官方调取

根据CCTV条例及《个人信息保护法》等规定,国家机关因履行执法办案、处置突发事件等法定职责,查看、调取公共视频系统收集的视频图像信息,应当依照法律、行政法规规定的权限和程序进行,并履行告知义务,法律另有规定除外。

对于调取程序规定,例如北京、广东、无锡、武汉等地明确规定,工作人员不少于两人;出示工作证件;出示公安机关的批准文件或者所在单位出具的证明文件;履行登记手续;等等。

2. 个人查看

为了更大程度保障人民群众的生命及财产安全,相较于征求意见稿,正式稿适度放宽了适用条件。CCTV条例首次明确,满足下列所有条件的,个人可以查看关联的视频图像信息:

(1)前提必须为了保护自然人生命健康、财产安全,例如儿童走失、传染溯源、财物丢失等;

(2)申请人严格限定是利害关系人,即本人、近亲属或者其他负有照管责任的人;

(3)坚持最小必要原则,只能查看(不含复制、传播等)与之关联的片段信息;

(4)经CCTV管理单位同意;等等。

3. 公开传播

根据CCTV条例及《个人信息保护法》等规定,视频图像信息被用于新闻报道、舆论监督、回应热点等公开传播用途时,必须满足如下条件:

(1)经数据主体同意(个人单独同意);

(2)对敏感个人信息及敏感数据采取严格的保护性措施,例如去标识化;等等。

此外,通过上述渠道对外提供视频图像信息的,应当如实记录提供的事由、内容及接收方人员的单位、姓名等信息。

六、其他合规治理要求

企业在部署CCTV,以及在开展收集、提供、公开视频图像信息的数据处理活动时,还应当满足的合规治理要求包括但不限于:

(1)根据《个人信息保护法》、《网络数据安全管理条例》等规定,依法开展个人信息保护影响评估或数据安全影响评估;

(2)依法加强对供应商资质审查,依法签署协议,并监督供应商履行网络安全、数据安全和个人信息保护义务;

(3)发生系统安全事件或漏洞风险时,应当立即采取处置、补救等措施,按照规定及时履行报告、通知等义务;

(4)建立系统监看、管理等重要岗位人员的入职审查、保密教育、岗位培训等管理制度;

(5)采取授权管理、访问控制等技术措施,严格规范内部人员对视频图像信息的处理;

(6)建立信息调用登记制度;等等。

其中,以上(4)、(5)、(6)三项,第一、二类场所主体强制适用,第三、四类场所主体可以比照开展合规建设。

声明:本文来自网络与数据法律实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。