引言
早在20世纪90年代,我国就开始布局天网工程。经过多年的发展,天网工程已在全国范围内形成了完善的安全网络,为预防和打击犯罪提供了强大技术支持,中国也成为公认的“世界上最安全的国家”之一。而随着数字化发展,个人信息保护问题日益突出,因为个人信息的滥用和泄露等问题,导致个人安宁权甚至于人身、财产权遭受损失。个人信息保护与公共安全之间的平衡,变得愈发重要。《个人信息保护法》要求,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。
与此同时,非公共场所的图像采集设备也不断引发争议。受益于科技赋能,家门口安装可视门铃保护生活安全的现象也屡见不鲜。但家门口的可视门铃同样也会监视到邻居的行踪,侵犯其隐私权。北京、上海、江苏、江西、安徽等多地法院都对家门口安装可视门铃进行了判决,一致认为家门口的可视门铃虽然出于安全需要,但超出了必要的限度,侵犯了邻居的隐私权。
无论是公共生活还是准公共生活中,利用视频监控技术维护安全和保护公民个人信息权益及隐私权,都是一个亟需寻找到合理边界的法治命题。2月10日,国务院公布《公共安全视频图像信息系统管理条例》(以下称《条例》),明确了公共安全视频的建设和管理要求,维护公共安全,同时保护个人隐私和个人信息权益,将于2025年4月1日起施行。
01 严格规范建设
1. 区分公共场所和私密空间
《条例》所称公共安全视频图像信息系统是指通过在公共场所安装图像采集设备及相关设施,对涉及公共安全的区域进行视频图像信息收集、传输、显示、存储的系统。《条例》主要是规范公共场所的视频图像系统,同时禁止在私密空间的视频监控,因此有必要区分公共场所和私密空间。
通常来说,公共场所具有开放性、人员密集性、公共性等特点。1987年出台、2019年修订的《公共场所卫生管理条例》,采取列举的方式明确了七类公共场所,且并未设置兜底条款:(1)宾馆、饭馆、旅店、招待所、车马店、咖啡馆、酒吧、茶座;(2)公共浴室、理发店、美容店;(3)影剧院、录像厅(室)、游艺厅(室)、舞厅、音乐厅;(4)体育场(馆)、游泳场(馆)、公园;(5)展览馆、博物馆、美术馆、图书馆;(6)商场(店)、书店;(7)候诊室、候车(机、船)室、公共交通工具。
《条例》中也列出了四类公共场所:(1)商贸中心、会展中心、旅游景区、文化体育娱乐场所、教育机构、医疗机构、政务服务大厅、公园、公共停车场等人员聚集场所;(2)出境入境口岸(通道)、机场、港口客运站、通航建筑物、铁路客运站、汽车客运站、城市轨道交通站等交通枢纽;(3)客运列车、营运载客汽车、城市轨道交通车辆、客运船舶等大中型公共交通工具;(4)高速公路、普通国省干线的服务区。
根据《民法典》的规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。相对于公共空间,还有私密空间。针对私密空间,《条例》同时列举了禁止安装图像采集设备及相关设施的区域、部位:(1)旅馆、饭店、宾馆、招待所、民宿等经营接待食宿场所的客房或者包间内部;(2)学生宿舍的房间内部,或者单位为内部人员提供住宿、休息服务的房间内部;(3)公共的浴室、卫生间、更衣室、哺乳室、试衣间的内部;(4)安装图像采集设备后能够拍摄、窥视、窃听他人隐私的其他区域、部位。
2. 规范建设要求
《条例》从规范建设的角度,一方面明确公共安全的必要性,划定公共安全视频系统的建设范围,同时也特别禁止在民宿、宿舍、更衣室等能够拍摄、窥视、窃听他人隐私的区域、部位安装图像采集设备设施。正如《条例》所确定的基本要求,既鼓励和支持视频图像领域的技术创新和发展,也不得危害国家安全、公共利益,不得损害个人、组织的合法权益。为了实现规范要求,《条例》主要明确了备案的管理手段,同时对特定场景规定了事先同意的要求。
(1)备案要求
对于新建的公共安全视频系统,其管理单位应当在系统投入使用之日起30日内,向所在地县级人民政府公安机关备案。备案信息包括单位基本情况、公共安全视频系统建设位置、图像采集设备数量及类型、视频图像信息存储期限等。
对于存量公共安全视频系统,即《条例》施行前已经启用的,应当在《条例》施行之日起90日内备案。也就是说,全国所有的公共安全视频系统应在2025年6月29日之前进行备案。
(2)事先同意
《条例》还考虑了军事保密性的要求,明确位于军事禁区、军事管理区以及国家机关等涉密单位周边的图像采集设备及相关设施,安装前应征得相关涉密单位的同意。
02 明确责任体系
《条例》规定了整体的管理框架,国务院公安部门和县级以上地方人民政府分别负责全国、本行政区域公共安全视频图像信息系统建设、使用的指导和监督管理工作,其他有关部门在各自职责范围内负责公共安全视频建设系统建设、使用的相关管理工作。具体而言,《条例》涉及地方人民政府、公共安全视频系统管理单位、电信业务经营者、受委托单位等主体,并明确了相应的责任。
1. 县级以上地方人民政府
县级以上地方人民政府应对公共安全视频系统建设进行统筹规划并提供预算支持。县级以上地方人民政府所负责的范围是,城乡主要路段、行政区域道路边界、桥梁、隧道、地下通道、广场、治安保卫重点单位周边区域等公共场所的公共安全视频系统。
对于《条例》所列明的四类公共场所(见前述01部分或《条例》第七条第二款),由县级以上地方人民政府各有关部门按照职责分工指导确定重点部门,由对相应场所负有经营管理责任的单位(即公共安全视频系统管理单位)按照相关标准建设。
2. 公共安全视频系统管理单位
根据《条例》规定,公共安全视频系统管理单位属于直接建设、运营的主体,负有最为丰富的责任义务。具体包括如下几个方面:
(1)按标准建设
公共安全视频系统管理单位应当按照相关标准建设公共安全视频系统,开展设计、施工、检验、验收等工作,并依法保存、管理相关档案资料。
(2)产品、服务安全
公共安全视频系统采用的产品、服务应当符合国家标准的强制性要求。产品、服务的提供者不得设置恶意程序;发现其产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(3)显著标识
《条例》要求公共安全视频系统管理单位应当合理确定图像采集设备的安装位置、角度和采集范围,并设置显著的提示标识,满足维护公共安全所必需、注重保护个人隐私和个人信息权益的要求。如果未设置显著提示标识的,公安机关将责令改正。
(4)网络与数据安全
《条例》明确公共安全视频系统管理单位负有网络安全、数据安全和个人信息保护义务,应当建立健全管理制度,完善防攻击、防入侵、防病毒、防篡改、防泄露等安全技术措施,定期维护设备设施,保障系统连续、稳定、安全运行,确保视频图像信息的原始完整。
(5)防止滥用、泄露视频图像信息
《条例》重点规范了公共安全视频系统管理单位使用视频图像信息的行为,要求其遵守法律法规,依法保护国家秘密、商业秘密、个人隐私和个人信息,不得滥用、泄露。同时,《条例》对公共安全视频系统管理单位防止滥用、泄露视频图像信息规定了四类措施:①人员管理。要求建立系统监看、管理等重要岗位人员的入职审查、保密教育、岗位培训等管理制度;②权限管理。要求采取授权管理、访问控制等技术措施,严格规范内部人员对视频图像信息的查阅、处理;③调用管理。要求建立信息调用登记制度,如实记录查阅、调取视频图像信息的事由、内容及调用人员的单位、姓名等信息;④其他措施。
(6)保存期限
《条例》要求,公共安全视频系统收集的视频图像信息应当保存不少于30日。30天后,应当删除已经实现处理目的的视频图像信息,除非法律、行政法规另有规定。
3. 电信业务经营者
根据《条例》规定,为公共安全视频系统提供网络传输服务的电信业务经营者,应当加强对视频图像信息传输的安全管理,依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行、维护数据的完整性、保密性和可用性。
为公共安全视频系统提供网络传输服务的电信业务经营者本身就需要遵守相关法律规定,确保网络安全、数据安全,而《条例》专门对其作出规定,意为强调管道安全的重要性,防止出现薄弱环节。
4. 受委托单位
《条例》充分考虑到受委托建设公共安全视频系统的情形,要求接受委托承担公共安全视频系统设计、施工、检验、验收、维护等工作的单位及其工作人员,应当对接触到的视频图像信息和相关档案资料予以保密,不得用于受托工作无关的活动,不得擅自留存、加工、泄露或者向他人提供。
03 加大保护力度
《条例》在明确各方主体责任、压实管理义务的基础上,进一步对视频图像信息的使用等作出了明确要求,强化保护个人信息。
1. 国家机关依法使用
《条例》明确,国家机关履行执法办案、处置突发事件等法定职责,可以查阅、调取公共安全视频系统收集的视频图像信息,但是应当依照法律、行政法规规定的权限、程序进行,并严格遵守保密规定,不得超出履行法定职责所必需的范围和限度。
2. 私人使用限制
本人、近亲属或者其他负有监护、看护、代管责任的人可能需要查阅关联的视频图像信息,《条例》将其限定为保护自然人的生命健康、财产安全目的,还要经过公共安全视频系统管理单位同意。查阅人获悉涉及公共安全、个人隐私和个人信息的视频图像信息,不得非法对外提供或者公开传播。
3. 传播限制
公共安全视频系统收集的视频图像信息只能依法用于公开传播,但是可能损害个人、组织合法权益的,应当对涉及的人脸、机动车号牌等敏感个人信息,以及法人、非法人组织的名称、营业执照等信息采取严格保护措施。
4. 禁止行为
为了强化公共视频系统的网络安全、数据安全和个人信息安全,《条例》规定了六类禁止性行为:(1)违法法律法规规定,对外提供或者公开传播公共安全视频系统收集的视频图像信息;(2)擅自改动、迁移、拆除依据本条例第七条规定安装的图像采集设备及相关设施,或者以喷涂、遮挡等方式妨碍其正常运行;(3)非法侵入、控制公共安全视频系统;(4)非法获取公共安全视频系统中的数据;(5)非法删除、隐匿、修改、增加公共安全视频系统中的数据或者应用程序;(6)其他妨碍公共安全视频系统正常运行,危害网络安全、数据安全、个人信息安全的行为。
04 强化监督管理
《条例》明确了公安机关对公共安全视频系统建设、使用情况实施监督检查的权力,同时也规定公安机关应当严格执行内部监督制度,对其工作人员履行公共安全视频系统建设、使用职责情况进行监督。
《条例》采取递进方式设置法律责任,最高设置了2万元的罚款,以及对直接负责的主管人员和其他责任人员的处罚。同时需要注意的是,《条例》衔接了《个人信息保护法》的法律责任,如果涉及违反个人信息保护法的行为,则有可能面临最高5000万元或上一年度营业额5%的罚款。
同时,《条例》明确在非公共场所安装图像采集设备及相关设施,不得危害公共安全或者侵犯他人的合法权益,对收集到的涉及公共安全、个人隐私和个人信息的视频图像信息,不得非法对外提供或者公开传播。这也与各地法院就“家门口安装可视门铃”的司法裁判思路一致,即不禁止非公共场所的安装行为,但需以不危害公共安全或者侵犯他人的合法权益为前提。《条例》对非公共场所违法安装的行为,转至《网络安全法》《数据安全法》《个人信息保护法》以及治安管理法、刑法等进行处罚。
结语
《条例》落实了《个人信息保护法》关于“在公共场所安装图像采集、个人身份识别设备”的规定,全面回应了社会各界对公共场所视频监控的隐私担忧,也明确了建设、管理公共安全视频系统的各方主体的具体责任。随着《条例》的实施,公共场所视频监控系统合规工作将走向具体实施阶段。
值得注意的是,公共场所视频监控势必与人脸识别技术相关联,而人脸信息属于敏感个人信息,对个人信息权益影响大,且极易引发公众担忧。国家网信办于2023年8月向社会公开征求对《人脸识别技术应用安全管理规定(试行)(征求意见稿)》的意见,进一步从技术应用的层面规范人脸识别活动,强化对个人信息的保护。《条例》出台后,也为《人脸识别技术应用安全管理规定(试行)》提供了更直接、充分的上位法依据,相信立法节奏会大大加快。我们将持续跟踪关注立法进展,及时对新规进行解读,以供社会各界参考。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
