石佳友:公共视频设备应用中的个人信息保护

选择字号:   本文共阅读 899 次 更新时间:2022-06-16 00:10:13

进入专题: 公共视频应用   个人信息保护  

石佳友  

  

   公共场所视频设备对于维护公共安全、促进智慧城市建设具有积极作用,但同时也对个人的隐私权及个人信息等权利与自由带来风险,因此有必要进行法律规制;我国《民法典》及《个人信息保护法》等法律对此均作出了重要规定,未来应根据这些法律规定制定专门的行政法规。就公共场所视频设备的个人信息处理活动而言,应遵循合法、正当、必要以及公开、透明原则,应尽到必要的告知提示义务,所收集的信息只能用于维护公共安全。公共视频中人脸识别技术的应用应遵守敏感个人信息处理的有关规则,保护信息主体的选择权,并承担具有结果义务性质的信息安全义务。

   智慧城市理念意味着居民可以享有一个安全、安定的城市生活环境,因此,安全是智慧城市建设的决策者首先需要考虑的重要目标之一。由此,城市公共区域通过网络构建相互连接的视频监控系统在犯罪预防和侦查方面发挥了重要作用。毋庸置疑,视频监控设备的使用对于保障公共安全有多种作用,特别是有利于预防犯罪、侦查犯罪行为、改善对紧急情况的应对、协助公共场所的管理及减少公众对犯罪的担忧。视频监控系统还可以用于与公共安全不直接相关的其他用途,例如,监控交通流量、调查针对设施和人员的投诉等。不过,视频设备的广泛使用无疑会对公民的行为产生重要影响:“事实上,这些新科技会限制人们匿名行动及使用公共服务从而免受他人关注的可能性;其对个人信息保护所产生影响是十分广泛的”。

   有鉴于此,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”这也是我国首次在法律层面对公共场所安装图像采集、个人身份识别设备作出直接规定,具有重要意义,需结合比较法的经验进行深入分析。而广为人知的是,欧盟2016年《一般数据保护条例》(以下简称GDPR)是全球范围内系统最为完备、影响最为广泛的个人信息立法。因此,在我国《个人信息保护法》的立法过程中,GDPR无疑是最为重要的立法参照;作为其结果,《个人信息保护法》在立法的原则、制度、规则及概念术语等层面均对GDPR进行了相当程度的借鉴。因此,本文将结合GDPR条文及欧洲的相关判例,阐释《个人信息保护法》第26条的立法背景、立法目的、规范含义及效果,并对未来的配套立法进行展望。

   一、公共视频应用中个人信息保护的法律基础

   公共视频监控主要用于对公共图像信息的记录,是指在公共场所利用照相、视频、识别技术对图像信息进行采集、存储、传输、使用等的一种信息处理方式。随着人工智能、大数据、云计算等新型数字技术的发展与创新,公共视频监控等身份识别手段已成为推动社会转型、促进产业升级、建设智慧城市的重要技术要素。当下,基于治安管理和维护公共安全等目的,在特定公共场所安装视频监控等图像采集或身份识别设备已被纳入法定义务范畴。例如,《中华人民共和国反恐怖主义法》第27条第2款明确要求:“地方各级人民政府应当根据需要,组织、督促有关建设单位在主要道路、交通枢纽、城市公共区域的重点部位,配备、安装公共安全视频图像信息系统等防范恐怖袭击的技防、物防设备、设施。”《娱乐场所管理条例》第15条亦规定:“歌舞娱乐场所应当按照国务院公安部门的规定在营业场所的出入口、主要通道安装闭路电视监控设备,并应当保证闭路电视监控设备在营业期间正常运行,不得中断。”

   (一)公共视频监控的隐私权争议

   科技进步与权利保护之间往往存在一定的张力,尽管图像采集、个人身份识别设备自身具有社会管理便捷性等一系列优势,但其本身也是一把双刃剑,引发了一系列技术风险、法律争议问题。公共视频监控不仅涉及公民的自由和权利,还涉及对公民的生活方式的规制与塑造。视频监控设备对个人匿名行动的自由造成了威胁;对视频监控设备所采集的个人信息不应用于信息主体所未预料到的目的,例如市场营销、监控员工表现等。英国信息保护专员曾指出:使用视频监控系统会对隐私造成侵入性影响,它可能将大量的守法公民置于监控之下。因此,需要认真考虑是否有必要适用监控系统,技术上可能、财务上可负担或者公众支持等事实都不是以此方式处理个人信息的正当理由。

   因此,出于对个人权利的保护,国外的立法对于公共场所的摄像头安装都有严格限制。譬如,比利时2007年通过的全球第一部“摄像头法”(loi  caméras)——《关于安装和使用监控摄像设备的法律》规定,安装公共场所的固定或者移动摄像头,都必须基于“预防、确定和调查违法行为”;该法第8条第1款规定:“具有存储和自动识别功能的监控设备,只能用于车牌的自动识别,此类设备的使用必须尊重保护隐私的有关规定。”此类立法规制的原因显然在于,公共视频监控系统强大的跟踪、定位、摄录引发了民众关于隐私等权利的担忧,而且随着新技术的出现,这种监控带来的侵入性越来越强。

   在欧洲,1950年《欧洲人权公约》及附属议定书均未直接规定个人信息权,公约第8条仅规定了隐私权;欧洲人权法院在其长期的司法实践中通过公约第8条来实现对个人信息的保护。就视频监控问题,欧洲人权法院积累了一系列判例。例如,在2003年的Peck v. United Kingdom案中,欧洲人权法院认为,在安装了视频监控系统的公共场所,人们对隐私保护的期望比较低,因此,公共场所的视频监控本身并不必然侵害隐私。但是,监控视频系统性地摄制和存储个人的信息,则有可能构成对私生活的侵犯。本案中,监控摄像头对原告面部形象的公开,违反了公约第8条;因为原告并非公众人物,不存在对私生活进行限制的事由。在2001年的P.G and J.H. v. United Kingdom案判决中,欧洲人权法院指出,某人在街道上行走会不可避免地被他人看见,因此在公共场所安装视频监控并不必然违法。但是,法院认为,对所拍摄的包含他人个人信息的画面进行永久存储就可能构成违法;特定区域安装有持续录制的摄像头,而行人并没有其他的替代通行路线可以选择,此时就构成违法。总之,在法院看来,公共场所安装的监控视频本身并不必然违反《欧洲人权公约》第8条。但是,该条所规定的私生活受保护的权利包括与他人建立和发展关系的权利。因此,需要考察公共场所安装的监控视频的使用与存储方式。

   GDPR沿袭了1995年的95/46号数据保护指令,是个人信息领域最为重要的法律,原则上适用于各类信息处理活动,包括安装视频监控设备。根据GDPR,此类信息处理活动的合法基础或者来自第6条第 1款(f)项保护合法利益,或者来自该款(e)项为保护公共利益或履行法定职责所必需。就GDPR来说,公共场所视频监控设备的安装者需向监管部门履行以下义务:提供个人信息处理目的、处理方法的相关信息,保留视频系统的相关书面证据,及时向监管部门报告信息泄漏等违法事件,定期进行个人信息保护影响评估(DPIA),任命数据保护官员;如果遵循了合法性、比例性等原则,可毋须征得同意。另外,必须采取充分的安全措施,确保信息不会发生泄漏或被窃取。

   (二)企业或个人安装视频监控设备的合法性争议

   显然,大量的公共场所视频监控设备是由政府机构安装、管理和使用的。但是,在今天,基于保护财产或人身安全的考虑,越来越多的企业和个人也开始在其所有或使用的不动产上安装了视频监控设备。由此,值得讨论的问题是,个人或企业所安装的视频监控设备是否适用《个人信息保护法》第26条?从该条的措辞行文来看,该条所针对的是“在公共场所安装图像采集、个人身份识别设备”,因此,在适用对象上并未区分安装主体是国家机关还是私法主体,只要安装的设备的地点属于公共场所,其涉及个人信息的收集和处理,均应适用《个人信息保护法》的相关条文。例如,在《民法典》颁布之前,我国也有司法判决支持物业企业在小区共有区域基于公共安全需要安装摄像装置,认为不构成对业主隐私权的侵犯;但并未从个人信息保护的角度来审查其合法性及必要性。

   在欧洲,个人或企业是否可以安装视频监控设备来收集他人的个人信息,是一个有争议的问题。在英国,在2021年的Mary  Fairhurst v. Jon Woodard案中,牛津郡法院指出,被告并未能以公平或透明的方式处理原告的个人信息。另外,被告误导原告,声称其在停车场对面的摄像头的监控区域仅限于其停车位的空间,但实际上这个摄像头的监控范围非常广,可以监控到原告开车进出停车场,因此被告收集原告的个人信息并非出于所指定或明示的目的。法院认为,被告基于预防犯罪的目的可以安装摄像头,但如果超出其住宅范围之外收集个人信息就超出了这一正当目的,因此缺乏必要性;通过对被告目的与原告权利之间的权衡,认定被告的行为过于具有侵入性,违反了《数据保护法》;但根据英国的判例法,单纯从其房屋中窥探他人并不引发侵犯隐私的诉因。在比利时,2021年2月该国数据保护机构针对两位原告指控其邻居在公共区域安装摄像头、侵害其个人信息权益的申诉作出了处罚决定。比利时数据保护机构认为,这一行为的合法性基础的条件并不成立。首先,被告的个人信息处理行为并无出于满足被告所称的合法目的的必要,因为完全可以采取侵入性较少的方式,譬如,调整视频监控的方位。其次,被告所要保护的财产权并不能优先于原告所享有的基本权利与自由;被告所安装的视频监控设备针对公共区域和原告住宅24小时全天候运行,对原告的权利构成了严重的侵害。此外,被告设备的拍摄行为不仅侵害了原告的权利,对其他路过的行人(包括儿童)和驾驶人的权利也构成侵害。比利时数据保护机构还指出:对于被告将视频监控所拍摄的信息与第三方分享,根据GDPR这同样构成信息处理行为,这一分享缺乏合法基础,因此违反了GDPR的规定。最终,比利时数据保护机构对被告的行为进行了谴责,并处以1500欧元罚款。

   二、公共视频设备中个人信息保护的具体规则

   《个人信息保护法》第26条要求公共场所安装图像采集、个人身份识别设备遵守国家有关规定;这是一条引致规范,指向其他的特别法。然而,略显尴尬的是,目前我国并无视频监控的特别法律或行政法规。

   (一)公共视频监控的法律规则

在立法格局上,迄今为止,我国的公共安全视频监控以地方立法为主,并且主要是以公共安全为导向、以社会管理便利为核心而展开的,体现了地方立法中个人信息的公权力使用优先性和权利保护的附属性。实际上,2016年公安部曾发布《公共安全视频图像信息系统管理条例(征求意见稿)》(下称“公安部条例草案”);根据国务院办公厅所发布的《关于印发国务院2018年立法工作计划的通知》,该条例曾列入国务院当年的加强和创新社会治理类立法计划;但迄今尚未见颁行。在地方立法层面,各省、自治区、直辖市政府基本都颁布了《公共安全视频图像信息系统管理办法》。2020年《民法典》全面和系统地规定了隐私权、个人信息保护等人格权,对公共安全视频的法律规制有重要影响;例如,《民法典》第1033条明确禁止通过拍摄、窥视等方式侵害自然人的隐私权。因此,在此之后,一些地方政府修订了原来的法规或者制定了新的法规;例如,深圳市人大常委会于2021年3月公布了《深圳经济特区公共安全视频图像信息系统管理条例(草案)》(下称“深圳条例草案”)。但地方立法层次过低,而且由于制定的时间不同,因此内容也存在不小的差异。鉴于《个人信息保护法》第26条明确要求“遵守国家有关规定”,而《民法典》及《个人信息保护法》均已生效实施,建议国务院应根据这些法律的规定就公共场所的视频图像监控尽快出台相应的行政法规,(点击此处阅读下一页)

    进入专题: 公共视频应用   个人信息保护  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/134715.html

2 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统