总第141期 《公共安全视频图像信息系统管理条例》解读与数据合规实务指引
编者按
近日,国务院发布《公共安全视频图像信息系统管理条例》(以下简称《条例》),将于2025年4月1日施行。《条例》对系统建设、数据管理、使用规范及法律责任等方面作出了详细规定,进一步强化了对个人信息的保护要求。《条例》的出台对公共安全管理与个人信息权益平衡提出了更高标准,也对相关企业和单位的数据合规工作带来了新的挑战。
本期热点话题结合《条例》的重点内容,从规范建设要求、法律责任划分及数据合规实务等角度展开解读,旨在帮助企业准确理解条例核心要求,完善内部合规机制,做好视频图像信息的安全管理,防范法律风险。
目录
《公共安全视频图像信息系统管理条例》解读——规范、责任与保护
早在20世纪90年代,我国就开始布局天网工程。经过多年的发展,天网工程已在全国范围内形成了完善的安全网络,为预防和打击犯罪提供了强大技术支持,中国也成为公认的“世界上最安全的国家”之一。而随着数字化发展,个人信息保护问题日益突出,因为个人信息的滥用和泄露等问题,导致个人安宁权甚至于人身、财产权遭受损失。个人信息保护与公共安全之间的平衡,变得愈发重要。《个人信息保护法》要求,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。
与此同时,非公共场所的图像采集设备也不断引发争议。受益于科技赋能,家门口安装可视门铃保护生活安全的现象也屡见不鲜。但家门口的可视门铃同样也会监视到邻居的行踪,侵犯其隐私权。北京、上海、江苏、江西、安徽等多地法院都对家门口安装可视门铃进行了判决,一致认为家门口的可视门铃虽然出于安全需要,但超出了必要的限度,侵犯了邻居的隐私权。
无论是公共生活还是准公共生活中,利用视频监控技术维护安全和保护公民个人信息权益及隐私权,都是一个亟需寻找到合理边界的法治命题。2月10日,国务院公布《公共安全视频图像信息系统管理条例》(以下称《条例》),明确了公共安全视频的建设和管理要求,维护公共安全,同时保护个人隐私和个人信息权益,将于2025年4月1日起施行。本部分围绕条例的主要内容,从严格规范建设、明确责任体系、加大保护力度及强化监督管理四个方面展开解读。
一、严格规范建设
1. 区分公共场所和私密空间
《条例》所称公共安全视频图像信息系统是指通过在公共场所安装图像采集设备及相关设施,对涉及公共安全的区域进行视频图像信息收集、传输、显示、存储的系统。《条例》主要是规范公共场所的视频图像系统,同时禁止在私密空间的视频监控,因此有必要区分公共场所和私密空间。
通常来说,公共场所具有开放性、人员密集性、公共性等特点。1987年出台、2019年修订的《公共场所卫生管理条例》,采取列举的方式明确了七类公共场所,且并未设置兜底条款:(1)宾馆、饭馆、旅店、招待所、车马店、咖啡馆、酒吧、茶座;(2)公共浴室、理发店、美容店;(3)影剧院、录像厅(室)、游艺厅(室)、舞厅、音乐厅;(4)体育场(馆)、游泳场(馆)、公园;(5)展览馆、博物馆、美术馆、图书馆;(6)商场(店)、书店;(7)候诊室、候车(机、船)室、公共交通工具。
《条例》中也列出了四类公共场所:(1)商贸中心、会展中心、旅游景区、文化体育娱乐场所、教育机构、医疗机构、政务服务大厅、公园、公共停车场等人员聚集场所;(2)出境入境口岸(通道)、机场、港口客运站、通航建筑物、铁路客运站、汽车客运站、城市轨道交通站等交通枢纽;(3)客运列车、营运载客汽车、城市轨道交通车辆、客运船舶等大中型公共交通工具;(4)高速公路、普通国省干线的服务区。
根据《民法典》的规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。相对于公共空间,还有私密空间。针对私密空间,《条例》同时列举了禁止安装图像采集设备及相关设施的区域、部位:(1)旅馆、饭店、宾馆、招待所、民宿等经营接待食宿场所的客房或者包间内部;(2)学生宿舍的房间内部,或者单位为内部人员提供住宿、休息服务的房间内部;(3)公共的浴室、卫生间、更衣室、哺乳室、试衣间的内部;(4)安装图像采集设备后能够拍摄、窥视、窃听他人隐私的其他区域、部位。
2. 规范建设要求
《条例》从规范建设的角度,一方面明确公共安全的必要性,划定公共安全视频系统的建设范围,同时也特别禁止在民宿、宿舍、更衣室等能够拍摄、窥视、窃听他人隐私的区域、部位安装图像采集设备设施。正如《条例》所确定的基本要求,既鼓励和支持视频图像领域的技术创新和发展,也不得危害国家安全、公共利益,不得损害个人、组织的合法权益。为了实现规范要求,《条例》主要明确了备案的管理手段,同时对特定场景规定了事先同意的要求。
(1)备案要求
对于新建的公共安全视频系统,其管理单位应当在系统投入使用之日起30日内,向所在地县级人民政府公安机关备案。备案信息包括单位基本情况、公共安全视频系统建设位置、图像采集设备数量及类型、视频图像信息存储期限等。
对于存量公共安全视频系统,即《条例》施行前已经启用的,应当在《条例》施行之日起90日内备案。也就是说,全国所有的公共安全视频系统应在2025年6月29日之前进行备案。
(2)事先同意
《条例》还考虑了军事保密性的要求,明确位于军事禁区、军事管理区以及国家机关等涉密单位周边的图像采集设备及相关设施,安装前应征得相关涉密单位的同意。
二、明确责任体系
《条例》规定了整体的管理框架,国务院公安部门和县级以上地方人民政府分别负责全国、本行政区域公共安全视频图像信息系统建设、使用的指导和监督管理工作,其他有关部门在各自职责范围内负责公共安全视频建设系统建设、使用的相关管理工作。具体而言,《条例》涉及地方人民政府、公共安全视频系统管理单位、电信业务经营者、受委托单位等主体,并明确了相应的责任。
1. 县级以上地方人民政府
县级以上地方人民政府应对公共安全视频系统建设进行统筹规划并提供预算支持。县级以上地方人民政府所负责的范围是,城乡主要路段、行政区域道路边界、桥梁、隧道、地下通道、广场、治安保卫重点单位周边区域等公共场所的公共安全视频系统。
对于《条例》所列明的四类公共场所(见前述01部分或《条例》第七条第二款),由县级以上地方人民政府各有关部门按照职责分工指导确定重点部门,由对相应场所负有经营管理责任的单位(即公共安全视频系统管理单位)按照相关标准建设。
2. 公共安全视频系统管理单位
根据《条例》规定,公共安全视频系统管理单位属于直接建设、运营的主体,负有最为丰富的责任义务。具体包括如下几个方面:
(1)按标准建设
公共安全视频系统管理单位应当按照相关标准建设公共安全视频系统,开展设计、施工、检验、验收等工作,并依法保存、管理相关档案资料。
(2)产品、服务安全
公共安全视频系统采用的产品、服务应当符合国家标准的强制性要求。产品、服务的提供者不得设置恶意程序;发现其产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(3)显著标识
《条例》要求公共安全视频系统管理单位应当合理确定图像采集设备的安装位置、角度和采集范围,并设置显著的提示标识,满足维护公共安全所必需、注重保护个人隐私和个人信息权益的要求。如果未设置显著提示标识的,公安机关将责令改正。
(4)网络与数据安全
《条例》明确公共安全视频系统管理单位负有网络安全、数据安全和个人信息保护义务,应当建立健全管理制度,完善防攻击、防入侵、防病毒、防篡改、防泄露等安全技术措施,定期维护设备设施,保障系统连续、稳定、安全运行,确保视频图像信息的原始完整。
(5)防止滥用、泄露视频图像信息
《条例》重点规范了公共安全视频系统管理单位使用视频图像信息的行为,要求其遵守法律法规,依法保护国家秘密、商业秘密、个人隐私和个人信息,不得滥用、泄露。同时,《条例》对公共安全视频系统管理单位防止滥用、泄露视频图像信息规定了四类措施:①人员管理。要求建立系统监看、管理等重要岗位人员的入职审查、保密教育、岗位培训等管理制度;②权限管理。要求采取授权管理、访问控制等技术措施,严格规范内部人员对视频图像信息的查阅、处理;③调用管理。要求建立信息调用登记制度,如实记录查阅、调取视频图像信息的事由、内容及调用人员的单位、姓名等信息;④其他措施。
(6)保存期限
《条例》要求,公共安全视频系统收集的视频图像信息应当保存不少于30日。30天后,应当删除已经实现处理目的的视频图像信息,除非法律、行政法规另有规定。
3. 电信业务经营者
根据《条例》规定,为公共安全视频系统提供网络传输服务的电信业务经营者,应当加强对视频图像信息传输的安全管理,依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行、维护数据的完整性、保密性和可用性。
为公共安全视频系统提供网络传输服务的电信业务经营者本身就需要遵守相关法律规定,确保网络安全、数据安全,而《条例》专门对其作出规定,意为强调管道安全的重要性,防止出现薄弱环节。
4. 受委托单位
《条例》充分考虑到受委托建设公共安全视频系统的情形,要求接受委托承担公共安全视频系统设计、施工、检验、验收、维护等工作的单位及其工作人员,应当对接触到的视频图像信息和相关档案资料予以保密,不得用于受托工作无关的活动,不得擅自留存、加工、泄露或者向他人提供。
三、加大保护力度
《条例》在明确各方主体责任、压实管理义务的基础上,进一步对视频图像信息的使用等作出了明确要求,强化保护个人信息。
1. 国家机关依法使用
《条例》明确,国家机关履行执法办案、处置突发事件等法定职责,可以查阅、调取公共安全视频系统收集的视频图像信息,但是应当依照法律、行政法规规定的权限、程序进行,并严格遵守保密规定,不得超出履行法定职责所必需的范围和限度。
2. 私人使用限制
本人、近亲属或者其他负有监护、看护、代管责任的人可能需要查阅关联的视频图像信息,《条例》将其限定为保护自然人的生命健康、财产安全目的,还要经过公共安全视频系统管理单位同意。查阅人获悉涉及公共安全、个人隐私和个人信息的视频图像信息,不得非法对外提供或者公开传播。
3. 传播限制
公共安全视频系统收集的视频图像信息只能依法用于公开传播,但是可能损害个人、组织合法权益的,应当对涉及的人脸、机动车号牌等敏感个人信息,以及法人、非法人组织的名称、营业执照等信息采取严格保护措施。
4. 禁止行为
为了强化公共视频系统的网络安全、数据安全和个人信息安全,《条例》规定了六类禁止性行为:(1)违法法律法规规定,对外提供或者公开传播公共安全视频系统收集的视频图像信息;(2)擅自改动、迁移、拆除依据本条例第七条规定安装的图像采集设备及相关设施,或者以喷涂、遮挡等方式妨碍其正常运行;(3)非法侵入、控制公共安全视频系统;(4)非法获取公共安全视频系统中的数据;(5)非法删除、隐匿、修改、增加公共安全视频系统中的数据或者应用程序;(6)其他妨碍公共安全视频系统正常运行,危害网络安全、数据安全、个人信息安全的行为。
四、强化监督管理
《条例》明确了公安机关对公共安全视频系统建设、使用情况实施监督检查的权力,同时也规定公安机关应当严格执行内部监督制度,对其工作人员履行公共安全视频系统建设、使用职责情况进行监督。
《条例》采取递进方式设置法律责任,最高设置了2万元的罚款,以及对直接负责的主管人员和其他责任人员的处罚。同时需要注意的是,《条例》衔接了《个人信息保护法》的法律责任,如果涉及违反个人信息保护法的行为,则有可能面临最高5000万元或上一年度营业额5%的罚款。
.png)
同时,《条例》明确在非公共场所安装图像采集设备及相关设施,不得危害公共安全或者侵犯他人的合法权益,对收集到的涉及公共安全、个人隐私和个人信息的视频图像信息,不得非法对外提供或者公开传播。这也与各地法院就“家门口安装可视门铃”的司法裁判思路一致,即不禁止非公共场所的安装行为,但需以不危害公共安全或者侵犯他人的合法权益为前提。《条例》对非公共场所违法安装的行为,转至《网络安全法》《数据安全法》《个人信息保护法》以及治安管理法、刑法等进行处罚。
结语
《条例》落实了《个人信息保护法》关于“在公共场所安装图像采集、个人身份识别设备”的规定,全面回应了社会各界对公共场所视频监控的隐私担忧,也明确了建设、管理公共安全视频系统的各方主体的具体责任。随着《条例》的实施,公共场所视频监控系统合规工作将走向具体实施阶段。
值得注意的是,公共场所视频监控势必与人脸识别技术相关联,而人脸信息属于敏感个人信息,对个人信息权益影响大,且极易引发公众担忧。国家网信办于2023年8月向社会公开征求对《人脸识别技术应用安全管理规定(试行)(征求意见稿)》的意见,进一步从技术应用的层面规范人脸识别活动,强化对个人信息的保护。《条例》出台后,也为《人脸识别技术应用安全管理规定(试行)》提供了更直接、充分的上位法依据,相信立法节奏会大大加快。我们将持续跟踪关注立法进展,及时对新规进行解读,以供社会各界参考。
十问读懂《公共安全视频图像信息系统管理条例》
一、企业在公共场所(如商场、会展中心等)建设公共安全视频系统,需要遵守哪些具体的建设标准和要求?
当前,公共安全视频图像信息系统已广泛分布于生活的各个角落,从大街小巷的监控摄像头,到公共场所的视频安防设备,它们在维护公共安全方面发挥着重要作用。然而,随着视频图像采集设备的日益普及,一系列问题也随之而来。
一方面,公共安全视频系统存在各自为政的现象。不同部门如交通、治安、市政等建设的系统信息不互通、不互用,难以实现信息共享,还存在重复建设浪费公共财政资源的问题。同时,宾馆、民宿等商业机构设置的各类公共安全视频系统也缺乏统一归口管理。另一方面,个人隐私泄露的风险不断增加,“过度安装”、“数据滥用”、“管理失序”等问题愈发突出。
在此背景下,《公共安全视频图像信息系统管理条例》将如何划分不同部门及各类主体的相关责任?又将如何平衡公共场所的安全与个人隐私?会给我们带来哪些影响?让我们通过下文中的十个关键问答,一探究竟。
1. 企业应当按照相关标准建设公共安全视频系统,开展设计、施工、检验、验收等工作,并依法保存、管理相关档案资料。
2. 公共安全视频系统采用的产品、服务应当符合国家标准的强制性要求,产品、服务的提供者不得设置恶意程序。
3. 要按照维护公共安全所必需、注重保护个人隐私和个人信息权益的要求,合理确定图像采集设备的安装位置、角度和采集范围,并设置显著的提示标识。
4. 对于商贸中心、文娱场所、教育机构、医疗机构、机场、港口、客运站、政务服务大厅等特定公共场所,安装图像采集设备的重点部位由县级以上地方人民政府各有关部门按照职责分工指导确定。
二、企业作为公共安全视频系统管理单位,委托他人运营系统时,在网络安全、数据安全和个人信息保护方面应如何通过协议约定双方义务?
企业应当通过签订安全保密协议等方式,明确约定受托方需履行网络安全、数据安全和个人信息保护义务,包括建立健全管理制度,完善防攻击、防入侵、防病毒、防篡改、防泄露等安全技术措施,定期维护设备设施,保障系统连续、稳定、安全运行,确保视频图像信息的原始完整。同时,企业要监督受托方切实履行这些义务。
三、企业在公共场所安装图像采集设备及相关设施,怎样确保不危害公共安全或者侵犯他人合法权益?
1. 不得在《条例》第八条规定的旅馆、饭店、宾馆、招待所、民宿等经营接待食宿场所的客房或者包间内部,学生宿舍的房间内部等场所安装图像采集设备及相关设施。
2. 对于《条例》第七条规定的机场、港口客运站、政务服务大厅等之外的公共场所安装图像采集设备及相关设施,必须是为维护公共安全所必需,且仅限于对该场所负有安全防范义务的单位或者个人安装。
3. 在位于军事禁区、军事管理区以及国家机关等涉密单位周边区域安装图像采集设备及相关设施,事先要征得相关涉密单位的同意。
4. 安装行为不得违反法律法规规定,若安装行为可能会对他人权益造成影响,应采取必要的措施避免侵犯他人权益,比如合理设置采集范围和角度等。
5. 对收集到的涉及公共安全、个人隐私和个人信息的视频图像信息,不得非法对外提供或者公开传播。
四、企业员工因工作需要查阅公共安全视频系统的视频图像信息,企业应建立怎样的内部管理制度来规范这一行为?
1. 建立系统监看、管理等重要岗位人员的入职审查、保密教育、岗位培训等管理制度,确保员工具备相应的安全意识和职业操守。
2. 采取授权管理、访问控制等技术措施,严格规范内部人员对视频图像信息的查阅、处理,只有经过授权的人员才能查阅相关信息。
3. 建立信息调用登记制度,如实记录查阅、调取视频图像信息的事由、内容及调用人员的单位、姓名等信息,以便进行追溯和管理。
五、当企业作为公共安全视频系统管理单位,发现其采用的产品、服务存在安全缺陷、漏洞等风险时,应履行何种义务?
企业作为公共安全视频系统管理单位,发现所采用的产品、服务存在安全缺陷、漏洞等风险时,产品、服务的提供者应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。企业自身也应及时关注产品服务的安全状况,若发现问题应督促提供者履行相关义务。
六、企业在公共安全视频系统建设、使用过程中,对于视频图像信息的保存期限,除了30日的一般规定外,在哪些情况下会有特殊规定?
一般情况下,公共安全视频系统收集的视频图像信息应当保存不少于30日;30日后,对已经实现处理目的的视频图像信息,应当予以删除。但如果法律、行政法规对视频图像信息保存期限另有规定的,从其规定。企业需要关注相关法律法规的具体要求,以确定特殊情况下的保存期限。
七、对于公共安全视频系统收集的视频图像信息,企业在什么情况下可以对外提供或公开传播?
1. 国家机关为履行执法办案、处置突发事件等法定职责,依照法律、行政法规规定的权限、程序进行查阅、调取时,企业可以依法提供相关视频图像信息。
2. 为了保护自然人的生命健康、财产安全,经公共安全视频系统管理单位同意,本人、近亲属或者其他负有监护、看护、代管责任的人可以查阅关联的视频图像信息,但对获悉的涉及公共安全、个人隐私和个人信息的视频图像信息,不得非法对外提供或者公开传播。
3. 若公共安全视频系统收集的视频图像信息被依法用于公开传播,可能损害个人、组织合法权益的,应当对涉及的人脸、机动车号牌等敏感个人信息,以及法人、非法人组织的名称、营业执照等信息采取严格保护措施后,才可以在符合规定的情况下进行公开传播。
八、企业接受委托承担公共安全视频系统设计、施工、检验、验收、维护等工作,若工作人员泄露接触到的视频图像信息,企业需承担责任吗?
接受委托承担公共安全视频系统设计、施工、检验、验收、维护等工作的单位及其工作人员,应当对接触到的视频图像信息和相关档案资料予以保密,不得用于与受托工作无关的活动,不得擅自留存、加工、泄露或者向他人提供。若工作人员泄露接触到的视频图像信息,企业可能需承担一定责任。如果企业未履行对员工的管理和监督义务,如未建立有效的保密制度、未对员工进行相关培训等,企业可能会因管理不善而面临相应的法律责任,包括可能被责令改正、受到行政处罚等。若因员工泄露信息给他人造成损失,企业可能还需承担连带赔偿责任。具体责任的认定和承担,需根据实际情况和相关法律法规来确定。
九、企业在公共场所安装图像采集设备及相关设施,未按照规定向公安机关备案,且在备案过程中提供虚假信息,会面临怎样的法律惩处?
企业在公共场所安装图像采集设备及相关设施,应在系统投入使用之日起30日内,向所在地县级人民政府公安机关备案,且应对备案信息的真实性负责。本条例施行前已经启用的,应当在本条例施行之日起90日内备案。若未按照规定备案,由公安机关责令限期改正;拒不改正的,处1万元以下罚款。若提供虚假备案信息,同样由公安机关责令限期改正;拒不改正的,也会面临处1万元以下罚款的处罚。同时,这种行为可能会影响企业后续在公共安全视频系统管理方面的正常运营,且若因虚假备案信息导致其他不良后果,企业还可能需承担相应的法律责任,如民事赔偿责任等。
十、企业在公共场所安装图像采集设备及相关设施还应注意哪些禁止性规定?
按照《条例》第二十三条,任何单位或者个人不得实施下列行为:
1. 违反法律法规规定,对外提供或者公开传播公共安全视频系统收集的视频图像信息;
2. 擅自改动、迁移、拆除依据本条例第七条规定安装的图像采集设备及相关设施,或者以喷涂、遮挡等方式妨碍其正常运行;
3. 非法侵入、控制公共安全视频系统;
4. 非法获取公共安全视频系统中的数据;
5. 非法删除、隐匿、修改、增加公共安全视频系统中的数据或者应用程序;
6. 其他妨碍公共安全视频系统正常运行,危害网络安全、数据安全、个人信息安全的行为。
《条例》对企业在公共安全视频系统的建设、运营、管理等多方面都提出了明确且细致的要求。它既为企业在相关工作中提供了清晰的指引,保障了公共安全视频系统的有序运行,又在个人隐私与信息保护方面筑牢了防线。对于企业而言,严格遵守《条例》规定,不仅是避免法律风险的必然选择,更是履行社会责任、维护社会和谐稳定的重要体现。随着《条例》的正式施行,期待企业能够积极响应,共同营造安全、有序、合法的公共安全视频图像信息系统应用环境,让科技更好地服务于社会的发展与进步。
视频监控设备的数据合规要点分析
《公共安全视频图像信息系统管理条例》(以下简称《条例》),细化了《个人信息保护法》第26条关于公共安全安装采集设备的管理。本文尝试结合具体场景(包括《条例》的场景和其他场景,该些场景不是穷尽性列举),借鉴EDPB的《Guidelines 3/2019 on processing of personal data through video devices》,对视频监控设备的数据合规进行简要分析,以飨读者。
| / | 《条例》第7条第1和2款规定 的公共场所和其他公共场所 |
公司入口、内部道路及 公司区域内的建筑物外部 |
公司办公室和 车间内部 |
带有摄像头的产品 |
| 个人信息处理者 | 县级以上人民政府或其授权行政机关;负有经营管理责任的单位 | 公司 | 公司 | 产品生产者 |
| 合法性基础 | 《个保法》第13条第1款第(七)项、《个保法》第26条和《条例》 | 1.个人同意,但以此作为安装摄像头合法性基础存在如下缺点:1)是否真正自由同意;2)如果个别人撤回同意,将可能导致该撤回同意的人必经过的摄像头无法使用;3)如果处理目的等发生变化还要重新取得同意 2.按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,但是该合法性基础较为牵强,需要结合处理目的(比如公司安全需要)进行细化分析,包括必要性分析。对此,GDPR规定了一个“legitimate interest”合法性基础,给予了此种场景安装摄像头的灵活处理的方法。 |
除了保密需要,不建议办公室内安装摄像头。车间内部安装摄像头,根据不同情况,合法性基础可以是为履行法定职责或者法定义务所必需(比如危化品仓库,劳动者保护) | 履行合同所必需(比如人形机器人或其他机器人中获取视觉信息 的摄像头是发挥机器人功能所必需,当然,可能需要必要性论证) |
| 处理目的及必要性 | 公共安全,要合理确定安装的位置、角度、采集范围和运行时间 | 公司安全,必要性需要结合公司具体情况和有无其他对个人信息主体影响更小的方式保障安全细化分析。即使必要,也要合理确定安装的位置、角度、采集范围和运行时间 | 保密;危化品安全;劳动者保护 | 履行合同,实现机器人的功能 |
| 向第三人披露影像 | 建立信息调用登记制度,如实记录查阅、调取视频图像信息的事由、内容及调用人员的单位、姓名等信息,由于合法性基础是法律法规规定,不需要就披露取得个人同意 | 采取授权管理、访问控制等技术措施; 建立信息调用登记制度,如实记录查阅、调取视频图像信息的事由、内容及调用人员的姓名和调用时间 | 同左列 | 如果不是履行合同所必需,仍然要就披露这一处理行为确定合法性基础,如果合法性基础是个人同意,要取得相关个人的同意 |
| 个人信息主体的权利 | 生命健康、财产安全需要,经公共安全视频系统管理单位同意可以查阅关联图像信息;如果涉及人的数量巨大,个人信息主体应当明确其出现在视频中的合理的大致时间范围,提供查阅时最好将无关的个人图像信息打码;超出30日未删除的,个人信息主体有权要求删除 | 随时可查询有自己图像的视频信息,如果超出存储期限的视频,明确告知无法查询;提供时将他人的影像打码等;如果存储视频信息的,个人信息主体要求删除其个人信息,处理者应当立即删除 | 同左列 | 随时可查询有自己图像的视频信息,如果超出存储期限的视频,明确告知无法查询;如果存储视频信息的,个人信息主体要求删除其个人信息,处理者应当立即删除 |
| 公开透明原则 | 设置显著标识,但《条例》中未建议标识的样式,我们常见的样式为:.jpg) 但是并未出现处理目的、处理者名称以及获得更加全面处理信息的方式。欧盟建议: .jpg) 但是该建议关于处理者名称的展示可能不适用于《条例》。但我们建议,公司内部以及产品设置摄像头的,可以进行类似的告知。 |
|||
| 存储期限 | 一般为30日 | 没有法律规定,实现处理目的最短的存储期限 | 没有法律规定,实现处理目的最短的存储期限 | 没有法律规定,实现处理目的最短的存储期限,如果仅需实时的,则不需要存储 |
| 技术和管理措施 | 产品、服务应当符合国家标准的强制性要求;建立健全管理制度,完善防攻击、防入侵、防病毒、防篡改、防泄露等安全技术措施;入职审查、保密教育、岗位培训等管理制度;授权管理、访问控制等技术措施;信息调用登记制度; | 物理安全措施、系统安全措施、数据安全措施、访问控制等,相关标准如IEC TS 62045和ISO/IEC 27000 | 同左列 | 同左列 |
| 个人信息保护影响评估 | 《条例》未出现,但是按照个保法第55条第(一)项或第(五)项,似乎需要进行个人信息保护影响评估 | 不需要,如果涉及跨境传输的则需要 | 不需要,如果涉及跨境传输的则需要 | 不需要,如果涉及跨境传输的则需要 |
| 跨境传输 | 未规定,但结合公共安全性质,我们认为不允许跨境传输 | 可以,但需要符合出境合规要求 | 可以,但需要符合出境合规要求 | 可以,但需要符合出境合规要求 |
总之,正如其他处理场景一样,视频图像信息系统的个人数据合规,需要在安装前就结合法律规定、相关标准和最佳时间,进行合规分析与部署。
内容来源
- 一枝一叶总关情——解读《公共安全视频图像信息系统管理条例》 [宁宣凤、吴涵、方禹,金杜律师事务所]
- 《公共安全视频图像信息系统管理条例》快评之十问十答 [张丹、孙建玲,上海市锦天城律师事务所]
- 视频图像信息系统数据合规场景化解析 [朱尉贤、王天璇,北京天驰君泰律师事务所]