查看原文
其他

《个人信息保护法》下,公共区域安装摄像头,是否侵犯公民个人信息权?

许秀慧王芸杜欣宜 新则 2022-12-10


随着互联网技术对数字风暴的进一步催化,数据安全问题也被提升到了前所未有的高度。将于2021年11月1日起施行的《中华人民共和国个人信息保护法》,即是国家基于数据合规背景下出台的一部关于个人信息保护的专门法。


《宪法》规定国家尊重和保障人权,《民法典》进一步规定自然人的个人信息受法律保护,但两部法都未对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为进行边界限定。


而随着《中华人民共和国个人信息保护法》关于个人信息权益保护规则的厘定,社会主体也应同步提升个人信息保护意识,比如,在公共区域内安装摄像头,是否侵犯了公民的隐私权和个人信息权?


文 | 许秀慧 王芸 杜欣宜 北京德恒(兰州)律师事务所

本文由作者向新则独家供稿


- 1 -
案情介绍

原告与被告居住于同一小区。被告因自家楼层墙壁上多次被人书写有侮辱被告家人的言辞,经报警派出所留存证据后,被告找物业重新粉刷了墙壁,并购买了摄像头安装在楼层公共区域。但安装时拆除了摄像中控系统,原告发现被告在楼层公共区域安装摄像头,位置覆盖该楼层电梯间、公共楼梯口、被告家门口及原告家门口。

原告认为,被告在楼内公共区域安装摄像头,将原告家人的人脸信息、行踪轨迹、社会关系、生活习惯记录下来,是对原告的人身、财产安全的威胁和隐患,侵犯其隐私权及个人信息权,给原告精神带来负担和伤害。故起诉至法院,要求其承担停止侵害、赔偿损失的责任,具体为:

1、被告赔偿原告精神损害抚慰金5000元;
2、被告书面向原告赔礼道歉;
3、被告停止侵害、拆除安装的四个摄像头。

被告认为,摄像头安装在楼层公共区域且安装时拆除了摄像中控系统,不能收集影像,目的是为了震慑侵权人的行为及保护被告家人的安全,并非为了侵犯他人隐私。且安装摄像头是事出有因,是为了保护被告家人健康、安全的无奈之举,主观不存在过错,该行为非违法行为,且摄像头已拆除中控系统,无法采集图像信息,没有给原告造成任何损害后果不同意原告的全部诉讼请求。

- 2 -
法院认为

自然人的隐私权、个人信息受法律保护,侵害上述民事权益,应当承担侵权责任。

本案的争议焦点在于:被告在居住楼层公共区域安装摄像头的行为是否侵犯了原告的隐私权和个人信息,程度如何?原告对被告的行为是否负有容忍义务?

结合本案查明事实,被告因他人多次于楼层公共区域墙壁书写侮辱、贬损该户家人人格的文字,在公安机关及社区管理组织未能查找出实际侵权人后,为震慑侵权行为的再次发生、使自身权益不再受到侵害,而在楼层公共区域安装了摄像头。

就该行为是否侵犯原告隐私权一节,根据相关法律规定:个人不得以刺探、侵扰、泄露、公开等方式侵害他人隐私权。

现原告未举证证明被告存在侵扰、泄露等明显侵害其隐私权益的情形,且涉案摄像头非安装于原告居所楼层,安装地点也为公共区域,非原告的私密空间,即使存在日常亲属间走访可能被给予记录的行为不自由,但相较于被告家人权益的损害,应负有一定容忍义务,故被告的行为不构成对原告隐私权的侵犯。

就是否侵犯原告个人信息一节,诉讼中,被告虽表示在安装摄像头时已将设备中控系统拆除,不能收集影像资料,但据此举证并不充分,本院对其主张事实不予确认。根据相关规定,未有合法依据或经得他人同意,不得收集他人个人信息。

本案中被告及家人虽存在权益被侵害的基础事实,但自行在公共区域安装摄像头的行为已经超出自助救济的范围,确有不妥,现被告不能证明上述行为已取得合法依据或争得他人同意,应当将安装的摄像头拆除并删除相关影像信息;由于安装摄像头的行为是基于被告家庭利益考虑,故相关拆除义务由被告承担。原告有关赔礼道歉、赔偿精神损失的主张,法院考虑妨碍程度及容忍义务的基础上,未予支持。

最终法院判决:被告在判决生效后十五日内将安装摄像头拆除(删除相关影像信息),如被告拒绝履行前述义务,由法院委托其他机构拆除,相关费用由被告承担;案件受理费原被告分担。


- 3 -
律师说法

该案影射出的问题有:


1. 个人信息权和隐私权有何区别?为什么法院认为被告的行为不侵害原告的隐私权,却侵害了原告的个人信息权?


《民法典》第一千零三十三条规定:


除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:

(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;

(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;

(三)拍摄、窥视、窃听、公开他人的私密活动;

(四)拍摄、窥视他人身体的私密部位;

(五)处理他人的私密信息;

(六)以其他方式侵害他人的隐私权。


《中华人民共和国个人信息保护法》第十三条规定:


符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。


《中华人民共和国个人信息保护法》第四条规定:


个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。


据此,隐私权主要是私人生活安宁和不愿为他人知晓的私密空间、私密活动的权利,隐私权侧重保护他人的“私人”、“私密”范畴,即非公开领域。


而个人信息权是特定自然人对其个人信息的掌控权,个人信息权侧重保护特定自然人对个人信息的收集、存储、使用、加工、传输、提供、公开等处理权,对个人信息的处理,法律规定的特定情形外,以取得个人同意为基本原则。


当个人信息中涉及非公开的私密信息时,就会产生隐私权和个人信息权的重合问题,对此,《民法典》第一千零三十四条已明确处理规则,即个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。


梳理清楚个人信息权和隐私权之间的区别后,就可以很好的理解前述案例当中法院的裁判思路,即被告在公共楼梯间安装摄像头采集到的是原告处于公共区域内的活动轨迹等信息属于个人信息范畴,不涉及私密性,因此,不侵犯其隐私权;


但被告在采集原告的该等信息时未取得原告的事先同意,并且该等采集也不属于《中华人民共和国个人信息保护法》规定的“不需要取得被采集人同意”的例外情形,因此,被告的该等行为造成原告对其个人信息处于失控状态,违背原告的个人意志,故侵害了原告的个人信息权。


2. 在公共场所是否可以随意安装摄像头,安装摄像头与个人信息有什么关系?


按照个保法规定,在公共场所安装摄像头(以及各大电商平台、机场、车站等人脸识别系统均)涉及个人信息处理问题,即个人信息的收集、存储、使用、加工、传输、提供、公开、删除等法律问题。


在公共场所未征得客户单独同意的情况下,以无感知的人脸识别完成人脸辨识、人脸分析等行为引发的纠纷已经属于社会反映强烈的问题。


3. 为维护公共安全目的才可以在公共场所安装摄像头,那么由谁来判定公共场所安装图像采集、个人身份识别设备是为了维护公共安全呢?


虽然公共安全的概念有通行的理解,但是否属于公共安全所必须,又是个综合性问题,涉及到安装主体、安装原因、安装环境、安装效果等多方面因素。比如,机场火车站的识别系统显然属于公共安全必须,那么动物园的人脸识别系统是否属于公共安全需要,安装这些设备是否应当得到许可等等问题到底应该如何判定,由谁来判定都是有待解决的问题。


目前就这些问题,深圳先行,在今年3月《深圳经济特区公共安全视频图像信息系统管理条例(草案)》公开征求意见,率先探索对公共场所摄像头立法。


- 4 -
律师建议

现实生活中,越来越多的商家或个人为保护自己权益,开始在店门口安装摄像头等监控系统,而且有很多案件的侦破也是靠这些摄像头记录的影响资料提供的重要线索而得以破案。


那么,在《个人信息保护法》即将施行的当下,商家是否可以随意在公共区域设置摄像头?且由此而采集的视频数据或人脸识别数据是否侵害个人信息权?如何界定公共区域与私人区域?这些问题都将是《个人信息保护法》实施以后需要重点关注的问题。


特别是涉及公共区域管理的企业更应当在公司治理层面关注数据信息合规的法律问题,否则随着《个人信息保护法》施行,我们国家的个人信息保护法律体系已经全面建立,企业不履行保护个人信息的义务有可能涉及到民事赔偿、行政处罚甚至构成刑事责任承担,其中行政处罚中没收违法所得的金额上限为5000万或者上一年度营业额5%。


为相关企业更清晰的关注个人信息应当履行的义务,本文进一步在陈述以下几个问题的基础上给出几点基础建议。


1. 企业如何界定公共区域与私人区域?


按照一般逻辑,私人区域指的是能够完全隔绝外界影响的区域,比如家里、酒店房间等地方。但是餐厅的包间是不是属于私人区域呢?


海底捞曾经因为摄像头上过微博热搜,热搜名称叫做“为啥海底捞这么多摄像头”,大部分网友的评论是笑言海底捞的服务好,需要摄像头监控员工的服务质量,以防顾客自己偷偷倒水。



但是也有网友反映海底捞在包间内也安装了云台式摄像头,不仅可以全程监控包间内的情况,同时摄像内容也可以通过网络无地域范围的实时观看,那么站在个人信息采集的角度来看,对于餐厅包间区域是不是属于私密区域呢?该范围内的视频数据是不是也属于个人信息权的范畴呢?


我们需要从公共区域安装摄像头的条件、备案、管理以及公共利益和个人利益的冲突三方面考虑:


《北京市公共安全图像信息系统管理办法》中提到:


公共区域,如宾馆、餐馆、饭店可以安装图像采集的摄像头。


《深圳经济特区公共安全视频图像信息系统管理条例(草案)》中也提到:


商业街、商贸区、商场、集贸市场等商品交易场所,城市公园、休闲娱乐场所、足浴按摩场所、影剧院、互联网上网服务营业场所、餐饮场所、酒吧、公共停车场等公众活动和聚集场所应当安装视频图像系统。


但是两个文件中都没有具体指出视频图像是安在包间或大厅,也没有说明包间是否属于公共区域的范围。对于这一部分立法的空白的,但是我们可以从这两个文件中看出,对于公共摄像头的安装、备案及管理都有相应的规定。


故对于企业而言,律师建议在安装摄像头时:


一定要提前去政府或公安局备案,评估安装区域范围是否符合安装条件,备案之后摄像头才能启用;


安装后,哪些人可以查看摄像头,摄像头采集的影像保存时限是多久,如果发生事件需要调取证据或线索,是否任何人都能调取,都在企业合规体系建设过程中进行明确规定并对上述问题如何行为对相关部门和员工进行培训,让企业从上到下,从管理层到各个部门乃至每个员工清晰如何履行信息保护的法律义务以及不履行将导致的严重法律风险。


2. 摄像头采集的数据是否可以用作商业用途?


摄像头采集的数据主要是视频图像数据,其中最有价值的数视频图像数据可以说是人脸识别数据,即人脸信息。自今年3.15晚会曝光了企业私自采集消费者人脸信息用于客流分析的现象后,各地行政机关目前对企业私自采集消费者人脸信息用于商业用途已经加大处罚力度,2021年4月宁波市对3家房地产公司分别处以罚款25万元,2021年7月上海市对某跨国公司中国子公司处以50万罚款。


那么,如何合法合规的使用人脸识别的数据用于商业用途应当是企业在公共区域安装摄像头时关注的另一关键问题。我国目前形成了较为完备的人脸信息法律体系,对于人脸信息的保护不仅可以适用民法典中对于“个人信息”的保护,还可以适用敏感个人信息保护的相关规定。


个保法二审稿在第二十九条、第三十条、第三十一条、第五十五条分别明确规定了处理敏感个人信息的前提、同意方式、必要性、影响告知、事先评估分析等处理者义务,在第六十一条第一款第二项还特别要求网信部门针对敏感个人信息以及人脸识别、人工智能等新技术、新应用制定保护规则、标准。


与之关联的《个人信息安全规范》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》《常见类型移动互联网应用程序必要个人信息范围规定》等国家标准对此亦进行了具体的规定。


在最近出台的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中,对人脸信息的商业使用有了比较深入的规定。


综合上述这些规范,律师建议:


① 使用人脸识别应当取得当事人的同意,或者属于法律、行政法规规定可行的情形;


② 在使用人脸识别技术时应当审慎甄别人脸信息是否为所提供服务必须搜集的信息,即应当判断是否无人脸信息的参与,则产品或服务的功能无法实现;


③ 对于非必要收集的人脸信息应当严格遵循单独告知同意要求,可以采取跳转独立页面等方式进行告知、提示和收集等“可感知”模式,避免采取混合在格式用户协议或者隐私政策一并告知等“捆绑授权”模式;


④ 在进行人脸识别的同时注意收集、固定可以证明人脸识别具有必要性、合法性证据,避免诉讼时证据灭失。


3. 摄像头中采集的信息是否可以无条件提供给其他主体?


就此问题除《个人信息保护法》规定的向境外提供的法律规定外,2016年11月28日公安部《公共安全视频图像信息系统管理条例(征求意见稿)》第六条规定:


任何单位和个人,不得利用公共安全视频图像信息系统非法获取国家秘密、工作秘密、商业秘密或者侵犯公民个人隐私等合法权益。

公共安全视频图像信息系统的建设、使用等单位,对于系统设计方案、设备类型、安装位置、地址码等基础信息,以及获取的涉及国家秘密、工作秘密、商业秘密的视频图像信息负有保密义务,对于获取的涉及公民个人隐私的视频图像信息不得非法泄露。


据此律师建议:


① 向境外提供视频图像信息的应当按照《个人信息保护法》履行跨境提供审批等一系列手续。


② 建议任何企业不得提供、公开视频图像信息(包括不得存储、使用、加工、传输)。


③ 摄像头安装企业超过审批备案权限处理(收集、存储、使用、加工、传输、提供、公开)视频图像信息必须重新按照相关法律规定进行审批且取得相关权利人同意。


总而言之,公共区域安装摄像头行为已经触及到法律规定的数据信息领域的全部法律风险,本文律师建议只能触及到个别视角,若要有效建立企业风险防控体系,律师建议:


还应当按照《个人信息保护法》及相关法律规定进行专项合规治理,在制定内部管理制度和操作规程的基础上对数据信息实行分类分级管理、采取相应的加密、去标识化等安全技术措施,合理确定数据信息处理的操作规程和权限,并对操作人员进行安全教育和培训等等,防止数据信息泄露、篡改、丢失或者未依法处理后引发相关法律风险。


结语


个人属于零维的点,个人信息构成一维的线,人与人之间的交互构成二位的面、三维的体和四维的时空,只有从源头保护个人信息,才能在大数据时代甚至即将到来的超数据时代,为数据的混沌运动提供有力的规则保障,实现个体与集体的融合发展。


- End -






# 大鱼聊天室 #


本周六晚8点,大鱼聊天室邀请到北京市方略律师事务所主任陈刚毅,聊聊「律师如何洞察客户需求,实现客户利益最大化」。直播不可回放,欢迎扫码预约。

↓↓↓




# 推荐阅读 #






您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存