《个人信息保护法》来了,用广告屏内置摄像头采集影像有合规风险吗?
据《人民日报》报道,《个人信息保护法(草案)》已于近日提交全国人大常委会审议。笔者认为法律草案加强了个人信息的保护,并弥补了《网络安全法》对于线下公民信息保护的不足,很多非互联网企业合规风险将因此提高不少,比如之前引发很大争议的分众传媒准备用广告屏内的摄像头采集影像。
根据《个人信息保护法(草案)》,如果分众传媒用广告屏内置的摄像头采集影像并作大数据分析的,将有违在“公共场所安装图像采集、个人身份识别设备, 应当为维护公共安全所必需”的规定,同时,其对个人信息的采集,处理,传输,存储,使用都存在争议,可能面临较大的个人信息保护监管风险,最坏的可能是这个业务完全被叫停。以下是具体的分析:
一、分众的广告屏有没有内置摄像头
笔者研究过分众在写字楼和电梯安装的广告屏,屏幕上都没有明示广告屏内置了摄像头,但根据分众董事长江南春的一次公开发言显示:分众启用了红外线人脸识别技术,不拍照片也不记录人脸图片,主要研究广告收看人数,方法是可以通过路过的人的人脸低着头还是抬着头看广告的实际的有效收视率是多少。这个功能还可以用于收视统计和帮客户做创意优化。
分众的2019年上市公司年报记载:由于与阿里巴巴的后台打通,分众实现了数据回流,成为客户品牌数字资产累积的重要一环。同时,分众的智能屏也从全城播出、通过大数据分析不同楼宇消费偏好,进而成为可以根据楼宇具体情况进行千楼千面的投放。
笔者认为:广告屏如果不采集信息,就不会有数据回流,并且这个数据还可以分析,根据广告屏的特性,这些信息除了是摄像头采集的影像数据,其他解释的可能性不大。所以我的结论是:尽管没有对外明确承认,分众可能有一定比例的广告屏内置了摄像头并且在采集周围的影像信息。红外线影像也是影像,哪怕不拍照片不记录人脸,只捕捉是否抬头看广告屏幕,实际也是使用摄像头采集公共区域人物影像。
二、现有法律框架下广告屏采集个人信息的问题
如果分众用广告屏内置的摄像头采集了周围人群的影像,哪怕如江南春所说,只采集抬头低头影像,不识别人脸,也至少有如下法律问题:
1、公共场合非出于公共目的用摄像头大规模采集影像信息本身就有公共安全问题。当年谷歌街景车内置了wifi天线收集沿路wifi信息,后来被曝光后停止了收集,还被法国政府罚款。虽然分众收集的信息是特定的,但公共场所的数据还是不能随意采集。
2、个人信息的收集需要经过个人信息主体的明示同意,即由个人信息主体通过书面声明或主动做出肯定性动作,来授权他人对其个人信息进行特定处理。现在如果分众采集影像的,并没有取得被采集者同意,甚至没有告知被采集者。
3、数据采集个人信息时,应向被采集的对象明确告知其将会被采集到的是哪些个人信息,这些个人信息将被用于什么目的,其个人信息将会在哪里存储、存储多久等等适用于被采集对象的信息收集规则。如果分众采集影像的,目前并没有在广告屏或者周边对此进行公示。
4、如果分众采集影像的,在收集和处理个人信息的过程中,其还有保证其收集和使用行为是否符合监管的规定的义务。对于公众而言,如果分众采集影像的,是否如其老板所说,只是收集收视率信息,而不会收集、储存用户个人敏感信息或身份识别信息,公众是无法知晓也无法掌控的。此外,分众是否有把数据传给了阿里巴巴公司,这些都会涉及合规问题。
即便分众采集了影像,但还是处于法律的灰色地带,因为现有的数据法规,包括《网络安全法》、全国人大常委会《关于加强网络信息保护的决定》、工信部《电信和互联网用户个人信息保护规定》主要规制的是网络服务提供商,也就是互联网企业。分众的主要商业模式是利用自己控制的广告屏向受众播放视频广告,本质是一家线下广告公司,而之前的数据法律法规是不是适用于分众,法律上并不明确。
三、《个人信息保护法》如果实施对广告屏内置摄像头业务的挑战
但从《个人信息保护法(草案)》内容来看,在适用范围上,以向境内自然人提供产品或者服务为目的的活动都适用该法。所以分众广告业务也应当适用该法,该草案其他的内容会对广告屏内置摄像头业务有非常大的挑战:
《个人信息保护法(草案)》规定:在公共场所安装图像采集、个人身份识别设备, 应当为维护公共安全所必需, 遵守国家有关规定, 并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的, 不得公开或者向他人提供。如果这条规定最终通过,那广告屏内置摄像头的整个业务就不合规了。
如果分众采集影像的,其广告屏都装在公共区域,但目的却是为了商业利益。所以其内置的摄像头哪怕不具有人脸识别功能,也可能被监管机构认定为并非为维护公共安全所必需,在公共场所安装图像采集设备。此外,广告屏内置摄像头捕捉的图像使用目的也不符合草案的只能用于维护公共安全的目的,交由第三方大数据分析也是问题。
当然,即便这条规定获得通过,分众或者其他公司想通过广告屏内置摄像头采集影像的,我觉得也是可以和监管部门沟通,把摄像头改造成硬件上只有识别动作,不具有拍摄面部细节的功能,看看能否保留。因为草案有另一个规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息, 不包括匿名化处理后的信息。如果拍摄到的直接就是匿名化处理后的信息,是不是可以不算图像采集设备了?
事实上,笔者觉得这甚至是做这个业务唯一可以尝试的一条路,否则,《个人信息保护法(草案)》其他条款,尤其是由被采集者明确同意信息采集这关就过不了。广告屏目前的信息展现方式是单向的,用户要同意也没有实现的方式,况且如果是广告商要求用户同意的,谁会同意广告公司没事给你拍个照做大数据分析?
本文初稿写完后,同事就文章主要观点向我提了一些不同意见,同事认为:如果广告屏幕内置摄像头只捕捉看屏幕周围人群是否抬头,抬头多久,因为信息是匿名的,不应该算采集个人信息,所以分众的做法风险不大。但我觉得此事除了法律上的技术讨论更要关注政治问题,如果分众确实在大规模开展此业务的,2019年底分众有近250万块屏幕,哪怕40%的屏幕内置了摄像头,也相当于一个民营企业在公共区域架设了上百万个摄像头,单就这个事实,会不会引发政府的忧虑?
本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师,电话:8621-52134900,Email: yytbest@gmail.com,本文仅代表作者观点。