目录
上篇
一、UNIONTRAD公司因安装摄像头过度处理员工个人数据遭法国CNIL处罚
二、西班牙视频监控高频处罚场景:摄像头安在了监视公共区域的位置
三、视频监控一般会处理哪种个人数据?
四、视频监控收集处理个人数据的合法性是什么?
五、视频监控处理个人数据如何确保最小必要的范围?
下篇
六、视频监控处理个人数据如何满足充分性告知义务?
七、视频监控下数据主体会行使哪些权利?
八、视频监控下个人数据的留存销毁应注意什么?
九、视频监控处理个人数据如何满足安全性和保密性义务?
十、视频监控处理个人数据的其他注意事项
走在现代城市的大街小巷,无处不见的是一个个捕捉图像的摄像头。这些监控设备的大量使用对每个个体的行为产生了深远的影响,同时影响着每个个体在公共场所或私人领域的互动方式。随着视频分析技术的不断发展,视频监控设备的性能不断优化,其对个人生活领域的侵犯性也随之不断加强,这为个人隐私空间的保护带来前所未有的困难和挑战。如若对这种技术的使用不加限制和规范,这种基于图像记录的监控滥用将会对个人隐私带来巨大的危险性。无法想象,被无数双“眼睛”注视下的我们何处遁形。欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)生效以来,深刻地影响了欧盟乃至全球范围内个人数据保护发展态势。基于欧盟GDPR下的监管框架,结合执法案例,对视频监控设备处理个人数据的相关内容进行如下阐释。UNIONTRAD公司因安装摄像头过度处理员工个人数据遭法国CNIL处罚
UNIONTRAD COMPANY(以下简称“公司”)是一家简化的股份制公司,总部位于巴黎香榭丽舍大道90号(75008),主要业务活动是免费翻译相关文件(法律,财务翻译,民事身份)。该公司有9名员工,2017年的销售额为885,739欧元,净利润为负110,844欧元。在2013年至2015年期间,法国数据保护监管机构(以下简称CNIL)收到了四起有关在公司场所安装视频监视设备的投诉。基于此,CNIL在2013年10月18日和2016年6月2日的信函中两次警告公司注意建立管理视频监控系统的规则,相关设备不得过度侵犯工作场所员工隐私的需求。CNIL还要求公司向其发送有关已安装系统的更多信息。尽管如此,CNIL仍在2017年收到了四起新投诉,投诉表明员工工作场所中存在摄像头,并对其进行持续性监控。CNIL相关人员于2018年2月16日对公司场所进行了检查。在检查过程中,CNIL注意到公司办公场所存在三台摄像机,其中包括安装在翻译人员办公室的一台摄像机。拍摄了六个工作站和一个装有公司工作文件的柜子的相关情况。另外相关代表指出,视频监视系统处理个人图像的信息并未向雇员进行任何正式告知。翻译员办公室中安装的摄像头会对工作站进行持续性监控,且图像保存时间超出了公司指示的目的所必需的时间,此外,公司采取的对计算机等访问措施无法确保数据的安全性和机密性。鉴于发现的问题,CNIL在2018年7月26日要求公司在两个月内完成以下整改:1)根据GDPR第5条c)“最小范围原则”修改视频监控系统,使其与追求的目的相称,例如,翻译人员办公室的摄像头需要重新定位或移动摄像头,或通过使用动态遮罩;2)根据GDPR第5条e)“存储限制原则”,对个人数据的保留期限实行不超过收集目的所需的期限的政策,不要将视频监视设备的图像记录保留十五天以上;3)根据GDPR第12条和第13条的规定,通知正在处理其数据的人,尤其是有关视频监视设备的数据,如将视频监控系统的实施情况告知所涉及的个人(例如,通过加贴标志),并告知数据处理目的,存储时间和数据接收者,控制者的身份以及行使权利的程序等;4)根据GDPR第32条的规定,针对已实施的个人数据的所有处理,采取一切措施来保护此数据的安全并防止未经授权的第三方访问该数据。确保每个员工都可以访问员工的计算机工作站,例如通过单独的用户名和密码进行身份验证;
针对计算机上的图像查看软件和员工的Windows帐户,实施具有约束力的密码管理策略。
该公司在2018年9月10日的信中回应了各种涉嫌违规的正式答复。其告诉委员会,翻译人员办公室安装的摄像头只能观看两名员工,而工作站无法连续拍摄。她指出,图像的存储期限已修改并固定为15天,在此期间图像会被自动销毁。但是,其承认访问雇员的工作站是在没有密码的情况下完成的,这样,每位雇员都可以访问其他雇员的文件。同样,其表示公司与客户之间的交换是通过通用的电子邮件地址进行的,该电子邮件地址可由所有员工使用八个字符的共享密码访问。关于告知员工摄像头的存在,该公司声称该装置非常醒目,并且在场所入口处显示了一个大招牌,上面标有摄像机的名称和负责人的电话号码。CNIL于2018年10月10日进行了新的现场检查。代表团指出,自2018年2月16日进行首次检查以来,员工办公室中使用的相机一直在对员工进行拍摄,并且未经修改。也并未特别说明数据处理目的,保存的持续时间,数据的接收者,控制者的身份以及行使权利的程序。代表团最后指出,关于访问雇员的计算机工作站或公司的电子邮件,尚未实施密码管理政策。CNIL基于上述违法事实,且考虑公司规模(9名员工)和财务状况(2017年净利润为负),对公司施加了20000欧元的行政处罚。 02
西班牙视频监控高频处罚场景:摄像头安在了监视公共区域的位置与视频监控有关的大多数执法案件,大都是因为摄像头安装位置所截取的图像范围过大,会涉及到对公共区域的监视而被处罚。尤其是西班牙数据保护监管机构,在GDPR生效以来,此类执法案件不在少数。这类案件最初大都因为受影响的个人向监管机构投诉而引发。2020年以来因为视频监控问题被西班牙监管机构AEPD处罚的案件中有三起是因为摄像头所监控的范围包括了公共区域位置。AEPD在2020年2月4日处罚的一起案件是针对一家叫NAGASAKI的自助餐厅的。该餐厅的监控摄像头的监控范围超出了自有空间范围,能够截取公共空间相关信息,尤其是能够对人行道上自由行走的行人进行了图像拍摄,违反了最小范围原则。另外还有两起类似处罚案件,AEPD分别在2020年2月25日和3月6日作出处罚决定,分别针对一家酒店(CASA GRACIO OPERATION, SLU)和一个人,均是因为所安装的摄像头能够拍摄到公共区域。AEPD认为,公共空间图像的处理一般只能由负责安全管理的权力机关进行,而私人空间中安装的摄像头除非是因实现监控保障目的而至关重要,或者由于其位置而无法避免,一般而言不应进行不必要的数据处理,特别是不能影响公众、邻近建筑物和车辆周围的空间。也就是说,私人监控设备只可以例外地捕获为预定安全目的所必需的公共区域的最小部分。这是视频监控设备场景下,GDPR第5条第1款(c)项最小范围原则适用的较好诠释。另外,在以上三起案件中,AEPD均有提到,监控设备使用方应当根据GDPR第12条、13条,通过适当方式提示和告知受影响的数据主体关于个人数据处理的内容。而以上三方均未能满足这一要求,这也成为其被处罚的重要考量因素。GDPR中对特殊类型个人数据设置了更严格的管控标准,视频监控处理的个人数据是不是特殊类型的个人数据,或者说在何种情况下属于特殊类型的个人数据,是这里需要讨论的前置性问题。对于这一问题的考量,会影响到接下来涉及的数据处理合法性等问题的分析。通过视频监控而最初收集的个人数据是以图像形式显示的可识别或已识别信息。这类信息是否是特殊类型的个人数据,这主要取决于最初通过视频收集的数据用于推断其他信息所实现目的是什么。比如根据视频图像显示个人佩戴眼镜的特征信息,这种信息只是一般的个人数据;而根据视频信息,识别数据主体参与罢工等,进而推断出个人政治观点,这就是特殊类型的个人数据。视频图像类的个人数据,不免会涉及到对个人面部图像的抓取,这是否会构成生物特征数据?这也取决于对这种图像类个人数据的处理目的和方式。若要符合GDPR中定义的生物识别数据,必须对自然人的身体、生理或行为特征等原始数据进行测量,此类测量的最终结果体现为生物特征数据。GDPR第4.14条中指出,“……通过对自然人的身体、生理或行为特征进行特定技术处理的结果,能够识别该自然人的独特身份……”。因此,如果没有经过专门技术处理从而识别到个人,这种个人的图像本身就不能被视为GDPR第9条所述的生物特征数据。就如同照片的处理本身也不应系统地视为对特殊类型个人数据的处理,因为只有通过特定的技术手段,才能对照片中的自然人进行独特的识别或认证。因此,要对视频监控涉及的个人数据进行分析,首先要确认处理这类数据是否会涉及到GDPR第9条关于特殊类型个人数据的处理,判断要点在于,对视频图像的利用目的和方式进行分析,具体在判断是否构成生物特征数据的处理时,需要考虑以下要点:1)数据性质:与自然人的身体、生理或行为特征有关的数据;3)处理的目的:数据必须用于唯一识别自然人的目的。如前文所说,通过视频监控进行个人数据处理如果涉及处理视频片段以推断出某些特殊类型的数据,需要适用GDPR第9条对特殊类型个人数据处理的规定。比如通过面部测量,提取关键特征而创建模板,以便唯一识别一个人,这便属于生物特征数据的处理。根据第9条规定,对特殊类型个人数据的处理应当原则上是禁止的,即一般而言,数据控制者应始终尽量降低捕获敏感数据片段的风险,无论处理视频的目的是什么。但第9条第2款中给出了一些例外条件,比如(a)项数据主体的同意,但应当注意这种同意必须满足第7条中关于同意有效性的规定。另外,关于第9条第2款(e)项“对数据主体已经明确公开的个人数据”的例外一般不能适用,因为数据主体进入摄像头范围的事实并不意味着数据主体打算将与其有关的特殊类别个人数据公开。对于一般的个人数据而言,原则上来讲,GDPR第6条中的所有法律依据都可以为视频监控相关的个人数据处理提供法律依据。但在实践中,最可能使用的条款是第6条第1款(f)项(合法利益)和(e)项(为公共利益或为行使官方权力而执行任务的必要性)。在相当特殊的情况下,第6条第1款(a)项(同意)也可能会被数据控制者用作法律依据。根据GDPR第6条第1款(f)项,“数据控制者或第三方为追求合法利益目的而进行必要的数据处理,但该利益与要求对个人数据进行保护的数据主体的基本权利和自由相冲突时,尤其是当该数据主体为儿童时,则不得进行数据处理。”在视频监控场景下,若以合法利益为数据处理的合法性基础,需要关注以下要点。
数据控制者或第三方追求的合法利益可以是法律、经济或非物质利益。但如果数据主体根据GDPR第21条对控制者通过视频监控处理个人数据的行为提出反对,数据控制者将不能再继续通过视频监控处理个人数据,除非能够证明这种合法利益优先于数据主体的利益、权利、自由或这种数据处理是为提起诉讼或应诉所必要的。一般而言,鉴于真实和危险的情况,保护财产免遭盗窃或破坏的目的可以构成视频监控的合法利益。这里要求合法利益必须是真实存在的,并且必须是当前的问题,不能是虚构的或推测的。在开始监控之前,需要掌握实际的危难情况,例如过去的损害赔偿或严重事件。根据责任原则,数据控制者最好记录相关事件(日期、方式、财务损失)和相关刑事指控。这些记录在案的事件可以成为存在合法利益的有力证据。同时需要定期重新评估合法利益的存在以及监控的必要性。
数据控制者在安装视频监控系统之前,首先应始终严格审视该措施是否适合于实现预期目的,其次,是否充分且必要用于该目的。只有在无法合理地通过其他方式实现处理目的的情况下,才应选择视频监视措施,即应当充分考量是否存在对个人隐私影响较小的监管方法,是gong否可以替代现有方式而仍能等量实现所要保护的利益。一般情况下,使用视频监控来保护控制者区域的必要性应在其财产边界结束。然而,在有些情况下,对财产的监视不足以有效保护财产,可能也有必要将视频监控范围扩大到该场所的周围环境。在这种情况下,控制者应考虑物理和技术手段,例如阻止或像素化不相关的区域。但这种对周边环境监控应充分考量必要性的问题,前文中西班牙和奥地利的执法案件就是因为摄像头监控范围扩大到了公共区域等不必要区域场所,被监管机构施以处罚。另外对于视频图像的存储和保留等问题,也要充分考量必要性的要求。如可以对监控设备进行相应的设定,保证在特定存储周期后自动删除片段,另外,可避免相关人员通过显示器实时查看的方式,而将相关数据封存,仅在发生事件时进行访问。这些都是降低视频监控违规风险的手段。
如果安装视频监控是保护数据控制者合法利益所必需的,即前两要点均已满足,接下来就需要判断控制者或第三方追求的合法利益(例如保护财产或人身安全)要优于数据主体的利益。这就需要充分的评估和测试,即所谓的利益平衡测试。利益平衡测试首先需要注意个案分析,因为每种情况下双方的利益对比都会有不同的因素影响,在这里起决定性作用的是对数据主体个人权利和自由的干预程度。在视频监控场景下,可根据收集的信息类型(信息内容)、范围(信息密度、空间和地理范围)、相关数据主体的数量、相关群体的比例、数据主体的实际利益、替代手段以及数据评估的性质和范围等因素来具体确定对个人利益的影响程度,从而判断是否满足利益平衡要求。另外需要注意的是要考虑到数据主体正常情况下的合理期待,这种期待应当是客观、合理的,即数据主体作为一个正常自然人,对于在这一情况下不被监控抱有合理的期待。比如在卫生间、私人花园、公共浴室、更衣室等,数据主体应当存在不被监控的合理期待。基于这一合法性基础进行的视频监控,一般适用在公权力机关基于特定的职权或为了实现公共安全而实施的特定行为。在这里就不进行深入讨论了。同意的合法性基础在视频监控场景下的适用十分有限,只有在极特殊条件下才会有适用“同意”的可能。而且需要保证满足同意有效性的条件,即同意的作出必须是自由的、具体的、知情的和明确的,而且还要随时允许数据主体撤回同意。而在实际操作中,视频监控所能影响到的个人一般情况下是不确定的,这就使得数据控制者很难证明在处理个人数据之前数据主体已表示同意。且如果被监控的数据主体表示撤回同意,数据控制者也很难证明其个人数据不再被处理。另外,考虑到雇主和雇员之间权力的不平衡,在大多数情况下,雇主在处理个人数据时不应该依赖同意,因为它不可能是自由给予的。根据数据处理最小范围原则,数据应当是充足、相关并且限于数据处理目的最小范围。对于此原则的满足,首先在考虑视频监控设备的安装区域时,就需要衡量其抓取的图像信息的范围是否和所要实现的具体目的相称。比如上文提到的西班牙近期发生的三起案件就是因为摄像头拍摄了公共区域属于非必要数据处理,违反了最小范围原则。法国的UNIONTRAD公司的案子亦是如此,该公司是出于确保人员和财产安全的目的安装视频监控设备,那么就应当充分考虑受影响人员的数量、设备的安装位置、方向、数量、操作周期等因素,特别应当禁止对员工进行持续和永久的监控。CNIL在处罚理由中表示,对员工进行持续和永久的监控一般是被禁止的,只有在极其特殊的情况有可能被正当化,比如基于该员工所要完成的工作任务的性质,员工所要处理的事项涉及较高价值或者数据控制者能够证明在这些区域发生过盗窃或损坏类事件等。除此之外,雇主应当避免这种持续性的监控,因为这明显超出了数据处理目的所对应的最小范围。另外,实施视频监控的数据控制者必须确保从数字图像中提取的数据不会过多,即数据控制者应当根据其数据处理的目的对数字图像进行最小必要的提取,并且确保相关内容只包含指定用途所需的信息,避免任何可能的进一步处理。这也是满足数据处理最小范围原则的要求。 .... to be continued
本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证;
本文仅为分享、交流、学习之目的,任何人都不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。