2018年7月15日,欧盟数据保护委员会EDPB在第十二次全体会议上通过了《关于通过视频设备处理个人数据的指南》(以下称《指南》),该指南旨在就如何通过视频设备根据GDPR处理个人数据提供指导。成员国可以维持或引入视频监控的具体国家立法,以便更准确地明确具体要求来调整GDPR规则的应用。

视频监控系统在很多方面改变了私营和公共部门专业人员在私人或公共场所互动的方式,目的是增强安全性,获得受众分析,提供个性化广告等。视频监控通过不断发展变得更加高效。这些技术可以更具侵入性(例如复杂的生物识别技术)或更少侵入性(例如简单的计数算法)。对于使用视频设备进行数据保护的意义重大。视频设备的大量使用会对公民的行为产生影响,并可能对个人施加额外的压力,这些技术可能会限制匿名移动和匿名使用服务的可能性,并且通常会限制不被注意的可能性。除了隐私问题之外,还存在与这些设备的故障及其可能引起的偏差相关的风险。研究人员报告说,用于面部识别或分析的软件根据其识别的人的年龄、性别和种族而有不同的表现,如算法将根据不同的人口统计数据执行,因此,面部识别中的偏见可能会加剧社会的偏见。

适用范围

个人数据是指使用视频设备的活动收集和保存所有进入监测空间的人的图像或视听资料,包括他们的外貌或其他具体因素。这些人的身份可根据这些细节加以确定。此外,该系统亦可进一步处理有关人士在指定空间内的存在及行为的个人资料。滥用这些数据的潜在危险随着监测空间的大小以及经常访问该空间的人数的增加而增加。《指南》并不适用于处理与个人无关的资料,例如无法直接或间接识别个人的资料。

家庭豁免

根据GDPR第2条第(2)款(c)项,自然人纯粹在个人或家庭活动过程中处理个人数据,也可能包括在线活动,但不属于GDPR的适用范围。对“家庭豁免”应当进行狭义解释,所谓的“家庭豁免”必须“被解释为仅涉及在个人的私人或家庭生活过程中进行的活动,这显然与处理在互联网上发布的个人数据是不一样的”。

处理的合法性

使用前必须说明目的。视频监控可以被用于许多目的,例如,保护财产和其他资产,对于民事索赔收集证据等等。这些监测目的应以书面形式进行记录(GDPR第5(2)条),并且需要对每个使用的监视摄像机进行明确。数据控制者对于用于相同目的的摄像机可以一起记录。数据控制者必须根据GDPR第13条(见第7节,透明度和信息义务)告知数据主体处理的目的。仅基于“安全”或“为了您的安全”的视频监控处理目的还不够具体(GDPR第5(1)(b)条)。

对与数据主体相关的个人数据应以合法,公平和透明的方式处理(见GDPR第5(1)(a)条)。

原则上,GDPR第6条第(1)款规定的每个法律依据都可以为处理视频监视数据提供法律依据。

如果有必要执行为公共利益或行使官方权力而执行的任务,可以通过GDPR第6条第(1)款(e)项下的规定处理视频监视个人数据。

数据主体必须同意。如同意指南所述,同意必须是自由的、具体的、知情的和毫不含糊的。如果数据控制者希望依赖同意,则有责任确保进入视频监控区域的每个数据主体均已表达其同意。此同意必须符合GDPR第7条的条件。进入标记的监控区域(例如,邀请人们通过特定的走廊或大门进入监控区域)不构成陈述或明确同意,除非符合同意指南中所述的第4条和第7条的标准。

向第三方披露视频资料

原则上,GDPR的一般规定适用于向第三方披露录像。原则上,GDPR的一般规定适用于向第三方披露录像。包括向第三方披露视频片段和向执法机构披露。如果向第三国或国际组织披露,则GDPR第44条及以下各条的特殊规定也适用。

特殊数据类别的处理

视频监视系统通常收集大量个人数据,这些数据可能会泄露高度个人化的数据,甚至是特殊类别的数据。

处理生物识别数据时的一般注意事项:使用生物识别数据,特别是面部识别,会增加数据主体权利的风险。因此,数据控制者必须遵守GDPR中规定的合法性,必要性,相称性和数据最小化原则的规定。控制者首先应评估对基本权利和自由的影响,并考虑采用较少侵入性的手段来实现其合法的处理目的。但是,根据GDPR第四条(14)的规定,原始数据必须经过技术处理才属于生物特征数据。因此,如果没有经过专门的技术处理,个人的视频片段本身不能被视为生物识别数据。根据数据最小化原则,数据控制者必须确保从数字图像中提取的数据构建模板不会过多,并且只包含指定目的所需的信息,从而避免任何可能的进一步处理,并应采取措施保证模板不能跨生物识别系统进行传输。

数据主体的权利

由于使用视频监控时数据处理的特点,GDPR下的一些数据主体权利有待进一步澄清。GDPR下的所有权利均适用于通过视频监控处理个人数据。

访问权:视频监控意味着如果没有以任何方式存储或传输数据,那么一旦实时监控时刻过去,控制者就只能提供不再处理任何个人数据的信息。但是,如果在请求时仍在处理数据(即,如果以任何其他方式存储或连续处理数据),则数据主体应根据GDPR第15条接收访问和信息。

被遗忘权:如果控制者继续处理超出实时监控(例如存储)的个人数据,则数据主体可以根据GDPR第17条的要求删除个人数据。根据GDPR第17条第(1)款所列的情况,控制者有义务在没有不当拖延的情况下立即删除个人资料(并且没有任何条款所列的例外情况)。这包括在个人数据不再需要用于最初存储目的,或者当处理非法时,控制者有义务删除个人数据。此外,以下情况也应删除个人数据:无论何时撤回同意(并且没有其他法律依据);为合法利益,如当数据主体行使反对权时(参见第6.2.2节)并且没有合法理由进行处理,或者在数据主体反对为进行直接营销(包括分析)目的而进行处理的情况。

反对权:对于基于合法利益(GDPR第6条第(1)款(f)项)或具有为公共利益执行任务的必要性(GDPR第6(1)(e)条)的视频监控,数据主体有权在任何时候以与其特定情况有关的理由,根据GDPR第21条进行处理。除非控制者表明具有超越了数据主体的权利和利益的合法理由,否则数据控制者有义务在没有不当延迟的情况下停止个人反对的数据处理,且最迟在一个月内回复数据主体的请求。

透明度和信息义务

欧洲数据保护法长期以来一直认为数据主体应该意识到视频监控正在运行,数据控制者应详细告知他们被进行监测的地点。根据GDPR,一般透明度和信息义务载于第12条及其后续规定。第29条工作组于2018年5月25日经EDPB发布的“2016/679号条例(WP260)下的透明度指南”规定了进一步的细节。根据WP260,GDPR第13条是适用的,如果“通过观察从数据主体收集个人数据(例如使用自动数据捕获设备或诸如照相机的数据捕获软件)”。

根据需要提供给数据主体的信息量,数据控制者可以采用分层方法来确保透明度和信息义务。关于视频监控,最重要的信息应该显示在警告标志本身(第一层)上,而其他强制性细节可以通过其他方式(第二层)提供。

存储期和擦除义务

个人数据的存储时间不得超过个人数据处理所需的时间(GDPR第5(1)(c)和(e)条)。在一些成员国,可能有更加具体的根据GDPR第6(2)条规定的视频监控储存期限。个人数据是否需要存储,应在必要的时间内进行控制。

一般而言,视频监控的合法目的通常是保护财产或证据保全。技术人员通常可以在一两天内识别出发生的损害。考虑到GDPR第5条第(1)款(c)项和(e)项的原则,即数据最小化和存储限制,在大多数情况下(例如,为了检测故意破坏的目的),个人数据应该在几天的理想情况下自动删除。存储期限越长(特别是超过72小时),就必须提供更多关于目的合法性和存储必要性的论证。如果控制者使用视频监控不仅用于监控其场所,而且还打算存储数据,控制者必须确保存储在现实中是必要的。如果是这样,数据控制者则需要为每个特定目的明确定义存储周期并单独进行设置。

数据保护影响评估

根据GDPR第35条第(1)款,当一种数据处理可能导致对权利的高风险时,数据控制者必须进行数据保护影响评估(DPIA)。GDPR第35(3)(c)条规定,如果处理过程构成对大规模公共可访问区域的系统监测,则要求控制者者进行数据保护影响评估。此外,根据第35(3)(b)条GDPR,当控制者打算大规模处理特殊类别的数据时,也需要进行数据保护影响评估。“数据保护影响评估指南”提供了进一步的建议,以及与视频监控有关的更详细的例子(例如,关于“使用摄像机系统监测高速公路上的驾驶行为”)。GDPR第35(4)条要求每个成员国监管机构公布一份在其国内受强制性DPIA管制的业务清单。

作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。