公共场所视频设备对于维护公共安全、促进智慧城市建设具有积极作用,但同时也对个人的隐私权及个人信息等权利与自由带来风险,因此有必要进行法律规制;我国《民法典》及《个人信息保护法》等法律对此均作出了重要规定,未来应根据这些法律规定制定专门的行政法规。就公共场所视频设备的个人信息处理活动而言,应遵循合法、正当、必要以及公开、透明原则,应尽到必要的告知提示义务,所收集的信息只能用于维护公共安全。公共视频中人脸识别技术的应用应遵守敏感个人信息处理的有关规则,保护信息主体的选择权,并承担具有结果义务性质的信息安全义务。
智慧城市理念意味着居民可以享有一个安全、安定的城市生活环境,因此,安全是智慧城市建设的决策者首先需要考虑的重要目标之一。由此,城市公共区域通过网络构建相互连接的视频监控系统在犯罪预防和侦查方面发挥了重要作用。毋庸置疑,视频监控设备的使用对于保障公共安全有多种作用,特别是有利于预防犯罪、侦查犯罪行为、改善对紧急情况的应对、协助公共场所的管理及减少公众对犯罪的担忧。视频监控系统还可以用于与公共安全不直接相关的其他用途,例如,监控交通流量、调查针对设施和人员的投诉等。不过,视频设备的广泛使用无疑会对公民的行为产生重要影响:“事实上,这些新科技会限制人们匿名行动及使用公共服务从而免受他人关注的可能性;其对个人信息保护所产生影响是十分广泛的”。
有鉴于此,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”这也是我国首次在法律层面对公共场所安装图像采集、个人身份识别设备作出直接规定,具有重要意义,需结合比较法的经验进行深入分析。而广为人知的是,欧盟2016年《一般数据保护条例》(以下简称GDPR)是全球范围内系统最为完备、影响最为广泛的个人信息立法。因此,在我国《个人信息保护法》的立法过程中,GDPR无疑是最为重要的立法参照;作为其结果,《个人信息保护法》在立法的原则、制度、规则及概念术语等层面均对GDPR进行了相当程度的借鉴。因此,本文将结合GDPR条文及欧洲的相关判例,阐释《个人信息保护法》第26条的立法背景、立法目的、规范含义及效果,并对未来的配套立法进行展望。
一、公共视频应用中个人信息保护的法律基础
公共视频监控主要用于对公共图像信息的记录,是指在公共场所利用照相、视频、识别技术对图像信息进行采集、存储、传输、使用等的一种信息处理方式。随着人工智能、大数据、云计算等新型数字技术的发展与创新,公共视频监控等身份识别手段已成为推动社会转型、促进产业升级、建设智慧城市的重要技术要素。当下,基于治安管理和维护公共安全等目的,在特定公共场所安装视频监控等图像采集或身份识别设备已被纳入法定义务范畴。例如,《中华人民共和国反恐怖主义法》第27条第2款明确要求:“地方各级人民政府应当根据需要,组织、督促有关建设单位在主要道路、交通枢纽、城市公共区域的重点部位,配备、安装公共安全视频图像信息系统等防范恐怖袭击的技防、物防设备、设施。”《娱乐场所管理条例》第15条亦规定:“歌舞娱乐场所应当按照国务院公安部门的规定在营业场所的出入口、主要通道安装闭路电视监控设备,并应当保证闭路电视监控设备在营业期间正常运行,不得中断。”
(一)公共视频监控的隐私权争议
科技进步与权利保护之间往往存在一定的张力,尽管图像采集、个人身份识别设备自身具有社会管理便捷性等一系列优势,但其本身也是一把双刃剑,引发了一系列技术风险、法律争议问题。公共视频监控不仅涉及公民的自由和权利,还涉及对公民的生活方式的规制与塑造。视频监控设备对个人匿名行动的自由造成了威胁;对视频监控设备所采集的个人信息不应用于信息主体所未预料到的目的,例如市场营销、监控员工表现等。英国信息保护专员曾指出:使用视频监控系统会对隐私造成侵入性影响,它可能将大量的守法公民置于监控之下。因此,需要认真考虑是否有必要适用监控系统,技术上可能、财务上可负担或者公众支持等事实都不是以此方式处理个人信息的正当理由。
因此,出于对个人权利的保护,国外的立法对于公共场所的摄像头安装都有严格限制。譬如,比利时2007年通过的全球第一部“摄像头法”(loi caméras)——《关于安装和使用监控摄像设备的法律》规定,安装公共场所的固定或者移动摄像头,都必须基于“预防、确定和调查违法行为”;该法第8条第1款规定:“具有存储和自动识别功能的监控设备,只能用于车牌的自动识别,此类设备的使用必须尊重保护隐私的有关规定。”此类立法规制的原因显然在于,公共视频监控系统强大的跟踪、定位、摄录引发了民众关于隐私等权利的担忧,而且随着新技术的出现,这种监控带来的侵入性越来越强。
在欧洲,1950年《欧洲人权公约》及附属议定书均未直接规定个人信息权,公约第8条仅规定了隐私权;欧洲人权法院在其长期的司法实践中通过公约第8条来实现对个人信息的保护。就视频监控问题,欧洲人权法院积累了一系列判例。例如,在2003年的Peck v. United Kingdom案中,欧洲人权法院认为,在安装了视频监控系统的公共场所,人们对隐私保护的期望比较低,因此,公共场所的视频监控本身并不必然侵害隐私。但是,监控视频系统性地摄制和存储个人的信息,则有可能构成对私生活的侵犯。本案中,监控摄像头对原告面部形象的公开,违反了公约第8条;因为原告并非公众人物,不存在对私生活进行限制的事由。在2001年的P.G and J.H. v. United Kingdom案判决中,欧洲人权法院指出,某人在街道上行走会不可避免地被他人看见,因此在公共场所安装视频监控并不必然违法。但是,法院认为,对所拍摄的包含他人个人信息的画面进行永久存储就可能构成违法;特定区域安装有持续录制的摄像头,而行人并没有其他的替代通行路线可以选择,此时就构成违法。总之,在法院看来,公共场所安装的监控视频本身并不必然违反《欧洲人权公约》第8条。但是,该条所规定的私生活受保护的权利包括与他人建立和发展关系的权利。因此,需要考察公共场所安装的监控视频的使用与存储方式。
GDPR沿袭了1995年的95/46号数据保护指令,是个人信息领域最为重要的法律,原则上适用于各类信息处理活动,包括安装视频监控设备。根据GDPR,此类信息处理活动的合法基础或者来自第6条第 1款(f)项保护合法利益,或者来自该款(e)项为保护公共利益或履行法定职责所必需。就GDPR来说,公共场所视频监控设备的安装者需向监管部门履行以下义务:提供个人信息处理目的、处理方法的相关信息,保留视频系统的相关书面证据,及时向监管部门报告信息泄漏等违法事件,定期进行个人信息保护影响评估(DPIA),任命数据保护官员;如果遵循了合法性、比例性等原则,可毋须征得同意。另外,必须采取充分的安全措施,确保信息不会发生泄漏或被窃取。
(二)企业或个人安装视频监控设备的合法性争议
显然,大量的公共场所视频监控设备是由政府机构安装、管理和使用的。但是,在今天,基于保护财产或人身安全的考虑,越来越多的企业和个人也开始在其所有或使用的不动产上安装了视频监控设备。由此,值得讨论的问题是,个人或企业所安装的视频监控设备是否适用《个人信息保护法》第26条?从该条的措辞行文来看,该条所针对的是“在公共场所安装图像采集、个人身份识别设备”,因此,在适用对象上并未区分安装主体是国家机关还是私法主体,只要安装的设备的地点属于公共场所,其涉及个人信息的收集和处理,均应适用《个人信息保护法》的相关条文。例如,在《民法典》颁布之前,我国也有司法判决支持物业企业在小区共有区域基于公共安全需要安装摄像装置,认为不构成对业主隐私权的侵犯;但并未从个人信息保护的角度来审查其合法性及必要性。
在欧洲,个人或企业是否可以安装视频监控设备来收集他人的个人信息,是一个有争议的问题。在英国,在2021年的Mary Fairhurst v. Jon Woodard案中,牛津郡法院指出,被告并未能以公平或透明的方式处理原告的个人信息。另外,被告误导原告,声称其在停车场对面的摄像头的监控区域仅限于其停车位的空间,但实际上这个摄像头的监控范围非常广,可以监控到原告开车进出停车场,因此被告收集原告的个人信息并非出于所指定或明示的目的。法院认为,被告基于预防犯罪的目的可以安装摄像头,但如果超出其住宅范围之外收集个人信息就超出了这一正当目的,因此缺乏必要性;通过对被告目的与原告权利之间的权衡,认定被告的行为过于具有侵入性,违反了《数据保护法》;但根据英国的判例法,单纯从其房屋中窥探他人并不引发侵犯隐私的诉因。在比利时,2021年2月该国数据保护机构针对两位原告指控其邻居在公共区域安装摄像头、侵害其个人信息权益的申诉作出了处罚决定。比利时数据保护机构认为,这一行为的合法性基础的条件并不成立。首先,被告的个人信息处理行为并无出于满足被告所称的合法目的的必要,因为完全可以采取侵入性较少的方式,譬如,调整视频监控的方位。其次,被告所要保护的财产权并不能优先于原告所享有的基本权利与自由;被告所安装的视频监控设备针对公共区域和原告住宅24小时全天候运行,对原告的权利构成了严重的侵害。此外,被告设备的拍摄行为不仅侵害了原告的权利,对其他路过的行人(包括儿童)和驾驶人的权利也构成侵害。比利时数据保护机构还指出:对于被告将视频监控所拍摄的信息与第三方分享,根据GDPR这同样构成信息处理行为,这一分享缺乏合法基础,因此违反了GDPR的规定。最终,比利时数据保护机构对被告的行为进行了谴责,并处以1500欧元罚款。
二、公共视频设备中个人信息保护的具体规则
《个人信息保护法》第26条要求公共场所安装图像采集、个人身份识别设备遵守国家有关规定;这是一条引致规范,指向其他的特别法。然而,略显尴尬的是,目前我国并无视频监控的特别法律或行政法规。
(一)公共视频监控的法律规则
在立法格局上,迄今为止,我国的公共安全视频监控以地方立法为主,并且主要是以公共安全为导向、以社会管理便利为核心而展开的,体现了地方立法中个人信息的公权力使用优先性和权利保护的附属性。实际上,2016年公安部曾发布《公共安全视频图像信息系统管理条例(征求意见稿)》(下称“公安部条例草案”);根据国务院办公厅所发布的《关于印发国务院2018年立法工作计划的通知》,该条例曾列入国务院当年的加强和创新社会治理类立法计划;但迄今尚未见颁行。在地方立法层面,各省、自治区、直辖市政府基本都颁布了《公共安全视频图像信息系统管理办法》。2020年《民法典》全面和系统地规定了隐私权、个人信息保护等人格权,对公共安全视频的法律规制有重要影响;例如,《民法典》第1033条明确禁止通过拍摄、窥视等方式侵害自然人的隐私权。因此,在此之后,一些地方政府修订了原来的法规或者制定了新的法规;例如,深圳市人大常委会于2021年3月公布了《深圳经济特区公共安全视频图像信息系统管理条例(草案)》(下称“深圳条例草案”)。但地方立法层次过低,而且由于制定的时间不同,因此内容也存在不小的差异。鉴于《个人信息保护法》第26条明确要求“遵守国家有关规定”,而《民法典》及《个人信息保护法》均已生效实施,建议国务院应根据这些法律的规定就公共场所的视频图像监控尽快出台相应的行政法规,作为《个人信息保护法》实施的配套法规。
在欧洲,根据GDPR安装视频监控设施需符合以下规定:视频监控只应该针对安全问题,收集最少的个人信息;必须告知信息主体,其进入监控区域后其信息可能被收集,还应告知其享有信息查询权;所录制的信息的存储时间不超过特定处理目的所需要的时间,超期的信息应被删除;信息收集出于合法的目的,具有合法基础;监控及信息存储的政策和规则必须清晰易懂而且易于获得;雇主在劳动场所安装视频监控,须与其所面临的风险成比例,雇主必须考虑信息最小收集原则;视频所收集的雇员个人信息的国际转移只有在采取了充分的保护措施的情况下方可进行;需任命专门的信息保护官员或专家;必须配备高级别的安全软件,确保视频硬件设备及所收集信息的安全;必须委托可信的公司处理所收集的信息;须进行个人信息影响评估,并确保视频监控始终出于合法目的;视频信息必须安全存储,而且只有获得授权的特定人士可以查询。另外,对于监控视频所收集的信息,必须满足保密性(confidentiality,仅供获得授权的特定人士查询)、完整性(integrity,禁止信息的丢失或篡改)、可用性(availability,需要时信息可被查询)等原则。
(二)政府与私法主体安装视频监控的法律适用
就欧盟而言,国内很少有论者注意到:政府机构基于预防、调查、侦查或检控犯罪行为或执行刑罚,以及为预防对公共安全的威胁等目的而处理个人信息,并不适用GDPR,而应适用另一部个人信息保护的特别法——欧盟“法律执行指令”(全称为《主管机构以预防、调查、侦查或检控犯罪行为、执行刑罚等目的处理个人信息及信息自由流动过程中保护自然人的指令》,下称“LED指令”)。LED指令有两重目的:一是确保政府机构在基于预防、调查、侦查或检控犯罪行为或执行刑罚等目的的个人信息处理中保护个人的权利;二是促进成员国在警务和司法领域的合作,以有效打击犯罪。LED指令与GDPR是平行的欧盟法律,都属于个人信息保护立法。因此,二者为个人信息处理活动规定了基本相同的原则,例如,根据LED指令,政府机构基于执法目的处理个人信息,仍然应遵守必要性、比例性和合法性原则,并采取适当的保护信息主体权利的措施:LED指令第4条规定了目的合法、目的限制、信息质量、信息安全、必要性和比例性等原则;LED指令也为信息主体规定了很多与GDPR相同的权利,包括知情权(第12至14条)、查询权(第14至15条)、更正权(第16条)、删除权(第16条)、限制处理权(第16条)等。
在我国,就政府机构安装视频监控设备而言,仍然与私法主体一样适用《个人信息保护法》。这就是说,我国并未像欧盟那样,针对国家机关和私法主体对个人信息处理活动分别立法;《个人信息保护法》是同时适用于公法主体和私法主体的统一法,但是,《个人信息保护法》特别设置了“国家机关处理个人信息的特别规定”(第二章第三节)等内容,作为适用于国家机关处理个人信息的特别法规则。譬如,与欧盟LED指令相同,根据我国《个人信息保护法》,国家机关依法处理个人信息,毋须征得个人同意。根据该法第35条,国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务。这就是说,在我国,国家机关在其法定职责范围内依法处理个人信息,毋须征得个人同意,但有告知义务,除非有法定的例外事由。
(三)公共场所安装视频设备的要件
根据《个人信息保护法》第26条,在公共场所安装图像采集、个人身份识别设备,应满足以下要件:第一,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。“应当为维护公共安全所必需”集中体现了个人信息处理的基本原则,既包含了对公共视频监控处理个人信息的目的限制,又对目的与手段之间的比例性原则设置了要求。公共视频监控应当以服务于公共安全为核心目的,公共安全背后的制度逻辑是社会公共利益,即不特定多数人的利益。显然,公共安全更强调公共秩序和基本的社会安定,既包括我国刑法层面意义上的公共安全,也包括行政法、民商法和经济法中涉及的社会公共利益与秩序,如娱乐场所的经营秩序、公共区域的治安环境、交通安全情况等。但是,参考欧盟LED指令及比利时等国家的法律,《个人信息保护法》第26条中的“公共安全”应作目的性限缩解释,限定为与预防、侦查违法、犯罪活动有关的特定目的;公共场所的视频监控特别是使用人脸识别技术应排除商业目的。例如,2021年《深圳经济特区公共安全视频图像信息系统管理条例(草案)》第1条也规定,维护公共安全包括“维护国家安全、公共安全和社会秩序,防范、发现和打击违法犯罪行为”。
值得探讨的问题是,企业或个人能否主张安装视频监控设备同样具有个人信息保护法上的“合法利益”?这一问题在欧洲存在争议。在欧盟法院2019年TK v. Asociatia de Proprietari bloc M5A-ScaraA案判决中,申请人在罗马尼亚某住宅小区拥有住房;该小区业主大会决定在小区的共有部分区域安装视频监控设备。申请人在罗马尼亚法院起诉要求撤销业主大会决议,拆除视频监控设备,因为这违反了欧盟的个人信息保护法律。由于涉及欧盟第95/46号指令的解释问题,罗马尼亚法院提请欧盟法院作出先决裁判。欧盟法院认为,视频设备通过连续记录的方式对人员进行监督,构成指令第3条第1款所称的自动化处理,因此,必须遵循数据质量原则(第6条)和合法原则(第7条)。本案中,需要审查是否存在处理个人信息的合法性利益,为此,法院认为,个人信息处理合法性判断需要审查三个条件:首先,信息控制者或第三方须具有合法利益。其次,具有为合法利益目的而处理个人信息的必要性。再次,在个人的基本权利及自由与信息控制者所追求的合法利益之间进行权衡后,前者并不优先于后者。就合法利益条件而言,必须证实这一利益在信息处理的时候是现实和实际存在的;在本案中,欧盟法院认为鉴于在视频监控设备安装前所发生的盗窃和损毁财产行为,监控安装具有合法的利益。就必要性条件而言,其意味着个人信息处理对于合法利益的实现必须“严格必要”,即特定目标无法通过其他更少的影响基本权利和自由的方式来实现,这也意味着最小够用原则。本案中,其他的一些措施被证实没有效果,例如,小区曾安装了门禁磁卡,但并未能阻止有关违法行为。而且,本案中的视频监控设施也仅安装在小区的共有区域部分以及进入这些区域的通道上;这些设备确有必要持续录制或者在白天或夜间的特定时段进行录制。就利益平衡条件而言,欧盟法院认为有必要考虑以下要素:本案所涉及的个人信息的性质、处理信息的特定方法、有权获取信息的人员的数量、获取个人信息的方式等。另外,信息主体对其个人信息未来被进一步处理的合理期待,必须与全体业主保护其财产与人身安全的合法利益进行权衡。综上,欧盟法院认为,根据《欧盟基本权利宪章》,欧盟数据保护指令并不禁止成员国法律授权基于保护人身和财产安全的合法目的,在未征得信息主体同意的情况下许可安装视频监控系统;此类个人信息的处理活动须符合指令第7条第F款的规定(信息处理为实现合法利益所必需)。这就是说,企业或个人等私法主体如出于维护自身财产或人身安全,有权在不征求他人意见的情况下安装视频监控设备。
第二,在公共场所安装图像采集、个人身份识别设备处理个人信息,不仅应当以维护公共安全为目的,而且应当遵循个人信息处理的必要性原则。《个人信息保护法》第6条规定了必要性原则的基本内涵,必要性原则是个人信息处理的基本原则,为《民法典》《网络安全法》《电子商务法》等诸多法律所明确。必要性原则是公法比例原则在个人信息处理领域的借鉴和具体适用。比例原则主要是通过对“手段”和“目的”之关联性的考察,来对国家行为进行检视的,旨在防止公权力对私权的过度干预。必要性原则的基本内涵是,个人信息处理的手段与拟实现的信息处理目的之间应当维持必要的均衡,防止对个人信息权益的侵权大于可能实现的信息处理目的,限制个人信息处理的恣意与无序。必要性原则的核心是在既有的明确、合理的信息处理目的下,通过对手段和目的之间的成本收益进行细致考察,以最小损害的方式处理个人信息。具体到公共视频监控,必须在诸多的可以维护公共安全的方式中,权衡不同方式可能造成的权益侵害和管理收益。只有当以图像采集方式识别自然人相较于其他方式在维护公共安全具有明显的必要和必需时,才可以采取此种方式处理个人信息。
在2019年López Ribalda and Others v. Spain 案判决中,欧洲人权法院认为,就雇主对雇员的监控而言,2016年Barbelescu v. Romania案判决的逻辑仍然可以参考适用。在后者中,欧洲人权法院适用了隐私的“合理期待”理论,将其与雇员享有隐私合理期待的典型情形进行了区分。法院认为,将企业的技术设备用于个人用途应当被允许或至少应被容忍。如果企业事先没有对雇员给予警示,告知后者其使用单位设备的通话可能被监听,员工应该对其隐私具有合理期待;这对于使用公司网络设备查询个人邮件来说亦是同理。就López Ribalda and Others v. Spain案而言,欧洲人权法院认为,应在申请人的隐私权保护与企业财产权保护之间维持合理的平衡。法院认为,超市设置视频监控确有其正当理由,因为此前发生了多起盗窃事件;而且,所监控的仅限于收银区域这一必要的范围。另外,申请人所工作的区域是向公众开放的空间。根据合理期待理论,法院对于雇员在劳动场所可以享有的隐私程度,根据所处的具体地点进行了区分:对于卫生间、休息室等私密场所,雇员的隐私程度非常高,这些区域绝对禁止安装视频监控;对于封闭的工作空间如办公室,雇员隐私的程度比较高;不过,对于那些对员工或社会公众开放的区域,雇员的隐私程度显然比较低。就本案而言,法院还指出,由于监控仅持续了十余天而且所涉及的员工数量有限,因此视频监控对申请人的隐私权并未造成严重的侵犯。而且,视频监控所取得的信息并未用于除查找盗窃嫌疑人之外的任何其他目的,因此,监控行为本身的目的和信息用途是合法的。至于安装视频监控事先未告知员工的问题,法院指出,雇主不能仅仅因为持有对雇员不当行为的轻微怀疑就可以安装隐蔽摄像头;但是,如果雇主确有合理理由怀疑雇员有严重不当行为,那么不对其进行告知而安装摄像头的行为也具有正当性,尤其是本案中申请人与其他员工合谋串通实施盗窃。由此,欧洲人权法院认为,西班牙法院并未超出其合理的自由裁量范围,不存在侵害申请人隐私权的问题。
第三,在公共场所安装图像采集、个人身份识别设备,应当遵守国家有关规定。这里的合法性既有法定作为义务要求,也有具体的行为标准要求和权利保护要求。比如,《中华人民共和国反恐怖主义法》要求在公共安全重点领域设立视频监控;国家强制标准《公共安全重点区域视频图像信息采集规范》则对图像采集的部位、种类,技术要求和采集设备要求进行了细化;《民法典》第1033条明确禁止通过拍摄、窥视他人的私密空间、私密活动、私密部位等方式侵害其隐私权。正是基于《民法典》的这些规定,作为最高人民法院2022年4月所发布的《民法典》颁布后人格权司法保护典型民事案例的案例之一,在“人脸识别装置侵害邻居隐私权案(案例八)”中,被告为随时监测住宅周边,在其入户门上安装一款采用人脸识别技术、可自动拍摄视频并存储的可视门铃,位置正对原告等前栋楼多家住户的卧室和阳台,法院判定被告的行为侵害了原告的隐私权。
第四,在公共场所安装图像采集、个人身份识别设备,应当设置显著的提示标识。这是我国《个人信息保护法》第7条所规定的公开、透明原则的要求,透明原则是确保个人对其信息真正享有决定权的前提和基础,这一原则首先意味着个人对其信息的处理活动享有必要的知情权。以英国为例,如在公共场所安装监控视频,需向数据保护机构说明有安装视频监控的正当性和必要性;现场需有清晰的标志予以注明。根据欧洲数据保护理事会(EDPB)2020年所发布的《通过视频设备处理个人信息指南》,安装视频设备必须对信息主体给予必要提示,说明信息处理者的身份以及处理目的,合法性基础,存储者及存储时间,并告知信息处理者根据GDPR所享有的权利;这些信息可以在现场标明,也可以网络链接的方式注明,但这些信息应该容易为信息主体所查询。就我国而言,前引“公安部条例草案”曾规定:“社会公共区域的视频图像采集设备,应当设置提示标识,标识应当醒目”;“深圳条例草案”第20条亦规定,“公共区域安装系统摄像设备的,应当设置提示标识,标识应当醒目”。因此,如在公共场所安装监控视频,应以清晰的方式标注适当的提示文字或标识,如“您已进入视频监控区域”。另外,前述草案并未规定监控视频的管理人还应当披露以下信息:信息处理目的、信息处理者的身份、信息主体的权利、信息处理的可能影响、信息处理者的联系方式等。如所安装的视频监控设备影响相邻不动产的所有人或使用人,应征求后者的意见,并把对后者的影响降到最低限度。
第五,所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。这是对基于公共视频监控手段收集的个人信息进行事后处理的目的性限制,要求此类信息除取得个人单独同意外,只能服务于公共安全目的。个人信息具有多重面向,既表现为信息主体的私人权益,又体现为一定的社会性和公共性,公共安全是个人信息社会价值的重要体现。个人信息权益以信息自决权为中心,但这并不是说个人对其信息享有所谓绝对不受限制的支配权,基于个人与团体间的社会关联性和拘束性,信息自主权必须容忍重大公益的限制。监控视频设备的管理人基于公共安全目的收集他人的个人信息,信息主体基于合理期待原则,有理由相信该信息处理行为仅限于特定的公共安全目的,因而所收集的个人图像、身份识别信息也只会用于维护公共安全的目的。另外,鉴于视频监控信息处理场景的复杂性,《个人信息保护法》第26条为用途限制也设置了例外:“取得个人单独同意的除外。”这就是说,如果经过信息主体的单独同意,视频设备所采集的信息也可以用于公共安全之外的其他用途,譬如,用于商业用途,典型场景如经顾客同意后,利用视频所采集的影像资料作为商业宣传文件,用于营销推广。
第六,关于视频设备所收集的个人信息的存储期限,这是一个十分重要的问题。《个人信息保护法》第19条规定:“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。”由此,对于监控视频所收集的信息,其存储时间不得超过事先所设定的特定处理目的实现所需的最长时间。2016年“公安部条例草案”第20条规定:“采集的视频图像信息至少留存30日,法律、行政法规或者相关标准规定多于30日的,从其规定。”这些都是针对政府部门所安装的视频设备的信息存储期限,我国所规定的期限相对较短。在德国,根据所涉及个人的不同类型,警察部门对其个人信息存储的期限有所不同:对于成年人为10年,对于青少年为5年,而对于儿童仅为2年;对于举报人,其个人信息可存储1年,例外情况下可延长至3年。在荷兰,警察部门对个人信息的保存期限仅为1年,如果对警务工作来说确有必要可延长至5年。英国2018年《数据保护法》仅规定应定期对警察部门连续储存个人信息的必要性进行复审。而针对企业、个人在公共场所安装的视频设备所收集的个人信息的存储期限,我国则无相应的规定。根据前引欧洲信息保护理事会的指南,商家或个人基于预防盗窃、财物损毁等目的所安装的视频监控,所拍摄信息的存储时间一般为24小时,遇节假日可顺延;对于超过72小时的存储时间,需要特别说明其正当理由。如发生违法犯罪事件,基于保留证据采取法律诉讼等原因采集信息的存储时间可以更长一些。存储期限届满后应立即自动删除,不再予以保存。
三、公共视频人脸识别设备中的个人信息保护
人脸识别是公共视频图像设备结合大数据和人工智能技术的应用成果;这使得公共视频监控已经超出了实时场景录像和存储等传统用途。实践中,随着人脸识别技术在公共管理和商业交易中的迅速发展以及视频技术本身的特点,基于数字技术的发展,动态的身份识别功能得到越来越广泛的应用。“人脸”作为个人在社会交往中的“活体名片”,具备生理和心理的双重属性,蕴含着丰富的非语言情感信息,反映出个人的个性特点、社会评价及人格尊严等多重维度信息。
(一)人脸识别应用的监管框架
从法律属性来说,人脸信息作为最为典型的生物识别信息,是最通常的身份标识和识别符号。根据GDPR第4条第14款,所谓“生物识别信息”指的是基于特定技术处理自然人的相关身体、生理或行为特征而获取的个人信息,这种个人信息能够识别或确定自然人的独特标识,包括个人基因、指纹、声纹、掌纹、耳郭、虹膜、面部识别特征等。生物识别信息直接反映自然人独一无二与不可替代性的身体、生理或行为特征,具有强烈的人身属性。因此,对人脸识别进行立法规制是近年来很多国家所采取的举措。美国于 2019年颁布了《商业人脸识别隐私法案》,禁止在未获得用户明确同意的情况下对其进行人脸识别。2020年3月,华盛顿州通过法律对人脸识别应用进行规制,要求人脸识别技术必须确保其公平性和准确性;执法机构如需使用人脸识别技术,需获得法院的授权令。另有一些州对人脸识别采取了暂缓禁令或将其应用限于特定领域的做法。例如,2019年3月加州通过立法为警察机构使用人脸识别技术设定了 3年的禁止期限,自2020年1月起实施。根据缅因州议会在2021年6月通过的法律,执法机构原则上不得使用人脸识别技术,除非其有证据证明特定个人犯下“严重的罪行”。在欧洲,如企业等私立机构使用人脸识别技术,需征得个人明确的单独同意。例如,机场如使用人脸识别技术来识别旅客身份,一般是先让旅客自行下载特定的应用软件,单独点击同意并按要求自行上传照片;抵达机场后到设置在专门区域的自助设备上进行身份验证。同时,应确保其他不愿意使用人脸识别技术的个人享有选择权,选择以其他的方式进行身份验证。欧盟委员会2021年4月所公布的《人工智能条例草案》将公共场所的远程生物识别(RBI)系统列为人工智能的高风险应用类型,原则上限定为查找失踪儿童、预防犯罪或恐怖袭击、侦查犯罪等用途。而欧盟议会2021年10月以压倒性多数通过了一项题为“关于在刑法领域的人工智能及其由警察与司法机构在刑事事务中的应用”的决议,呼吁全面禁止公共场所的大规模生物识别监控技术。2021年12月,意大利国会通过了禁止人脸识别技术视频监控的禁令,禁止私立机构在公共场所使用此种设备;禁令暂定至2023年12月31日截止。
就我国而言,近年来人脸支付科技快速发展,“刷脸进小区”的现象越来越普遍,人脸识别应用已出现滥用和失控的苗头,甚至出现了“刷脸取手纸”“戴头盔看房”等夸张事件,引发了社会公众的集体焦虑;“人脸识别第一案”正是这种集体焦虑的集中反映。在这样的背景下,《民法典》第1034条率先对“生物识别信息”作出规定,明确其属于法律所保护的个人信息范畴。2021年7月最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“人脸识别司法解释”)进一步明确人脸信息属于生物识别信息。不久之后通过的《个人信息保护法》第28条明确规定,生物识别信息属于个人敏感信息;只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下方可进行处理。这些法律文件构成了我国对人脸识别进规制的主要法律框架。
(二)人脸识别应用的主要法律规则
由此,人脸识别的规制框架应强调审慎、预防、公平、比例性、归责等原则;只有设置适当的监管措施,人脸识别技术才可以让这个世界变得更加安全、更加智慧和更为人性化。基于这样的理念,人脸识别治理框架的主要内容包括:
第一,人脸识别信息的处理原则上须获得个人的单独同意。《个人信息保护法》第29条规定,处理敏感个人信息应当取得个人的单独同意。根据《个人信息保护法》第15条,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。“人脸识别司法解释”第4条进一步规定信息处理者不得对信息主体采取强迫同意、捆绑同意等手段。
第二,关于人脸识别技术应用中所遵循的具体规则,必须对政府机构和非政府机构作出区分,因为二者处理个人信息的合法性基础不同。针对政府机构而言,根据《个人信息保护法》第26条,政府机构在公共场所使用人脸识别技术应限于公共安全目的,包括预防、侦查犯罪等违法行为,而不得用于其他目的。另外,根据该法第24条,执法机构如基于人脸识别所处理的信息作出的自动化决策对个人权益有重大影响的,政府机构应作出说明,并尊重个人对自动化决策的拒绝权。
第三,如果采取人脸识别作为身份识别的方式,则应同时提供非人脸识别的身份识别方式,由信息主体自主选择。《网络数据安全管理条例(征求意见稿)》第25 条规定:“数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。”由此,信息主体基于自己的同意权,可以对信息处理者处理其人脸信息给予同意,也可以拒绝,此种拒绝不得影响其享有公共服务的权利。因此,个人应享有同意和拒绝之间的选择。据此,“人脸识别司法解释”第10条规定,物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
颇有争议的问题是:地铁等公共服务部门是否可以应用人脸识别?其实,公共交通部门也并非不可以使用人脸识别技术,譬如,在日本大阪就有4个车站安装了人脸识别设备;法国里昂机场也安装了人脸识别设备。就我国而言,地铁公司如使用人脸识别应用,应遵循《个人信息保护法》第29条等规定,事先取得个人的单独同意。譬如,开发专门的App,让乘客安装后点击单独同意,并自行上传人脸照片。而且,应单独设置不采用人脸识别技术的普通通道,确保其他旅客享有选择权,且不得额外增加这些旅客的成本。譬如,不能在开通人脸识别的特别通道后,大幅减少普通通道的数量和人员配置,导致其他旅客的身份验证时间明显增加;另外,人脸识别通道与普通通道要分开设置,避免人脸识别设备附带采集那些未选择此技术旅客的人脸图像。此外,还需要特别注意的是,鉴于人脸识别的风险,不宜将人脸识别作为一种“奖励措施”来加以推广,譬如与乘客的信用或消费积分的高低相关联。至于人脸识别技术是否可以应用于商业场景,答案也是肯定的,譬如,某些商家希望使用人脸识别技术,对忠诚度较高的客户进行定向广告推送。不过,商家使用人脸识别技术,同样应当就采集、处理人脸信息事先获得顾客的单独同意;商家不得以客户接受人脸识别作为获得其服务或产品的条件,禁止变相的强迫同意、捆绑同意。另外,商家应在人脸识别区域设置清晰的告知与提醒,并避免拍摄其他未经同意的客户的脸部信息。
第四,必须采取严格保护措施。敏感个人信息一旦泄露或者被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。因此,信息处理者除了负有一般的安全保障义务之外,对于敏感个人信息还必须给予特别的严格保护,防止这些极为重要的信息遭受非法破坏、遗失、篡改、公开或查询等事故;为此,信息处理者需要采取特别的加密措施等技术手段。需要指出的是,对于一般个人信息,信息处理者所负有的安全义务在性质上属于一种“手段义务”,这意味着如果考虑到当时的技术水平、实施成本、信息处理活动的性质、范围、场景和目的,以及对信息主体的权利和自由的风险的严重性等因素,处理者所采取的技术手段是合理的,其安全义务即视为已经履行。显然,此种信息安全责任在本质上属于一种过错责任。而对于人脸信息等敏感个人信息,鉴于其特殊重要性,将处理者的信息安全义务的属性界定为结果义务更为适宜。这就是说,无论处理者主观上是否具有可归责性,一旦发生所处理的敏感个人信息的泄漏、窃取、非法公开等事故,处理者即视为未履行信息安全义务,应承担责任。无疑,这在本质上属于严格责任,这也符合立法所特意采用的“采取严格保护措施”这一措辞的目的所在。
第五,对于未成年人要慎用人脸识别技术。值得关注的是,如今很多中小学等教育机构也越来越多地使用人脸识别技术,譬如,用人脸识别对学生出勤、听课等情况进行实时监测;这引发了合法性方面的疑虑。必须承认,这是一个十分复杂的问题,总体上这一做法不宜倡导,至少对于未成年人所在的中小学课堂不宜使用人脸识别技术。鉴于未成年人的身心发育特点,对未成年人给予特别保护是《个人信息保护法》《未成年人保护法》及相关司法解释的一项重要原则。由于认知能力的限制,未成年人对信息处理风险、对信息的控制意识和控制能力明显较弱。相关研究表明,对未成年人进行人脸识别容易改变其行为习惯,对未成年人的心理发育和人格成长会产生负面影响;未成年人的健康成长需要一个自由包容、允许尝试和犯错、自我纠错和习得的宽松环境。对未成年人的人脸识别监控容易使他们产生错误认知,让他们误以为自己被贴上“坏学生”的标签,损害教师与学生之间的信任关系。
在信息时代的当下,公共视频设备、人脸识别技术就是信息网络科技、大数据、人工智能等新技术手段的应用成果,确实有助于公共安全水平的提升,预防和打击违法犯罪行为。数据密集型科技,譬如人工智能应用,促进了数字环境的重建;但在这个全新的环境中,政府和企业都越来越能够追踪、分析、预测、监控个人的行为,并且这种能力达到了一个前所未有的程度,如不加以有效约束,这些科技发展会给人的尊严、自主性、隐私和一般意义上的人权带来重大的风险。在这个意义上,作为网络环境中保护个人的权利和自由最为基础和最为重要的法律,《个人信息保护法》的相关规定对于有效规制公共空间视频设备的应用、妥当兼顾公共利益与个人利益之间的平衡、促进公共安全和提升个人福祉,都具有深远意义。
本文选自石佳友:《公共视频设备应用中的个人信息保护》,载《江苏社会科学》2022年第3期。
石佳友,中国人民大学民商事法律科学研究中心研究员,法学院教授。