“

随着互联网技术对数字风暴的进一步催化，数据安全问题也被提升到了前所未有的高度。将于2021年11月1日起施行的《中华人民共和国个人信息保护法》，即是国家基于数据合规背景下出台的一部关于个人信息保护的专门法。

《宪法》规定国家尊重和保障人权，《民法典》进一步规定自然人的个人信息受法律保护，但两部法都未对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为进行边界限定。

而随着《中华人民共和国个人信息保护法》关于个人信息权益保护规则的厘定，社会主体也应同步提升个人信息保护意识，比如，在公共区域内安装摄像头，是否侵犯了公民的隐私权和个人信息权？

”

文 | 许秀慧 王芸 杜欣宜 北京德恒(兰州)律师事务所

本文由作者向新则独家供稿

该案影射出的问题有：

1. 个人信息权和隐私权有何区别？为什么法院认为被告的行为不侵害原告的隐私权，却侵害了原告的个人信息权？

《民法典》第一千零三十三条规定：

《中华人民共和国个人信息保护法》第十三条规定：

据此，隐私权主要是私人生活安宁和不愿为他人知晓的私密空间、私密活动的权利，隐私权侧重保护他人的“私人”、“私密”范畴，即非公开领域。

而个人信息权是特定自然人对其个人信息的掌控权，个人信息权侧重保护特定自然人对个人信息的收集、存储、使用、加工、传输、提供、公开等处理权，对个人信息的处理，法律规定的特定情形外，以取得个人同意为基本原则。

当个人信息中涉及非公开的私密信息时，就会产生隐私权和个人信息权的重合问题，对此，《民法典》第一千零三十四条已明确处理规则，即个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

梳理清楚个人信息权和隐私权之间的区别后，就可以很好的理解前述案例当中法院的裁判思路，即被告在公共楼梯间安装摄像头采集到的是原告处于公共区域内的活动轨迹等信息属于个人信息范畴，不涉及私密性，因此，不侵犯其隐私权；

但被告在采集原告的该等信息时未取得原告的事先同意，并且该等采集也不属于《中华人民共和国个人信息保护法》规定的“不需要取得被采集人同意”的例外情形，因此，被告的该等行为造成原告对其个人信息处于失控状态，违背原告的个人意志，故侵害了原告的个人信息权。

2. 在公共场所是否可以随意安装摄像头，安装摄像头与个人信息有什么关系？

按照个保法规定，在公共场所安装摄像头（以及各大电商平台、机场、车站等人脸识别系统均）涉及个人信息处理问题，即个人信息的收集、存储、使用、加工、传输、提供、公开、删除等法律问题。

在公共场所未征得客户单独同意的情况下，以无感知的人脸识别完成人脸辨识、人脸分析等行为引发的纠纷已经属于社会反映强烈的问题。

3. 为维护公共安全目的才可以在公共场所安装摄像头，那么由谁来判定公共场所安装图像采集、个人身份识别设备是为了维护公共安全呢？

虽然公共安全的概念有通行的理解，但是否属于公共安全所必须，又是个综合性问题，涉及到安装主体、安装原因、安装环境、安装效果等多方面因素。比如，机场火车站的识别系统显然属于公共安全必须，那么动物园的人脸识别系统是否属于公共安全需要，安装这些设备是否应当得到许可等等问题到底应该如何判定，由谁来判定都是有待解决的问题。

目前就这些问题，深圳先行，在今年3月《深圳经济特区公共安全视频图像信息系统管理条例（草案）》公开征求意见，率先探索对公共场所摄像头立法。

现实生活中，越来越多的商家或个人为保护自己权益，开始在店门口安装摄像头等监控系统，而且有很多案件的侦破也是靠这些摄像头记录的影响资料提供的重要线索而得以破案。

那么，在《个人信息保护法》即将施行的当下，商家是否可以随意在公共区域设置摄像头？且由此而采集的视频数据或人脸识别数据是否侵害个人信息权？如何界定公共区域与私人区域？这些问题都将是《个人信息保护法》实施以后需要重点关注的问题。

特别是涉及公共区域管理的企业更应当在公司治理层面关注数据信息合规的法律问题，否则随着《个人信息保护法》施行，我们国家的个人信息保护法律体系已经全面建立，企业不履行保护个人信息的义务有可能涉及到民事赔偿、行政处罚甚至构成刑事责任承担，其中行政处罚中没收违法所得的金额上限为5000万或者上一年度营业额5%。

为相关企业更清晰的关注个人信息应当履行的义务，本文进一步在陈述以下几个问题的基础上给出几点基础建议。

1. 企业如何界定公共区域与私人区域？

按照一般逻辑，私人区域指的是能够完全隔绝外界影响的区域，比如家里、酒店房间等地方。但是餐厅的包间是不是属于私人区域呢？

海底捞曾经因为摄像头上过微博热搜，热搜名称叫做“为啥海底捞这么多摄像头”，大部分网友的评论是笑言海底捞的服务好，需要摄像头监控员工的服务质量，以防顾客自己偷偷倒水。

但是也有网友反映海底捞在包间内也安装了云台式摄像头，不仅可以全程监控包间内的情况，同时摄像内容也可以通过网络无地域范围的实时观看，那么站在个人信息采集的角度来看，对于餐厅包间区域是不是属于私密区域呢？该范围内的视频数据是不是也属于个人信息权的范畴呢？

我们需要从公共区域安装摄像头的条件、备案、管理以及公共利益和个人利益的冲突三方面考虑：

《北京市公共安全图像信息系统管理办法》中提到：

公共区域，如宾馆、餐馆、饭店可以安装图像采集的摄像头。

《深圳经济特区公共安全视频图像信息系统管理条例（草案）》中也提到：

商业街、商贸区、商场、集贸市场等商品交易场所，城市公园、休闲娱乐场所、足浴按摩场所、影剧院、互联网上网服务营业场所、餐饮场所、酒吧、公共停车场等公众活动和聚集场所应当安装视频图像系统。

但是两个文件中都没有具体指出视频图像是安在包间或大厅，也没有说明包间是否属于公共区域的范围。对于这一部分立法的空白的，但是我们可以从这两个文件中看出，对于公共摄像头的安装、备案及管理都有相应的规定。

故对于企业而言，律师建议在安装摄像头时：

一定要提前去政府或公安局备案，评估安装区域范围是否符合安装条件，备案之后摄像头才能启用；

安装后，哪些人可以查看摄像头，摄像头采集的影像保存时限是多久，如果发生事件需要调取证据或线索，是否任何人都能调取，都在企业合规体系建设过程中进行明确规定并对上述问题如何行为对相关部门和员工进行培训，让企业从上到下，从管理层到各个部门乃至每个员工清晰如何履行信息保护的法律义务以及不履行将导致的严重法律风险。

2. 摄像头采集的数据是否可以用作商业用途？

摄像头采集的数据主要是视频图像数据，其中最有价值的数视频图像数据可以说是人脸识别数据，即人脸信息。自今年3.15晚会曝光了企业私自采集消费者人脸信息用于客流分析的现象后，各地行政机关目前对企业私自采集消费者人脸信息用于商业用途已经加大处罚力度，2021年4月宁波市对3家房地产公司分别处以罚款25万元，2021年7月上海市对某跨国公司中国子公司处以50万罚款。

那么，如何合法合规的使用人脸识别的数据用于商业用途应当是企业在公共区域安装摄像头时关注的另一关键问题。我国目前形成了较为完备的人脸信息法律体系，对于人脸信息的保护不仅可以适用民法典中对于“个人信息”的保护，还可以适用敏感个人信息保护的相关规定。

个保法二审稿在第二十九条、第三十条、第三十一条、第五十五条分别明确规定了处理敏感个人信息的前提、同意方式、必要性、影响告知、事先评估分析等处理者义务，在第六十一条第一款第二项还特别要求网信部门针对敏感个人信息以及人脸识别、人工智能等新技术、新应用制定保护规则、标准。

与之关联的《个人信息安全规范》《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》《常见类型移动互联网应用程序必要个人信息范围规定》等国家标准对此亦进行了具体的规定。

在最近出台的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中，对人脸信息的商业使用有了比较深入的规定。

综合上述这些规范，律师建议：

① 使用人脸识别应当取得当事人的同意，或者属于法律、行政法规规定可行的情形；

② 在使用人脸识别技术时应当审慎甄别人脸信息是否为所提供服务必须搜集的信息，即应当判断是否无人脸信息的参与，则产品或服务的功能无法实现；

③ 对于非必要收集的人脸信息应当严格遵循单独告知同意要求，可以采取跳转独立页面等方式进行告知、提示和收集等“可感知”模式，避免采取混合在格式用户协议或者隐私政策一并告知等“捆绑授权”模式；

④ 在进行人脸识别的同时注意收集、固定可以证明人脸识别具有必要性、合法性证据，避免诉讼时证据灭失。

3. 摄像头中采集的信息是否可以无条件提供给其他主体？

就此问题除《个人信息保护法》规定的向境外提供的法律规定外，2016年11月28日公安部《公共安全视频图像信息系统管理条例（征求意见稿）》第六条规定：

任何单位和个人，不得利用公共安全视频图像信息系统非法获取国家秘密、工作秘密、商业秘密或者侵犯公民个人隐私等合法权益。

公共安全视频图像信息系统的建设、使用等单位，对于系统设计方案、设备类型、安装位置、地址码等基础信息，以及获取的涉及国家秘密、工作秘密、商业秘密的视频图像信息负有保密义务，对于获取的涉及公民个人隐私的视频图像信息不得非法泄露。

据此律师建议：

① 向境外提供视频图像信息的应当按照《个人信息保护法》履行跨境提供审批等一系列手续。

② 建议任何企业不得提供、公开视频图像信息（包括不得存储、使用、加工、传输）。

③ 摄像头安装企业超过审批备案权限处理（收集、存储、使用、加工、传输、提供、公开）视频图像信息必须重新按照相关法律规定进行审批且取得相关权利人同意。

总而言之，公共区域安装摄像头行为已经触及到法律规定的数据信息领域的全部法律风险，本文律师建议只能触及到个别视角，若要有效建立企业风险防控体系，律师建议：

还应当按照《个人信息保护法》及相关法律规定进行专项合规治理，在制定内部管理制度和操作规程的基础上对数据信息实行分类分级管理、采取相应的加密、去标识化等安全技术措施，合理确定数据信息处理的操作规程和权限，并对操作人员进行安全教育和培训等等，防止数据信息泄露、篡改、丢失或者未依法处理后引发相关法律风险。

个人属于零维的点，个人信息构成一维的线，人与人之间的交互构成二位的面、三维的体和四维的时空，只有从源头保护个人信息，才能在大数据时代甚至即将到来的超数据时代，为数据的混沌运动提供有力的规则保障，实现个体与集体的融合发展。