如何平衡公共安全与个人隐私保护 专家热议隐私防护
2021/4/8 9:52:00   民主与法制时报
  近期,媒体曝光部分商家因未征得用户同意使用具有人脸识别功能的监控摄像设备,引发公众对公共空间与个人隐私边界的讨论。近年来,公共安全视频被广泛应用于社会各个领域,在维护社会秩序、预防打击犯罪等方面发挥了重要作用。但随着互联网、视频技术的迅速发展,视频监控侵犯公民个人隐私问题时有发生。
  如何在保障公共安全视频合法合规使用情况下妥善处理好维护公共安全、保障国家安全与保护公民隐私权之间的关系?2015年5月,国家发改委、公安部等9部委联合发布《关于加强公共安全视频监控建设联网应用工作的若干意见》提出,要完善法律法规及政策,加快推进视频图像信息安全、数据保护、公民隐私保护等方面立法工作。2016年11月,公安部就《公共安全视频图像信息系统管理条例(征求意见稿)》(以下简称公安部征求意见稿)向社会公开征求意见。近年来,各地在加强公共安全视频的应用管理上也进行了探索。
  如何对公共安全视频进行有效使用和管理?如何平衡公共安全保障与个人隐私保护?记者就此采访了相关专家学者。
  公共安全视频查阅有限制
  公共安全视频是否可以随意查阅?谁有权查阅公共安全视频?公安部征求意见稿第二十一条、第二十二条规定,公共安全视频仅对相关职能部门开放,个人无权随意调阅。相关职能部门的调阅也有限制,即相关职能部门因司法工作、行政执法工作或调查、处置突发事件的需求,才可以查阅、复制或者调取。
  “公共安全视频的使用目的是维护公共安全,因此使用要符合公共安全目的要求。通常排除个人使用,除非是基于公共安全目的的个人使用。”辽宁大学法学院教授王秀哲说。
  中国法学会网络与信息法学研究会理事、宁波大学法学院副教授徐伟认为,公共安全视频的使用主要是为了实现公益目的,而不是满足私益需要。因此,视频的调阅权应由代表公益的国家机关行使。公共安全视频虽一般拍摄于公共场所,但仍可能涉及他人隐私信息,对视频的查阅、复制和调看主体作出限制,有助于减少视频图像的接触者,降低视频图像被泄露、不当使用的风险,有助于个人隐私的保护。
  但王秀哲认为,上述规定虽然强调了公共安全视频的使用主要基于公共安全目的,但对“公共安全”的界定并不清晰,应对基于“公共安全”目的的使用进行分类和分级。如果不进行细化,仅将公共安全目的等同于行政执法的需要,不仅会扩大公共安全视频的使用范围,也使公共安全视频中的个人隐私权面临随时受到侵犯的危险。
  实践中,个人并非在所有情况下都不能调阅公共安全视频,深圳就创新性设立了利害关系人紧急查阅权,开放个人紧急情况下的视频调阅权。根据今年3月公开征求意见的《深圳经济特区公共安全视频图像信息系统管理条例(草案)》(以下简称深圳管理条例草案)第三十五条的规定,因为人身、财产等权益遭受到重大损失,以及其他紧急情况下,经系统管理人同意后,利害关系人可以查阅、调看系统关联部分信息,但不得翻拍、复制。确需复制的,应当经公安机关批准。
  徐伟认为,利害关系人紧急查阅权的设立很有必要,有助于维护公民人身安全、财产安全,在特殊情况下,还有助于查明事实,分清各方责任,解决纠纷。“尽管公共安全视频旨在维护公益,但这并不否定私益的维护。”
  王秀哲也对利害关系人紧急查阅权的设立给予肯定。但她认为,深圳管理条例草案对于“系统管理人”身份的规定并不明确。在王秀哲看来,目前我国公共安全视频的安装使用主体包括政府、公共服务部门以及私主体三类,私主体因保护个人权益安装使用的视频监控作为补充纳入公共安全视频监控体系中,其和前两类直接实现的公共安全目的不同,三类主体承担的法律责任也不同。因此,系统管理人身份应该更明确,需要对查阅内容的公共安全与私人权益保护进行区分,不能一概而论。
  徐伟认为,在不同权利主体调阅范围、权限及调阅程序上可进一步完善。他建议,细化不同主体查阅、复制和调看的范围和权限。公安机关、国家安全机关和其他行政管理部门基于不同的工作职责,可查阅的视频范围应有所不同,可享有的权限也应有所差异。鉴于公共安全视频内容存在不同的安全级别,他认为,查阅的程序应进一步细化。比如,涉及国家安全、个人隐私的视频,查阅手续应更加严格,对一般视频,手续可适当简化,“这将有助于在有效保护国家安全和个人隐私的同时,提高公共安全视频的资源共享”。
  对“敏感信息”进行特殊保护
  随着公共安全视频的高清化,公共安全视频拍摄难免会触及个人隐私信息,涉及个人隐私的信息该如何进行保护?公安部征求意见稿增加了对于隐私信息的保护,第十九条规定,视频图像用于公共传播时,应当对涉及当事人的个体特征、机动车号牌等隐私信息采取保护性措施。《扬州市公共安全视频图像信息系统管理办法》《西安市公共安全视频图像信息系统管理办法》及深圳管理条例草案,对此的规制和上述规定较为一致。
  什么是隐私信息?依照《中华人民共和国民法典》相关规定,自然人享有隐私权。隐私是自然人私人生活安宁和不愿为他人知晓的私密空间、私密活动和私密信息。
  新修订的《信息安全技术个人信息安全规范》对个人敏感信息进行了规定,其3.2条规定,个人敏感信息指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
  如何理解“保护性措施”?公安部征求意见稿第十九条规定的深圳管理条例草案将其限定为使“个体无法被识别,且不能复原”的措施。
  王秀哲认为,保护性措施可以借助技术手段来实现,深圳管理条例草案对保护性措施的界定较为准确。她认为,鉴于公共安全维护的公共性,公共安全视频在使用时通常需要进行保护性技术处理,除非是针对破坏公共安全的个体性行为的使用。
  中国政法大学刑事司法学院副教授李怀胜认为,“保护性措施”可解释为“去识别性”的隐匿化处理保护措施。在他看来,可识别性是个人信息区别于其他信息的重要特征,也是个人信息滥用的风险来源。可识别性作为确定某种信息是否为个人信息的要素,对于个人信息的保护措施也应从“去识别性”出发,根据可识别性的不同,采取不同的隐匿化处理措施。
  “失去了可识别性,意味着根据这些信息无法定位到具体的人,无法确定他人的人身、财产状况等。此时这些信息已经消除个人属性,对这些信息的传播、利用不构成对个人信息权、隐私权的侵犯。”李怀胜说。
  徐伟也认为,个人信息指能够单独或者与其他信息结合识别特定自然人的信息,当信息无法识别特定个体时,该信息不属于个人信息,个人权益也不会因此信息的传播而受到侵害。
  不过,李怀胜认为,信息隐匿化处理并不等同于信息匿名化。深圳管理条例草案中对于保护性措施提出“使特定个体无法被识别,且不能复原”的要求,是对个人信息匿名化处理的规定,相对于隐匿化处理来说,是更高级别的保护要求。但在具体处理时,应依据不同类型的个人信息采取不同的处理措施,不能一概而论。
  在处罚措施上,公安部征求意见稿第三十一条规定,公安机关可责令限期改正,并对个人或单位及相关责任人员进行罚款处罚。深圳管理条例草案第三十条、第四十一条规定,处罚措施包括警告、责令限期改正,对于拒不改正的,单位及单位直接负责人还将受到罚款处罚。违反治安管理的,依照治安管理处罚法的规定处罚,涉嫌犯罪的,移送司法机关处理。
  李怀胜认为,明确对应的罚则对于个人敏感信息的保护具有重要意义,但上述规定使得救济方式单一、救济力度不够。在救济方式上,其虽然增加了追究刑责的规定,但对应的上位法中没有作出相应规定。从惩罚力度来看,现仅有行政罚款的惩罚性措施,建议适当增加其他处罚措施,将滥用信息行为入罪处理。
  用技术手段保障信息安全使用
  现实生活中,公共安全视频的网络安全问题也不容忽视。山东枣庄市公安局近日发布的2019年网络安全行政执法典型案例中就包括多起因不履行网络安全保护义务,使视频监控系统存在网络安全隐患或遭到黑客入侵的案件。
  在公共安全视频网络安全问题上,运用技术手段保障信息安全,是保障网络数据不被泄露、篡改的一项重要措施。《中华人民共和国网络安全法》对此进行了明确规定。按照网络安全法第十条、第二十一条的规定,我国实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,维护网络数据的完整性、保密性和可用性,防止网络数据泄露或被窃取、篡改。
  公安部征求意见稿第十八条及深圳管理条例草案第二十六条对此也进行了明确。李怀胜说,公共安全视频与技术的发展不可脱离,在视频监控信息的网络安全问题上,应强化个人信息保护的技术标准指引,细化管理和技术标准要求,加强敏感信息保护的技术保障,加强对传感器、网络设备、数据存储服务器等重要基础设施的安全防护。
  “作为我国网络安全保护的基础制度,网络安全等级保护制度的设立,可以从源头层面减少数据泄露、篡改的危险性。”李怀胜说。
  徐伟认为,保障网络数据安全有赖于多方协同,技术措施是防止网络数据泄露或被窃取、篡改的重要途径之一。在他看来,通过对信息处理者赋予数据安全保护义务,有助于相关主体正视网络数据风险,进而加大网络安全投入,改善数据保护实践,降低数据安全风险。
  在构建公共安全视频的网络安全机制方面,受访专家学者提出了相应的建议。
  徐伟建议,建立网络数据安全影响评估机制,根据法律法规的变化及技术运用方面的新发展,定期评估网络数据处理活动中存在的安全风险,并及时作出相应管理调整。在强化数据管理人员安全意识上,徐伟建议,对数据管理人员定期开展技术和安全能力的培训和考核,避免发生人为泄露。
  李怀胜认为,在加强内部网络安全保护的基础上,还应对外部网络攻击、数据爬取给予一定的关注。他建议,加强国家安全机关等专业部门的协作配合,压实各部门网络安全防范主体责任,确保各环节网络安全保密工作职责清晰、责任到人、可究可查。在监管上,应切实强化网络安全保密规章制度的执行监管,及早发现处置异常情况和安全隐患,尽可能减少信息安全保密的空白点和薄弱点。
相关新闻: