目录
上篇
一、UNIONTRAD公司因安装摄像头过度处理员工个人数据遭法国CNIL处罚
二、西班牙视频监控高频处罚场景:摄像头安在了监视公共区域的位置
三、视频监控一般会处理哪种个人数据?
四、视频监控收集处理个人数据的合法性是什么?
五、视频监控处理个人数据如何确保最小必要的范围?
下篇
六、视频监控处理个人数据如何满足充分性告知义务?
七、视频监控下数据主体会行使哪些权利?
八、视频监控下个人数据的留存销毁应注意什么?
九、视频监控处理个人数据如何满足安全性和保密性义务?
十、视频监控处理个人数据的其他注意事项
视频监控处理个人数据如何满足充分性告知义务?
根据GDPR第12条、13条,数据控制者有义务通过清晰易懂、简洁明了、透明以及易获得的方式将有关数据处理的信息提供给数据主体。其中直接从数据主体处收集个人数据时应当提供数据控制者相关信息、DPO信息、数据处理目的及合法性基础、数据接收方、跨境转移情况、存储期限、数据主体的权利等。上文中讨论的涉及视频监控的各类案件,监管机构在其处罚决定中,均有提到数据控制者的这项义务。这种信息披露要求在视频监控场景下具体应当如何实现?考虑到需要向数据主体提供的信息量,数据控制者可以遵循分层方法,选择使用多种方式组合呈现以确保透明度。关于视频监控,最重要的信息应显示在警告标志本身(第一层)上,而进一步的强制性详细信息可通过其他方式(第二层)提供。
所谓第一层内容,就是数据主体了解视频监控处理其个人数据的主要和首要方式,因此应当以直观、易懂、显眼的方式予以呈现。一般而言,通过文字和图标的组合,使得数据主体首先应该意识到视频监控正在运行这一事实,同时还要以易于看到、可理解和可清楚读取的方式对预定的数据处理进行有意义的描述,从而将最重要的信息告知给受影响的个人。形式上,警示标志应当使数据主体能够在进入监控区域之前意识到其所面临的监视环境,同时可以预判到摄像头可以捕捉的监控区域。因此,所张贴的位置应当尽量保持在一般人的视线水平处,以便于数据主体及时察觉。在内容上,第一层信息应传达最重要的信息,这一般包括处理目的、控制者的身份、数据主体权利的存在,以及其他对数据处理影响较大的信息,例如控制者(或第三方)追求的合法利益以及数据保护官员的详细联系方式(如果适用)。另外,第一层信息中还必须提到更详细的第二层信息可以在哪里以及如何找到,在实践中可行的方法比如提供二维码直接查看电子版,或者告知在前台或哪里获取纸质版的详细隐私通知书等。同时还应注意在第一层信息中包含任何可能超出数据主体合理预期的信息,例如,相关信息是否会被传输到第三方,特别是在第三方位于在欧盟境外的情况。
这里的第二层信息,具体指GDPR第13条中描述的所有应当告知数据主体的详细信息。这些信息应当放置在数据主体能够及时方便获取的地方。这些信息若以电子形式提供(比如二维码),应当保证其亦可以很容易从非电子形式中获取,即应当充分考虑在数据主体无相关电子设备查看的情况下如何获取信息,且应确保数据主体可以在不进入监控区域的情况下能够访问。具体方式可以是电子加纸质方式实现,设置访问二维码或链接,并在前台、信息台、接待处等处提供纸质版隐私通知。视频监控下数据主体会行使哪些权利?
GDPR第15至20条规定了数据主体权利的具体内容,数据控制者需要按照具体要求及时有效的响应数据主体的权利请求。对于视频监控处理个人数据而言,涉及数据主体权利响应方面,值得着重讨论的应该是数据主体的访问权、删除权和拒绝权。数据主体有权从数据控制者处获得有关其个人数据是否被处理的确认结果,并访问有关个人数据处理的目的、数据类别、数据接收方、存储期限、数据主体的其他权利等信息。这是数据主体最重要的一项权利。值得注意的是,根据第15条第3款规定,数据主体行使访问权时,数据控制者应当提供正在处理的个人数据副本。而在视频监控场景下,如果数据控制者实施的监控并未以某种形式进行存储或传输,而是以一种实时监控的方式存在,则在数据主体行权时控制者已不可能提供相关副本信息,此时控制者只能提供其已不再处理其个人数据的信息。即便控制者处理个人数据的视频片段确实仍以某种方式存在,但如果视频片段很难将权利请求人的个人数据检索出来,即控制者可能必须付出不合理的人力物力,才能找到所述数据主体,这意味着客观上控制者可能无法识别出数据主体。此时,数据主体在向控制者提出请求时,除了提供识别个人身份的文件外,还应指定何时(在合理的时间范围内)进入了监控区域,该合理时间段应当与在此场所下记录的数据主体数量成比例。也就是说,假如该监控设备安装在人流量较大的某商场门口,则这里的合理时间段应当相较而言尽可能的短。对此,数据控制者应通知数据主体其需要哪些信息来满足数据主体的该项请求。如果控制者能够证明其不能识别数据主体,则必须通知数据主体,同时也应当将该视频监控的范围等基本信息告知给数据主体,便于其确定进入监控领域的相应的时间段。如果数据主体提出请求时,数据控制者仍以某种方式存储或连续处理其个人数据,且已提供了相应信息使得控制者可以在视频录像中识别该个人,则控制者需要按照规定满足数据主体的权利请求,并按照第3款规定向数据主体提供副本。但还需要关注第15条第4款的规定,即不应对他人的权利和自由产生不利影响。基于此,考虑到视频监控在相同的视频序列中一般会记录下不定数量的对象内容,那么在截取某部分的数据内容时就可能会连带对其他对象的个人数据进行额外处理。此时如果数据主体希望获得数据处理的副本,就需要通过一些技术手段避免对其他数据主体产生不利的影响,例如图像编辑,遮蔽或加扰等。前文已对GDPR第6条关于数据处理的合法性依据进行过讨论。在通过视频监控处理个人数据的场景,数据控制者的法律依据一般是(f)项“合法利益”和(e)项“公共利益”。而这和GDPR第21条关于数据主体行使拒绝权相关联。数据主体有权基于其自身特殊情况随时拒绝依据第6条(e)(f)项规定而实施的数据处理行为。除非控制者证明有令人信服的合法理由来推翻数据主体的权利和利益,否则必须停止对提出异议的个人的数据处理。在视频监控的情况下,数据主体可以在进入监控区域前、进入监控区域期间或离开监控区域后提出此异议。当然,如果相关监控涉及到直接营销目的,则根据第21条第2款和第3款,数据主体提出异议的权利是绝对的。删除权也称被遗忘权,是数据主体最常见的行权请求形式。根据GDPR第17条,在视频监控场景下,若相关的视频数据对于当时收集或处理的目的已不再必要或者属于非法的数据处理,那么在数据主体请求数据控制者立即删除与其有关的个人数据时,控制者有义务立即清除相关个人数据。视频监控场在极少数情况,也可能以数据主体的同意作为处理的法律依据。此时若数据主体撤回同意,数据处理没有了相应的合法性基础,数据控制者有义务按照数据主体的请求删除相关个人数据。同理,在数据主体行使拒绝权后,数据控制者停止了对个人数据的继续处理。若数据主体同时行使删除权,控制者也应当按照请求对相关个人数据进行删除。当然,视频监控场景下,数据控制者亦可以使用第17条第3款中规定的删除权的豁免情形。视频监控下个人数据的留存销毁应注意什么?
GDPR对在第5条第1款(e)项中要求,个人数据的存储时间不能长于实现数据处理目的所必须的时间。一般来说,视频监控的合法目的通常是保护财产或保全证据,通常发生的损害可以在一两天内得到确认。虽然各欧盟成员国对视频监控的存储期限有个别具体规定,但一般而言,数据控制者应当对视频数据设置定期清除机制,且清除周期一般不会超过72小时,除非有特殊理由。储存期限设定得越长(特别是在超过72小时的情况下),就必须提供越多的理由来证明储存的合法性和必要性。控制者有责任根据必要性和相称性原则界定数据的留存期限。
视频监控处理个人数据如何满足安全性和保密性义务?
根据GDPR第5条第1款(f)及第32条,数据处理应当确保个人数据处理的安全性,包括实施适当的技术和组织措施,保护数据免遭非法处理或丢失损害。具体而言,数据控制者应当在视频信息处理的存储(静止数据)、传输(传输中数据)和处理(使用中的数据)等所有阶段,通过技术和组织措施相结合的方式保护数据的安全。对此可以参考一些关于多媒体系统信息安全的国际标准或技术规格等,关于技术和组织措施的具体内容,本文便不做过多阐述。
视频监控处理个人数据的其他注意事项
根据GDPR第35条,当某数据处理行为对自然人的权利或自由产生高风险时,数据控制者应当做数据保护影响评估。对此若视频监控涉及对公共区域的大规模系统化监控或处理大规模特殊类型个人数据时,是必须要做数据保护影响评估的。尤其需要对于监控的合法性、必要性和相称性等进行系统性评估。另外还应当注意,在雇员雇主场景下,雇主在工作场所安装监控设备不仅涉及到数据保护方面的问题,还会涉及劳动法及人权法方面的关切,如获得工会方面的同意等。在做相关的设备安装前要进行充分的评估方可实施。
本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证;
本文仅为分享、交流、学习之目的,任何人都不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。