《公共安全视频图像信息系统管理条例》新规解读:企业视频监控合规如何“避雷”?
日期:2025-02-17
前言
2025年2月10日,国务院发布了《公共安全视频图像信息系统管理条例》(以下简称《条例》),并将于2025年4月1日正式实施。这一条例的出台,标志着我国在公共安全视频监控领域的立法迈出了重要一步。随着科技的进步,视频监控系统技术越来越成熟,国家机关、企业事业单位对食品监控系统的部署也越来越广泛,这对打击违法犯罪、加强治安防控、处置突发事件、优化城市管理起到了很好的便利作用。然而,监控设备的广泛使用也带来了隐私泄露和数据安全等问题。如何在保障公共安全的同时平衡好个人隐私利益是此次立法的重要出发点。而如何解决公共场所视频图像信息被乱采、滥用、泄露和缺乏有效监管等问题,公共场所建设公共视频系统、采集视频图像信息的行为该如何进行规范,各方责任如何区分,如何在加强统筹管理的同时又做好分类监管,这些是本次立法的重要落脚点。结合国家网信办于2025年2月12日发布并将于2025年5月1日的《个人信息合规审计管理办法》,企业对视频图像信息系统的部署势必落入个人信息保护合规审计的重点领域之一。
事实上在《条例》出台之前并非没有法律规范,全国各地不同省市许多地方已经针对视频监控问题制定了地方性法规,部分地方甚至做了多次修订,但各地的标准和管理执行方式不尽相同,而国家层面的立法迟迟空缺。早在2016年11月,公安部会同有关部门研究起草了《公共安全视频图像信息系统管理条例(征求意见稿)》并向社会征求意见;2024年4月,公安部结合各地方有益的立法实践经验再次发布征求意见稿并最终于2025年1月定稿。
《条例》正式实施后对哪些企业有哪些合规要求?因经营管理需要已经部署视频监控的企业是否合规?正将部署视频监控的企业是否可合法部署以及如何规范部署?企业该如何构建良好的数据合规管理体系?本文将为您一一解答。
一、哪些企业需要关注《条例》?
对于企业而言,承担以下三类角色的企业应当关注本法,并结合本法规定及可能需要同步适用的法律法规和规范性要求采取相应的合规风险管控措施:
(一)视频图像信息系统的研发生产制造者和服务提供者
1. 视频图像信息系统的研发生产制造单位
2. 视频图像信息系统的销售单位
3. 接受委托承担公共安全视频系统设计、施工、检验、验收、维护等工作的单位
合规关注点:此类企业应该关注公共安全视频系统采用的产品、服务是否符合国家标准的强制性要求,不得设置恶意程序;发现其产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(二)视频图像信息系统的建设、运营、使用单位
此类企业是《条例》的重点规制对象。随着现代视频系统技术的发展、产品的成熟运用和价格的普惠发展,越来越多企业出于安全、秩序等管理需要而在不同场所部署视频监控,因此此类企业群体数量相当庞大。
合规关注点:包括安装监控是否符合公共安全要求、安装产品是否达标、安装位置/角度/采集范围是否合理、是否设置提示标识、是否根据规定履行行政备案手续、是否采取充分的网络安全、数据安全和个人信息保护措施等。具体要求见后文解析。
(三)电信业务经营者
包括电信、移动、联通等基础电信运营商及其他为公共安全视频图像信息系统提供网络传输服务的电信业务经营者。
合规关注点:《条例》要求,为公共安全视频系统提供网络传输服务的电信业务经营者,应当加强对视频图像信息传输的安全管理,依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,维护数据的完整性、保密性和可用性。
本文以下将重点针对第二类重点规制对象应当关注的合规风险要点进行分析。
二、哪些场所可以安装监控?
(一)应当安装类
《条例》明确列举了应当安装监控的公共场所,主要包括以下几类:
(一)城乡主要路段、行政区域道路边界、桥梁、隧道、地下通道、广场、治安保卫重点单位周边区域等公共场所;
(二)下列涉及公共安全区域的场所:
(二)禁止安装类
(三)允许安装类
根据《条例》第九条规定,除了上述应当安装类列举的公共场所之外,其他公共场所安装图像采集设备及相关设施,必须满足以下条件:
(1)为维护公共安全所必需:安装监控必须是为了公共安全,而非其他目的;
(2)仅限于对该场所负有安全防范义务的单位或个人安装:其他任何单位或个人不得擅自安装。
以上规定较为原则宽泛,也是本《条例》适用可能引发企业适用困惑的难点之一。企业可通过主张基于公共安全考虑需要安装监控而援引适用该条,但企业可能更多希望借以保障其一般经营性场所的人身、财产安全或秩序维护,例如在商场、超市、餐厅、宾馆、厂区、园区、仓库、办公楼等的出入口、主要通道、大厅等安装监控。本条存在一定的适用解释空间。
(四)《条例》与各省市规范不一的情况怎么办?
1. 目前,各省市在公共安全视频图像信息系统的管理上存在一定的规范差异。例如广东省和武汉市对应当建设公共安全视频图像信息系统的公共场所和区域有着更为广泛全面和细致的列举:
· 广东省:《广东省公共安全视频图像信息系统管理办法(2020修订)》对应当建设公共安全视频图像信息系统的公共场所和区域的列举包括:
(一)武器、弹药,易燃、易爆、剧毒、放射性物品,易制毒化学品的生产、存放或者经营场所以及实验、保藏传染性菌种、毒种的单位的重要部位;
(二)国家重点科研机构,集中存放重要档案资料的馆、库;
(三)博物馆、纪念馆、展览馆等集中陈列、存放重要文物、资料和贵重物品的场所和重点文物保护单位的重要部位;
(四)金库,货币、有价证券、票据的制造或者集中存放场所,票据、货币押运车辆,金融机构的营业和金融信息的运行、储存场所;
(五)广播电台、电视台、通讯社,电信、邮政及大型能源动力、供水、供电、供气等单位的重要部位或者经营场所;
(六)机场、港口、大型车站、码头、停车场的重要部位,高速公路、城市快速干线、城市道路、中心城镇和地铁的重要路段、路口、隧道,大型桥梁的重要部位;
(七)旅馆、公共娱乐场所、互联网上网服务场所的大厅、通道、出入口等重要部位;
(八)大型物资储备单位、大中型商贸中心、商业街和大型农贸市场的重要部位;
(九)体育比赛场馆、公园、大型广场、医院、学校、幼儿园等公众活动和聚集场所的重要部位,住宅小区的出入口和周界;
(十)城市公共交通、客运车辆和客轮等公共交通工具;
(十一)江河堤防、水库、人工湖、重点防洪排涝区域及其他重要水利工程设施;
(十二)法律、法规、规章规定需要建设公共安全视频图像信息系统的其他场所和区域。”
· 武汉市:《武汉市公共安全视频图像信息系统管理办法》(2022.12.31 发布)对应当建设公共安全视频图像信息系统的公共场所和区域的列举包括如下:
(一)国家机关和广播电台、电视台、报社等重要新闻单位,通信、邮政、金融单位和国家重点建设工程单位;
(二) 机场、港口、车站等重要交通枢纽,高速公路、国省干道、城市街道和中心城镇区域的重要交通路段,大型桥梁、隧道、地下通道等重要交通路口,地铁、轻轨、客运车船等重要交通工具;
(三)大型能源动力设施、水利设施和城市水、电、燃油、燃气、热力供应设施;
(四)幼儿园、学校,科研、医疗机构,博物馆、档案馆和重点文物保护单位;
(五)大型商贸、物流、物资储备中心,大型广场、停车场、公园、森林、湿地、旅游景区,文化娱乐、体育健身、餐饮、宾馆、民宿、网吧等场所;
(六)研制、生产、销售、储存危险物品或者实验、保藏传染性菌种和毒种的单位;
(七)国防科技工业重要产品的研制、生产单位;
(八)货币、贵金属和有价证券的制造、储存场所和运输设备;
(九)应急疏散场所、大型地下空间等设施;
(十)居民住宅区的出入口、主要通道和主要公用设施区域;
(十一)易发或者频发刑事、治安案件的区域;
(十二)法律、法规规定的其他场所和区域。
2. 未来统一执行国家行政法规
随着《公共安全视频图像信息系统管理条例》的正式实施,各省市的地方性法规将逐步与国家行政法规统一。虽然地方性法规在某些方面可能更为细致,但总体上需要符合国家行政法规的基本要求。
3. 企业需要特别注意以下几点:
· 优先遵守国家行政法规:新法作为全国性的法规,具有更高的法律效力。企业必须首先确保符合新法的要求。
· 关注地方性法规的补充规定:在某些具体问题上,地方性法规可能有更详细的规定。企业需要结合自身所在地的具体法规,确保全面合规。
· 及时更新合规政策:随着国家行政法规的实施和地方性法规的调整,企业应及时更新自身的合规政策和操作流程,确保持续符合法律法规要求。
· 对于具体场景可能对监管要求存在疑惑的部分征询监管部门或律师顾问意见。
总之,企业在安装和使用公共安全视频图像信息系统时,必须严格遵守国家行政法规的要求,同时关注地方性法规的具体规定,确保合规运营。
(五)场景示例:在公司会议室安装监控合规吗?
大多数场景下公司会议室是指用于非特定对象的多人可使用的公共会议室,但亦不排除公司可能设置相对私密的特定人员(尤其是公司)小范围专用的会议室。如为后者,私密性较高,不应当纳入公共场所范围,不应安装监控摄像(一般企业也不可能安装)。如为前者,该等场所具有一定程度的公共性,但根据《条例》规定,禁止安装类的公共场所列举情形并不包括公司会议室或类似性质对的场所,此类场所主要用于公司内部的会议和商务活动,通常不被理解为个人隐私空间;尽管如此,并不代表公司可以随意在此类场所安装监控摄像头。《条例》仅是隐私保护法律体系中的一部分,公司应当按照《个人信息保护法》及其它相关规定采取包括但不限于如下措施:
1. 进行个人信息保护影响评估(PIA):
结合公司实际情况评估在会议室(尤其是大型会议室或培训室)安装监控摄像头的合法性、正当性和必要性。根据《公共安全视频图像信息系统管理条例》,监控设备的安装和使用必须是“为维护公共安全所必需”。
2. 明确告知员工
公司在会议室安装监控摄像头时,应明确告知员工和相关人员。例如,可以通过在会议室入口处设置明显的提示标识,告知监控设备的存在和使用目的。
隐私保护:监控设备的安装和使用应尽量避免拍摄到个人隐私信息。例如,摄像头应避免对准个人座位或敏感区域。
3. 隐私保护和数据合规管理措施
监控设备的安装和使用应尽量避免拍摄到个人隐私信息。例如,摄像头应避免对准个人座位或敏感区域。此外,企业还应在数据存储、使用、共享、归档、销毁等方面遵循一系列合规管理要求,确保个人隐私得到保护。
三、监控安装是否需要得到行政许可或审批?
不需要事先行政许可或审批,但需要事后及时办理行政备案。
根据《条例》规定,视频图像信息系统公共安全视频系统管理单位应当在系统投入使用之日起30日内,将单位基本情况、公共安全视频系统建设位置、图像采集设备数量及类型、视频图像信息存储期限等基本信息,向所在地县级人民政府公安机关备案。《条例》施行前已经启用的,应当在《条例》施行之日起90日内备案。公共安全视频系统备案事项发生变化的,应当及时办理备案变更。
四、监控视频录像可以存储多久?《条例》与其他国家规定的对比
1. 中国的规定:至少30天
根据《条例》,公共安全视频系统收集的视频图像信息应当保存不少于30日;30日后,对已经实现处理目的的视频图像信息,应当予以删除。法律、行政法规对视频图像信息保存期限另有规定的,从其规定。
2. 欧盟的规定:72小时为限
(1)GDPR第5(1)(e)条是关于数据存储限制的规定,其未明确规定数据控制者存储数据的最长存储期限或最短存储期限,而是要求“不能超过个人信息处理目的所必要的时间;但为符合公共利益的科学、历史、研究或统计目的,且采取了适当的技术及组织措施,以确保数据主体权利及自由,则个人信息可以被存储较长时间”。
· GDPR Article 5(1)(e) reads that “Personal data shall be kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’)”.
(2)根据欧洲数据保护委员会(European Data Protection Board, EDPB)发布的《通过视频设备处理个人信息的指引3/2019》(Guideline 3/2019 on processing of personal data through video devices),通过视频设备处理的数据存储期限不应超过72小时,所存储数据应该在1-3天内删除;如果存储期限超过72小时,则数据控制者需要提供更多证据说明其处理数据合法性及存储期限必要性。该3/2019号指引指出,“存储个人信息应控制者在最短时间内”、“使用视频监控的合法目的在于保护资产安全和留存证据,而通常情况下发生的损害在一两天内可以得到确认”、“根据GDPR的数据最小化和存储期限限制原则,大部分数据都应在几天内(A few days)删除”、“如果存储期限超过72小时,则数据控制者需要提供更多证据说明其处理数据合法性及存储期限必要性”。
· Guideline 3/2019 on processing of personal data through video devices provides that “Whether the personal data is necessary to store or not should be controlled within a narrow timeline. In general, legitimate purpose for video surveillance are often property protection or preservation of evidence. Usually damages that occurred can be recognized within one or two days……. Taking into consideration the principles of Article 5(1)(c) and (e) GDPR, namely data minimization and storage limitation, the personal data should be in most cases be erased, ideally automatically, after a few days. The longer the storage period set (especially when beyond 72 hours, the more argumentation for the legitimacy of the purpose and the necessity of storage has to be provided……”
3. 美国规定:各州规定不一
美国存在联邦法和州法,各州对监控视频存储要求普遍倾向于较短的存储期限,监控录像最长存储期限不应超过实现其目的所合理需要的最少必要时间。
4. 中美欧对比:谁更严格?
· 中国:30天的存储期限相对较长,主要是为了确保公共安全事件的处理有足够的时间窗口。
· 欧盟:72小时的存储期限更短,强调数据最小化和存储期限限制原则,确保个人信息在最短时间内删除。
· 美国:监控录像最长存储期限不应超过实现其目的所合理需要的最少必要时间
从国际比较来看,中国的存储期限相对较长,主要是出于公共安全的考虑,而欧盟则更注重个人隐私保护,要求数据在最短时间内删除。
五、监控视频录像的调取应当注意什么?
根据《条例》规定,系统管理企业在面对相关方调取监控视频图像的要求时,应当严格遵守以下要求:
1. 严格审查调取主体的合法性
国家机关调取:国家机关为履行执法办案、处置突发事件等法定职责,查阅、调取公共安全视频系统收集的视频图像信息时,企业必须核实其身份和调取权限,确保其依照法律、行政法规规定的权限和程序进行。
个人或特定关系人调取:本人、近亲属或者其他负有监护、看护、代管责任的人,因保护自然人的生命健康、财产安全,经企业同意后可以查阅关联的视频图像信息。
2. 建立严格的调取流程
授权管理:企业应建立授权管理制度,明确内部人员对视频图像信息的查阅、处理权限,确保只有经过授权的人员才能接触相关信息。
信息调用登记:建立信息调用登记制度,如实记录查阅、调取视频图像信息的事由、内容及调用人员的单位、姓名等信息。
补充保护措施:如确定调取公共安全视频系统收集的视频图像信息,企业应统同步考虑采取补充保护措施,尽可能降低会个人隐私的影响,包括但不限于采取一定的技术处理措施、要求调取者签署不得对外非法传播或公开传播的合规承诺函等。
六、系统管理企业还应当做好哪些管控?
除了注意前述合规要求之外,公共安全视频系统管理单位可以采取如下合规风险管控措施,降低视频监控“踩雷”风险:
1. 制度约束:建立网络安全、数据安全和个人信息保护管理制度;
2. 员工内部管理:例如对系统监看、管理等重要岗位人员进行入职审查、保密教育、岗位培训,并建立相关合规检查、合规考核等管理机制;
3. 第三方合作伙伴合规约制:公共安全视频系统管理单位委托他人运营的,应当通过签订安全保密协议等方式,约定前述规定的网络安全、数据安全和个人信息保护义务并监督受托方履行。
4. 程序控制:例如设立设备采购安装前的合规风险评估流程、信息调用登记和审批流程,通过流程控制合规风险,严防违规安装,或安装后查阅、调取视频图像信息,导致个人隐私泄露;
5. 技术控制:完善防攻击、防入侵、防病毒、防篡改、防泄露等安全技术措施,定期维护设备设施,保障系统连续、稳定、安全运行,确保视频图像信息的原始完整;采取授权管理、访问控制等技术措施,严格规范内部人员对视频图像信息的查阅、处理。
七、企业如何做好数据合规和个人隐私保护?
公共安全视频图像信息系统管理仅是企业数据合规和个人隐私保护管理体系的其中一项管理活动和场景,《条例》的实施能够促进企业进一步提升数据合规管理水平,加强对个人隐私信息的保护。
企业应当建立健全数据合规风险识别评估机制,全面识别与评估数据合规风险,并采取一系列风险管控措施,包括通过制度文件化规制、程序控制、人工管理干预和技术措施等做好风险防控,并通过合规培训和沟通不断强化员工合规意识,对相关违规问题通过投诉举报机制进行及时响应和解决。
此外,企业应当将该项管理活动纳入整体数据合规管理活动中,并构建有效的数据合规管理体系,从高层基调、组织体系、制度体系、运行机制、保障机制、文化沟通等多方面进行全方位、多层次、立体化的合规管理。
(图1:企业合规管理体系)
八、数据合规难题如何破局?信达合规团队赋能企业发展
数据合规的复杂性远超企业想象,即便监控设备安装一个细小的企业管理活动,从监控设备的安装范围界定、数据存储期限的合法性论证,到跨境传输中的隐私保护设计,每一个环节都可能暗藏法律风险。企业内部团队往往难以覆盖所有细节的合规风险识别,尤其是在涉及多地法规冲突(如中国新法与欧盟GDPR)或技术合规耦合(如AI监控与隐私保护)时,更需要借助外部律师的专业支持。
信达合规团队可为企业提供数据合规专业服务,包括如下:
· 数据合规风险评估(PIA):
进行个人信息保护影响评估(PIA),识别数据处理中的合规风险,并出具评估报告。
· 数据交易合规审查(DTC)
对数据交易标的进行审查,出具法律意见书,协助优化交易标的,帮助企业完成数据交易。
· 境内外IPO数据合规审查
IPO数据合规尽职调查,风险识别及解决方案;支持上市审核问询环节
· 数据跨境传输合规方案
针对跨境数据传输,提供合规方案,确保符合各国法律要求。
· 数据主体权利响应服务
帮助企业应对数据主体的权利请求,如访问、更正、删除等。
· 个人信息保护合规审计
对企业个人信息保护活动进行合规审计,出具个人信息保护合规审计报告报送网信及其他保护监管部门。
· 数据合规官外包(DPO)
为跨境企业提供DPO外包服务,履行数据保护职责
· AI算法及电信资质合规服务
协助企业制定内部AI及算法合规政策,确保符合法律要求;协助企业完成算法备案、大模型备案及电信资质办理
· 数据泄露应急响应
提供数据泄露事件的应急响应服务,包括法律支持、通知义务履行等
· 监管检查整改应对
协助企业应对网信部门和有关部门依法实施的网络安全监督检查
· 数据合规培训
针对董监高可能遇到的信息安全威胁和风险定制培训演习
制定个性化的培训课程和行动指南,提高员工合规意识
· 数据合规认证辅导
协助企业获得ISO 27001、PIA标识等数据合规认证
· 数据合规争议解决
代表企业处理与数据合规相关的争议,包括诉讼和仲裁
· 数据合规年度顾问服务
提供全年数据合规顾问服务,定期审查并指导企业更新合规措施
通过引入外部专业力量,企业不仅能降低合规成本,更能将数据风险转化为管理优势,真正实现合规驱动业务发展。
