前言
2025年3月,西班牙数据保护局(AEPD)对某公司处以4000欧元罚款,原因是该公司在建筑外墙安装的4台摄像头超出合理监控范围,拍摄到公共道路及过往行人、停放车辆。尽管企业声称监控目的是保障建筑安全,但其摄像头朝向未严格限定于私人区域,且因建筑周边人行道狭窄、紧邻停车区,客观上覆盖了公共空间。这与我国2025年4月1日施行的《公共安全视频图像信息系统管理条例》(以下简称《条例》)形成跨国合规呼应。二者均聚焦同一核心问题:企业或个人在安装监控设备时,如何在安全保障与隐私保护之间划定合法边界。西班牙处罚案体现了GDPR“数据最小化”原则的严格适用,而我国新规则系统性明确了监控设备从安装到使用的全流程规范,为同类问题提供了本土化解决方案。
西班牙处罚案中的某公司直接违反GDPR(《通用数据保护条例》)第5条第1款(c)项 “数据最小化原则”(Data Minimisation),即数据控制者收集的数据应限于实现处理目的的必要范围,且需与目的具有直接相关性。西班牙数据保护局认定,企业监控的“目的”是保护建筑内部及私人区域安全,但其摄像头覆盖公共道路的行为已超出这一目的的合理必要范围。即使公共道路场景中包含车辆、行人等非敏感信息,未经必要性评估的广泛拍摄仍构成违规。
(二)监控场景下的合规要件
根据 GDPR 及欧盟数据保护委员会(EDPB)指南,企业在部署监控设备时需满足三重合规标准:
1.目的限定性:监控目的必须明确且合法(如保护财产安全、预防犯罪),模糊的“安全保障”不足以构成合法基础;
2.空间必要性:摄像头范围应严格限定于实现目的的最小区域,例如仅对准企业入口、围墙等私人区域,避免拍摄公共道路、邻居窗户等第三方空间;
3.透明化义务:需在监控区域显著位置张贴告示,告知公众监控存在、目的及数据处理方式,保障个人知情权。
本案中,企业未对摄像头角度进行精准调校,也未就公共区域拍摄的必要性进行评估,导致监控范围失控,成为被罚的关键原因。
二、中国法律框架下的对比与实践现状
我国在既有“最小必要”原则基础上,通过《条例》实现了监控设备管理的系统性升级:
1. 安装主体限定:
除城乡主要路段、行政区域道路边界、桥梁、隧道、地下通道、广场、治安保卫重点单位周边区域等公共场所的公共安全视频系统外的其他公共场所安装图像采集设备及相关设施,应当为维护公共安全所必需,仅限于对该场所负有安全防范义务的单位或者个人安装,其他任何单位或者个人不得安装。禁止无关主体擅自安装,从源头遏制问题。
2.禁止安装区域清单:
明确将客房、宿舍、浴室、更衣室等私密空间列为 “绝对禁区”,且禁止安装可能窥视他人隐私的设备,强化对私密空间的物理防护。
3.使用规范升级:
查阅、调取公共安全视频系统收集的视频图像信息仅限用于公共安全、执法办案、处置突发事件等法定目的,保存期限届满后须及时删除;公民因个人权益需求查阅时需经管理单位同意,且不得非法对外提供或者公开传播。
《条例》实施前,我国司法裁判依赖“主观目的 + 结果侵权”双重认定。新规通过“事前备案 + 事中监管 + 事后追责”闭环管理,将司法实践中的零散规则上升为统一标准。
三、结语
2025年,西班牙处罚案例与我国《条例》的实行,表明全球监控设备治理进入“精准规制”时代。欧盟通过 GDPR 构建风险预防体系,我国则以专门行政法规实现“从安装到使用”的全链条监管,二者虽路径不同,但共同追求“安全与隐私的动态平衡”。即使出于合理安全目的,数据收集行为仍需严守“最小必要”边界。唯有通过 “立法细化标准、执法精准监管、企业主动合规、公众积极参与” 的多元共治模式,才能实现安全保障与隐私保护的动态平衡。对于企业而言,需建立“技术部署前先问合规”的思维,将数据保护嵌入工作全流程;对于监管者,需避免“运动式执法”,通过透明化的规则供给引导行业健康发展。最终,让技术创新成为安全的“守护者”,而非隐私的“越界者”。
声 明 本文仅代表作者观点,不得视为发现律师事务所或其律师出具的正式法律意见或建议。如需转载或引用,请注明出处。
蜀ICP备:17000577号-1