在公共场所安装摄像头，将有法律进行规制。8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》（以下简称“个保法”），填补了我国在个人信息保护领域的立法空白。

值得关注的是，针对公共场所安装摄像头、人脸识别设备等，个保法规定：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

今年3月，深圳率先探索对公共场所摄像头进行立法，就《深圳经济特区公共安全视频图像信息系统管理条例（草案）》公开征求意见。有专家分析，个保法体现了统一规范监管的动向，至于如何落地，还需要有更多细化规则。

个保法对人脸信息的保护，主要是通过保护敏感个人信息来实现的。

个保法中明确：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。处理敏感个人信息应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。此外，处理者还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

实际上，人脸信息属于敏感个人信息，在司法实务中已被多次确认。今年4月，杭州市中级人民法院在国内“人脸识别第一案”二审宣判时表示，人脸识别信息相比其他生物识别信息而言，呈现出敏感度高、采集方式多样、隐蔽和灵活的特性，不当使用将给公民的人身财产带来不可预测的风险，应当做出更加严格的规制。

8月，最高法专为人脸识别出台司法解释，为审判实践提供指导。最高人民法院副院长杨万明表示，人脸信息属于敏感个人信息中的生物识别信息，是生物识别信息中社交属性最强、最易采集的个人信息，具有唯一性和不可更改性。

上述司法解释同样引入了单独同意规则。北京理工大学法学院教授、国家标准《信息安全技术 个人信息安全规范》编制组组长洪延青分析，在充分知情、自愿、明确、单独等要素的有力支撑下，“单独同意”能够破除“无感知被收集”的情形，有效遏制在公共场所未征得客户单独同意的情况下，以无感知的人脸识别完成人脸辨识、人脸分析等社会反映强烈的问题。

社科院研究员段伟文认为，“单独同意”给个人维护自己的数据权或隐私权提供了一个法律依据，用户可以以此诉讼经营者。但针对人脸识别“单独同意”的落实情况，目前相关主管部门的主动审查仍然比较欠缺。他介绍，此前这样的问题主要通过一些专项行动来进行检查整治，日后还需要有相应的治理主体长期地去保障“单独同意”的落实，例如通过设置数据保护官等。

值得关注的是，在个保法的相关条款中，“公共安全”被多次提及。

那么，如何判定、由谁来判定公共场所安装图像采集、个人身份识别设备，是为了维护公共安全呢？

南京信息工程大学政法学院教授蒋洁分析，公共安全是个伸缩性很强的概念，具体的判定主体、判定方法和判定流程有待相关细则完善。同时，一般而言，是否属于公共安全所必须，是个综合性概念，要聚合安装主体、安装原因、安装环境、安装效果等多方面因素综合考虑。比如，杭州野生动物园的人脸识别第一案显然不属于公共安全需要，机场火车站的识别系统显然属于公共安全必须。中国信息安全研究院副院长左晓栋则认为，对于什么是公共安全有通行的理解，在实践中应该不存在障碍。

段伟文强调，认定“公共安全需要”只是第一步，接下来从技术、制度、人员等方面落实对个人信息的保护尤为重要，要落实主体责任。“不能说因为我安装这个设备是出于公共安全，别的就不用管了。”他说。

今年3月，深圳市人大常委会就《深圳经济特区公共安全视频图像信息系统管理条例（草案）》公开征求意见，率先探索对公共场所摄像头立法。

该草案明确，涉及公共安全人像、人体及车牌等敏感信息采集的视频图像信息系统，应当由市公安机关统一规划。人像、人体及车牌等敏感视频图像信息用于公共传播时，除法律、法规另有规定外，应当对涉及当事人个体特征、机动车号牌等隐私信息采取使特定个体无法被识别，且不能复原的保护性措施。

段伟文表示，个保法的相关规定给了公众一个武器来保护个人信息，接下来落实相关责任主体非常关键。这包括两个方面，一个是执法主体的明确，一个是技术部署方、科研机构、企业内部相关责任人的落实，这需要更细化的规则。

“需要做的工作还很多。”参与多项信息安全规则制定的左晓栋以人脸识别举例，目前人脸识别相关国家标准还在起草阶段，安全管理政策也还没有公开征求意见，这些都需要继续跟进。

个保法中强调，国家网信部门要推进统筹协调有关部门，针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准。

蒋洁表示，相对于此前我国没有专门基本法的情况，个保法体现了对人脸识别等生物识别技术统一规范监管的动向。个保法实际上衔接了大民法下各领域、刑法、行政法，乃至国际法等各法律分支，关系到政策伦理与技术标准，随着数字技术的发展需要不断更新。个保法厘清了原则、理念和基本处理规则，针对具体适用场景等，还需要辅以切实可行的细则。

比如，个保法引入的单独同意规则在实操过程中，有可能出现两极化现象，即巨头企业通过技术和规则改进，尝试基本达到单独同意的标准；中小企业则选择暂时观望，看后续细则和执行情况。“目前来看主要关注大型互联网企业，尤其是平台企业的个人信息保护机制建设，对于小型个人信息处理者的信息处理规则，需要在考虑个人信息保护和企业生存力创新力维持的双目标情况下，由网信部门牵头确定。”蒋洁说。

采写：南都记者马嘉璐 李娅宁 见习记者胡耕硕

编辑：蒋琳

更多报道请看专题：个人信息保护法来了
《个人信息保护法》通过