《视频监控个人信息保护技术要求（征求意见稿）》

T/CSACXXXXX—XXXX前言 2规范性引用文件 3术语和定义 4视频监控个人信息保护概述 4.1视频监控个人信息保护原则 4.2视频监控个人信息参与者 4.3视频监控个人信息全生命周期过程 4.4视频监控个人信息组织安全管理 5视频监控个人信息全生命周期安全保护通用要求 5.1收集 5.2存储 5.3使用 5.4传输 5.5提供 5.6公开 5.7删除 5.8委托处理 6视频监控个人信息组织安全管理要求 6.1明确责任部门与人员 6.2个人信息安全影响评估 6.3个人信息安全事件处置 6.4个人信息的跨境管理 6.5数据安全管理能力 6.6安全审计 附录A（资料性）视频监控个人信息分类 8A.1视频监控个人信息分类 A.2视频监控敏感个人信息分类 参考文献 9T/CSACXXXXX—XXXX本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国网络空间安全协会提出并归口。本文件起草单位：本文件主要起草人：T/CSACXXXXX—XXXX1视频监控个人信息保护技术要求本文件描述了视频监控个人信息保护的信息内容分类、敏感性分类和具体保护要求。本文件适用于视频监控系统应用过程中相关各类组织的个人信息保护，也适用于主管监管部门、第三方评估机构等组织对视频监控系统个人信息处理活动进行监督、管理和评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2022信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范GB/T40660-2021信息安全技术生物特征识别信息保护基本要求GB/T41819-2022信息安全技术人脸识别数据安全要求T/CSAC009-2024隐私计算删除控制技术要求3术语和定义3.1视频监控系统videosurveillancesystem由前端采集、传输、存储、管理、显示等组成，利用视频技术探测、监视设防区域并实时显示、记录现场图像的电子系统或网络。[来源：YD/T3492—2019,3.1]3.2个人信息personalinformation以电子或者其他方式记录的能够单独或者与其他信息结合来识别特定自然人身份或者反映其活动情况的各种信息。注1：个人信息包括姓名、出生日期、公民身份号码、个人生物特征信息、住址、联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、注2：个人信息处理者通过个人信息或其他加工处理后形成的信息，例如，用户画像特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的[来源：GB/T25069—2022,3.194]3.3敏感个人信息sensitivepersonalinformation敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。T/CSACXXXXX—XXXX2注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健3.4个人信息主体personalinformationsubject个人信息所标识或关联的自然人。[来源：GB/T35273—2020,3.3]3.5个人信息处理者personalinformationprocessor对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除、脱敏、存证与取证等操作的实体。3.6删除delete采用访问控制、消磁、物理破坏等技术或措施，使得信息不能被访问或被检索，或者从物理上去除了信息并保障其难以恢复的操作。注：删除包括不能被访问或被检索、全部物理删[来源：GB/T35273—2020,3.10,有修改]3.7脱敏desensitization通过采用有失真且不可逆的方法对信息进行保护，使脱敏后的信息无法与个人信息主体关联起来。4概述4.1视频监控个人信息保护原则视频监控个人信息保护原则应按GB/T35273-2020中的要求，遵循其权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与这七大原则，合理地收集、处理或提供个人信息。a)权责一致原则，采取技术和其他必要的措施保障个人信息的安全，对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任；b)目的明确原则，具有明确、清晰、具体的个人信息处理目的；c)选择同意原则，向个人信息主体明示个人信息处理目的、方式、范围等规则，征求其授权同意；d)最小必要原则，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时删除个人信息；e)公开透明原则，以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督；f)确保安全原则，具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性；g)主体参与原则，向个人信息主体提供能够查询、更正、删除其个人信息，以及撤回授权同意、注销账户、投诉等方法。4.2视频监控个人信息参与者T/CSACXXXXX—XXXX3视频监控系统个人信息的参与者包括:视频监控个人信息收集者、视频监控个人信息处理者、视频监控个人信息提供者和视频监控个人信息主体。对于企事业单位等组织，还包括视频监控系统组织管理者，对视频监控系统内的个人信息处理活动进行评估、审计与处置。4.3视频监控个人信息全生命周期过程视频监控系统个人信息全生命周期过程包括个人信息的收集、存储、使用、传输、提供、公开、删除、委托处理等关键环节，各个环节的安全保护要求见第5章的规定。典型的流程示例如下：视频监控系统前端采集设备收集包含个人信息的音视频数据，然后将其传输到流媒体服务器或视频监控客户端。视频监控个人信息处理者按照业务需求对包含个人信息的音视频数据进行存储、使用、公开、删除、委托处理，例如视频监控视频历史回放、实时视频监控画面查看等。4.4视频监控个人信息组织安全管理视频监控系统组织管理者应要对视频监控系统个人信息处理行为进行安全管理，包括明确责任部门与人员，建立数据安全管理和信息跨境管理能力，对个人信息安全影响进行评估，对个人信息安全事件进行及时适当处置，并对个人信息处理活动进行安全审计。5视频监控个人信息全生命周期安全保护通用技术要求5.1收集视频监控系统个人信息收集者在收集个人信息时在满足GB/T35273-2020的相关规定的基础上，还应遵循以下要求：a)对视频监控系统中生物特征识别信息的收集应符合GB/T40660-2021中第5章规定要求，其中对于人脸识别数据的收集应符合GB/T41819-2022中第6章规定要求；b)未经用户授权同意，智能视频监控前端采集设备不应分析提取视频监控数据中的音视频内容，或将视频监控数据用于分析挖掘用户的特定身份、兴趣爱好、健康状况等个人信息。5.2存储视频监控系统个人信息处理者存储个人信息在满足GB/T35273-2020中第6章要求的基础上，还应遵循以下要求：a)对视频监控系统中生物特征识别信息的存储应符合GB/T40660-2021中第6章规定要求，其中对于人脸识别数据的存储应符合GB/T41819-2022中第7章规定要求；b)对于采用非用户视频监控终端或控制应用终端中存储所收集的个人信息的情况，应当采取加密存储；c)个人信息存储环境应建立异常监测和分析能力，对出现的异常情况进行及时响应；当存储环境发生变化时，应动态调整安全保护措施，按照就高从严原则设定安全保护措施；d)应将个人视频监控内容信息保留为完成所需业务的最短时间；e)个人信息应存储于中华人民共和国境内，如需要向境外传输的，应遵循相关国家规定并经信息主体授权同意。5.3使用视频监控系统个人信息处理者使用个人信息应遵守以下要求：a)使用个人信息时，不应超出与收集个人信息时告知个人信息主体并获得授权同意的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意；T/CSACXXXXX—XXXX4b)如所收集的个人信息进行加工处理而产生的信息，能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围；c)应对视频监控系统用户设置访问控制措施，包括：1)应按照最小授权原则设置访问控制策略，使被授权访问个人信息的人员只能访问职责所需的最小必要的个人信息，且仅具备完成职责所需的最少数据操作权限；2)对个人信息的重要操作应设置审批流程，例如进行批量修改、拷贝、下载等，并且视频监控系统个人信息处理者需在审批通过后方可操作，并保留审批记录；3)对安全管理人员、数据操作人员、审计人员的角色进行分离设置；4)确因业务需要，需授权特定人员超权限处理个人信息的，应经个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册；5)对敏感个人信息的访问、修改等操作行为，应在对角色权限控制的基础上，采取强认证方法，例如双因素身份认证；6)按照业务流程的需求触发操作授权，例如，当收到客户投诉，该投诉处理人员才可访问该个人信息主体的相关信息；7)个人信息处理者在进行个人信息操作时，应启用日志审计记录整个操作过程，如批量查询、修改、拷贝、下载、删除等；d)对于视频监控系统中生物特征识别信息的使用应符合GB/T40660-2021中第7章规定要求；e)除为实现个人信息主体授权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人；f)对于基于用户画像对个人信息主体进行精准识别和归类的个性化推荐功能，应能为个人信息主体提供自主打开或关闭该的选项；g)对个人信息进行加工处理时，应保证视频监控系统的稳定运行，不造成个人信息的损毁、泄露和丢失等，加工过程完毕时应进行数据完整性和准确性检查；h)对于基于不同业务目的所收集个人信息的汇聚融合使用，应能根据其所用于的目的，符合GB/T39335-2020中规定要求开展个人信息安全影响评估，并采取有效的个人信息保护措施。5.4传输视频监控系统个人信息处理者传输个人信息时应遵守以下要求：a)传输视频监控系统个人信息应经过合法性、必要性评估，必要性还应基于最少够用的原则，对于本地加工处理能满足功能需求的个人信息，不需要进行数据的传输；b)在同一系统内进行个人信息传输时，应提供完整性校验机制，对视频监控系统个人信息的完整性进行保护；c)在不同系统间进行个人信息传输时，应在b）中要求基础上，对视频监控系统敏感个人信息进行加密传输保护，并采取必要措施限制个人信息接收方对个人信息的处理在个人信息主体的授权范围之内，包括存储、二次转移和提供等。5.5提供视频监控系统个人信息提供者在提供个人信息时，应充分重视风险，遵守的要求如下：a)事先开展个人信息安全影响评估，评估方法应符合GB/T39335-2020中规定要求，并依评估结果采取有效的保护个人信息主体的措施；T/CSACXXXXX—XXXX5b)在提供前应向个人信息主体告知提供个人信息的目的、数据接收方的类型以及可能产生的后果，并事先征得个人信息主休的授权同意。提供经脱敏处理的个人信息，且确保个人信息接收方无法重新识别或者关联个人信息主体的除外；c)提供敏感个人信息前，除b）中告知的内容外，还应向个人信息主体告知涉及的敏感个人信息类型、个人信息接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意；d)通过合同、协议等方式规定个人信息接受方的责任和义务；e)准确记录和存储个人信息的提供情况，包括提供的日期、规模、目的，以及个人信息接收方基本情况等；f)个人信息提供者发现个人信息接收方违反法律法规要求或双方约定处理个人信息的，应立即要求个人信息接收方停止相关行为，且采取或要求数据接收方采取有效补救措施（如更改口令、回收权限等）控制或消除个人信息面临的安全风险；必要时个人信息提供者应解除与个人信息接收方的业务关系，并要求个人信息接收方及时删除从个人信息处理者获得的个人信息；g)因提供个人信息发生安全事件而对个人信息主体合法权益造成损害的，个人信息提供者应承担相应的责任；h)帮助个人信息主体了解个人信息接收方对个人信息的存储、使用等情况，以及个人信息主体的权利，例如，访问、更正、删除、注销账户等；i)个人生物识别信息原则上不应提供。因业务需要，确需提供的，应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、个人信息接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意；j)个人视频监控内容信息在提供时宜进行脱敏处理。5.6公开个人信息原则上不应公开。个人信息处理者经法律授权或具备合理事由确需公开时，应符合以下要a)事先开展个人信息安全影响评估，评估方法应符合GB/T39335-2020中规定要求，并依评估结果采取有效的保护个人信息主体权益的措施；b)向个人信息主体告知公开个人信息的目的、类型，并事先征得个人信息主体明示同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外；c)公开敏感个人信息前，除b）中告知的内容外，还应向个人信息主体告知涉及的敏感个人信息的内容；d)准确记录和存储个人信息的公开的情况，包括公开的日期、规模、目的、公开范围等；e)承担因公开个人信息对个人信息主体合法权益造成损害的相应责任；f)不应公开个人生物识别信息；g)个人视频监控内容信息在公开时宜进行数据脱敏处理。5.7删除个人信息的删除，包括删除触发、删除通知、删除通知确认、删除延伸控制、删除方式、删除存证、自动删除与按需删除等删除控制技术应符合《隐私计算删除控制技术要求》（T/CSACCCCCC-XXXX）中规定要求。5.8委托处理5.8.1个人信息处理者要求T/CSACXXXXX—XXXX6对个人信息处理者的要求如下：a)在委托第三方处理个人信息时，不应超出已征得个人信息主体授权同意的范围或应遵守GB/T35273-2020中5.6所列情形；b)在对个人信息委托处理时，应对委托行为进行个人信息风险评估，确保受委托者达到GB/T35273-2020中11.5所规定的安全能力要求；c)应对受委托者进行监督，例如通过合同、协议等方式规定受委托者的责任和义务，或对受委托者进行审计；d)个人信息处理者得知或者发现受委托者未按照委托要求处理个人信息，或未能有效履行个人信息安全保护责任的，应立即要求受托者停止相关行为，且采取或要求受委托者采取有效补救措施（如更改口令、回收权限等）控制或消除个人信息面临的安全风险。必要时个人信息处理者应终止与受委托者的业务关系，并要求受委托者及时删除从个人信息处理者获得的个人信息；e)应准确记录和保存个人信息委托处理的情况。5.8.2受委托方要求对受委托方的要求如下：a)严格按照个人信息处理者的要求处理个人信息，如因特殊原因未按照个人信息处理者的要求处理个人信息，应及时向个人信息处理者反馈；b)如确需再次委托时，应事先征得个人信息处理者的授权；c)协助个人信息处理者响应个人信息应基于5.1提出的合理请求；d)处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的，应及时向个人信息处理者反馈；e)委托关系解除时不再存储相关个人信息。6视频监控个人信息组织安全管理要求6.1明确责任部门与人员视频监控系统明确责任部门与人员应符合GB/T35273-2020中11.1规定的要求。6.2个人信息安全影响评估视频监控系统个人信息安全影响评估应符合GB/T39335-2020中规定的要求。6.3个人信息安全事件处置视频监控系统个人信息安全事件处置应符合GB/T35273-2020中第10章中规定的要求。6.4个人信息的跨境管理在中华人