Compliance Requirements for Public Security Video Surveillance in China

一、引言：为何此时关注安防监控合规

各位同仁，大家好。我是贾西财税的刘老师，在外商投资企业服务这条路上走了十几年，日常打交道最多的就是“合规”二字。今天想和大家聊聊一个看似技术、实则涉及法律与数据红线的领域——**中国公共安全视频监控的合规要求**。最近几年，我遇到的不少外资客户在搭建内部安防系统时，都曾因为“装摄像头”这件小事栽过跟头。有人觉得“我在自己厂区装监控，关别人什么事”，结果被监管部门约谈；也有人把摄像头对准了公共道路，引发了隐私纠纷。这类问题在跨国公司中尤为突出，因为总部往往不理解中国在地理信息、数据存储方面的独特规定。

其实，中国的视频监控体系远不止“看门护院”这么简单。从2015年《关于加强公共安全视频监控建设联网应用工作的若干意见》开始，到2021年《个人信息保护法》正式实施，再到2023年《公共安全重点区域视频图像信息采集规范》的修订，法规体系已经相当细密。这套合规框架的核心逻辑是：“谁采集、谁负责；谁存储、谁担责”。对于外资企业而言，不理解这套逻辑的后果，轻则罚款整改，重则影响企业信用评级。我的一位客户曾在华东某市建厂，因为厂区边界摄像头覆盖了市政道路，被当地公安局要求拆除并接受处罚——原因是未经授权采集“公共安全视频图像信息”。这个案例提醒我们，合规不是“加个遮罩”那么简单，而要从项目设计阶段就介入规划。

接下来，我会从几个实操角度拆解这些要求，希望能帮大家避开那些“看不见的坑”。文中观点结合了我14年注册登记实务的观察，以及一些行业内部交流材料，尽量做到“接地气”且“有依据”。

二、数据分级与分类管理

第一个要讲的核心是“数据分类”。很多企业以为监控画面都是“普通视频”，但根据《公共安全视频图像信息系统管理条例（征求意见稿）》以及地方性法规（如《上海市公共安全视频监控图像信息系统管理办法》），视频数据被明确分为“敏感个人信息”和“一般个人信息”。简单说，能识别到具体人脸、车牌、行为轨迹的画面，都属于敏感级。这类数据不仅需要取得“单独同意”，而且**禁止公开传播**，除非经过匿名化处理。我见过一个案例：某外企的安保主管为了“内部培训”，把大门口抓拍的访客面部截图发在工作群里，结果被人投诉到网信办，最终企业被处以20万元罚款。这就是典型的“分类意识缺失”。

在实际操作中，企业需要建立《视频数据分类清单》。比如：厂区内部生产线的监控，通常属于“一般工作场景数据”；但员工通行闸机、财务室门口的摄像头，就属于“敏感区域数据”。分类的核心依据是“能否直接或间接识别特定自然人”。这里有一个专业术语叫“去标识化”——比如把监控中的脸部自动打马赛克后，数据等级可能从“敏感”降为“一般”。但要注意，**去标识化不等于匿名化**，如果算法能通过步态、衣着等特征重新识别出个人，依然需要按敏感数据管理。我建议外资企业在采购安防系统时，明确要求供应商提供“数据分级能力”，并在合同中约定合规责任划分。

分类管理还涉及“存储时长”的规定。根据《公共安全视频图像信息保存期限要求》，普通监控数据至少保存30天，敏感数据（如涉及重点区域）保存期可能延长至90天甚至180天。但要注意：如果企业自己制定的内部存储规则长于法律规定，比如保存365天，那就必须建立更强的数据安全保护措施，比如加密存储、访问留痕等。我曾经协助一家日资企业优化数据生命周期管理，对方最初把所有监控存了6个月，原因是“总部习惯”。后来我们通过风险评估，把非敏感区域数据缩短到30天，敏感区域保持90天，既合规又降低了存储成本。这个微调看似简单，却是很多企业容易忽视的合规点。

三、图像信息的采集范围限制

第二个关键点是“采集边界”。我记得2019年参与一个项目，某美资企业想在试制车间门口安装带人脸识别的门禁，结果被园区管委会告知：“你的车间门正对着公共走廊，人脸抓拍范围会包含路过的其他公司员工。”这件事的核心争议在于：**视频监控的采集范围，不能超出“必要且合理”的边界**。根据《个人信息保护法》第6条，收集个人信息应当限于实现处理目的的最小范围。具体到安防领域，摄像头应该只对准“需要保护的资产或区域”，不能“扫射”公共空间或他人私密空间。例如，工厂围墙上安装的球机，如果角度调整不当，拍到隔壁居民阳台，那就构成违法采集。

实际操作中，企业需要绘制“采集范围合规地图”。我通常会带客户做一个“实地踏勘”：对照建筑图纸，逐一标注每个摄像头的物理位置、朝向、视场角，并评估是否会覆盖公共道路、他人权利边界。一个实用的技巧是：**在安装前做模拟截图，最好用热力图展示可能拍摄的区域**，然后请网络安全部门或法律顾问审核。如果发现“越界”，要么调整角度，要么加装物理遮挡（比如窄角镜头）。2022年深圳有一家企业，因为厂区外围摄像头拍摄到市政公园的部分区域，被依据《深圳经济特区数据条例》处以10万元罚款。这个案例说明，即使企业没有恶意，客观上造成“超范围采集”也要承担责任。

还有一个“禁拍区域”的硬性规定。根据《公共安全视频图像信息系统管理条例》，旅馆客房、集体宿舍、公共浴室、更衣室、卫生间等场所绝对禁止安装视频监控。这一点外资企业尤其要注意：有些外企在工厂设置“母婴室”或“休息室”，这些地方同样属于禁拍区域，不能因“员工安全”为由安装。我的一个欧洲客户曾在“员工哺乳室”装了一个隐藏摄像头（说是为了防盗），最终被员工集体起诉，不仅赔偿了精神损失费，还上了当地媒体头条。合规底线不能碰，切记。

四、存储传输与跨境限制

第三个方面是个“隐形”——数据存储与跨境传输。很多跨国集团习惯于将全球工厂的监控数据统一汇总到境外总部服务器，但在中国，这种做法面临严峻挑战。根据《网络安全法》第37条，关键信息基础设施运营者在中国境内收集的个人信息和重要数据，应当**在境内存储**。虽然一些企业并非严格意义上的“关键信息基础设施”，但《数据安全法》第45条进一步扩大了范围，任何组织收集的涉及公共安全的数据，都可能被要求本地化存储。特别地，视频监控画面如果包含人脸、车牌、轨迹等“重要数据”，原则上不得向境外提供。我有一位做物流的外资客户，曾试图通过VPN将中国物流中心的监控实时传输到德国总部，结果被地方网信办通报整改，理由是“跨境传输未经安全评估”。

这里有一个现实困境：全球化的跨国企业确实需要远程监控全球资产的安全。合规的做法是，在境内设立**独立的数据存储节点**，并通过“数据分类出境评估”来决定哪些画面可以传输。比如，只传输无人的、经过彻底匿名化的全景视频，原始数据留存中国。如果有业务需要分析特定人脸，必须在境内完成分析，且分析结果不能包含原始人脸数据。我见过一个相对先进的方案：利用**“边缘计算网关”**，在摄像头端完成人脸脱敏，只把“有人 / 没人”、“物体移动”等抽象信息传输到境外，这样既满足了总部监控需求，又避免了原始数据出境的风险。

外资企业在签订安防设备采购合务必注意“数据存储地址”条款。我曾看到一份合同，供应商承诺“数据存储于亚马逊AWS中国区域”，但在后续审计中发现，供应商使用了AWS的“全球备份功能”，导致数据自动复制到新加坡节点。这就是典型的**“合规落空”**。我建议在合同中明确要求：存储服务器物理位置必须在中国大陆（不含香港、澳门），且不得使用任何自动同步到境外的功能。必要时，可以要求供应商提供“数据存储隔离审计报告”。这虽然会增加成本，但比起违反《数据安全法》的罚款（最高可达5000万元或上一年度营业额5%），这点投入是值得的。

五、用户告知与同意获取

第四个实操问题是“如何告知用户”。很多企业以为在门口贴一张“内有监控”的纸条就万事大吉，但这远远不够。根据《个人信息保护法》，在公共场所安装图像采集设备，必须**以显著方式告知**，并且说明采集目的、存储期限、使用范围等信息。尤其对于员工，监控涉及劳动管理，必须符合《劳动合同法》的“明示”要求。2021年，上海某外企在员工更衣区外走廊安装摄像头，仅仅口头通知了员工，没有书面同意书，结果在劳动仲裁中被认定为“非法监视”，员工据此主张解除合同并获得经济补偿。这个教训很现实：**“显著方式”意味着需要员工签字确认的告知书，而不仅仅是公司门口的告示。**

对于访客或客户，告知方式可以灵活一些。例如，在停车场入口设置醒目的安防监控告知牌，并在访客登记表中加入“本人已知悉并同意视频监控”的勾选项。也可以利用二维码，引导访客扫码查看详细的隐私政策。但有一点绝对不能省略：**若系统包含人脸识别功能，则需要“单独同意”**，不能混在“同意用户协议”里一揽子同意。我在2023年处理过一个项目，某商业综合体的人脸识别门禁被监管部门要求整改，因为用户走进行人通道时，系统弹窗的“同意”按钮只有一行小字，没有明确的“同意人脸识别”选项，最终被认定为“无效同意”。

企业还应该建立一个“异议处理流程”。当员工或访客提出“我不愿意被监控”时，企业如何回应？合理的做法是：对于工作场所，告知这是劳动安全管理的必要措施；但对于非必要场景（如休息区），可以考虑提供“监控盲区通道”或“免监控区域”。比如，我建议过一家制造业工厂，在吸烟区、茶水间设置物理隔断，使这些区域不在任何摄像头的直接视野内，并贴上“本区域受监控但您可选择进入隔间”的标识。这种细微的“自主权”设计，能有效降低合规争议。

六、第三方设备与服务管理

第五个方面容易被忽视：如果安防系统是采购第三方服务商的（比如海康威视、大华、宇视），企业自身的合规责任并未转移。根据《信息安全技术 公共安全视频监控系统安全要求》，用户单位必须对第三方厂商的访问权限进行**最小化授权**，并且保留完整的操作日志。我曾经遇到一个案例：某外企将摄像头维护外包给一家国内服务商，结果该服务商的运维工程师利用“超级管理员”账号，私自查看并下载了厂区敏感区域的监控画面，并用于个人炫耀。最终，由于该外企没有对第三方账号进行权限分离和日志审计，被监管部门认定为“未履行数据安全保护义务”，罚款30万元。这告诉我们，合规不是“买完设备就不管了”，而是要持续管理。

具体做法上：第一，在采购合同中，明确要求供应商提供 **“权限划分方案”** 和“数据安全责任条款”。比如，供应商的远程维护必须使用专用VPN通道，且每次操作需申请临时授权；第二，建立第三方人员入厂登记制度，禁止携带手机或摄像机进入监控机房；第三，定期审计第三方账号的登录记录，检查是否有异常的批量下载或未授权的访问。我建议外资企业每年的内部审计中，必须包含“安防系统第三方访问控制”这一项，并将审计结果报告给董事会。一家德资企业的做法值得借鉴：他们给每位第三方工程师分配了**“行为分析账户”**，系统自动记录其浏览画面、截屏、下载等行为，一旦触发异常阈值（比如深夜下载超过10个画面），立即报警并冻结账号。

当安防系统需要升级或更换供应商时，原有数据的“迁移或销毁”也要合规。《浙江省公共安全视频图像信息系统管理办法》明确规定，系统停用或更换时，应当**彻底删除**或**物理破坏**存储介质，防止数据泄露。我曾见过一家企业，由于未与旧供应商签订数据销毁协议，结果旧硬盘被回收后，被第三方恢复出大量员工脸部图像，导致连锁法律风险。在涉及数据迁移时，必须要有“数据擦除证明”或“存储介质物理销毁的影像记录”。这些细节，看似繁琐，但恰恰是监管检查的重点。

七、合规审计与应急预案

第六个方面是“事后管理”的常态化。合规不是一次性工作，而是一个持续的循环。根据《公共安全视频图像信息系统运行管理规定》，企业应当建立**年度合规审计制度**，核对摄像头数量、采集范围、存储方式是否发生变更，并向所在地公安机关报备。我关注到2024年深圳出台的《视频监控数据安全管理办法》试点规定，要求每季度至少进行一次数据安全自评，并形成报告。虽然目前尚未全国推广，但这代表了监管趋势：**从“备案制”走向“常态化审计制”**。对于外资企业，可以结合年度IT审计，引入外部第三方（如中国网络安全审查技术与认证中心）进行专项安防合规审计。

必须制定**数据泄露应急响应预案**。如果监控系统被入侵，导致画面外流，企业需要在72小时内（《个人信息保护法》规定）向网信部门报告，并通知受影响个体。我的一位客户曾遭遇勒索病毒攻击，黑客加密了监控服务器并威胁公开画面。由于企业事前没有准备应急联络清单（包括公安局网安大队、网信办、律师），结果在报告时限内未能完成通报，被认定为“响应迟延”，额外增加了处罚。应急演练至少要包含以下步骤：监控系统被突破后的立刻离线、存储介质物理隔离、法律团队启动调查、向监管机构提交初步报告。建议外资企业每半年做一次桌面推演，确保流程“口服心不服”，而是真的能跑得通。

还需要注意“内部人员异常操作”的监控。比如，员工通过内部系统恶意查看或批量下载监控数据。合规要求企业建立**行为审计日志**，对管理员账号的操作进行全记录，并定期分析异常模式。有个行业的典型案例：一家知名制造企业的保安队长，利用权限查看生产关键区域的录像并用于恶意竞争，最终被企业内部数据审计发现并移交司法。这个案例说明，除了对外防御，对内必须建立“最小权限原则”和“双人操作制度”——任何涉及敏感数据的访问，需要另外一名管理员的临时授权。

八、总结与展望

回顾以上六个方面，核心脉络很清晰：**中国的公共安全视频监控合规，已经从“有没有监控”转向“怎么用、谁看、存多久、给不给别人看”的精细化管理**。从数据分级到采集范围，从存储限制到第三方管理，每个环节都有明确的法规依据。尤其对于外资企业，必须跳出“技术采购”的思维，将其视为**法律合规工程**。合规不是成本，而是避免更大风险的保险。过去的案例反复告诉我们，被动应对往往付出了高昂的代价（罚款、商誉、甚至经营许可受限）。

展望未来，我认为有两个趋势值得关注：一是**人工智能视频分析的深度规制**。随着人脸识别、行为分析、步态识别等AI技术的普及，监管很可能很快会出台针对“算法合规”的专项要求，比如算法备案、偏见检测等。二是**跨区域数据协同的复杂性**。目前各省的安防合规要求略有差异（例如上海、深圳、浙江各有细则），全国性统一数据共享平台正在试点，未来企业可能需要对接多个地方监管平台。我的建议是：外资企业应建立“中国安防合规矩阵”，将总部政策与各地法规要求进行对比，提前布局，避免“总部一套、中国一套”的割裂局面。唯有如此，才能在保障安全的做到真正的“合规通关”。

我想强调，贾西财税的实战经验告诉我们：**合规不是束缚，而是商业信誉的基石**。希望各位同行能把今天的分享带入日常工作中，少走弯路。