引言
欧洲各地越来越多地使用行车记录仪(dashcams)引发了几项数据保护方面的担忧,尤其是关于个人数据的收集和处理。由于行车记录仪的视频可以捕捉到个人和车辆,因此了解其在欧盟严格的数据保护法规下的含义至关重要。在本系列文章的第一部分中,OneTrust DataGuidance咨询了欧盟、英国、法国和比利时的法律专家,深入探讨了各国关于行车记录仪的法律规定以及如何合法使用该技术。本文提供了如何在使用该技术的同时保持合规的指导。
欧盟
欧盟部分成员国已颁布了关于行车记录仪的法律、法规和指南,通常限制使用行车记录仪拍摄的视频。
目前,欧盟层面针对通过行车记录仪处理个人数据的适用规则尚存在一定的限制。2020年,EDPB发布了关于通过视频设备处理个人数据的一般性指导意见,其中许多建议在将GDPR应用于行车记录仪的背景下同样适用。EDPB的指导意见明确指出,例如,GDPR不适用于没有指向特定个人的数据处理,比如无法直接或间接识别特定个人的数据处理。如果行车记录仪集成在车辆中,用于提供停车辅助功能,并且设计或调整的方式不会收集任何与个人有关的信息,那么就不会触发GDPR的适用。EDPB还提供了关于所谓的“家庭例外”的指导意见,监管机构通常对此解释得较为狭隘。根据“家庭例外”的规定,个人在纯粹的个人或家庭活动中处理个人数据的行为不属于GDPR的适用范围。然而,如果一个视频监控系统(包括行车记录仪)涉及持续记录和存储个人数据,并覆盖公共空间,那么就不能将其视为纯粹的“个人或家庭”活动,而无法适用家庭豁免的规定。
如果GDPR适用于行车记录仪的使用,那么大多数情况下,控制者(即车辆驾驶员)将被要求确保与之相关的数据处理符合GDPR(第五条)的基本数据保护原则,同时还要满足相关控制者的义务。这意味着,例如,控制者必须确保处理是合法的,即通过行车记录仪处理个人数据是有效的法律依据。在实践中,尽管需要在个案基础上进行利益权衡,但控制者(或第三方)追求的合法利益将是一个“流行”的法律依据。EDPB指南承认,行车记录仪可以用于收集交通事故的证据。然而,根据EDPB的说法,还应确保行车记录仪不会持续记录交通或靠近道路的个人。否则,在理论上发生交通事故时将视频记录作为证据的兴趣可能无法证明对数据主体权利的侵犯是正当的。如果发生车祸,将行车记录仪拍摄的视频向警方或保险公司披露可能需要不同的理由(例如,遵守法律义务)。
英国
行车记录仪捕捉到的视频和音频数据可能包含个人数据。在行车记录仪捕捉到的个人数据方面被归类为“控制者”的任何个人都必须遵守英国《通用数据保护条例》(UK GDPR),并补充适用《2018年数据保护法》(UK数据保护法)。远程查看或进行其他交互(如调整摄像头角度)而获取的行车记录仪数据也可能涉及《2003年隐私与电子通信(欧洲指令)规例》(SI 2003/2426)。
用于商业目的的行车记录仪始终受英国数据保护法的约束。就行车记录仪捕获的个人数据而言,相关的“控制者”将是雇主或企业经营者。
私人车辆上的行车记录仪在某种程度上可能不受英国数据保护法的约束,如果其捕捉的数据是在“纯粹的个人或家庭活动中”产生的。然而,脱欧前的案例法(Ryneš v. Urad,C-212/13)确认,该豁免不适用于从私人财产拍摄的公共场所图像。脱欧后,英国一个法院在2021年的Fairhurst v. Woodard一案中得出了类似的结论。因此,尽管该豁免可能适用于车内拍摄的图像和音频,但不太可能适用于与道路其他使用者或行人有关的数据。
法国
虽然法国法律没有针对个人使用行车记录仪的具体规定,但它们仍然受到各种法律框架的约束。法国国家法律对公共场所的视频保护有严格的规定,由法国数据保护局(CNIL)监督,并在法国内部安全法中有详细说明。虽然这主要涉及监控系统,但个人使用车载摄像头会引起法律上的不确定性,尤其是未经同意的数据收集。在法国民法典第9条规定的私人空间内拍摄图像也可能侵犯隐私权,根据法国刑法典第226-1条的规定,这可能构成犯罪。此外,如果记录了诸如车牌号码、面部或其他识别信息等个人数据,则需要遵守GDPR和其他相关隐私法的要求。确实,欧洲法院(CJEU)于2014年12月11日(C-212/13)裁定,此类记录可能不属于个人使用范畴,挑战了人们认为行车记录仪不受这些规定的约束的假设。
欧盟内使用行车记录仪的数据保护考虑
作者:王捷律师团队来源:出海互联网法律观察

引言 欧洲各地越来越多地使用行车记录仪(dashcams)引发了几项数据保护方面的担忧,尤其是关于个人数据的收集和处理。