为日益模糊的公私权力边界确立规则｜王锡锌：私人监控的公法规制

来源：法学学术前沿

发布日期：2025年12月09日    

L L L 法学学术前沿

私人监控的公法规制

作者：王锡锌，北京大学法学院教授，法学博士。

来源：《比较法研究》2025年第6期。

为塑造法学学术前沿微信公众平台的风格，微信推送的外标题系编辑根据文章理解所加，不代表作者立场。

目 录

一、问题的提出

二、对私人监控的空间控制

三、对私人监控的目的控制

四、对私人监控的流程控制

五、对私人监控的责任控制

六、结语

摘要：

在对公共场所进行视频图像监控的场景中，私人主体扮演着重要角色，构成“数治”系统的关键一环。私人监控固然可弥补政府监控的不足，但其对公民权利的侵害风险也不容忽视。应对这一风险，不能局限于私法控制，而应完善以宪法和行政法为核心的公法控制。这一控制框架以空间控制、目的控制、流程控制和责任控制为基本内容。在空间上，根据物理空间公共性的不同，可将私人监控划分为完全公共场所、相对公共场所和完全私密场所的监控，三类监控的正当性基础呈现出梯度递减的动态结构。在目的上，“公共安全”应是监控的唯一合法目的，同时应引入场景理论，结合最小必要原则分类规制监控活动。在流程上，监控信息的收集、存储、使用与销毁必须符合透明、安全和目的限定的要求。在责任上，应依据监控场景和主体的差异，构建差异化的民事、行政与刑事责任体系。对私人监控进行公法控制，本质上是为数字时代日益模糊的公私权力边界确立规则，其根本目的是维护公共空间中公共安全与个人尊严和自由之间的平衡。

关键词：

视频图像监控；公共场所；个人信息；隐私权；场景理论

问题的提出

在数字时代，作为数据采集和处理技术的视频图像监控，广泛应用于各种公共场所。基于公共安全对公共场所进行视频图像监控，已成为监控型治理的重要手段。但在公共场所的视频图像监控中，大量监控活动是由企业甚至个人等私人主体进行的。私人监控是现代公共管理的重要手段。当今社会，数字技术和国家权力日益融合，催生出“监控型社会”。在监控型社会中，国家授权私营机构和个人进行监控，私人通过视频图像监控将被监控对象固定化、数字化、数据化，国家再根据数据进行公共管理，这反映了“数治”（rule by data）这一新的国家治理理念。围绕公共管理的诸多目标，视频监控者将管理对象转换为被支配、可消费、能控制的数据，再在数据市场对相关数据进行分类、去标识化后，进行最优化配置，构成政府运用数字手段进行公共管理的生动实践。允许私人监控实际上是授权私主体参与公共管理活动，这意味着私人监控已成为数字化治理中的关键一环。公允地说，私人监控可在一定程度上弥补政府监控在覆盖面、应对效率和针对性等方面的不足，但私人监控者处理被监控者的生物信息、特定身份和行踪轨迹等个人信息将给公民的人格尊严和基本权利带来侵害风险，亟需予以有效的法律控制。

作为对上述问题的回应，2025年4月1日起施行的《公共安全视频图像信息系统管理条例》（以下简称“《视频监控条例》”）对单位和个人的视频图像监控活动作出了规定。法学界对视频图像监控问题也有较多关注。但现有讨论存在一些不足：第一，研究对象的分类精细化程度不高。大部分研究既不区分政府监控和私人监控，也不区分私人监控的不同类型。然而，私主体出于维护私益的需要而进行的监控属于私权自治活动（private autonomy），而私主体为履行法定义务实施监控是在行使公共管理职权，两者存在根本性差异。同时，现有研究也没有区分针对特定物理区域的监控和平台通过视频进行的监控，前者一般针对小范围的、个体的、本地化的物理空间进行监控，如商铺、家庭和办公室等，这种监控具有独立、分散化和局部性的特点，而后者通过视频的播放量以及用户的点击、浏览、搜索和消费等大数据进行监控，具有规模性，两者不能一概而论。第二，研究视角单一和固化。现有研究多从部门法视角看待公共视频监控问题。公法学者认为视频监控的本质是公权力无序扩张对个人隐私的侵害，须通过划定公共视频的边界驯服“数维坦”；民法学者习惯性地通过财产救济和精神损害赔偿来建构视频监控的补偿规则。但必须看到，私人监控兼具公私法双重面向，它既指向平等主体之间的侵害行为（私法），也涉及受政府授权进行的私人监控活动（公法），因此应打破学科壁垒并寻找新视角研究私人监控问题。第三，研究的体系化不足。已有的讨论更多围绕公共监控的某一方面进行论证，比如视频监控中的人脸识别、视频监控中的地方立法、视频监控和人工智能等，既有学术研究尚未对私人监控的规制方案提出一套概念清晰、结构整全、体例融贯的分析框架。

基于此，本文尝试将私主体对公共场所的监控纳入宪法和行政法视野，构建一个对私人监控进行合法性控制的公法分析框架。规制私人监控活动，关键在于平衡公共安全和个人隐私两种价值。在不同场景中，私人监控的正当性将随着公共安全的内涵和紧迫性发生动态变化，相应地，对私人监控的法律控制手段和规制强度也有所不同。依循这一逻辑，下文依次讨论对私人监控活动的空间控制、目的控制、流程控制和责任控制诸要素。

对私人监控的空间控制

法国社会学家列斐伏尔（Henri Lefebvre）认为，物理空间并非中性的容器，而是被社会关系填充和动态权力塑造的产物，空间本身承载并再现了统治与抵抗的模式。无论是勒沃（Le Vaux）的凡尔赛动物园，还是福柯的圆形监狱，都是权力在空间中的直接投影。在“全景敞视”式（encyclopedic view）监控空间中，监控对象“一眼可见”，且由于其无法确定自己是否正被监视，因而会产生自我规训效应。由此可见，空间蕴含了不同的权力结构，而不同的权力结构将导致公共性与个人隐私关系重心的位移，这对信息双方的法律地位和信息处理能力都将产生重大影响。就视频监控而言，《视频监控条例》仅适用于公共场所，但不同场所的“公共性”有所差异，例如，城市的高速公路、机场和港口客运站显然比旅馆、饭店和写字楼的公共性更高。空间的公共性越高，意味着人群的流动性越强，聚集程度越密集，也就意味着公共安全风险越大，其所对应的公共安全管理责任自然也就越重要。可以说，空间的公共性直接影响私人监控的分类及其正当性基础。

（一）公共场所和私人监控的类型

依据空间要素及其公共性的不同，可以将私人监控分为三类：（1）完全公共场所的私人监控。此种监控理应由国家来进行，但基于资源、技术、效率等考量，部分公共安全管理的职责被转移到企业和个人。此种监控表面上是私人行为，但在功能上应属于国家机关为履行法定职责（公共安全）而收集、处理个人信息的活动；（2）相对公共场所的私人监控或半公共场所的私人监控。一些公共性较弱、公众可进入但人员相对固定的公共区域也存在私人监控的情形。例如，私营企业对公司办公区域、酒店客房走廊、小区内部绿地、会员制健身房等进行监控，此种监控并非仅基于狭义上公共安全需要，有可能同时也是为了本单位的内部经营管理秩序或人身财产安全，这就决定了此处的“公共安全”应作类推解释，扩大为包括私营企业或组织为维护自身的财产和员工人身安全，或生产秩序而进行的监控。此类公共场所的公共性较弱，监控目的也不局限于公共安全这一目的；（3）完全私密区域的私人监控。私主体在无公共性的私密区域安装视频监控系统，目的是保障个人人身和财产安全，其依据民法典中相邻关系和财产权保护——私主体有权基于财产权进行监控，例如为了防盗、监控家政人员、看护老人和儿童等目的，而在私人住宅门口甚至屋内安装摄像头进行监控。从个人和社会关系的视角观察，针对个人生活和居住区域的私人监控，也可能对他人权益产生外部性影响：一方面，私人监控有助于提升社会的整体安全，此为“正外部性”；另一方面，这种监控若超越必要的边界又会侵扰他人的自治空间，造成他人隐私和个人信息受侵害，甚至引发被监控者心理上的恐惧和焦虑，这是“负外部性”。正因如此，即便是此类空间中的私人监控，也不应完全逃逸出公法规制框架。

比较上述三类监控场所可知，随着空间的公共性由强到弱，监控的合目的性及正当化理据也会相应地发生变化：空间的公共性越强，目的就越单一（为了公共安全而监控），正当性也越强；反之，监控空间的公共性越弱，监控的目的就可能越多元，监控的正当性也越模糊。空间的公共性程度不但决定了私人监控活动的法律属性，也决定了私人监控主体处理个人信息的正当性基础。

（二）公共场所和私人监控的正当性基础

私营机构和个人在监控活动中处理大量个人信息，这涉及到私主体处理个人信息的正当性基础问题（legitimate basis）。《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）采“一体调整”的立法例，即无论政府还是私主体，只要处理个人信息，均统一适用《个人信息保护法》。信息处理者可以根据不同的场景在多元化的正当性基础之间选择，而正当性理由之间不是重叠适用而是选择适用的关系，即任何一项事由均可使个人信息的处理正当化，这意味着私人监控者既可以依据《中华人民共和国民法典》（以下简称“《民法典》”）也可以依据《个人信息保护法》来获得处理个人信息的正当性基础。我们认为，前述三类不同空间中的私人监控，所对应的正当性基础有所区别，下文分别进行讨论。

1.完全公共场所的私人监控

对第一类完全公共场所的私人监控，应按照国家机关处理个人信息来分析其正当性基础。根据《视频监控条例》的规定，对人员聚集场所、交通枢纽、公共交通工具和高速公路、国省干线的服务区这类公共场所，只能由对该场所“负有经营管理责任的单位”安装监控设备，且安装的部位须由“县级以上地方人民政府各有关部门按照职责分工指导确定”。这表明此处的监控实质上是通过立法授权，将公共安全监控的职责转移到私人主体，这种监控本质上属于国家机关处理个人信息，其信息处理的正当性基础可回溯到《个人信息保护法》规定的“为履行法定职责或者法定义务所必需”。由于只有公权力机关才享有“法定职责”，非国家机关不能依据“履行法定职责所必需”来处理个人信息，因此论证私人监控的正当性基础，关键在于确定“法定义务”的内涵和范围。

首先，关于“法定”的范围，本文认为“法定”中的“法”应限定为“法律、行政法规”，不包括规章及规章以下规范性文件，这是因为《个人信息保护法》第34条已明确“法定”的范围限于法律和行政法规，否则很容易导致行政机关任意授权私主体进行监控。诚然，我国规章及规章以下规范性文件包含了大量关于视频图像监控的规定，但存在未必合理，也不能根据目的而反推行为的正当性。针对国务院《视频监控条例》颁布之前已存在的大量违反上位法的规范性文件，应以《民法典》《个人信息保护法》《视频监控条例》等法律、行政法规为基准进行审查，对授权内容超越目的限定范围、违反法定正当程序的规范性文件及时清理。

其次，关于“义务”的内容，本文认为《视频监控条例》所规定的“经营管理责任”和“安全防范义务”是《个人信息保护法》中“法定义务”的具体化。同时，由于监控所获得的信息必须在特定场景中才能实现其功能，所以应结合不同法律规范的具体场景，来确定公共安全义务的内容。以教育场景为例，私人监控者处理个人信息的正当性来源于维护公共安全的需要，而公共安全的内涵则应依据我国教育法、民办教育促进法、未成年人保护法等法律来确定，监控所获得的个人信息也只能用于维护校园场所公共秩序、保护教学人员和受教育者的人身安全、确保学校食品安全、防止校园欺凌和虐待等，而不能用于和公共安全无关的其他目的。由此，在讨论完全公共场所私人监控的正当性时，应从《个人信息保护法》的“履行法定义务”出发，结合不同的场景和相应部门法具体化《视频监控条例》关于“公共安全”的规定，从而判定私人监控者处理信息的正当性基础。

2.相对公共场所的私人监控

相对公共场所是公共场所的一种，但它一般是封闭或半封闭的，通过围墙、隔栏和大门等区隔出的物理空间。相对公共场所的物理边界较为清晰，进入这些区域需要购票或办理身份识别手续，因此这些场所的管理者和经营者对空间具有较强的管控力，其公共性较弱而私人空间的属性较强。正因为此，在诸如写字楼、宾馆、酒吧、健身房、居民小区和企业楼道这样的相对公共空间，物业的所有人和管理者对这些区域负有安全保障义务和经营管理责任。综合来看，私人主体在相对公共场所进行的视频图像监控活动，其正当性基础来自于两方面：一是《民法典》第1198条关于安全保障义务的规定，二是《个人信息保护法》第13条的相关规定。

根据《民法典》第1198条的规定，经营场所和公共场所的经营者、管理者承担安全保障义务。为履行这一义务，经营者和管理者必须采取必要的、合理的安全防范措施，以预防和制止在其场所内可能发生的盗窃、斗殴、故意毁损财物等突发事件，保障这些区域内的人身和财产安全。视频监控是有效的安保措施之一，相对公共场所的经营者有权在必要范围内安装和使用视频监控设备；同时，也可援引《个人信息保护法》第13条的规定证成监控的正当性基础，具体可从以下四个方面分析：（1）“为订立、履行合同所必需”或“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”；（2）“为履行法定义务所必需”；（3）“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”；（4）“法律、行政法规规定的其他情形”。企业可以通过视频监控来保护员工的人身安全、自身的商业秘密和财产安全；酒吧、旅馆的业主也可以通过视频监控来预防危险，消除安全隐患以及事后查证、固定证据。

一般而言，相比于对相对公共场所的监控，对完全公共场所进行监控需要更强的正当性理据。在监控完全公共场所时，私主体应是《个人信息保护法》第13条第3项所规定的履行“法定义务”的主体，即《视频监控条例》规定的对该场所负有“安全防范义务”的单位或者个人，其他任何主体不被允许进行监控。相较而言，在监控相对公共区域时，私权主体的正当化理由既可以是为履行合同所必需，也可以是因为企业的劳动规章制度或所承担的法定义务，还可以是法律法规的其他授权，比如《民法典》的安全保障义务。值得注意的是，此处的授权仍受法律保留原则约束。

3.完全私人场所的私人监控

在完全私人区域的私人监控，其正当性基础与前述公共场所完全不同。首先，《视频监控条例》是关于公共视频监控的行政法规，所谓公共视频监控，设备自然应该是安装在公共场所的。由于完全私密场并无公共性，因此在私密场所安装监控不受《视频监控条例》调整。其次，在完全私密区域，私人监控的正当性也不适用《个人信息保护法》下的“公共安全”、“法定义务”，因为《个人信息保护法》第72条已明确将“自然人因个人或者家庭事务处理个人信息的”排除出了《个人信息保护法》的适用范围。完全私密场所的私人监控问题应适用《民法典》关于物权和相邻关系的规定。就物权法的规定而言，《民法典》赋予了财产所有者对其财产进行占有、使用、收益和处分的权利，这便包括个人在其拥有的财产上安装监控设备的权利。因此，房主在自家不涉及他人的区域，如入户门、院子、客厅等场所有权安装摄像头进行监控，这是基于房主对自身财产和安全保障所进行的监控。但从这些私人空间的外部性观察，即便是在完全私人场所，一旦监控行为涉及到到他人隐私，监控的正当性就将遭受挑战。例如，《民法典》第282条规定，不动产的相邻权利人应该按照“有利生产、方便生活、团结互助、公平合理”的原则处理相邻关系。按照这些要求，即便不动产权利人为保护财产和人身安全进行监控，若监控活动涉及他人隐私权，将会发生权利冲突的情形,监控行为的合法性将受到影响。

对私人监控的目的控制

在公共场所监控的场景中，公共安全是国家权力与个人隐私之竞争关系的关键变量。《视频监控条例》将公共安全明确为监控者收集、使用和存储视频图像信息的唯一合法目的。但公共安全并非一个清晰的、静态的概念；并且公共安全与隐私的平衡还会受到监控空间的“公共性强弱”和被监控者的“隐私期待大小”的影响。例如，机场、港口和码头等交通枢纽和城市主干道公共性较强，人们在这些区域的隐私期待较弱，监控正当性就比较强；而当场景变换为社区楼道、住宅周边、单位的内部区域等公共性较弱的物理空间时，监控的必要性就需要更严格的检验，这说明为公共安全而进行的监控，其正当性、必要性将随着空间私密性的增加而递减，而个人的隐私期待则随着空间公共性降低而增强。整体来看，在个人隐私与公共安全之间进行利益权衡，需综合考虑公共安全、合理隐私期待和监控者信义义务等因素。

（一）公共安全与隐私保护的平衡

美国学者鲍德温（David A. Baldwin）认为，“公共安全”不是绝对的，而是一个相对的、情景化的、程度化的概念。公共安全包含多层次且可分解的目标，这些目标可以和隐私、自由、效率等其他价值进行权衡。这意味着以“公共安全”为名进行的监控活动必须在价值衡量之中推进，而在监控语境中，最相关的价值便是隐私。借鉴美国法上合理隐私期待原则，可为分析监控行为和隐私保护之间的平衡提供有益的分析工具。

1.合理隐私期待理论及其发展

“合理隐私期待原则”（reasonable expectation of privacy）是美国隐私权司法保障的核心标准，该原则最早确立于1967年卡茨案（Katz v. United States）。哈兰（Harlan）大法官在该案的协同意见中指出，宪法第四修正案所保护的并非某种固定的“场所”，而是个人对隐私的合理期待。在此案中，被告虽在公共电话亭通话，但其关上电话亭门的举动体现了主观上的隐私期待，而社会大众也普遍认可通话内容的私密性，所以法院认定警方的监听行为侵犯了个人的合理隐私期待。由此可见，“合理隐私期待”包含两方面的内容：其一，当事人主观上是否存在保持私密的愿望或行为；其二，这种隐私期待是否为社会普遍认可并具有合理性。这同时也表明，即使是在公共场所，如果存在合理的隐私预期，隐私应受到保护。斯图尔特（Stewart）大法官在卡茨案中指出，宪法第四修正案保护的是“人，而非场所”，这一意见提出了隐私权保护对象从“物理空间”向“人格活动”（隐私保护期待是一种人格利益）的转变。

随着通讯与数字科技的发展，合理隐私期待理论被赋予新内涵。在1979年的史密斯案（Smith v. Maryland）中，法院首次明确提出“第三方原则”，认为公民在拨打电话时已自愿将拨号信息交给电话公司，因此不再对该信息享有合理的隐私期待。此案显示出法院对“合理”标准的严格限缩：一旦个人行为涉及主动或被动的信息披露，其隐私保护便可能失效。但进入21世纪后，数字技术对隐私的侵蚀引发了司法反思。法院逐渐认识到，现代人的信息行为往往并非出于自由选择，而是权力结构的压制性结果。2012年的琼斯案（United States v. Jones）和2014年的赖利案（Riley v. California）标志着“合理隐私期待”原则的数字化转向。阿利托（Alito）大法官认为，警方通过GPS设备长期追踪个人行踪构成对隐私的系统性侵犯；罗伯茨（Roberts）大法官指出，现代手机不仅是通信工具，更是个人生活的“数字延伸”，其中存储的信息能够深度描摹人格特征，因此手机中的信息应当获得更严格的隐私保护。在2018年的卡朋特案（Carpenter v. United States）中，法院认定警方在无令状的情况下从电信公司调取嫌疑人长达四个月的定位数据，构成对隐私权的侵犯。罗伯茨在判决中强调，虽然用户技术上“交付”了数据，但这种交付并非出于自愿，而是源自现代社会生活的必然要求。数字信息具有揭示个人生活全貌的能力，国家若据此长期监控，将给被监视者造成强烈的心理和精神压力。

2.第三方原则的修正与信息信义义务

传统上，当个人将信息透露给第三方，便可能丧失隐私期待。例如在前引史密斯案中，布莱克蒙（Blackmun）大法官认为被告打电话时“自愿”将信息交给了第三方便丧失了对该信息的合理隐私期待。但数字时代中的个人几乎无法脱离第三方平台生活，这就导致将信息交给第三方处理已经不再是自由选择，而是一种制度的结构性压制。正是因为这一点，2018年的卡朋特案揭示了现代社会隐私信息保护的困境：（1）现代社会信息披露经常是非自愿的，个人缺乏真正选择的可能；（2）监控者可以汇集数据从而描摹个人生活的全景，面对个人数据处理行为，即便是极端理性之人也无法全面判断其提供信息的风险；（3）国家、平台、私人主体的数字化监控日益融合，构成监控型社会的数据处理系统。针对上述困境，美国法院修正了第三方原则，从“披露即放弃”的绝对规则转向“有限披露仍受保护”的相对立场。

那么，被监控者进入安装监控设备的空间，是否意味着其放弃隐私期待？答案显然是否定的。被监控者是否丧失隐私保护取决于三重因素：一是被监控者是否对隐私保护仍具有合理期待；二是监控数据能否反映被监控者完整的生活轨迹；三是监控者是否对监控信息的收集、储存、使用、共享和披露等负有信义义务。正如“隐私困境”所揭示的，个人很难做出关于其个人信息和隐私保护的决策，因此除非有相反证据，否则不能认为个人将信息交给第三方处理的行为等同于放弃隐私期待。事实上，被监控者的隐私是否受保护的关键，在于是否存在“信息信义关系”。根据信义义务原理，个人进入监控空间相当于将其信息委托给监控者处理；而监控主体基于信义义务，在收集、分析、使用和分发监控信息时，应当忠实、勤勉地保护个人信息主体的权益。在信义义务的指导下，监控者应秉承为个人最大利益服务的理念设置监控设备和使用监控信息。例如，学校管理者进行监控时所负担的信义义务是，监控目的在于保障学生的人身安全和维持正常的教学秩序，倘若将监控所获得的个人信息用于其他目的，或疏于对信息安全的保护，都可能构成对信义义务的违反。

个人信息保护的“信义义务”旨在补强个人对其个人信息的控制能力。西方学界和我国部分学者认识到，隐私权的界定并不关乎信息本身，而指向个人对其信息处理的自主权，当私人为维护公共安全而收集和处理个人信息时，个人的信息自主权必然遭遇限缩。无处不在的监控可以利用数字技术把散落在各处的微观信息汇聚、关联、分析、整理，描摹出精准的个人“数字画像”，使个人对其信息的掌控进一步瓦解。在此过程中，有必要强调个人信息处理主体的信义义务——忠实、勤勉地处理和利用个人信息。

（二）公共安全与私人监控行为的分类规制

我国法律虽未直接采纳美国法中的合理隐私期待和信息信义义务等理论，但从立法上看，我国已否定了“公共场所无隐私”的观点。《民法典》《个人信息保护法》构建了隐私边界体系，《视频监控条例》也明确，即便是在广场、街道这样的开放公共场所，不以公共安全为目的的监控也是被禁止的。然而，我国法院却长期拒绝承认公共场保护隐私的必要。例如，在申某勇诉郑州市公安局警察第十大队公安交通处罚案中，原告主张在没有得到提前告知存在监控的情况下，公路上监控采集的材料不能作为处罚根据，但法院却认为由于“道路交通管理涉及公共安全，不同于一般的行政管理领域，道路交通管理机关在公共道路设置电子监控设备，具有合理性。即便没有立牌公示，由其取得的视频照片也不能认为是偷拍行为”。又如，在一起有关学校监控的案件中，学校的视频监控拍摄到了中学生在教室后排的亲吻举动，学校为警示其他学生而在全校范围内公开播放视频片段。涉事学生以侵害隐私为由将学校诉至法院，但法院却以“在教室内公开和不避忌地发生亲昵举动，已超越个人空间的领域因而不享有隐私权”为由，驳回了原告的请求。立法机关和法院对监控问题的态度反差说明，公共安全作为唯一的监控理由存在边界模糊的问题。本文认为，不同类型的私人监控对应着不同层级的公共安全风险，具有不同的个人信息处理目的，也反映出被监控者不同的隐私期待，因此需要结合不同类型的私人监控进行讨论。

总体来看，在三类场所的监控中，公共安全的目的呈现出梯度递减的结构，监控的地理范围、时间段和所收集信息的类型也有所差别：（1）在完全公共场所的私人监控中，由于这类公共场合任何人都可自由出入，因此人员聚集程度高、流动性大，而个人对公共场合的隐私期待较低。为了更好地实现公共安全的目的，私人监控者收集监控信息的力度最大，可以布置监控设备的范围较大，监控的时间较长，所收集的信息类型较为多元，信息模糊化和匿名化的要求较低，信息披露和公众参与的程度较高。（2）在相对公共场所的私人监控中，由于这些区域具有半封闭性的特点，人员进出受一定限制，因此公共安全的风险系数显著降低，而被监控者的隐私期待明显升高，此时监控的正当性降低，监控的范围、时长、信息收集的种类等都受到严格限定；而信息的披露义务，以及公众参与的程度也显著降低。（3）对完全私密区域的私人监控，由于所监控的空间区域是私密性质的，所以此时公共安全的风险几乎不存在，而个人对其隐私保护有最强的期待。在完全私密区域的私人监控活动中，监控的正当性基础源于个人对财产和人身安全的保护，监控的范围因而只能及于个人所属的空间，超出必要的范围将可能侵害他人隐私或人格等权益。

随着公共安全属性的递减，监控之目的呈现出更复杂的面向。（1）对完全公共场所的私人监控来说，由于收集信息的范围和强度极高，因此作为监控合法性的公共安全应被狭义解释为仅限于监控区域的安全事项，不允许对公共安全作扩大化的解释，否则将造成对个人信息和隐私的侵犯。（2）在相对公共场所的私人监控中，私人监控收集个人信息的目的呈现出相对多元化的态势，“公共安全”的内涵可以扩大解释为包含企业或组织对其财产安全、商业秘密和员工人身安全的保护，但私人监控者不得将监控所得信息用于牟利和其他商业目的。实践中，有汽车销售服务公司对其门店内顾客的人脸进行识别，统计进店人数并分析男女比例、年龄和购买倾向，被法院判处侵害消费者人格尊严、人身自由和消费者个人信息权利。（3）在完全私密区域的私人监控活动中，由于私人监控者可以将所收集的信息用于更广泛的目的，这种监控行为应事先告知被监控者，且不得违背公序良俗和法律的强制性规定。

对私人监控的流程控制

视频图像监控系统全天候、不间断地处理特定空间内人员活动信息，同步完成记录和存储，是大规模、持续性处理个人信息的行为。私人监控所引发的忧虑，不仅源于监控行为本身，也源于对信息处理流程中的数据滥用和泄漏风险。例如，美国大多数的监视行为以“防范恐怖主义”之名，实际上这些监控也可能用于监视国内的环保和反战组织、甚至侵害个人隐私；再如，劳动争议中雇主单方面调取监控记录作为证据。这些案例表明，私人监控信息一旦溢出边界，将异化为侵害个人权利的工具。为控制信息滥用风险，需要高度重视对私人监控信息处理进行数据处理全流程控制。我国个人信息保护法对信息处理活动进行了制度、组织体系建设，实质上是在细化宪法对个人信息保护的规范要求。以下结合具体场景对私人监控活动的全流程控制进行扼要讨论。

（一）场景理论下私人监控信息处理的法律原则

私人监控信息的处理活动应遵循《个人信息保护法》所确立的合法性、诚信、公开透明、质量、必要性、目的限定及安全保障等原则。然而，当我们将分析视角置于不同私人监控场景时，会发现场景差异性与通用原则的要求之间存在张力。这种张力集中体现在目的限定、必要性与安全保障原则上。原因在于，这三项原则的具体内涵与标准高度依赖具体场景的风险与目的。例如，采集信息的目的应限定到何种程度、何为“必要”的信息处理范围、需要采取何种级别的“安全保障”措施，这些问题都因场景不同而不同，难以一概而论。相较而言，合法性、诚信等原则作为基础性底线要求，其核心意涵在不同场景中相对稳定；而公开透明与质量原则虽也受场景影响，但其调整更多体现在履行方式上，而非原则本身。基于这些原因，场景理论打破了“个人信息受个人控制”的迷思，将关注点转向个人信息的合理流动上，强调应尊重个人信息收集时的初始场景，个人信息后续的流转与利用不得溢出最初场景中的信息处理目的，这是一种动态过程判断。在这一理论框架下，上述原则的适用程度并非一成不变，而是随着监控场景“公共性”的强弱变化呈现相应的调整。

1.目的限定原则

目的限定原则并非以全有或全无的状态适用于私人监控活动，这一原则的效力强度与不同场景的运行逻辑及个人信息处理目的紧密关联。不同私人监控场景蕴含不同的目的，因此目的限定原则的适用程度取决于个人信息处理行为是“场景内循环”还是“跨场景溢出”。

在完全公共场所的私人监控场景中，处理信息的初始场景目的被严格限定于公共安全。任何服务于公共安全预警、事件调查与秩序维持的信息处理均属此类。例如为追诉犯罪嫌疑人而调取录像便是典型的“场景内循环”。此时，目的限定原则的适用体现为对循环过程的程序性记录与内部控制，其形式意义大于实质限制。即使没有获得信息主体的明确同意，也不构成对个人信息的非法利用，这能够最大限度地确保信息的流转。然而，如果将此类信息用于商业推广或市场分析，意味着个人信息目的从公共安全变成了交易与营利。这种跨场景溢出彻底改变了私人监控信息的最初目的，动摇了处理个人信息的正当性基础。因此，目的限定原则在此必须得到严格适用。

在相对公共场所的私人监控场景中，初始场景的边界一般是单位的组织管理与运营，公共安全的内涵范围此时应该被允许扩大到包含企业或组织对其商业秘密和财产的保护。因此，目的限定原则在此展现出一定的弹性。实践中，企业将收集的员工门禁数据从最初的考勤管理目的，延伸用于监视人员流动，以确保单位内的人员和财产安全，以及保护企业的商业秘密，在这一过程中，个人信息仍发生在广义的公共安全（企业财务安全和职工人身安全）的目的之内，属于一种合理的“场景内循环”。在这里，目的限定原则要求企业通过内部政策将这一目的延伸进行明确告知，以在单位和员工之间建立信息委托处理的信义关系。反之，若雇主将同样的门禁数据用于推断员工的健康状况，并以此决定员工的晋升、续聘和福利，个人信息就构成了从职场管理向私人生活的“跨场景溢出”，逾越了信息收集时员工的合理预期，属于非法处理行为。

在完全私密场所的私人监控场景中，初始场景的合理性边界最为脆弱，此时监控者一般基于“私人住宅与财产的安全防护”而进行监控。在此边界内，信息处理者几乎拥有了完全的自主权。户主为守护家门而调看、存储监控录像均是其私人场景内的纯粹“内循环”行为，目的限定原则在此几乎没有介入的必要与空间。法律规制的焦点完全集中于监控行为在物理上是否溢出私人领域的界限，即摄像头所能摄录的范围是否越过财产边界，延展到邻居的庭院、窗户或公共通道。若超越边界，私人监控问题的性质已从“目的是否特定”转变为“行为是否构成侵权”，规制依据也从目的限定切换至《民法典》的侵权法框架。

2.必要性原则

当必要性原则适用于私人监控活动时，其核心并非是监控手段选择的单一比较，而是考虑不同场景下“侵害主体的类型和风险大小”，然后选择与之强度相匹配的监控手段。对监控活动的审查从传统的最小侵害判断，变换为公共安全所采取的监控手段与场景内之风险是否“相称”的评估。在完全公共场所的私人监控场景中，监控行为内嵌了权力滥用的风险。此类监控的潜在危害远不止于个人信息泄露，还包括变异为一种不受约束的社会控制和技术规训工具。因此，必要性原则在此的适用，表现为一种风险预控型的严格审查。它要求在安装监控设备前，必须进行前瞻性的“风险—收益”评估，证明该手段对防范某一具体、紧迫的公共安全威胁是不可或缺的，且其潜在的系统性风险（如导致寒蝉效应）是可控的。例如，在广场部署普通监控以应对高发的治安问题可能被视为必要，但在同一区域未经论证便贸然采用实时人脸识别技术来识别和追踪特定人群，则会引发公民权利受损的担忧，很难通过必要性审查。又如，在智慧警务场景中，安装摄像头的区域和质量标准必须与所涉风险高低直接相关，不经充分论证便在特定区域安装高清摄像头进行监控，会导致针对特定种族、性别等歧视风险。

在相对公共场所的私人监控场景中，监控的核心风险在于组织化的权力对个体信息自主性的支配。监控的目的虽为管理，但可能在不经意间塑造一种压抑、不信任的组织氛围，并基于收集的数据对个体进行不公正的算法评价。因此，必要性原则的适用应当聚焦于监控的方式是否合理、程序是否公正和透明。它要求单位的监控措施必须与一个公开、透明且经过民主协商的管理目的挂钩。例如，为提升工作效率，企业决定对核心研发区域的电脑操作进行日志记录可能确有必要，但若通过可随时开启的摄像头对员工进行不间断的、无差别的视频监控，则因其构成了对员工人格尊严的持续压迫和潜在歧视风险，而缺乏正当性。

在完全私密场所的监控场景中，风险性质发生了根本转变，主要表现为对相邻权益的偶发性侵害。由于不涉及公权力，此时监控行为本身被视为私人自治的范畴，法律无须也不应事前介入。仅在监控行为实际产生了外部危害结果时，有权机关才依据必要性原则对监控行为进行审查。此时，司法裁判在判定侵权责任的过程中，应审查被告所采取的监控手段是否超出了屋主保护其自身财产和人身安全这一合法目的的边界。例如，如果安装在入户门口的摄像头不可避免地覆盖邻居，则会对他人空间造成侵犯。在此，必要性原则不再是一项积极的规制工具，而是事后进行责任划分的裁判说理依据。

3.安全保障原则

私人监控信息处理者作为处理个人信息的主体，应承担安全保障义务，以预防信息被滥用或泄露的风险，并在危险发生时采取必要措施减轻损害。例如，《人脸识别技术应用安全管理办法》设计了数据加密、安全审计、访问控制、授权管理等一系列技术与管理程序。不同场景下，安全保障义务的履行强度与监控者的信息处理能力，以及信息对公共安全的贡献度呈现出梯度结构。

在完全公共场所的监控场景中，信息处理者通常是拥有专业技术和团队的公共机构。能够部署、运行维护复杂的监控系统，并建立专业的组织架构和安全管理流程。同时，其处理的私人监控个人信息直接服务于治安管理、反恐维稳、应急指挥等核心公共安全目的，对公共安全贡献度极高。信息一旦被泄露或滥用，可能直接危及社会秩序与国家安全。故其责任主体应承担最高级别的安全保障义务。比如，《视频监控条例》对此类主体设置了严格的行为规范，并主要从三个层面构建防护体系：一是人员管理。要求建立系统监看、管理等重要岗位人员的入职审查、保密教育、岗位培训等管理制度；二是权限管理。要求采取授权管理、访问控制等技术措施，严格规范内部人员对视频图像信息的查阅、处理；三是组织管理。要求建立信息调用登记制度，如实记录查阅、调取视频图像信息的事由、内容及调用人员的单位、姓名等信息。有学者指出，要求个人信息处理者自行建立相应的组织架构与程序机制可以弥补法律明确性的不足，也可以在高风险处理活动中，强化保护力度。

在相对公共场所的私人监控中，信息处理者如企业、工厂、学校具备一定的组织管理能力与资源，能够建立内部规章制度并配备相应的资源。这些内部规章应主要服务于内部运营，其信息处理的核心功能在于提升组织内部效率与安全，虽在特定情形下（如协助刑事侦查）可能间接贡献于公共安全，但其常态化的运转对公共安全的贡献度有限且间接。因此其主体履行安全义务水平需与职场管理、经营自主权的内在需求相平衡，重点在于建立完善的内部访问权限控制、操作日志审计制度，防范信息被内部人员滥用或非授权访问。

在完全的私密场所的监控中，如果信息处理者是个人或家庭，则其监控能力有限，通常仅能操作消费级监控设备，而且不具备专业的信息安全管理知识与资源，同时，监控范围严格限定于私人领域，所收集的信息纯粹服务于个人事项。上述因素决定了完全私密场所的监控与维护公共安全之目的相距甚远，因此，法律对其限制也较少。此处的监控者原则上仅需遵循一般性的注意义务，以不侵害他人合法权益为底线，这体现“行使权利不得损害他人”的法理逻辑。

（二）私人监控信息处理的制度设计和流程展开

《视频监控条例》针对公共视频活动中个人信息收集、存储、加工、传输、使用、公开等作出了规定。具体而言，《视频监控条例》明确了采集设备的安装范围、禁止区域和安装主体；规定了视频信息保存的最低期限（30日）和删除义务；明令禁止非法删除、修改、增加系统数据或应用程序；要求网络传输服务者保障传输安全；规范了内部查阅、调取和使用行为，限制公开传播，要求对敏感信息采取保护措施。《视频监控条例》对在不同场景下采取不同程度的全流程合规提供了原则性的指引。

1.信息收集与存储的前期阶段

在信息收集与存储的前期阶段，不同场景下的监控设置应严格遵循目的限定原则。在具有完全公共场所的监控中，监控设备的安装位置与角度必须严格限定于维护公共安全所必需的公共区域，明确避开私密区域，并设置清晰、醒目的提示标识，以履行告知义务。严禁在客房、更衣室、浴室、卫生间等法律法规明令禁止的区域安装任何摄像设备；在相对公共场所的私人监控中，监控范围应控制在实现安全管理目的所必需的最小范围内，如主要通道与出入口，避免覆盖员工或学生的完全私人活动区域，并应通过加注标识的方式，明确告知监控的存在、范围及目的；在纯粹私人场景下，监控范围应严格限定于自有产权或使用权的空间，如入户门、庭院等，不得摄录邻居的私密空间、公共区域的非必要部分，或他人的私密活动。

2.信息加工与传输的中期处理阶段

在信息加工与传输的中期处理阶段，各类主体均需采取相应技术与管理措施以保障数据安全。对于完全公共场所的监控活动而言，所收集的视频信息保存期限原则上不少于30日，超出目的所需期限后应及时删除，同时须采取防篡改、防泄露、访问控制等安全技术措施，确保信息的原始性与完整性。如委托网络服务商提供传输服务，应确保其具备相应的安全保障能力。实践中，部分地方性法规规定，公安机关为维护公共安全和社会治安秩序的需要，只需经县级以上人民政府公安机关负责人批准即可无偿接入或者直接使用相关单位的监控信息，这显然有违《视频监控条例》所规定的法定程序。在相对公共场所的私人监控中，应建立内部信息访问与调阅登记制度，防止无关人员随意查阅。在非必要识别具体人员的场景下，应对视频信息进行去标识化或匿名化处理，以降低隐私泄漏的风险。对于完全私密空间的监控，个人对其存储的监控信息负有妥善保管义务，防止信息外泄，不得随意对外传播或公开涉及他人隐私的视频内容，否则可能构成侵权。

3.信息使用、提供与公开的后期阶段

私人监控主体在处理监控信息时,必须严格遵守法律授权的原则。调取监控信息除应满足我国数据安全法第35条的原则性规定外，还应符合明确的法律授权和批准程序，遵循审批层级，以及满足数据全生命周期的保护机制。具体到三类私人监控，在完全公共属性的场景中，所收集的信息仅能用于维护公共安全之目的，不得用于商业营销或其他无关分析。如因特殊原因确需公开传播，必须对人脸、车牌等敏感信息采取严格保护措施；配合司法机关调取信息应依法进行，未经许可不得向任何第三方提供。在相对公共场所的监控中，严禁利用监控信息对员工或学生进行超出管理必要范围的行为分析或效率监控；除法律规定的情形外，未经当事人明确同意，不得将相关信息提供给第三方。在完全私密场所的监控中，个人在公开或使用监控信息时，不得损害他人对隐私的合理期待，也不得违反信息信义义务。例如，随意将楼道中录制的邻里纠纷视频上传至网络，很可能构成对他人隐私权的侵害。

对私人监控的责任控制

法律对私人监控者的追责，不仅仅是因为监控主体违反了法律法规明确列举的义务，同时也因为在具体场景中，监控者的信息处理活动悖离了被监控者的期待和信任，破坏了信息信义关系。对私人监控的责任控制机制旨在塑造良好的社会行为模式，维护监控者和被监控者之间的信任关系，保护被监控者的隐私。归根结底，私人监控的法律责任体系应该成为恢复并维持场景一致的调控工具。

在法律层面，民法和刑法分别规定了个人信息保护的民事责任和刑事责任。《个人信息保护法》作为专门立法，系统规定了信息处理活动的原则、规则和各主体的权利义务，具有统领地位。我国消费者权益保护法、电子商务法、未成年人保护法等法律，以及《未成年人网络保护条例》《视频监控条例》等行政法规在重点领域对《个人信息保护法》形成了重要补充、衔接和支撑，上述法律法规共同构建起了行政、民事、刑事三位一体的法律责任规范体系。总体来看，监控者承担的是多元多层次的责任：当监控主体行为失范时，其对监管机关（公安机关）承担的是行政责任；当监控主体侵犯隐私和个人信息权益时，其对被监控者承担的主要是民事责任。当然，由于私人监控场景并非完全相同，不同场景中信息处理者和被监控者双方的法律地位和信息处理能力也不同，这些因素决定了法律责任的类型与强度。因此，在发生个人信息滥用或泄露事件时，有必要根据不同场景下信息双方法律地位的高低和信息处理能力的大小，来设计相应的法律责任机制。

（一）完全公共场所的私人监控责任

在完全公共场所的监控场景中，通过法律授权，私主体“为履行法定义务所必需”而实施监控。由此，私主体承担了原属于国家的公共管理职能，并与被监控对象形成权力支配关系。个人信息在这一场景中承载着“公共安全保障”功能，具有鲜明的公共属性，因此私权主体在行使相关授权时也必须受到最严格的约束，以防止其逾越公共安全的控制边界。以人脸信息为例，其核心功能在于社会身份认证和公共秩序维护，任何滥用或疏漏都可能冲击公共安全体系，减损公信力，因此私人监控主体在此种责任体系中必须尽到最高标准的注意义务，在最狭义的公共安全目的范围内活动。

从行政法上的法律责任体系看，行政违法行为的法律责任包括行政内部责任、行政外部责任和国家赔偿责任。行政内部责任的核心在于通过层级的监督与问责确保义务的履行。《个人信息保护法》第68条规定：“国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。”该条针对国家机关处理个人信息的违法行为设置了专门的行政内部责任。从形式上看，私营部门作为市场化主体，其组织结构与国家机关存在本质差异，因此需要对该条款作适应性解释才能适用于私人监控活动。我们认为，此处的“上级机关”应等同于对私营部门负有监督管理责任的管理部门，“处分”则可以依据企业内部规章制度对信息滥用负直接领导责任的主管人员及其他责任人员作出。

当然，上述行政内部责任主要着眼于组织系统内部的纠偏与问责，其形式与力度往往无法完全覆盖和弥补违法行为对社会公众个体权益造成的实质性侵害。因此，一个健全的法律责任体系还必须为权益受损的个体提供畅通的外部救济途径，这便引出了行政外部责任。如果个人认为私主体违法处理其个人信息，并侵害了其个人信息权益，其外部救济途径是请求对私权主体负有监督管理职责的部门（公安机关）履行监管职责。在完全公共空间的私人监控场景中，监控主体是作为公权力的延伸而存在的，其所应承担的责任也应类似于行政机关的责任，由公安机关负责监督和纠正，对此，《视频监控条例》第24条明确规定，公安机关可以依据有关单位或者个人的举报，针对违法安装图像采集设备及相关设施的行为，依法及时处理。如果个人信息受侵害者对处理结果不满，可以针对公安机关处理行为申请行政复议或提起行政诉讼。

此外，私营部门因侵害公民个人信息，给当事人造成物质经济损失的，还必须承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉和赔礼道歉等民事责任，公民可以根据《民法典》关于侵权责任构成和人格权保护的基本规则向私营机构主张民事权利；同时，应在有利于受害人权益保护原则的指导下，考虑适用《中华人民共和国国家赔偿法》弥补当事人的损失在履行职责或者提供服务的过程中，如果私权主体将获得的公民个人信息出售或者提供给他人构成犯罪的，应依据刑法关于侵犯公民个人信息罪的规定定罪量刑。

（二）相对公共场所的私人监控责任

《个人信息保护法》在规定国家机关法律责任的同时，也对一般信息处理者设定了相应的责任。其中，第66条规定了对违法处理个人信息行为的行政处罚，根据情节轻重分为两类，措施包括警告、罚款、责令暂停服务、停业整顿，直至吊销执照，并对直接责任人员处以罚款和从业禁止；第67条确立了信用监管机制，规定将违法行为记入信用档案并予以公示；第69条确立了侵权赔偿责任，实行过错推定原则。现行法对“一般信息处理者”适用同一责任标准，未作进一步类型化区分，但在相对公共场所的私人监控中，单位凭借其管理地位和对资源的调控能力，与信息主体之间形成一种非对称的权力结构，实质上取得了一定的“支配性权力”。这种权力是通过类似于“发包制”治理机制实现的。国家在私人监控发展过程中允许单位在运营和管理上拥有一定的弹性空间，将日常的治理责任和风险成本“发包”给了各单位，由单位自我管理。

此类主体的法律责任并不源于其拥有私人监控的个人信息，而源于其运营的组织系统所享有的社会关键资源配置功能，并在单位管理的领域内形成了具有准公共性的秩序空间。这意味着，单位监控行为不仅是私人自治范畴内的信息处理，更是一种嵌入社会管理架构、能够实质性影响个体权益的权力行使行为。正如前文所讨论的，此时不应再局限于《个人信息保护法》或《视频监控条例》提供的统一分析框架，而应当根据与监控所处的具体场景相关的法律规范来确定法律责任。此时，通过引入与该场景对应的法律法规，形成《个人信息保护法》与不同领域法规范的衔接、互补的规范体系，并在规范体系内落实监控者的法律责任。例如，除适用《个人信息保护法》《视频监控条例》外，学校、医院和商场可以在不同场景中分别适用《未成年人网络保护条例》、《中华人民共和国基本医疗卫生与健康促进法》（第92条）、《中华人民共和国消费者权益保护法》来确定法律责任。当然，适用单行法确定监控者责任的前提，是这些法律对个人信息处理活动作出了明确规定，否则不能盲目适用部门法的责任规定。值得注意的是，从《个人信息保护法》到单行法的责任路径选择，应实现动态适配而非统一适用。例如，教学辅导机构为防范安全事故而实施私人监控，必然涉及对学生个人信息的收集与处理，若其行为超出合理边界，则首先构成对《个人信息保护法》一般性规定的违反；在此基础上，如果该场景下监控对象是未成年人，还可以根据“特别法优于一般法”的原则优先适用《未成年人网络保护条例》确定专门的责任，这是针对未成年人群体的特殊性而设计的加重法律责任。

（三）完全私密场所的私人监控责任

在完全私人监控场景中，信息处理者与信息主体是平等民事主体之间的关系。私人监控的安装是为了保障私人利益，通常不涉及公共安全利益，在确定纯粹私人监控场景中的民事责任时应重点考虑两方面的情况：一方面，只有当私人监控行为溢出场景边界，对他人的生活安宁与私密空间造成物理性侵入和持续性窥探的情况下，才面临矫正负外部性的问题。在确定溢出场景的监控责任时，应判断私人监控者是否构成侵权，这将高度依赖其所处的具体物理与社会环境——监控设备的安装位置、摄录范围、视觉覆盖区域以及是否涉及他人日常通行路径或私密活动空间等因素，均成为判断侵权责任成立与否的关键变量。在我国的司法实践中，如私人监控只监控到公共区域的，隐私侵权并不必然成立，只有当摄像头同时还可以监控到他人的必经通道，或他人的窗户、阳台、院内等隐私区域的情形下，隐私侵权才能成立。可见，司法实践通过对“场景”要素的细致辨析，实现了对监控行为边界的动态认定和个性化规制。另一方面，该场景下私人监控个人信息的目的，属于典型的私益导向。基于这一属性，在规制路径上应突出私法救济的优先地位，可援引《民法典》关于隐私权和相邻权的有关规定确定侵权人的私法责任。私法责任以民事责任为主要形式，只有当私人监控者的活动涉及偷窥、偷拍、窃听、散布他人隐私，或在未经许可的公共区域监控，又或是非法传播监控信息时，才可能面临罚款、拘留等行政责任；如果情节严重，构成犯罪的，监控者还应承担刑事责任。

结语