BÁO CÁO
Hội đồng Trọng tài Thuê nhà: Chính sách về công nghệ giám sát bằng camera an ninh
Committee on Information Technology (COIT)LỊCH XEM XÉT CUỘC HỌP CÔNG KHAI
Ngày họp của COIT: 18 tháng 3 năm 2021
Ngày phê duyệt của BOS: 4 tháng 8 năm 2021
Thành phố và Quận San Francisco coi trọng quyền riêng tư và việc bảo vệ các quyền dân sự và tự do dân sự của cư dân San Francisco. Theo yêu cầu của Bộ luật Hành chính San Francisco, Mục 19B, Chính sách Công nghệ Giám sát nhằm đảm bảo việc sử dụng có trách nhiệm hệ thống camera an ninh của Sở, cũng như bất kỳ dữ liệu liên quan nào, và việc bảo vệ người dân đến thăm Hội đồng Cho thuê Nhà ở và tất cả những người làm việc tại Hội đồng Cho thuê Nhà ở.
MỤC ĐÍCH VÀ PHẠM VI
Chính sách về công nghệ giám sát ("Chính sách") quy định cách thức sử dụng Hệ thống camera an ninh (cố định hoặc di động) để hỗ trợ các hoạt động của bộ phận.
Chính sách này áp dụng cho tất cả nhân viên thuộc các phòng ban sử dụng, có kế hoạch sử dụng hoặc có kế hoạch bảo mật Hệ thống Camera An ninh, bao gồm nhân viên, nhà thầu và tình nguyện viên. Nhân viên, tư vấn viên, tình nguyện viên và nhà cung cấp khi làm việc thay mặt Thành phố với Phòng ban đều phải tuân thủ Chính sách này.
TUYÊN BỐ CHÍNH SÁCH
Các phòng ban thành phố sẽ giới hạn việc sử dụng camera an ninh trong các trường hợp sử dụng được cho phép và tuân thủ các yêu cầu được liệt kê trong Chính sách này.
Mục đích sử dụng được cho phép:
- Giám sát trực tiếp.
- Ghi hình video và hình ảnh.
- Xem lại đoạn phim camera trong trường hợp xảy ra sự cố.
- Cung cấp đoạn video/hình ảnh cho cơ quan thực thi pháp luật hoặc các cá nhân có thẩm quyền khác sau khi xảy ra sự cố hoặc theo yêu cầu.
Các trường hợp sử dụng bị cấm bao gồm bất kỳ trường hợp sử dụng nào không được nêu trong phần Trường hợp sử dụng được cho phép.
Các phòng ban chỉ được phép sử dụng thông tin thu thập từ camera an ninh cho các mục đích được pháp luật cho phép và không được sử dụng thông tin đó để phân biệt đối xử bất hợp pháp với người khác dựa trên chủng tộc, dân tộc, quan điểm chính trị, tín ngưỡng tôn giáo hoặc triết học, tư cách thành viên công đoàn, giới tính, bản dạng giới, tình trạng khuyết tật, xu hướng hoặc hoạt động tình dục, hoặc dữ liệu di truyền và/hoặc sinh trắc học. Ngoài ra, các phòng ban không được sử dụng hệ thống tự động để quét đoạn phim và xác định cá nhân dựa trên bất kỳ danh mục nào được liệt kê trong câu trước.
Tất cả dữ liệu thu thập được từ camera giám sát đều thuộc quyền sở hữu độc quyền của Thành phố và Quận San Francisco. Trong bất kỳ trường hợp nào, dữ liệu thu thập được đều không được phép bán cho bất kỳ tổ chức nào khác.
LÝ DO KINH DOANH
Nhằm hỗ trợ các hoạt động của Sở, hệ thống camera an ninh cam kết sẽ giúp ích trong các lĩnh vực sau:
| Có hay không | Lợi ích | Sự miêu tả |
N | Giáo dục | Không áp dụng |
N | Phát triển cộng đồng | Không áp dụng |
Y | Sức khỏe | Đảm bảo an toàn cho nhân viên, khách hàng và cơ sở vật chất đồng thời thúc đẩy một môi trường cởi mở và thân thiện. |
N | Môi trường | Không áp dụng |
Y | Tư pháp hình sự | Xem lại đoạn video ghi hình sau một sự cố an ninh; cung cấp bằng chứng video cho cơ quan thực thi pháp luật hoặc công chúng khi có yêu cầu chính thức, theo lệnh hoặc trích dẫn. |
N | Việc làm | Không áp dụng |
N | Nhà ở | Không áp dụng |
Y | Khác | Quản lý tài sản thành phố tốt hơn bằng cách tận dụng đánh giá tình trạng từ xa. Nâng cao nhận thức tổng thể về tình hình. |
Ngoài ra, còn thu được những lợi ích sau:
| Có hay không | Lợi ích | Sự miêu tả |
|---|---|---|
Y | Tiết kiệm tài chính | Hệ thống camera an ninh của sở sẽ giúp tiết kiệm chi phí cho nhân viên bảo vệ tòa nhà hoặc tuần tra. |
Y | Tiết kiệm thời gian | Hệ thống camera an ninh của sở sẽ hoạt động 24/7, do đó giảm thiểu hoặc loại bỏ sự giám sát của nhân viên bảo vệ tòa nhà hoặc nhân viên tuần tra. |
Y | An toàn nhân viên | Camera an ninh giúp xác định các hành vi vi phạm Quy tắc ứng xử của nhân viên thành phố, Nội quy và Quy định của tòa nhà, cũng như luật pháp của Thành phố, Tiểu bang và Liên bang, đồng thời đảm bảo rằng sự an toàn của nhân viên được chú trọng và bảo vệ tại nơi làm việc của họ. |
Y | Chất lượng dữ liệu | Hệ thống camera an ninh hoạt động 24/7/365 nên không cần nhân viên toàn thời gian để xem lại đoạn phim ghi hình các sự cố an ninh. Độ phân giải dữ liệu có thể được thiết lập theo từng cấp độ và hiện đang được đặt ở độ phân giải cao. |
Y | Mức độ dịch vụ | Camera an ninh sẽ nâng cao hiệu quả ứng phó sự cố và dẫn đến chất lượng dịch vụ được cải thiện. |
YÊU CẦU CHÍNH SÁCH
Chính sách này xác định các quy trình quản lý dữ liệu có trách nhiệm và các biện pháp bảo vệ có hiệu lực pháp lý mà Bộ yêu cầu để đảm bảo tính minh bạch, giám sát và trách nhiệm giải trình. Việc Bộ sử dụng công nghệ giám sát và thông tin được thu thập, lưu giữ, xử lý hoặc chia sẻ bởi công nghệ giám sát phải phù hợp với Chính sách này; phải tuân thủ tất cả các luật và quy định của Thành phố, Tiểu bang và Liên bang; và phải bảo vệ tất cả các đảm bảo Hiến pháp của tiểu bang và liên bang.
Thông số kỹ thuật: Phần mềm và/hoặc firmware được sử dụng để vận hành công nghệ giám sát phải được cập nhật và bảo trì thường xuyên.
Thu thập dữ liệu
Phòng ban chỉ được phép thu thập dữ liệu cần thiết để thực hiện các trường hợp sử dụng được cho phép. Tất cả dữ liệu được thu thập bởi công nghệ giám sát, bao gồm cả thông tin nhận dạng cá nhân (PII), sẽ được phân loại theo Tiêu chuẩn phân loại dữ liệu của Thành phố.
Công nghệ giám sát thu thập một số hoặc tất cả các loại dữ liệu sau:
| Kiểu dữ liệu | Định dạng | Phân loại |
|---|---|---|
Video và hình ảnh | MP4, AVI, MPEG | Cấp độ 3 |
Ngày và giờ | MP4 hoặc định dạng khác | Cấp độ 3 |
Dữ liệu định vị địa lý | TXT, CSV, DOCX | Cấp độ 3 |
Thông báo
Các cơ quan chức năng phải thông báo cho công chúng về việc dự định vận hành công nghệ giám sát tại địa điểm hoạt động thông qua biển báo ở những khu vực công cộng dễ nhìn thấy. Thông báo của các cơ quan phải nêu rõ loại công nghệ đang được sử dụng và mục đích thu thập dữ liệu.
Bộ phận này đưa các mục sau đây vào thông báo công khai của mình:
| Có hay không | Danh mục bao gồm |
|---|---|
Y | Thông tin về công nghệ giám sát |
Y | Mô tả về việc sử dụng được cho phép |
N | Loại dữ liệu được thu thập |
N | Lưu trữ dữ liệu |
Y | Nhận dạng phòng ban |
Y | Thông tin liên hệ |
N | Những người được xác định danh tính riêng lẻ |
Truy cập
Trước khi truy cập hoặc sử dụng dữ liệu, những người được ủy quyền sẽ được đào tạo về cách truy cập và vận hành hệ thống, cũng như được hướng dẫn về các trường hợp sử dụng được phép và bị cấm.
Quyền truy cập vào hình ảnh trực tiếp và đoạn phim đã ghi lại chỉ giới hạn cho các nhân viên được đào tạo chuyên nghiệp. Đoạn phim đã ghi lại chỉ được truy cập khi có sự cố xảy ra.
Thông tin chi tiết về nhân viên phòng ban và quyền truy cập cụ thể có trong Phụ lục A.
Bảo mật dữ liệu
Bộ phận này phải bảo vệ thông tin nhận dạng cá nhân (PII) khỏi việc xử lý hoặc tiết lộ trái phép hoặc bất hợp pháp; truy cập, thao túng hoặc lạm dụng trái phép; và mất mát, phá hủy hoặc hư hỏng do tai nạn. Dữ liệu công nghệ giám sát được Bộ thu thập và lưu giữ phải được bảo vệ bằng các biện pháp bảo vệ phù hợp với cấp độ phân loại của dữ liệu đó theo định nghĩa của khung bảo mật 800-53 của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), hoặc các yêu cầu tương đương từ các khung an ninh mạng chính khác do Bộ lựa chọn.
Tối thiểu, Bộ phải áp dụng các biện pháp bảo vệ sau đây để bảo vệ thông tin công nghệ giám sát khỏi sự truy cập và kiểm soát trái phép, bao gồm cả việc lạm dụng:
- Mã hóa: Dữ liệu do Bộ lưu giữ sẽ được mã hóa. Dữ liệu thô chỉ được Bộ lưu giữ trong trường hợp được phép chia sẻ với cơ quan thực thi pháp luật hoặc công chúng.
- Lưu trữ: Bất kỳ việc sử dụng nhà cung cấp dịch vụ bên thứ ba nào cũng phải đáp ứng các yêu cầu về an ninh mạng của Thành phố.
- Kiểm toán: Bộ phận sẽ duy trì nhật ký truy cập dữ liệu cho tất cả dữ liệu camera an ninh được xử lý và sử dụng. Nhật ký này sẽ bao gồm nhưng không giới hạn ở các thông tin sau: ngày/giờ dữ liệu được thu thập ban đầu, lý do/mục đích sử dụng dữ liệu, bộ phận yêu cầu dữ liệu, ngày/giờ truy cập dữ liệu thô, kết quả xử lý dữ liệu, cũng như ngày dữ liệu đã xử lý được chuyển giao cho người dùng.
Chia sẻ dữ liệu
Đối với dữ liệu được chia sẻ nội bộ và bên ngoài, dữ liệu được chia sẻ không được người nhận truy cập, sử dụng hoặc xử lý theo cách không phù hợp với các trường hợp sử dụng được cho phép nêu trong Chính sách này. Bộ sẽ nỗ lực đảm bảo rằng các cơ quan hoặc bộ phận khác có thể nhận dữ liệu được thu thập bởi Hệ thống Camera An ninh của họ sẽ hành động phù hợp với Chính sách Công nghệ Giám sát này.
Bộ phận này phải đảm bảo các biện pháp bảo vệ hành chính, kỹ thuật và vật lý phù hợp được thực hiện trước khi chia sẻ dữ liệu với các bộ phận khác của CCSF, các cơ quan chính phủ bên ngoài và các nhà cung cấp hoặc đối tác bên thứ ba.
Mỗi phòng ban nào cho rằng cơ quan hoặc phòng ban khác nhận được hoặc có thể nhận được dữ liệu thu thập được từ việc sử dụng camera an ninh của mình nên tham khảo ý kiến của Phó Luật sư Thành phố được chỉ định về cách xử lý vấn đề này.
Trước khi chia sẻ dữ liệu với bất kỳ bên nhận nào, Bộ sẽ sử dụng quy trình sau đây để đảm bảo các biện pháp bảo vệ dữ liệu phù hợp được thực hiện:
- Xác nhận mục đích chia sẻ dữ liệu phù hợp với sứ mệnh của bộ phận.
- Hãy xem xét các phương pháp thay thế khác ngoài việc chia sẻ dữ liệu có thể đạt được mục đích tương tự.
- Che giấu tên, làm mờ ảnh khuôn mặt và đảm bảo loại bỏ tất cả thông tin nhận dạng cá nhân theo đúng chính sách dữ liệu của bộ phận.
- Rà soát lại tất cả các biện pháp bảo vệ hiện có để đảm bảo việc chia sẻ dữ liệu không làm tăng nguy cơ ảnh hưởng đến quyền và tự do dân sự của người dân.
- Đánh giá xem những dữ liệu nào có thể được phép chia sẻ với công chúng nếu có yêu cầu được đưa ra theo Quy định về Minh bạch thông tin của thành phố San Francisco.
- Đảm bảo dữ liệu được chia sẻ một cách tiết kiệm chi phí và xuất ra ở định dạng sạch, có thể đọc được bằng máy tính.
Bộ phận này sẽ tuân thủ Đạo luật Hồ sơ Công cộng California, Sắc lệnh Minh bạch thông tin San Francisco, các yêu cầu của Hiến pháp liên bang và tiểu bang, cũng như các luật và quy tắc tố tụng dân sự liên bang và tiểu bang.
Sở có thể chia sẻ đoạn phim từ camera an ninh với các đơn vị sau:
A. Chia sẻ dữ liệu nội bộ:
Trong trường hợp xảy ra sự cố, hình ảnh từ camera an ninh có thể được phát trực tiếp hoặc chia sẻ bằng các phương thức khác cho các cơ quan sau:
- Trong bộ phận vận hành
- Cảnh sát
- Luật sư thành phố
- Công tố viên quận
- Cảnh sát trưởng
- Theo yêu cầu sau một sự cố
Việc chia sẻ dữ liệu diễn ra với tần suất như sau:
- Khi cần thiết
B. Chia sẻ dữ liệu bên ngoài:
- Các cơ quan thực thi pháp luật địa phương khác
Việc chia sẻ dữ liệu diễn ra với tần suất như sau:
- Khi cần thiết
Lưu trữ dữ liệu
Bộ phận chỉ được phép lưu trữ và giữ lại dữ liệu PII thô trong thời gian cần thiết để thực hiện mục đích hợp pháp và được ủy quyền. Tiêu chuẩn lưu giữ dữ liệu của bộ phận phải phù hợp với cách bộ phận lập hồ sơ tài chính và phải nhất quán với bất kỳ phần nào có liên quan của Cơ quan Quản lý Khẩn cấp Liên bang (FEMA) hoặc Văn phòng Dịch vụ Khẩn cấp California (Cal OES).
Thời hạn lưu giữ dữ liệu và lý do của Bộ như sau:
- Dữ liệu camera an ninh sẽ được lưu trữ trong một (1) năm để nhân viên được ủy quyền có thể sử dụng cho mục đích vận hành và tham khảo nhanh chóng. Nếu dữ liệu liên quan đến một sự cố, dữ liệu đó có thể được lưu giữ lâu hơn thời gian lưu giữ tiêu chuẩn.
- Lý do: Thời gian lưu trữ này phù hợp với dung lượng lưu trữ hệ thống máy chủ hiện có và cho phép nhân viên an ninh có đủ thời gian để xem xét các đoạn phim liên quan đến các sự cố an ninh và/hoặc các yêu cầu cung cấp hồ sơ từ bên ngoài.
Dữ liệu có thể được lưu trữ tại vị trí sau:
| Có hay không | Loại lưu trữ |
Y | Lưu trữ cục bộ (ví dụ: máy chủ cục bộ, mạng lưu trữ (SAN), thiết bị lưu trữ gắn mạng (NAS), băng sao lưu, v.v.) |
Y | Trung tâm dữ liệu của Bộ Công nghệ |
Y | Sản phẩm phần mềm dưới dạng dịch vụ |
Y | Nhà cung cấp lưu trữ đám mây |
Xử lý dữ liệu
Sau khi kết thúc thời hạn lưu trữ dữ liệu, Bộ sẽ xử lý dữ liệu theo cách sau:
- Tự động ghi đè tất cả các tập tin hiện có khi thời gian lưu giữ dữ liệu tiêu chuẩn kết thúc. Quá trình này có thể bao gồm xóa/định dạng lại, xóa sạch, ghi đè dữ liệu hiện có hoặc khử từ.
Đào tạo
Để giảm thiểu khả năng công nghệ giám sát hoặc dữ liệu liên quan bị lạm dụng hoặc sử dụng trái với mục đích cho phép, tất cả những người cần truy cập phải được đào tạo về các chính sách và quy trình bảo mật dữ liệu.
- Huấn luyện an ninh mạng hàng năm (Liên kết Chính sách COIT)
SỰ TUÂN THỦ
Tuân thủ quy định của bộ phận
Bộ phận này sẽ giám sát và thực thi việc tuân thủ Chính sách này theo biên bản ghi nhớ tương ứng của người lao động và thỏa thuận công đoàn tương ứng của họ.
Nếu một Sở bị cáo buộc vi phạm Quy định theo Chương 19B của Bộ luật Hành chính San Francisco, Sở đó phải đăng thông báo trên trang web của mình, mô tả chung về bất kỳ biện pháp khắc phục nào đã được thực hiện để giải quyết cáo buộc đó.
Phòng ban này phải tuân thủ các thủ tục thực thi, như đã nêu trong Mục 19B.8 của Bộ luật Hành chính San Francisco.
ĐỊNH NGHĨA
- Thông tin nhận dạng cá nhân: Thông tin có thể được sử dụng để phân biệt hoặc truy tìm danh tính của một cá nhân, dù chỉ riêng lẻ hay khi kết hợp với các thông tin cá nhân hoặc thông tin nhận dạng khác có liên quan hoặc có thể liên quan đến một cá nhân cụ thể.
- Dữ liệu nhạy cảm: Dữ liệu chỉ được phép tiết lộ cho những người cần biết. Dữ liệu này chịu sự điều chỉnh của luật hoặc quy định về quyền riêng tư, hoặc bị hạn chế bởi cơ quan quản lý hoặc các điều khoản và điều kiện của hợp đồng, khoản tài trợ hoặc các thỏa thuận khác.
ỦY QUYỀN
Mục 19B.4 của Bộ luật Hành chính Thành phố quy định: "Chính sách của Hội đồng Giám sát là chỉ phê duyệt một sắc lệnh về Chính sách Công nghệ Giám sát nếu xác định rằng lợi ích mà sắc lệnh về Công nghệ Giám sát cho phép vượt trội hơn chi phí của nó, rằng sắc lệnh về Chính sách Công nghệ Giám sát sẽ bảo vệ các quyền tự do và quyền dân sự, và rằng việc sử dụng và triển khai Công nghệ Giám sát theo sắc lệnh sẽ không dựa trên các yếu tố phân biệt đối xử hoặc dựa trên quan điểm hoặc gây ra tác động không đồng đều đối với bất kỳ cộng đồng hoặc Nhóm được Bảo vệ nào."
Phụ lục A: Phản hồi cụ thể của từng phòng ban
1. Mô tả sản phẩm, bao gồm nhà cung cấp và địa điểm đặt công nghệ.
Hệ thống CIC ghi lại video khu vực sảnh và lối vào của Hội đồng Cho thuê nhà. Trong trường hợp xảy ra vụ trộm cắp hoặc phá hoại, nhân viên RNT sẽ xem lại video đã ghi để xác định xem video có ghi lại được vụ việc hay không.
Đầu ghi hình Q-See QT454 sử dụng chip xử lý video hiệu năng cao và hệ điều hành Linux nhúng để ghi hình chất lượng cao và dễ sử dụng. Nó tận dụng nhiều công nghệ tiên tiến, bao gồm codec H.264 tiêu chuẩn ngành, để cung cấp video mượt mà, chất lượng cao và khả năng truyền phát kép để xem từ xa. Giao diện ổ cứng SATA cho phép nâng cấp và đầu ra VGA cho phép người dùng kết nối với bất kỳ TV hoặc màn hình tiêu chuẩn nào để xem.
Hệ thống camera giám sát khu vực sảnh được sử dụng để bảo vệ chống lại hành vi quấy rối, trộm cắp, đảm bảo an toàn hoặc phá hoại khu vực sảnh của Hội đồng Cho thuê nhà, bao gồm cả các máy tính công cộng và các tài sản khác thuộc sở hữu của Thành phố.
2. Các danh mục và chức danh cụ thể của những cá nhân được Bộ ủy quyền truy cập hoặc sử dụng thông tin đã thu thập.
- 0961 – Trưởng phòng
3. Bộ sẽ thiết lập những thủ tục nào để người dân có thể đăng ký khiếu nại hoặc bày tỏ lo ngại, hoặc gửi câu hỏi về việc triển khai hoặc sử dụng một công nghệ giám sát cụ thể, và Bộ sẽ đảm bảo như thế nào để giải đáp kịp thời mọi câu hỏi và khiếu nại?
- Sổ tay hướng dẫn dành cho nhân viên của Phòng Nhân sự quy định về việc nhân viên sử dụng các nguồn lực của Thành phố, máy tính và hệ thống thông tin dữ liệu của Thành phố. Phòng Công nghệ định nghĩa CIC là một nguồn lực của Thành phố.
4. Thông tin chi tiết về nơi dữ liệu sẽ được lưu trữ (cục bộ, DT, SaaS, lưu trữ đám mây), bao gồm tên nhà cung cấp và thời gian lưu giữ.
- Tất cả dữ liệu được lưu trữ cục bộ.
5. Có cần trích dẫn lệnh triệu tập trước khi chia sẻ thông tin với cơ quan thực thi pháp luật không?
- KHÔNG