□ 文 翟嘉诗
2021年10月,国家互联网信息办公室发布《互联网用户账号名称信息管理规定(征求意见稿)》,其中第12条要求“互联网用户账号服务平台应当以显著方式,在互联网用户账号信息页面展示账号IP地址属地信息。境内互联网用户账号IP地址属地信息需标注到省(区、市),境外账号IP地址属地信息需标注到国家(地区)”。
2022年4月28日,新浪“微博管理员”发博称将在用户个人主页一级页面内展示IP属地信息,同时也会展示微博评论区发评人的IP属地信息,且用户无法选择开启或关闭。随后,新浪微博已经针对全部用户开启了显示IP属地功能,显示规则为国内显示到省份/地区,国外显示到国家。新浪微博称开放该功能是为了“减少冒充热点事件当事人、恶意造谣、蹭流量等不良行为,确保传播内容的真实、透明”。4月29日,微信公众平台也开启了微信公众号文章评论区显示IP属地功能测试,无独有偶,今日头条、抖音、小红书、快手、知乎等各大平台也相继发公告称将逐步开放IP属地功能。
事实上,国内外互联网平台对于IP地址的使用由来已久,如应用于个性化推荐、广告投放、搜索等场景,也由此引发公众对信息泄露的担忧。本文试图对IP地址信息的法律属性加以分析,厘清互联网平台使用IP地址的合法性边界,并对近期引发热议的新浪微博显示用户IP属地信息行为加以分析。
互联网平台对IP地址的应用场景广泛,目前最主要的是广告精准投放。对于广告投放功能,中国广告协会与中国信息通信研究院联合开发的“互联网广告数据服务平台”指出“IP地理信息是数字经济中重要的生产力要素之一,也是互联网广告生态运行的重要基础数据。”举例来说,谷歌在其隐私条款中说明“我们可以根据您的大致位置投放广告。这可以包括从设备的IP地址派生的位置。根据您广告的个性化设置,您可能还会看到基于您在Google账户中的活动的广告。这包括存储在您的网络和应用活动中的活动,这些活动可用于制作更有用的广告。”
与通过IP地址精准投放广告的功能类似,互联网平台也会在推送个性化内容、搜索服务中使用IP地址获取用户位置,使得提供的服务内容更具相关性。如新浪微博在《微博个人信息保护政策》第1.2条称“在您浏览微博信息流时,我们会根据您的设备信息、IP地址、位置信息……向您提供个性化内容推荐服务。我们可能会依赖其他信息(例如IP地址、Wi-Fi接入点、移动信号基站位置等)来判断您所在的大致位置,并为您提供基于该等位置的信息和服务。”
互联网平台对IP地址的应用虽然扩展了其提供服务产品的便利性与效率,但是也引发了用户的担忧。要解决这个问题,需要明确IP地址是否属于个人信息或隐私的范畴,进而确定用户能否针对IP地址主张个人信息或隐私的权利保护。
纵观世界各国个人信息保护立法,均将“识别性”作为个人信息的核心判断标准。对于“识别性”的解释,也决定着个人信息立法保护的范围。我们讨论IP地址信息能否纳入个人信息保护的范围内,必然要判断IP地址信息是否具有能够识别特定自然人的属性。然而,对于个人信息“识别性”的判断各国也并没有统一的标准,对于IP地址的属性界定也呈现出不同的样态。
2018年生效的欧盟《通用数据保护条例》(简称GDPR)被认为是全球范围内最严格的个人信息保护立法。欧盟对于个人数据中“识别性”要素的边界采用广泛解释。这一点无论从GDPR中个人数据的定义、第29条工作组对“识别性”要素的解释以及欧盟法院的司法实践都可以看出。第29条工作组指出“确定一个人是否是可被识别的,应该是采取了所有可能被信息控制者其他人合理使用的手段来识别该人。这意味着仅仅是假设的可能性并不足以将该人视为‘可识别的’。如果‘信息控制者或任何可能合理使用的所有手段其他人’的这种可能性不存在或可以忽略不计,该人不应被视为‘可识别的’,并且该信息不会被视为‘个人数据’。”
欧盟司法实践针对IP地址的经典案例是Patrick Breyer诉Federal Republic of Germany案。本案中,德意志联邦共和国(BRD)运营的网站和很多网站运营商一样,记录其网站访问者的IP地址。Patrick Breyer起诉BRD声称IP地址符合欧盟数据保护法规定法个人数据,BRD需要经过个人同意才能处理此类数据。欧盟法院认为,IP地址在某些情况下属于个人数据,虽然Patrick Breyer的动态IP地址本身不能直接识别出他的身份,但是通过他的IP地址与互联网平台掌握的其他账户数据进行组合,可以间接识别出用户。欧盟法院认为,要确定一个人是否可识别,应考虑信息控制者或任何其他人能否使用所有可能的合理手段来识别该人。可见欧盟法院对于“识别性”的判断标准较为宽泛,对个人信息的保护范围更广。但需要注意到,这样宽泛的标准对企业合规带来比较重的负担,在“促进数据价值发挥”和“保护个人权益”之间,欧盟立法者的天平更倾向于后者。
美国于2018年颁布的《加州消费者隐私法案》(“CCPA”)号称美国史上最严的数据保护立法。CCPA将IP地址包括在个人信息的定义之中,但前提是能够“识别、涉及、描述、能够合理地与某一特定消费者或家庭相关联,或可能能够被合理地、直接或间接与某一特定消费者或家庭相关联。”随后,加州总检察长发布了对拟议的CCPA法规的第一套修改意见指出,如果企业没有将IP地址与消费者或家庭联系起来,而且企业也无法做到将IP地址与消费者或家庭联系起来,那么IP地址就不是个人信息。这种解释符合这样的现实:即便企业希望将IP地址与个人或家庭联系起来,但许多企业自己缺乏所需的信息,而且不太可能迫使互联网服务供应商为他们提供信息,可以降低企业的合规成本。然而,该意见在第二次修订法规草案时被删除。
我国《个人信息保护法》第4条将个人信息定义为“以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”根据该条的定义可以看出,“识别性”包括“已识别”和“可识别”两类情况,前者是无需借助其他信息即可识别出特定自然人的信息,后者是存在能够识别特定自然人的可能性,但需要借助其他信息进行间接识别。对于“识别性”外延解释,有学者主张应对个人信息的“识别性”和“相关性”边界进行最宽泛的界定,以涵盖所有需要保护的信息。有学者主张界定“识别”要素应采取狭义解释,即不是所有的信息都应纳入“可识别”的范围。目前学界对该问题的讨论尚无定论。
我国的司法实践中,在北京互联网法院判决的“凌某某诉抖音App”一案中,凌某某认为抖音App未经过其同意收集、使用其姓名、手机号码、城市地理位置等信息,构成对其个人信息的侵害。法院针对姓名和手机号采用直接识别思路,认为“姓名是自然人作为社会个体与他人进行区别,在社会生活中具备可识别性的称谓或符号。手机号码是电话管理部门为手机设定的号码,随着‘手机实名制’政策的推行和普及,手机号码与特定自然人的关联性愈加紧密。因此,自然人的姓名与其使用的手机号码无论单独抑或组合均具有可识别性,属于个人信息。”针对IP地理位置信息,抖音App主张IP地址获得模糊的地理位置信息(即城市信息)不属于个人信息,但是法院采取间接识别思路,认为“因手机号码具有可识别性,在收集了手机号码的情况下,被告收集的位置信息与手机号码信息组合,能够识别到特定人,属于个人信息,与该位置的精确程度无关”,据此认定IP地址和用户手机号码等信息组合后能够识别特定自然人,因而属于个人信息。
欧盟的的个人数据保护立法是一种基于人格尊严为核心的风险预防,个人数据保护虽然可能关乎多种权益,但欧盟对此问题的探讨仍以人格尊严为基础,对“识别”的理解更加宽泛,对公民信息的保护更加严格。但不能忽视的是,《个人信息保护法》所涉及的法益保护具有多元性,相同的信息并非在所有情形下都能被识别为个人信息;也并非所有可识别的个人信息都无条件受到保护。保护个人信息法权益,既有自然人对其个人信息加以掌控,以免人格尊严以及人身财产权益受到侵害或遭受损害的需要,也有营利法人通过处理个人信息推销商品或服务的营业自由的诉求,还包括保障言论自由,实现舆论监督,以及国家机关利用个人信息提升社会治理与行政管理能力、维护市场竞争秩序、保护消费者权益、维护公共安全国家安全等公共利益和国家利益的需要这种多元。
笔者建议,我国今后在解释“识别”要素时,不应采用过于宽泛的解释路径,应当坚持要求信息与“特定人”能够在“实质上或有合理的可能”产生联系。其次,在决定对某项信息是否适用个人信息保护法进行保护时,要采取“具体情况具体分析”的方法,应当在个案中综合考虑场景、信息功能、信息处理目的等。
具体到IP地址,首先,对IP地址概念的分析可以看出,IP地址是用户实现上网的必备信息,互联网平台获取用户的IP地址具有不可避免性。其次,基于IP地址的特点,IP可能是动态的,多个用户可能使用同一IP地址,且从单独的IP地址中仅能获知用户模糊的地理位置,故单独的IP地址信息不具有可能识别特定自然人的特点,不能构成个人信息。但在大数据时代下,互联网平台获取的用户信息复杂多样,当单独的IP地址与用户提供的姓名、手机号码、电子邮箱等其他信息相结合时,便具有了能够识别特定自然人的可能性。国内外也已经有支持这种“间接识别”路径的判例。因此,对IP地址是否构成个人信息的判断也要遵循“具体情况具体分析”的思路,需要在具体个案场景中,通过充分的还原使用场景、目的和方式,判定是否具有可识别到特定自然人的可能性。但是应区别于欧盟严格保护人格尊严的立法思路,不能对于“识别性”做过于宽泛的解释,应将识别的可能性限制在“实质上的或者能够合理推断的可能”,而不是“假设的可能”。
近期新浪微博显示用户IP属地信息行为引发热议。很多网友质疑新浪微博此举是否构成对用户个人信息权益的侵害。实际上,新浪微博作为互联网平台,对用户的IP地址信息有两个处理行为:信息收集和信息公开。需要分别对这两个环节进行分析。
根据前文分析,单独的IP地址因不能够识别特定自然人,因而不是个人信息。在收集用户IP地址环节,新浪微博并没有侵犯用户的个人信息权益。
目前新浪微博显示规则为国内显示到省份/地区,国外显示到国家,这种模糊的城市信息无法单独导致识别出特定自然人的效果。如果结合用户在新浪微博上展示的其他信息,如昵称、个人爱好等,也无法间接实现识别到特定自然人,故而此处的IP属地信息不属于个人信息。对此,网信办发布《互联网用户账号名称信息管理规定(征求意见稿)》,第12条也要求互联网平台展示用户的IP地址属地信息。在该规定生效以后,平台将有义务展示用户的IP属地信息,实现对互联网生态的完善。但是必须要注意到,如果平台公开的是用户的IP地址而不仅限于属地信息,则极有可能落入个人信息保护法的规制范围内。因为完整的IP地址结合用户在平台上公布的其他信息,利用技术手段,能够识别到用户的具体所在地。这会导致存在识别出特定自然人的实质上的可能性,因而必须经过“告知”程序获得用户的同意方可进行,否则将侵犯用户的个人信息权益。
由于互联网平台往往掌握了用户的其他信息,当单独的IP地址与用户提供的姓名、手机号码、电子邮箱等其他信息相结合时,便具有了能够识别特定自然人的可能性,构成个人信息。平台必须要通过履行告知程序获得用户的同意方可使用IP地址。实际上,各大企业已经通过隐私政策、App弹窗等事先的告知设计来规避自身可能因IP地址使用引发的合规风险。
IP地址是互联网世界最基础的单位,具有可移动、可变化的特点。各国个人信息保护法均将“识别性”作为个人信息的核心要素,单独的IP地址信息不能识别特定自然人,但当单独的IP地址与平台获取的用户姓名、手机号码、电子邮箱等其他信息相结合时,便具有了能够识别特定自然人的可能性,进而构成个人信息。互联网平台公开用户IP地址属地信息显示的模糊城市信息无法单独识别特定自然人,亦无法结合用户在平台上展示的其他信息实现间接识别,故而不构成对用户个人信息权益的侵犯。互联网平台公开IP属地的举措,有利于治理网络空间中“伪现场”、造谣等乱象,完善网络生态,正本清源。根据国家互联网信息办公室发布的《互联网用户账号名称信息管理规定(征求意见稿)》,在该规定生效以后,互联网平台将有义务展示用户的IP属地信息,相信此举既能更好地保障公民、法人和其他组织的合法权益,也能维护良好网络生态,营造清朗网络空间。