公有ip地址和私有ip地址的区别(IP属地)(1)

公有ip地址和私有ip地址的区别(IP属地)(2)

“人人都有麦克风”,这句话在数字化时代的互联网评论与内容发布活动中体现得淋漓尽致。而在虚拟的匿名化网络世界中,接踵而来的是“键盘侠”横行、“网络喷子”肆虐、网络暴力事件频发,让原本清朗的网络空间蒙上淡淡阴霾。

为应对此类不良网络行为,近两日,以“两微”为代表的各大网络平台(微博、微信、抖音、快手、知乎、今日头条、小红书等)陆续宣布全量上线用户IP属地展示功能。期望通过强制公开IP属地,让冒充热点事件当事人进行造谣传谣、带节奏、蹭热度的群体(尤其是一些别有用心的境外人士)无所遁形,成为不良网络行为的“照妖镜”。这意味着所有用户在每次评论/发布内容时,平台将根据当时的IP属地位置强制公开展示其IP属地信息(针对境内账号,仅展示省(自治区、直辖市);针对境外账号,仅展示国家(地区)),有的亦将在其公众账号个人主页一级页面予以展示,且各大网络平台均不支持用户主动开启或关闭。因功能波及全网用户的冲浪体验与个人合法权益的保护,瞬间引起全网热议。

公有ip地址和私有ip地址的区别(IP属地)(3)

为了维护网络空间的健康秩序,各大网络平台强制公开用户IP属地信息,虽“百尺竿头”,但在个人信息的保护与平台合规层面,能否更进一步?

本文将结合法律法规,对强制公开IP属地信息这一行为的合规性进行探讨,并对网络平台上线这项功能应履行的合规义务提出一些可借鉴的思考。

一、IP属地 ≠ IP地址

分析公开IP属地的合规问题,就无法回避IP属地信息是否构成个人信息?

首先,IP属地≠IP地址。后者是指在互联网中对各计算机等上网设备进行唯一标识的一串32位二进制数,指向具有唯一性,构成以电子或者其他方式记录的已识别或可识别自然人的信息,属于《民法典》《个人信息保护法》(下称“《个信法》”)定义的个人信息[1],也是《信息安全技术 个人信息安全规范》(GB/T 35273—2020)中明确正列举属于个人信息的“用户网络身份标识信息”。但,各大网络平台的公开的IP属地信息仅展示为省(自治区、直辖市)(针对境内账号)或国家(地区)(针对境外账号),比如上海、北京、江苏;美国、日本等。

单从境内账号展示的地域信息维度来看,省级地域内的用户数量庞大,难以直接通过该信息识别到或关联到特定的自然人,除非依赖其他已识别或可识别该特定自然人的个人信息(比如用户于该网络社交平台已经或拟自行公开的其他个人信息,如工作单位、工作经历、头像等)。此时,因各大网络平台自身软件功能不同,如是否支持用户任意查看功能(即不特定用户均可任意查看其他用户既往发布内容(可能包含个人信息),下称“任意查看功能”),其在公开IP属地上,对个人信息主体权益所产生的风险程度亦将天差地别。

有意思的是,根据某平台最新的《个人信息保护政策》,“单独的搜索关键字信息无法识别您的个人身份,其不属于您的个人信息,因此我们有权以其他的目的对其进行使用….”的认定逻辑(如下图)[2] ,单独的IP属地信息也不应被视为严格意义上的个人信息,体现了平台将结合其他信息可识别特定个人的间接识别性信息纳入非个人信息范畴,从而最大化信息利用的态度。

公有ip地址和私有ip地址的区别(IP属地)(4)

但需要特别指出的是,我国立法对于个人信息的界定采取“识别(从信息回溯到特定个人) 关联(从个人到信息)”模式。除了上文所提的“识别”中的间接识别(单独不足以识别,结合其他信息可识别特定自然人)情形外,针对“关联”,实践中亦存在模糊之处。“关联”,也就是说,若已知既定个人,知晓关于该特定个人的进一步信息也属于个人信息[3]。比如,A、B、C三项信息单独均不足以识别特定自然人,“A B”“A B C”均可识别特定自然人,C在识别性上可能没有任何贡献,C是否也属于个人信息范畴?按照“关联”的标准,基于“A B”已知既定的个人,则跟该个人相关的信息C也属于个人信息,亦应纳入《个信法》予以保护。不难发现,此种认定可能导致个人信息的外延不断扩大,不利于社会整体层面的信息利用与企业的创新发展,尚有待司法实践的检验。

由此可见,IP属地是否构成个人信息,需要结合具体场景,评估其对特定自然人的可识别性所起的作用程度;同时,亦有赖于实践对于“关联”个人信息认定边界的把握尺度。既然IP属地是否构成个人信息尚无定论,岂不是万事大吉?

非也!当我们透过“结果表象”深思“信息处理的本质”时,就会发现,网络平台何以能实现IP属地的强制公开?当然是来自于先获取IP地址,而后选择公开的属地范围,从而形成展示的IP属地信息(囿于篇幅,本文暂不对网络平台与运营商之间的IP地址信息处理及其主体定位进行区分),此IP地址的收集、传输与加工等环节均属于应受《个信法》规制的个人信息处理行为。

二、合法性基础分析

既然属于个人信息的处理行为,就须具备《个信法》规定的处理个人信息的合法性基础。在明确列明的七项可处理个人信息的情形(详见下图)之中:

公有ip地址和私有ip地址的区别(IP属地)(5)

首先,出于维护网络空间秩序的目的,而于用户每次评论/发布内容时收集处理其IP地址,非网络平台现行《隐私政策》中已披露并获得用户同意的事项,可以排除“(一)取得个人的同意”,亦不符合(二)、(四)、(六)三种情形;

其次,撇开兜底条款(法律、行政法规规定的其他情形,需要特别注意的是,此项法规的效力级别应的是法律、行政法规,不包含地方性法规、部门规章等规范性文件),针对剩余两种情形,我们逐一来看:

其一,“(三)为履行法定职责或者法定义务所必需”。目前与公开IP属地相关的法规为国家互联网信息办公室于2021年10月26日征求意见的《互联网用户账号名称信息管理规定(征求意见稿)》第十二条规定,“互联网用户账号服务平台应当以显著方式,在互联网用户账号信息页面展示账号IP地址属地信息。境内互联网用户账号IP地址属地信息需标注到省(区、市),境外账号IP地址属地信息需标注到国家(地区)”。但该文件目前尚未发布,无法构成合法性基础。

其二,“(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”。该项“为公共利益”“实施舆论监督”与本文所讨论的场景相关,但关键点在于“合理范围”。如何确定合理范围?例如:

Q:针对时事热点敏感事件的评论与日常社交分享相关的动态评论/内容发布,采用同样的显示用户的IP属地信息方式予以监督是合理范围么?

A:NO,毕竟后者并不广泛涉及舆论监管与社会公共利益。

Q:针对不满14周岁的未成年人用户与已满14周岁的用户的同一类型评论/内容发布,采用同样方式予以监督是合理范围么?

A:NO,毕竟前者的个人信息处理属于敏感个人信息的处理行为,应履行更高的法定及注意义务。

Q:支持用户任意查看功能的平台与不支持任意查看功能的平台,采用同样方式予以监督是合理范围么?

A:NO,前者平台用户基于既往对平台的使用可能已公开大量信息(可能含个人信息),再行强制公开其IP属地,该被动行为增加了其总体公开信息的范围,相对后者平台,对该个人权益造成不利影响的可能性更高。

整体来说,网络平台公开IP属地一定程度上具有可“依靠”的法律依据,但仍有完善空间——即需要个性化评估合理范围,否则若涉嫌违法违规处理个人信息,将面临承担行政责任和/或民事责任的风险(参见我们撰写的相关文章《平台“流水”=营业额?5%的罚款在“窥视”》)。

三、完善合规之法

若各大网络平台在解答互联网监管这一棘手难题时,已在个人信息主体权益与网络环境健康秩序等价值的权衡下,瞄准IP属地信息的强制公开,那么希望平台能够“自省其身”,从下述几个方面出发进一步保护个人信息主体的合法权益:

其一,谨守公开、透明原则。作为IP地址信息处理的个人信息处理者,平台应当就此次全网上线的IP属地功能中涉及的个人信息处理,公开处理的规则、目的、方式和范围(包含处理的频率);

其二,构建“自证清白”体系。《个信法》确立了个人信息处理侵权纠纷的举证责任倒置原则[4]。这就倒逼平台来留存对应能证明自身没有过错的证据,我们根据既往的个人信息保护合规的项目经验,提炼总结出“MACTOP”合规“武器”,帮助平台进行“自证清白”(参见我们撰写的相关文章《个人数据“丢失”,平台如何“自证清白”》)。其中,建议重点关注A(Assessment),通过个人信息保护影响评估,探寻契合自身平台功能(是否支持任意查看功能等),并针对不同场景(时事热点敏感事件的评论,还是其他日常社交分享相关的动态评论/内容发布)、不同用户(用户是否满十四周岁)予以区分的IP属地信息功能,探讨设置更具“温度”的公开方式,如评估现有频率是否符合最小必要原则;区分无须强制公开的场景类型;仅强制公开是否属于所涉热点事件发生地区而非精准属地(如针对上海疫情,IP属地上海者公开为热点区域,其他则公开为非热点区域);仅强制公开更宽泛的地域(如华东地区)等,并记录留痕。

其三,畅通意见反馈机制。避免形式化通道,切实安排客服接听相关热线或查看相关邮件,实时整理用户意见并予以反馈或调整自身功能。

总体而言,虽然针对IP属地信息类在不同场景下可能具有或多或少“间接识别性”的信息与“非个人信息”的明确边界仍有待司法实践检验,但我们相信通过上述合规建设,能帮助近期因IP属地强制公开而纷纷深陷网民权益声讨舆论的网络平台,“百尺竿头,更进一步”,摸索出一条契合清朗网络空间营造、个人权益保护以及平台自身合规的“康庄大道”!

参考文献:

[1]《民法典》第一千零三十四条第二款规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法》第四条第一款规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

[2]https://m.weibo.cn/c/privacy/detail,2022年5月3日第一次访问。

[3]张新宝,《<中华人民共和国个人信息保护法>释义》[M]. 北京:人民出版社,2021年:39-42

[4]《个人信息保护法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

本文作者:

公有ip地址和私有ip地址的区别(IP属地)(6)

高亚平,德恒上海税法业务中心负责人之一,德恒上海办公室合伙人;深耕新经济领域法律服务,涵盖数据合规、流量合规、个人信息保护、各新业态业务合规相关细分领域。担任多家头部新经济平台法律顾问,擅长综合数据处理中各利益相关方商业诉求构建平台合规模型。

公有ip地址和私有ip地址的区别(IP属地)(7)

周梦,德恒上海办公室律师,专注于电商平台、灵活用工平台等新经济平台合规运营及税务筹划、投融资相关法律服务,曾为多家社交电商平台提供企业合规风控、股权架构设计与投融资等相关法律服务。

声明:

本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。

,