公开IP属地的隐私与个人信息法律分析

上海法治报 2022年05月27日

杨鸿

4月28日,微博管理员发布“IP属地功能升级公告”,实施了在发评环节和个人主页展示IP属地的新功能。此后,今日头条、抖音、小红书等重要互联网平台也都上线类似功能。

值得一提的是,2021年10月,网信办发布《互联网用户账号名称信息管理规定(征求意见稿)》  (以下简称《账号信息规定》),其第12条明确要求互联网平台应以显著方式在用户账号信息页面展示IP地址属地信息。境内账号IP属地信息需标注到省(区、市),境外则需标注到国家(地区)。目前,该规定尚未生效。新功能上线后引发巨大反响乃至争论,问题焦点实际涉及隐私与个人信息保护这一前沿法律部门的规则适用,只有通过相关法律分析才可更准确判断这一新功能究竟是否侵权。以下以最早上线该功能的微博为例对其分析。

事件中关键法律概念的区分

1.IP地址与IP属地。IP地址是纯技术概念,它通过IP协议为互联网上每一个网络和主机分配一个统一格式的逻辑地址,通过这个唯一地址,保证用户计算机在联网时得以被准确识别。与之不同,IP属地是指IP地址对应的行政区划,其具体区划的层级范围在不同背景下可能有所不同。据微博公告,IP属地的显示规则是:国内显示到省份/地区,国外显示到国家。可见,新功能涉及的是IP属地而非IP地址,且IP属地在地理范围上远大于IP地址。

2.公开行为与其他行为。互联网服务商对个人信息的处理行为纷繁复杂,根据相关法律包括收集、存储、加工、公开等多种类型。在服务商的隐私政策等文件中,也会针对各类个人信息及其不同处理方式做出分别而具体的规定。该事件中,对IP属地的行为种类至关重要,关键点是对属地的“公开”这一行为。基于同城服务等功能,微博早就在《个人信息收集清单》中申请了对位置、IP地址的收集使用等权限,但此类行为仍属为提供服务而非公开进行,且用户可选择关闭掉对足够具体的位置等信息的授权。而此次引起争议的一大原因,正是由于对IP属地信息并非内部使用而是予以公开,且用户不可选择是否开放该功能。

在对关键法律概念及相关事实区分后,新功能引发的争议点就可进一步在法律意义上明确:对范围为省或国家一级的用户IP属地信息,服务商未经用户同意而为公共利益目的自主公开,且用户无法选择关闭,此类行为是否侵犯隐私权或个人信息权益?

隐私权视角下侵权可能性极小

根据《民法典》,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。就IP地址而言,由于其实质的技术目的及技术考虑下随机分配的属性,若要将其认定为隐私都可能存在争议。而新功能涉及的IP属地为省级(境外为国家),范围上比IP地址大出数个层级,在使用互联网传播服务且前台可非实名的条件下,一个人所处的国家或在国内的省份,都难以解释为是涉及私人生活安宁或有必要保密的私密信息。结合举重以明轻的法解释原则,IP属地被认定为隐私缺乏依据,可能性极小。

基于个人信息保护视角的分析

1.IP属地是否属于个人信息?《信息安全技术——个人信息安全规范》附录中明确将IP地址界定为“个人信息”,而并未提及IP属地。但该列举是非穷尽的。根据《民法典》,个人信息是能单独或与其他信息结合而识别自然人的各种信息。理论上说,自然人的任何属地信息都可归于个人信息范畴。当然,若属地范围层级较大且前台非实名,则其识别自然人的实际意义可能很弱,但从严格保护个人信息角度而言,IP属地信息应可归入个人信息。

2.服务商对IP归属地的公开行为如何判定?作为前提,需梳理《民法典》与《个人信息保护法》  (“个保法”)对个人信息处理规定的整套制度。据《个保法》规定,处理个人信息应遵循合法、正当、必要和诚信原则;处理行为原则上应取得个人同意,除非该法或其他法律、行政法规另行规定。该法中与微博新功能相关的“同意例外”主要是两类:“履行法定职责或者法定义务所必需”及“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理”。此外,  《民法典》还规定了一个更宽泛的例外,为维护公共利益,个人信息处理人不经同意而合理实施行为可不承担民事责任。  《个保法》则对“公开”行为做了特别强调,提出“个人单独同意”的更高要求。

可见,相关法律形成了三层结构的递进要求:其一,要公开IP属地,原则上应取得“单独同意”;其二,若无同意,应符合前述三种例外情形;其三,无论哪类情形,都应符合“合法、正当、必要和诚信”的总原则。

结合微博新功能的事实背景来看:首先,此次新功能并非基于同意。目前微博的《个人信息收集清单》等文件中并未对IP属地征求单独同意。其次,从不需同意的例外情形看,《账号信息规定》生效后,可作为“法定义务”直接为相关行为提供合法性依据。但在其尚未生效时,则需回到舆论监督情形及前述《民法典》中的公共利益例外。两类例外都施加了范围或实施要“合理”的重要条件。最后,“合法、正当、必要和诚信”是一以贯之的总原则,尤其是“必要”和“诚信”,对非经同意而处理个人信息的限度提出了要求。

综上,尽管目前微博等平台新功能不经用户同意而直接公布属地,但在隐私权上通常难以被认定为侵权。在个人信息权益方面,若《账号信息规定》生效,则可提供较明确的法规依据。而在其尚未生效的过渡期间,基于前述宽泛的例外规定,仍可倾向于支持相关行为总体上的合法性,但平台也应注意确保具体实施方式妥当。因此,相关平台也可完善一些具体措施,如明示新功能的法律依据与对应目的、在隐私政策等文件中事先规定这种特殊公开的具体方式、权益侵害救济等方面的处理规则,并做出平台不会对其滥用的保证等。

(作者系同济大学上海国际知识产权学院副教授,同济大学中欧创新政策与法律研究中心副主任)

SourcePh" style="display:none">