查看原文
其他

IP地址是否属于个人信息?

马宝蓉 网络法实务圈 2022-12-15
文 | 马宝蓉 百度公司高级法律顾问

我国《民法典》对个人信息权益的确立,以及《个人信息保护法》对个人信息的全面保护,必将给个人信息相关的法律适用带来巨大增量和变量。个人信息的范围就像是某种权利束,每增减一项都可能产生重大影响。

IP地址作为互联网络协议的重要组成部分[1],在互联网世界是不可或缺的存在。在个人信息保护越来越受关注的当下,基于IP地址的扩展应用也引发了一些担忧。而关于IP地址是否属于个人信息,纵观国内外司法实践,并未形成一致意见。随着《个人信息保护法》的实施,“个人信息”有了法律概念上的统一,但关于IP地址是否属于个人信息仍需回归个案分析,在实践中做出认定与平衡。

一、IP地址的概念及作用

IP地址(Internet Protocol Address)是指互联网协议地址,又译为网际协议地址。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址。通俗来讲,IP地址是为了区分互联网上数以亿计的设备而给每个设备分配的一个标识,以识别该设备在网络中的位置,如果没有IP地址,我们将无法知道哪个设备是发送方,无法知道哪个是接收方。


IP地址由“网络部分和主机部分”两部分构成。网络位是指该地址所处的网络能划分几个网段,主机位则是指每个网段容纳多少台电脑。从IP地址构成来看,其中并不包含指向物理性“地理位置”的字符。但其实由于IP是由IP地址分配机构(常见是基础电信运营商)分配,因此同一物理区域下的用户在部分IP号段上是一致的。IP一般可以定位到城市、区县级别。比如在谷歌广告中,谷歌就阐明Ad manager会根据用户的IP地址来定位,可定位的地理区域包括城市、国家地区、县/郡等。[2]

除此之外,以IP地址的分配方式划分,IP地址可以分为固定IP地址(也称静态IP地址)和动态IP地址。固定 IP 地址是长期固定分配给一台计算机(或路由器)使用的 IP 地址,一般是特殊的服务器才拥有固定 IP 地址。动态IP地址是因为随着上网设备不断激增,IP地址资源非常短缺,通过电话拨号上网或普通宽带上网用户一般不具备固定IP地址,而是被动态分配给暂时的一个IP地址。一般民用IP基本是使用动态IP,也就是说同一IP并不必然与一台设备绑定。有时候,互联网服务提供商会将同一个 IP 地址分配给大量计算机,因而可能出现多台计算机使用相同 IP 地址的情况。

如上所述,IP地址的分配特性让其除了原始功能之外,还衍生出了又一重要功能——位置识别。谈到基于IP地址的位置识别,就不得不引出移动互联网应用APP获取用户地理位置的另一个功能——“系统权限”。

IP地址是用户实现上网所必须的字段,网络服务商可以基于IP地址定位到用户的大概位置,但这个定位是非常模糊、不精确的,最多到城市、区/县级别。但APP的“地理位置”权限是移动智能终端操作系统(Android,ios等)向APP开放的、对移动智能终端资源的访问许可。通俗来讲就是系统将地理位置作为一项可以开放申请的权限许可给APP开发者,APP开发者可以向系统申请,系统则会向用户提供授权弹窗,当用户授权同意后,APP开发者即可通过系统获取到该用户当前所在的地理位置。系统提供的地理位置定位一般通过GPS、WIFI、基站等方式获取,精准度可缩小到几米以内。[3]

实际上,厘清这两种获取地理位置方式的不同,就能解释部分APP用户的疑惑,“为什么明明我关闭了手机的地理位置授权,APP还是能知道我在哪个城市呢。”

二、IP地址在实践中的应用及由此引发的问题

基于IP地址获取地理位置在互联网中有广泛的服务场景,最具代表性的是广告投放。中国广告协会就曾指出,IP地理信息是数字经济中重要的生产力要素之一,也是互联网广告生态运行的重要基础数据。[4]基于城市的地域定向广告是互联网精准服务的重要内容,在广告投放中匹配潜在客户的城市位置,这一方面有助于广告主更加高效、便捷地触达目标消费者,另一方面也帮助网络用户更容易获取到更感兴趣、相关度更强的内容和服务。[5]

除此之外,在搜索、信息流、点评团购等服务场景下,IP地址也有非常广泛的应用,本质上都是网络运营者结合用户所属城市位置来提供更具相关性的商品或服务。

由于IP地址是用户实现上网必然携带的参数,这就意味着在技术实现上网络运营者可以无需额外操作成本,即可直接获取到用户上网的IP地址(对比:通过系统权限获取的地理位置需要用户弹窗授权)。但IP地址的扩展使用虽然便利了互联网服务商运营,但也引发了用户的担忧,甚至造成用户“被跟踪”的疑虑。

而要解决上述问题,则需要认定,IP地址是否构成法律意义上的个人信息,用户对IP地址是否享有基于个人信息的权利。

三、国内外司法实践关于IP地址是否属于个人信息的认定

IP地址是否属于个人信息,在国内外的司法实践中已有一些认定。

在2012年欧盟法院的Patrick Breyer 与Federal Republic of Germany 案件中,[6]Patrick Breyer起诉Federal Republic of Germany认为在其访问了德国联邦机构提供的网站后,该机构存储了其访问网络的IP地址。欧盟上诉法院审理认为,IP地址不是个人数据,因IP地址本身没有办法识别用户。数据是否可归类为“个人数据”取决于其是否可以识别特定用户。但在本案中,由于Breyer访问网站服务中披露了个人身份信息,则IP地址、访问网站日期构成个人数据,因为网站运营者可以通过这些信息识别到该用户。

在北京互联网法院审理的凌某某起诉抖音APP侵害个人信息权益案件中,[7]凌某某认为抖音APP在其不知情的情况下收集、使用所在城市位置信息,构成对其个人信息的侵害。抖音答辩称并未侵害凌某某基于“位置信息”主张的个人信息权益,理由为抖音是通过原告IP地址获得的不能识别个人身份的城市级别的模糊位置信息,不能与特定人相关联,不满足个人信息要件。在本案中,北京互联网法院的法官对IP地址是否构成个人信息采取的是“组合识别”的认定方式,法院认为考虑信息是否属于个人信息不应割裂地单独判断,而应结合具体场景以信息处理者处理的“相关信息组合”进行判断。法院审理认为,抖音已经收集了用户的手机号码,因手机号码具有可识别性,在收集了手机号码的情况下,地理位置与手机号码组合能够识别到特定人,因而属于个人信息。

2013年美国联邦贸易委员会修订的《儿童在线隐私保护法案》(COOPA)合规指南中指出,根据COOPA,以下各项均被视为“个人信息”,包括“可永久性并跨不同网站识别某一用户的永久性标识符,如IP地址……等。”[8]

2019年美国《加州消费者隐私法案》(CCPA)中有关个人信息的定义,在“身份标识”中列举了“IP地址”。但实际上该法案制定的过程中一直存在较大争议。据了解,加州总检察长曾发表过修改意见,认为“企业收集但未链接到并且无法将该IP地址与特定消费者或家庭链接的IP地址不属于个人信息”,不过该观点在后续的草案修改中未被纳入法案解释中。

在2020年New York Times v. Federal Communications Commission案中,纽约时报起诉联邦贸易委员会(FCC),认为在修订《开放互联网规则》征求意见的过程中,FCC官方网站存在超过200万评论,这其中包含大量虚假评论,企图误导干扰真实评论用户。纽约时报申请服务器日志中披露评论用户的IP地址和“The User-Agent headers”,后者是有关用户设备信息的标识,如操作系统、操作系统版本、浏览器版本、浏览器平台和语言设置,有助于区分共享相同 IP 地址的不同用户。FCC对此表示拒绝,认为根据《信息自由法》(Freedom of Information Act,FOIA)第六条规定,披露该种信息构成对用户个人隐私的侵犯,属于法律规定的豁免情形。在本案中,法院经过个人利益与公共利益的利益平衡分析,基于公众对联邦机构的监督,批准了原告的动议。在从个人实质隐私利益层面分析时,法院认为有一种有力论据是,这些数据可以和其他可用信息结合起来,创建详细私密的个人资料,即使 IP 地址和其他特定于设备的信息本身不会透露一个人的身份或任何其他识别信息,但它们可用于帮助拼凑其他信息并将其与特定人相关联。但这种披露损害重大隐私利益的证明应由FCC来举证。[9]

就国内外的立法及司法实践来看,各方已经开始逐渐认识到IP地址在数字化服务中的巨大应用场景,但IP地址是否属于个人信息仍然是一个存在较大争议的问题。CCPA虽然规定了IP地址属于个人信息,但由于取消了个人信息是否包括企业无法连接到特定消费者或个人的解释,这也给企业合规带来了巨大的不确定性,有待于后续的监管或者司法实践予以进一步明确。

四、IP地址是否属于个人信息的作者观点

笔者认为,IP地址本身并不构成个人信息。如前所述,IP地址从 “可识别”上并不具有识别性,运营商分配给用户的IP可能是动态的、共享的IP,每一个IP背后对应着成千上万的个人,是一个群体标识,而非个体标识。而且,IP地址本身的存在并不具有指向或者关联个人的天然目的,且基于网络连接的技术原理,网络服务商不可避免将要收集传输IP地址,这种基于网络连接服务的参数携带,显然不应认定为同时是对个人信息的收集。

但当企业将IP地址与自然人个人身份做结合,且应用于网络链接技术无关的场景,考虑到与已识别的自然人关联,对IP地址的处理活动很可能被认定为落入《个人信息保护法》规定的个人信息处理活动中。因此,对IP地址的处理活动仍然需要放到具体个案场景中,通过充分的还原使用场景、目的和方式,才能判断其是否有和其他信息关联构成个人信息的可能,且这种判断应该是一种“实质上的或者合理推断的可能”,而不是“设想的可能”。

可以说,这仍然是一个极具争议的领域,不过我们观察到,比起激烈的理论争辩,企业已经考虑先行通过一种事先的告知设计来规避自身可能因IP地址使用引发的合规风险,比如抖音、淘宝、美团、百度等国内企业,均已经完善关于IP地址处理使用的告知,包括以隐私政策、APP隐私弹窗等不同方式告知用户。有趣的是,在谷歌产品服务中,虽然谷歌也详尽告知了其基于IP地址位置提供的搜索服务,但根据 Google 所作的阐释,个人身份信息不包括IP 地址。对比之下,国内的企业则巧妙回避了这个问题。

  1. 参见中国互联网络信息中心《中国互联网络发展状况统计报告》(2008),http://www.cac.gov.cn/files/pdf/hlwtjbg/hlwlfzzkdctjbg022.pdf,最后访问时间2022年1月9日。↑

  2. 参见https://support.google.com/admanager/answer/2884033?hl=zh-Hans&ref_topic=9641471,最后访问日期为2022年1月9日。↑

  3. 参见 https://lbsyun.baidu.com/products/location,最后访问时间2022年1月9日。↑

  4. 参见中国互联网协会互联网广告数据服务平台网站,网址http://www.china-caa.org/digital/givt/ipdetail,最后访问日期为2022年1月12日。↑

  5. 作者注:互联网定向投放的广告主并不能直接获取到用户信息,广告主通过广告平台只能看到 “北京市”“上海市”,既不可获取用户原始信息,也不可识别用户。如百青藤、广点通、穿山甲等主流广告平台都是采取这种方式为广告主提供广告投放服务。↑

  6. 参见https://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=EN,最后访问日期为2022年1月12日。↑

  7. 参见北京互联网法院(2019)京0491民初6694号民事判决书。↑

  8. 参见吴沈括、张力威,美国联邦贸易委员会儿童在线隐私保护法案(COPPA)合规指南中译本,可参见https://mp.weixin.qq.com/s/179hrpuQOW7R9fgGlc5msw,最后访问日期为2022年1月12日。↑

  9. 参见https://law.justia.com/cases/federal/district-courts/new-york/nysdce/1:2018cv08607/501225/33/,最后访问日期为2022年1月12日。↑


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存