前沿|程啸:平台公开IP地址属地信息于法无据

法学学术前沿 2022-05-12 08:52

The following article is from 何琛没有以 Author 程啸

何琛没有以 .

数据何规。


 • 前言 • 


以下内容为清华大学法学院教授程啸老师关于平台公开IP地址属地信息的问答。感谢程老师授权发布!





平台公开IP地址属地信息的问答


作者:程啸,清华大学法学院教授。
来源:全文转载自公众号“何琛没有以”

● 问题一

-问:IP属地是否属于个人信息?

-答:依据《个人信息保护法》第4条第1款的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。在我国,由于社交平台按照规定要采取实名制或进行实名认证。故此,对于社交平台而言,网络用户是已经识别的自然人,故此网络用户的IP地址以及IP地址属地信息也就都属于个人信息。

同时,依据《个人信息保护法》第4条第2款,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。网络服务提供者向外界公开网络用户的IP地址属地信息的行为,当然是个人信息的处理活动。因此,必须严格遵循《民法典》《个人信息保护法》等法律的规定。对于公开个人信息,我国《个人信息保护法》规定得非常严格,该法第25条规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”因此,只有取得信息主体即自然人的单独同意或者符合《个人信息保护法》第13条第1款第2-7项规定的情形,才可以公开个人信息。此外,IP地址属地信息还涉及到个人的行踪轨迹,因此也可能会构成敏感个人信息,《个人信息保护法》第二章第二节对敏感个人信息的处理作出更加严格的要求,例如,该法第28条第2款规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。第29条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

● 问题二

-问:平台作出公布IP地址属地信息的依据据说是2021年10月26日国家网信办发布的《互联网用户账号名称信息管理规定(征求意见稿)》,该意见稿规定,互联网用户账号服务平台应当以显著方式,在互联网用户账号信息页面展示账号IP地址属地信息。境内互联网用户账号IP地址属地信息需标注到省(区、市),境外账号IP地址属地信息需标注到国家(地区)。这个规定是否可以作为法律依据呢?

-答:姑且不说这个规章还只是征求意见稿,没有正式通过并生效。即便通过且生效了,从法律效力层级上说,只是属于部门规章,不符合《民法典》第1035条与《个人信息保护法》第13条第1款所限定的“法律、行政法规另有规定的”情形。

● 问题三

-问:有一种观点认为,虽然《互联网用户账号名称信息管理规定》不属于“法律、行政法规”,但是它对平台的要求属于平台应当履行的“法定职责或者法定义务”。故此,依据《个人信息保护法》第13条第1款第3项也可以公开IP地址属地信息。

-答:我认为,这个观点是完全错误的,也是有害的。首先,《个人信息保护法》第13条第1款第3项中的“法定职责或者法定义务”是有特定涵义的,所谓法定职责,包括法定职权和法定责任,是指立法机关、行政机关以及司法机关等公权力机关依据法律法规的规定而享有的职权以及必须履行的义务。社交平台显然不存在履行法定职责的问题。所谓法定义务,并非是指广义上的法律规定的任何义务,而应当做限缩解释,仅指法律、行政法规规定的必须履行的义务。例如,《反洗钱法》第3条、《反恐怖主义法》第20条、《网络安全法》第21条、《电子商务法》第27条所规定的义务。如果把法定义务胡乱解释为还包括部门规章规定的义务,显然是不正确的。一方面,《立法法》第80条第2款明确规定:“部门规章规定的事项应当属于执行法律或者国务院的行政法规、决定、命令的事项。没有法律或者国务院的行政法规、决定、命令的依据,部门规章不得设定减损公民、法人和其他组织权利或者增加其义务的规范,不得增加本部门的权力或者减少本部门的法定职责。”如果通过部门规章的规定,就可以认为平台履行法定义务而可以任意公开个人信息,那么这就属于部门规章设定了减损公民权利的规范,违反了《立法法》。另一方面,我国《民法典》第1035条第1项、《个人信息保护法》第13条第1款第7项都明确规定,只有法律和行政法规可以规定,无须自然人同意即可处理其个人信息,除此之外,地方性法规、部门规章和地方政府规章都不得作出这一规定。如果部门规章可以透过履行法定义务,而作为处理个人信息不需要个人同意的例外情形,那么就明显违反了《民法典》和《个人信息保护法》的规定!

● 问题四

-问:《民法典》第1036条规定了处理个人信息的三项免责事由,其中第(三)项为“为维护公共利益或者该自然人合法权益,合理实施的其他行为”。这是否能作为平台公开IP地址属地信息的依据呢?

-答:我认为,《民法典》的这一规定仅指,在特定、具体的某个活动中,为维护公共利益或自然人的合法权益而不经自然人同意所实施的个人信息处理行为,不能将其漫无边际地理解为普遍、一般性要求的法律依据。因此,如果没有取得用户的单独同意,也没有法律、行政法规规定的合法性根据,网络平台服务提供者就擅自公布用户的IP地址属地信息,这种个人信息处理活动是非法的,应当依法承担侵害个人信息权益的法律责任。

Image

学术 | 程啸:论我国个人信息保护法中的个人信息处理规则

前沿| 程啸:《民法典》网络侵权责任中的通知规则

Image

Posted on 北京