新经济与法|IP属地不等于IP地址,个人信息保护边界在哪

互联网监管充满了矛盾,如何有效监管,又不至于“牺牲”个人权益,成为让各大互联网平台左右为难的棘手问题。
近日,以“两微”为代表的各大网络平台(微博、微信、抖音、快手、知乎、今日头条、小红书等)陆续宣布全量上线用户IP属地展示功能。意味着用户在每次评论/发布内容时,平台将根据当时的IP属地位置强制公开展示其IP属地,其公众账号个人主页一级页面亦将展示IP属地,且均不支持用户主动开启或关闭。因功能波及全网用户的冲浪体验与个人合法权益的保护,瞬间引起全网热议。从上述各大平台的公告可以看出,其展示IP属地的初衷在于打击仿冒搬运、恶意造谣、蹭流量等不良行为,期望通过强制公开IP属地,让冒充热点事件当事人进行造谣传谣、带节奏、蹭热度的群体(尤其是一些别有用心的境外人士)无所遁形。
那么问题来了,为了维护网络空间的秩序,网络平台就可以强制公开用户IP属地信息吗?网络平台争相上线这项功能,合规层面是否已真的做到万无一失?
一、IP属地 ≠ IP地址
要想分析公开IP属地是否合规,就无法回避IP属地信息是否构成个人信息?
首先,IP属地≠IP地址。后者是指在互联网中对各计算机等上网设备进行唯一标识的一串32位二进制数,指向具有唯一性,构成以电子或者其他方式记录的已识别或可识别自然人的信息,属于《个人信息保护法》(下称“《个信法》”)定义的个人信息,也是《信息安全技术个人信息安全规范》(GB/T 35273—2020)中明确列举属于个人信息的“用户网络身份标识信息”。但各大网络平台公开的IP属地信息仅展示为省(自治区、直辖市)(针对境内账号)或国家(地区)(针对境外账号),比如上海、北京、江苏;美国、日本等。
单从境内账号展示的地域信息维度来看,某一省级地域内的用户数量庞大,难以直接通过该信息识别到或关联到特定的自然人,除非依赖其他已识别或可识别该特定自然人的个人信息(比如用户于该网络社交平台自行公开的其他个人信息,如工作单位、工作经历、头像等)。而根据某平台最新的《个人信息保护政策》(如下图)的认定逻辑,单独的IP属地信息也不应被视为严格意义上的个人信息,体现了平台将结合其他信息可识别特定个人的间接识别性信息纳入非个人信息范畴的态度,一定程度上,这确实也符合对个人信息流通与使用的经济效益。但需要特别指出的是,中国立法对于个人信息的界定采取“识别”(从信息回溯到特定个人)+关联(从个人到信息)模式。而“识别”中间接识别(单独不足以识别,结合其他信息可识别特定自然人)以及如何评估该“信息集”中各项信息对可识别性的影响,尚未有进一步可实操的明确规定;同时,针对“关联”,也就是说,若已知既定个人,知晓关于该特定个人的进一步信息也属于个人信息。但此种认定有可能导致个人信息的外延不断扩大,将不利于社会整体层面的信息利用与企业的创新发展,有待司法实践的检验。
读到此处,肯定有人说,既然IP属地信息是否绝对构成个人信息,尚无定论,岂不是万事大吉?
当我们透过“结果表象”深思“信息处理的本质”时,就会发现,网络平台何以能实现IP属地的公开?当然是来自于先获取IP地址,而后选择公开的属地范围,从而形成展示的IP属地信息(囿于篇幅,本文暂不对网络平台与运营商之间的IP地址信息处理及其主体定位进行区分),此IP地址的收集、传输与加工等环节均属于应受《个信法》规制的个人信息处理行为。
二、合规争议之处
既然属于个人信息的处理行为,就须具备《个信法》规定的处理个人信息的合法性基础。在列明的七项可处理个人信息的情形(详见下图)之中:首先,出于维护网络空间秩序的目的,而于用户每次评论/发布内容时收集处理其IP地址,非网络平台现行《隐私政策》中已披露并获得用户同意的事项,可以排除“(一)取得个人的同意”,亦不符合(二)、(四)、(六)三种情形;
其次,撇开兜底条款(法律、行政法规规定的其他情形,需要特别注意的是,此项法规的效力级别应的是法律、行政法规,不包含地方性法规、部门规章等规范性文件),针对剩余两种情形,我们逐一来看:
其一,“(三)为履行法定职责或者法定义务所必需”。目前与公开IP属地相关的法规为国家互联网信息办公室于2021年10月26日征求意见的《互联网用户账号名称信息管理规定(征求意见稿)》第十二条的规定(详见下图),但该文件目前尚未发布,无法构成合法性基础。其二,“(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息“。该项“为公共利益”“实施舆论监督”与本文所讨论的场景相关,但关键点在于“合理范围”。如何确定合理范围?例如:
第一,针对时事热点敏感事件的评论与日常社交分享相关的动态评论/内容发布,采用同样的显示用户的IP属地信息方式予以监督是合理范围吗?
NO,毕竟后者并不广泛涉及舆论监管与社会公共利益。
第二,针对不满14周岁的未成年人用户与已满14周岁的用户的同一类型评论/内容发布,采用同样方式予以监督是合理范围吗?
NO,毕竟前者的个人信息处理属于敏感个人信息的处理行为,应履行更高的法定及注意义务。
第三,支持用户任意查看功能(即不特定用户均可任意查看其他用户的既往发布内容)的平台与不支持任意查看功能的平台,采用同样方式予以监督是合理范围吗?
NO,前者平台用户基于既往对平台的使用可能已公开大量信息(可能含个人信息),再行强制公开其IP属地,该被动行为增加了其总体公开信息的范围,相对后者平台,对该个人权益造成不利影响的可能性更高。
整体来说,网络平台为维护清朗网络空间向前迈了一小步,但这一小步仍有很大的完善空间——即需要个性化评估合理范围,否则在《互联网用户账号名称信息管理规定(征求意见稿)》尚未生效,缺乏处理个人信息的合法性依据的情况下,涉嫌违规处理个人信息从而承担行政责任和/或民事责任的风险。 
三、完善合规之路
若各大网络平台在解答文首的棘手难题时,已在个人信息主体权益的保护与网络环境健康稳定等价值的权衡下,瞄准IP属地信息的强制公开,那么希望平台能够“自省其身”,从下述几个方面出发进一步保护个人信息主体的合法权益:
其一,谨守公开、透明原则。作为IP地址信息处理的个人信息处理者,平台应当就此次全网上线的IP属地功能中涉及的个人信息处理,公开处理的规则、目的、方式和范围(包含处理的频率)。
其二,构建“自证清白”体系。《个信法》确立了个人信息处理侵权纠纷的举证责任倒置原则。这就倒逼平台来留存对应能证明自身没有过错的证据,我们根据既往的个人信息保护合规的项目经验,提炼总结出“MACTOP”合规“武器”,帮助平台进行“自证清白”,其中,建议重点关注A(Assessment),通过个人信息保护影响评估,探寻契合自身平台功能(是否支持任意查看功能等),并针对不同场景(时事热点敏感事件的评论,还是其他日常社交分享相关的动态评论/内容发布)、不同用户(用户是否满十四周岁)予以区分的IP属地信息功能,探讨设置更具“温度”的公开方式,如区分无须强制公开的场景类型;仅强制公开是否属于所涉热点事件发生地区(如针对上海疫情,IP属地上海者公开为热点区域,其他则公开为非热点区域);仅强制公开更宽泛的地域(如华东地区)等,并记录留痕。
其三,畅通意见反馈机制。避免形式化通道,切实安排客服接听相关热线或查看相关邮件,实时整理用户意见并予以反馈或调整自身功能。
总体而言,虽然针对IP属地信息类在不同场景下可能具有或多或少“间接识别性”的信息与“非个人信息”的明确边界仍有待司法实践检验,但我们相信通过上述合规建设,能帮助近期因IP属地信息强制公开而纷纷深陷网民权益声讨舆论的网络平台摸索出一条契合清朗网络空间营造、个人权益保护以及平台自身合规的“康庄大道”,谨守合规边界。

骚鸭资讯全部来源于网络,请注意识别,谨防上当受骗。


骚鸭AV,关注天下事(saoyaav.com)