大家也看到了,微博、微信留言直接显示IP属地了,法商学院经左晓栋教授授权,特发表如下文章,供各位讨论交流。
微博、微信公布用户IP属地之我见
左晓栋 中国科学技术大学教授
最近,新浪微博、微信开始试点显示用户的IP地址,引起了社会热议。IP地址是否属于个人信息?公布IP属地是否合法?是否会导致地域攻击、观念对立、人身安全受到威胁等后果?
本人认为,这些问题,涉及到对几个重大观点的讨论。
一是IP 地址是否属于个人信息。这个问题一开始是有争议的,因为IP地址可以假冒,而且那一串数字未必有清晰含义。但这其中涉及到一个对个人信息中“追溯个人”的理解问题。要意识到,一条信息是否属于个人信息、是否能够追溯到个人,除了常规理解外,其标准还与两种条件有关:一是能力条件,即相关人员掌握着多少资源与能力;二是时间条件,即当前可能难以追溯到个人,但技术进步了,或者今后有新的信息积累了,就能够实现追溯。从这个角度看,IP地址不但属于个人信息,而且属于敏感个人信息。例如,普通人看到了IP地址信息,可能无所谓。但在电信运营商那里,由于其拥有技术条件,IP地址便与个人实际所处的物理位置没有本质区别,那当然是很敏感的个人信息。因此,在后来,人们逐步接受了这个观念,即IP 地址属于个人信息。
二是在个人信息保护中,个人权益和非个人权益的平衡问题。一般情况下,这是不存在问题的。但在特殊情况下,有的时候需要对个人信息保护设置例外条件,一般都是为了维护国家安全和公共利益,或落实法律法规或国家规定。前不久,中央网信办起草了《互联网用户账号名称信息管理规定(征求意见稿)》,要求服务提供商显示用户IP属地,虽然这个文件属于征求意见稿,在文件印发后,微博、微信有充足的依据这样做。在文件实施前,由于这是可见的、确定性政策,故微博、微信先做试点,也是可以的。
如果不考虑网信办文件的因素(假如没有这个文件的话),那么在更广泛的意义下,怎么看待微博、微信的这个举措呢?当前,越来越多的情况是,企业为了风控、保护网络安全、改善产品质量、提升用户体验等原因也要收集使用用户个人信息。在这类情况中,并不是直接为了用户自身的权益,不是为了给用户提供服务。那允许仅以这种目的收集个人信息吗?目前的政策趋势中,已经形成了这样的认识:不得仅以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;但出于风控原因等,其实可以要求索取用户个人信息。于是问题回到了IP 属地的问题上。这个问题的实质是两个:公布IP 属地是不是为了用户自身之外其他主体的利益?是哪种利益(上面已经说了,立法中对不同的利益也有不同的处理方式)?即使公布IP属性有合理性,那么是否最大程度的保护了用户的个人信息?说到底,这是个平衡的问题,并不是非黑即白。从这个案例看,公布IP属地有防范诈骗(例如境外犯罪分子伪装公检法机关与用户联络)、便于用户识别虚假信息(例如境内用户伪装境外人士或境外人士冒充境内用户发表言论)等合理需求,可以说有公共利益的考量,也有企业的风控考量,这是可以的。但前面说了,IP地址是敏感个人信息,肯定不能直接公开。但在这个案例中,只显示属地,而不是详细的IP地址,在肯定其公共利益和风控取向的前提下,这种处理也是适当的。
当然,属地详细到什么程度?这个要考量颗粒度是不是对于公共利益和风控已经足够了,不能过细,不是说只要有公共利益等目的就可以为所欲为。这确实会导致地域攻击、观念对立等问题,这又是一种权衡,事物总有两面性,要看谁为主谁为辅,看是利大于弊还是弊大于利。目前看,是利大于弊。
三是怎么看待选择权的问题。《个人信息保护法》等赋予了个人选择权。原则上,为了公共利益,可以对选择权例外,即用户不得选择。但在这个案例中,如果不是因为《互联网用户账号名称信息管理规定(征求意见稿)》,那么风控的考虑还是大于公共利益的考虑,不能一个企业你说是公共利益就是公共利益了。因此,如果没有文件规定,确实应该给用户自主选择是否公开IP属地的权利。但如果法律法规另有规定的,则从其规定。根据《互联网用户账号名称信息管理规定(征求意见稿)》,公开IP属地是强制要求,那用户的确也没有选择权。
对左教授的文章如有意见,可在后台留言讨论。
阅读原文👇加入法商学院!