上一期推送《“公开IP属地”与个人信息(全面回答你的疑问)》发了之后,可能是成功蹭到了热点,阅读量和关注量蹭蹭蹭地往上涨。之后也在何琛兄的引荐下,进入了一个神秘的“法师”组织,姿势水平大有长进。
恰逢微博和微信等众多平台正式上线了IP属地的公开功能,再次引爆了舆论话题。于是,最近许多朋友们跑来问我“好人,好人,你上期说向各家大厂的个人信息保护部门请教,有没有什么回复呀!”
大厂和监管部门的回复陆陆续续都收到了,之所以,没有赶趟着急更新出来,主要原因是后续的发展有些超出了我的预期。在我以为事情的热度会迅速降温之时,不少知名学者和律师下场发表意见,爆发了一场争锋相对的观点论战。与此同时,某社交平台的内容审核机制又为这场争论染上了别样的颜色。
因此,随着舞台上各方唱罢,在事情逐渐平静之际,不妨让我们拎上一壶酒,暂时放下心中的怨气,在谈笑之间,一边品评一些大厂的回信,一边梳理和回顾这次热闹的争论。
目录
第一部分会带大家浏览一下大厂和监管部门给我的邮件回复;
第二部分会帮大家梳理一下各位学者与律师们对此问题的观点,尤其是程老师与左老师的;
第三部分是一些笔者的私货。
01
大厂和监管部门的回复
起因
就在上一期推送发布后,我怀着求知的好奇,先后向知乎、抖音、快手、小红书的个人信息保护部门发去邮件,希望它们能解答我对于公开IP属地相关法律问题的疑惑。
由于微博没有提供相关的邮箱地址,为此我通过官方客服私信和人格权侵权举报渠道传达了我的请求。
与此同时,我还向“App专项治理工作组”和“工信部互联网信息服务投诉平台”发去相似的邮件。
回复概览
众所周知,法律要求“个人信息控制者在验证个人信息主体身份后,应及时响应个人信息主体提出的请求,应在三十天内做出答复及合理解释,并告知个人信息主体外部纠纷解决途径。”而各大厂纷纷在隐私政策中对自己采取了更高的要求,大多将回复时间缩短为十五日。
正好是一年前,我曾举办了“第一届个人信息保护部门回复竞速大赛” ,但没想到一年过去了,情况并没有好转。
在静静等待了十五天后,最后收到的回复如下:
大厂的回复速度各有千秋(必须为快手的个信部门发奖金!!!),相比之下,我们国家的监管部门的效率就十分高效了(点赞~)。
在这些回复中,出现了特别有趣的事情:
快手很高效地回复了我的请求,解答了我的疑问。
然后……
连发9封邮件,堪比当年的十二道金牌。
这些邮件的作用和用意是什么,我半天都没猜出来。不过,大概率是它们客服的邮件系统出现了BUG吧。
而微博这边,情况就十分黑色幽默。
首先,微博这边没有提供官方的邮箱联系方式,而只有热线和私信两种方式。
热线是全自动问答系统,没有提供个人信息保护的入口(当然我朋友有打过投诉电话,但也没有提供有效答复和解决方案);而私信……emm,感觉有点像是对牛弹琴……
只有等到我向工信部发去投诉后,微博终于转变了自己“爱答不理”的态度。
虽然这个回复没有正面回答我的问题,但也算给了个解决方案。
但是,当我点开微博官网后,我发现这个所谓的“橙V认证”是身份认证的一种,而它有较为严格的门槛标准:
回复内容分析
收到的各单位的回复内容,汇总如下:
APP专项治理工作小组:“您好,公开用户IP,一般境外的账号显示到国家,境内账号则显示到省市,不涉及用户具体信息,其目的都是为了打击网络造谣、扰乱舆论等恶势力群体,治理网络谣言建设清朗网络空间,感谢您的理解与支持!”
快手:“您好,为打击蹭流量、传播不实信息、冒充当事人等干扰正常讨论的行为,落实近期有关管理规定要求,平台计划上线账号IP属地展现功能。我们高度重视并致力于保护用户的合法权益,对于您所关切的问题,我们将会依据行业标准和做法,依法依规落实好相关要求,保护网络环境清朗有序。”
抖音:“按照有关部门的管理要求,为维护真实有序的平台氛围,建设更加健康、优质的网络生态,减少仿冒、造谣、蹭流量等不良行为,平台将展示用户属地信息。其中,境内展示到省(区、市),境外展示到国家(地区)。”
小红书:“IP地址外显是为了防治谣言、维护社区真诚分享的氛围,该功能的上线也符合监管部门的要求。您的IP地址由运营商提供,系统并不会显示您的具体位置,仅显示所在城市的名称。”
(图片源自:《IP地址信息公开所涉合规问题分析》)
如果结合各平台之前发布的公告,不难发现以下几个共同点:
平台公开用户IP属地是**“有关部门的管理要求”**;
监管部门的要求很大概率与**“网络清朗行动”**有关;
本次公开的目的是为了**“打击蹭流量、打击网络谣言、打击冒充事件当事人”**;
遗憾的是,我们尚未从官方口径中得知,
用户IP属地是否属于个人信息?
平台公开行为的合法性依据是什么?
有关部门的管理规定是什么?
正因为这些问题长期处于疑云之中,因此使得无论是看客还是从业者都心有顾虑,引发了学者和律师们之间的争论。
02
争议梳理
这段时间许多律师和学者都热烈地在争论这个话题,每一天都有新的文章携带着新的观点进入舆论场中,有支持声,有反对声,真叫做“你方唱罢我登场。”
为了让大家一旁能够更加直观地欣赏这场激烈的观点交锋,笔者斗胆效仿一下我院彭錞老师的大作《收买被拐妇女刑责之辩:他们到底在争什么?》,为各位看官梳理一下各方的观点,让我们能够看清楚法律人到底在争什么?事件背后又暴露出哪些遗留问题待后来者解决。
(注:本次梳理仅针对微信平台的部分公众号文章,且为了行文方便仅列出实名作者的姓名。同时,由于本人才疏学浅,可能导致对部分作者的观点概括的不到位,还望诸位海涵。若有得罪,小生赔礼不是。)
对于法律人而言,不管是从什么样的角度切入,提出什么样的观点,归结其来都是讨论一个基本问题:“xx的行为是否合法?”
具体到本案,就是“平台公开IP属地信息的行为是否符合《民法典》、《个人信息保护法》的规定”。
根据前一篇文章《“公开IP属地”与个人信息(全面回答你的疑问)》的分析,该问题包含两个要件:(1)IP属地信息是否是个人信息?(2)平台公开行为是否有合法的依据?
(一)
IP属地信息是否是个人信息?
01
讨论对象:IP属地信息还是IP地址?
首先,本次讨论的对象应是“IP属地信息”,而非“IP地址”。后者是指依据互联网协议分配给联网设备的号码,类似于“网络门牌号”,是一串数字,例如180.101.49.11;而前者是依据IP地址映射到现实的地理区划,一般精确到省市。
而有部分文章作者却在分析中将两者搞混,实属不该。
(图源:《IP属地是否涉及个人信息保护?》)
02
IP属地是否属于个人信息?
根据《个人信息保护法》(下称《个保法》)第4条第1款的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
我国对于个人信息的定义采取的是**“识别”+“关联”双重模式**,即无论是“IP属地+其他信息”的组合能够识别出特定主体,还是IP属地与已被识别的主体相关联,都能得出IP属地信息属于个人信息的结论。
从识别的角度看,左晓栋老师认为判断是否“识别”需要考虑两类条件:一是能力条件,即相关人员掌握着多少资源与能力;二是时间条件,即当前可能难以追溯到个人,但技术进步了,或者今后有新的信息积累了,就能够实现识别。这种判断模式与欧盟GDPR的标准相同。而北大的王锡锌教授直言,虽然公开IP属地信息到省一级,并不一定必然增加用户的可识别性,但如果IP属地信息与该用户的其他信息结合在一起,可能形成针对个人的清晰拼图。
而程啸老师则是从关联的角度判断该问题。程老师认为在我国,由于社交平台按照规定要采取实名制或进行实名认证。故此,对于社交平台而言,网络用户是已经识别的自然人,故此网络用户的IP地址以及IP地址属地信息也就都属于个人信息。
可见,许多学者无论是从识别角度,还是从关联角度,都认为现行法下,IP属地信息属于个人信息。与此同时,深圳市的行政处罚案例、抖音案的司法判例也证明了该观点。
但,仍有一些作者对我国的“识别”+“关联”模式提出了有力的质疑。
有作者认为,按照这种判断模式类推,如果公开范围大到区域(如华东区)、国别(中国)、乃至仅仅公布是地球,是不是上述地域精度的变化,仍然不影响其属地的个人信息属性,而需要适用“告知同意”原则呢?毕竟互联网是开放无国界的。如此而来,似乎会影响个人信息保护的必要性。
此外,还有作者对“识别主体”提出了质疑。他认为在本案中,平台基于对用户其他信息的掌握,IP属地可以成为“可识别”信息的一个组成部分;但对于外部获取该用户IP属地的其他用户而言,其他用户并不能将IP属地结合其他信息来定位某一自然人,此时平台所公开的IP属地并非是个人信息。
另外,高亚平与周梦律师就“关联”标准提出质疑。她们认为在“关联”标准下,即使“IP属地”信息对识别性可能没有任何贡献,但是其由于和用户相关,也纳入到了《个保法》的保护范围中。此种认定可能导致个人信息的外延不断扩大,不利于社会整体层面的信息利用与企业的创新发展,尚有待司法实践的检验。
03
IP属地是否属于个人敏感信息?
程啸老师认为IP地址属地信息还涉及到个人的行踪轨迹,因此也可能会构成敏感个人信息,《个人信息保护法》第二章第二节对敏感个人信息的处理作出更加严格的要求。但是程老师没有给出他对此的确切观点和论证。
相反,左晓栋老师认为IP属地信息不同于IP地址,虽然它是位置信息,但是由于其颗粒度只显示到省市,根据最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的精神,不构成 “行踪轨迹”类的敏感个人信息。
(二)
平台公开行为是否有合法的依据?
如果我们将“IP属地信息”认定为是“个人信息”,那么就需要进一步追问平台处理/公开行为的合法依据在哪里?《个保法》第13条和《民法典》第1036条都有相关规定,我们一条条细细看来。
01
是否符合《个保法》第13条第1项“取得个人的同意”?
实际上,所有平台都没有取得用户的个人同意,因此该条不成立。
但左晓栋老师认为,由于IP属地信息不属于“敏感个人信息”,所以可以通过隐私政策约定,不必要求“单独同意”。
不过,左老师可能是忽略了,平台公开IP属地的行为并非是一般的处理信息行为,而是属于《个保法》第25条规定的“公开个人信息”,应适用特殊规则,仍需要单独同意。这也是许多作者的共识。
02
是否符合《个保法》第13条第3项“为履行法定职责或者法定义务所必需”?
《互联网用户账号名称信息管理规定(征求意见稿)》第12条的规定,“互联网用户账号服务平台应当以显著的方式在互联网用户账号信息页面展示账号IP地址属地信息,境内需标注到省(区、市),境外需标注到国家(地区)。”
不少作者认为该条赋予了平台一个合法处理IP属地信息的法定义务。但是,史宇航律师最早质疑,提出说《互联网用户账号名称信息管理规定(征求意见稿)》在2021年10月征求意见,截至目前尚未通过或施行,不具备法律效力,不属于机构需要履行的法定职责或者法定义务。
左晓栋老师认为虽然该政策法规目前没有效力,但在研判政策走向的前提下,平台试点上线这一功能,这是为今后可能的政策实施做准备。
左老师的观点具有一定的合理性,不过这又引出了一个新的问题,在没有法律规定的情况下,监管部门授权/要求平台开展的试点工作是否合法?
02(a)
如果网信办的部门规章生效了,可以作为法律依据吗?
程啸老师认为网信办的部门规章,不符合《民法典》第1035条与《个人信息保护法》第13条第1款所限定的“法律、行政法规另有规定的”情形。所谓法定义务,并非是指广义上的法律规定的任何义务,而应当做限缩解释,仅指法律、行政法规规定的必须履行的义务。如果把法定义务胡乱解释为还包括部门规章规定的义务,显然是不正确的。一方面,《立法法》第80条第2款明确规定:“部门规章规定的事项应当属于执行法律或者国务院的行政法规、决定、命令的事项。没有法律或者国务院的行政法规、决定、命令的依据,部门规章不得设定减损公民、法人和其他组织权利或者增加其义务的规范,不得增加本部门的权力或者减少本部门的法定职责。”如果通过部门规章的规定,就可以认为平台履行法定义务而可以任意公开个人信息,那么这就属于部门规章设定了减损公民权利的规范,违反了《立法法》。另一方面,我国《民法典》第1035条第1项、《个人信息保护法》第13条第1款第7项都明确规定,只有法律和行政法规可以规定,无须自然人同意即可处理其个人信息,除此之外,地方性法规、部门规章和地方政府规章都不得作出这一规定。对第3项的解释要确保与第7项之间保持体系上的和谐。
程老师的观点有力,论理充分。不过笔者需要提醒大家,程老师对该条的理解与此前有所变化,存在观点上的更新。此前在《个人信息保护法理解与适用》、《论个人信息处理中无需取得个人同意的情形》等书籍和文章中程老师均认为“法”是广义的法,既包括全国人大及其常委会颁布的法律,也包括行政法规、地方性法规、部门规章和地方政府规章等规范性法律文件。但是,善意解释下,这只能说明学者的看法随着研究深入和时间变化而有更新。
相反,左晓栋老师持有完全不同的看法。左老师认为《管理规定》虽然不属于“法律、行政法规”,但其一旦发布施行,其提出的要求属于平台应当履行的“法定义务”。
他还反驳了与立法法冲突的论点。他认为,《立法法》的上述表述,并不是限制部门规章不能规定义务,而是规范了部门规章提出义务的条件,即必须有上位法依据。对此,可参见我国《规章程序制定条例》第五条:制定规章,应当切实保障公民、法人和其他组织的合法权益,在规定其应当履行的义务的同时,应当规定其相应的权利和保障权利实现的途径。显然,部门规章为了执行法律和行政法规,当然可以规定“义务”。但这个义务是有边界的,界限在于上位法。
总结下,两位学者在该问题上的争论是极其精彩的,双方的论点与论据都详实有力,超出了笔者的评判能力范围。
03
是否符合《个保法》第13条第5项“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”?
该条的争议点在于何为“舆论监督”。
一派作者持有**“监督舆论、治理舆论”**的解释,认为公开IP属地信息的背景是网信办开展的2022年“清朗”系列专项行动,目标是政治新闻舆论环境,且其中有两个重点任务与本文讨论的场景有关。因此属于舆论监督。
另一方作者则持有**“依靠舆论监督”**的解释,认为无论从立法目的解释角度,还是从文义解释角度,“舆论监督”和新闻监督并列,共同属于对公权力的监督。而在本案中,网友的发言不应属于被监督的对象。
此外,该条的争议点还在于何为**“合理的范围”**。
一方认为公开的属地位置信息在国内是精确省份/地区,在国外仅显示国家,这样的位置信息很难会对用户的“隐私”造成威胁。
另一方则认为同时公开所有上亿账户的IP属地,有滥用之嫌。
04
是否符合《民法典》第1036条第(3)项规定的“为维护公共利益或者该自然人合法权益,合理实施的其他行为”?
这个问题首要解决的是《民法典》第1036条与《个人信息保护法》第13条之间的关系。如果理解为《个信法》是《民法典》的细化,则讨论限于《个信法》就足以。如果理解为两部法律同时构成个人信息合法处理的基础,互有重叠,那么则还需要探讨《民法典》第1036条第(3)项中“公共利益”的范围。
但是从知网最新相关论文,高志宏老师的《个人信息保护的公共利益考量——应对突发公共卫生事件为视角》来看,学界更倾向于认为此处的“公共利益”存在《个保法》第13条之外的情形。
对此,李宇律师认为《民法典》中的“公共利益”与“合理实施”均无准确的有权定义,自由裁量的空间貌似比较大。
在此基础上,程啸老师认为《民法典》的这一规定仅指,在特定、具体的某个活动中,为维护公共利益或自然人的合法权益而不经自然人同意所实施的个人信息处理行为,不能将其漫无边际地理解为普遍、一般性要求的法律依据。因此,他不认为该条款,在本案中可以免除平台获取用户同意的义务。
而左晓栋老师虽然没有明说,但从其对公共利益平衡的论述中,似乎能感觉到其认为**“企业处于风控的考量,为了维护网络安全,属于合法处理的公共利益”。**
05
当作为公共利益与个人利益平衡时,是否符合《个人信息保护法》第5-9条规定的信息处理原则?
即使“公开IP属地信息”具有合法性依据,该措施还要符合法律规定的必要、最小范围、最小影响等处理原则。
左晓栋老师认为目前,境外用户的IP属地显示到国家(地区),境内用户的IP属地显示到省(区、市),这已经在实现既定目标的同时尽最大可能保护了用户权益。并且,这是在所有可行的方案中,对用户权益影响最小的,经得起“必要性论证”。至于一些人担心的可能带来地域攻击、人身侵害等后果,这相对于维护公共利益和保护自身权益,其影响极低,或发生的概率极小。
但也有作者认为,为个别用户冒充热点,而公开亿量级用户的地理位置信息,明显不符合比例原则。
同时,“必要”或“必须”通常要考虑在处理个人信息之外,有没有其他对个人权利侵犯更小的可能路径,仅仅是便于或有利于实现公共利益,是不能满足“必要”或“必须”的要求的。本案中,若是为了防止诈骗或虚假信息的传播而公布用户IP地址中的所在地信息,更像是落入了“便于”或“有利于”公共利益实现的情景,因为为了防止诈骗或虚假信息传播,有很多可以替代的合理选择。
(三)
后续问题
在梳理完许多作者的观点后,我们不难发现,此次法教义学的争论并没有给出一个确定的,完美的答案。这正是学术研究的意义,因为“徒法不足以自行”。只有依靠无数法律人在实践中不断运用法律、解释法律,才能赋予纸面上的法条生命力。
而此次的争论也给我们暴露出新生的《个保法》中一些尚待解决的问题,比如:
将公开IP属地认定为“个人信息”是否有利于个人的权利保护,是否有利于信息的流通与使用?“识别性”+“关联性”标准在当今社会是否过于宽泛?
《个保法》第13条第3项中的“法定义务”到底包含哪些法律文件?“法”是广义的,还是狭义的?
《个保法》第13条第3项与第7项“法律、行政法规另有规定”之间的关系究竟如何?在体系上,两者是否冲突?
《民法典》第1036条“公共利益”条款应该如何解释才能既不导致滥用,也平衡个人信息保护与利用之间的摩擦?
如何平衡与协调好《网络安全法》与《个人信息保护法》两个大主题的关系?
互联网治理中大型平台的地位应该是什么?
……
参考文献:
03
私货环节
(1)
这几天我很多朋友们因为监管部门的举措和微信平台的内容审查机制而唉声叹气。
而我恰好也被贵校张翔老师早年的《祛魅与自足:政治理论对宪法解释的影响及其限度》里面的部分话所打动,在此改编化用一下与朋友们分享:
对社会热点的法律问题的研究从来就不仅是法学的,甚至不主要是法学的。它会受到传播学、社会学、政治学等诸多社会科学的影响,也会受到科学技术的影响。
当我们能直刺法律问题背后的社会影响因素,敏锐地观察到影响法律解释的法律之外的原因时,我们就完成了对于法学研究的“祛魅”。
但是,作为法律人,能够体现法学独特价值的地方,能够证明我们与其他社科人士不同之处的地方,在于依据文本内容的法教义学分析。
法律解释最终的归宿,法律解释是否合理的判断标准,都在于法律规范的文本本身。
因此,只要我们依旧在不断地讨论和追问法律文本的含义,我们的研究和实践就是有价值的。
