IP地址信息公开所涉合规问题分析
作者 | 李宇 北京金诚同达律师事务所合伙人
编辑 | 季文梨
目前众多互联网平台普遍落地IP地址信息强制公开政策,平台用户无法自行选择公开或关闭其IP地址信息。根据笔者的测试,基本所有评论都显示IP地址信息,但各平台对显示IP地址信息的范围有所差异,如有的平台对发布的内容不显示IP地址信息但账号IP地址信息根据发布的内容动态变化,有的平台账号IP地址信息并未动态变化且仅对平台内部分产品/功能显示IP地址信息,可见平台目前对IP地址信息的强制公开也在“试探”阶段。借此本文对IP地址信息公开所涉合规问题进行相应分析。
一、关于强制公开IP地址信息
(一)IP地址信息具有个人信息的属性
1.个人信息的定义
从以上关于“个人信息”定义的变迁可以看出,其要求的可识别对象不再限定为自然人身份,只要与特定自然人有关即可,这与我国目前强调加强个人信息保护的整体趋势相关。
2.个人信息的认定标准
《35273号规范》指出判定个人信息应当考虑两个路径,符合两个情形之一的信息均应判定为个人信息:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其生活中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人个人信息。
目前我国法律并未给出个人信息的具体判断标准,但在淘宝诉美景案中,法院对于网络用户的行为痕迹信息与标签信息适用“可识别性”标准,最终认定该信息不属于个人信息;在最近四川省德阳市旌阳区法院在火锅店扫码点餐案[1]中认定“微信头像、昵称、地区”等信息虽不具有可识别性,但具有“关联性”,最终适用“关联性”认定标准给予个人信息保护,可见《35273号规范》规定的个人信息“可识别性”和“关联性”认定标准均已被部分法院认可。
3.司法和行政对未经用户同意收集IP地址信息行为的认定
《民法典》、《个人信息保护法》等都规定处理个人信息的基本原则为合法、正当、必要,并且原则上需要征得用户同意。目前司法、行政均已发生未经用户同意收集IP地址信息侵犯个人信息权的案例。
抖音APP[2]、豆瓣APP[3]曾因未经用户同意收集其个人位置信息被诉至北京互联网法院侵犯用户个人信息和隐私权,在抖音案中法院认定因手机号码具有可识别性,在收集了手机号码的情况下,被告收集的位置信息与手机号码信息组合,能够识别到特定人,属于个人信息,应征得用户同意。
花遇APP曾因未经用户同意搜集MAC地址、IMEI、AndroidID等信息被认定为非法获取、出售、向他人提供个人信息,最终受到行政处罚(深福公(天安)行罚决字[2022]33751号)。
(二)强制公开IP地址信息可能存在法定免责事由
笔者列举部分平台关于公开IP地址信息的相关公告如下,从中可以看出大部分平台的公告中都提到强制公开IP地址信息的正当目的,但理由和目的正当不代表行为合法。
目前大家普遍热议的平台公开IP地址信息的依据是《互联网用户账号名称信息管理规定(征求意见稿)》(“《征求意见稿》”)第十二条的规定,即互联网用户账号服务平台应当以显著的方式在互联网用户账号信息页面展示账号IP地址属地信息,境内需标注到省(区、市),境外需标注到国家(地区)。但该《征求意见稿》为部门规章,不符合《民法典》第一千零三十五条第(一)项限定的“法律、行政法规另有规定的除外”,且《征求意见稿》并未正式实施,其似乎不够成为平台强制公开IP地址信息的免责依据。
《民法典》第一千零三十六条规定了处理个人信息的三项免责事由,其中第(三)项为“为维护公共利益或者该自然人合法权益,合理实施的其他行为”,该项包括两层意思:一是,目的为维护公共利益或该自然人合法权益;二是,限定为合理实施,不能超出合理范围。何为“合理实施”目前还无法准确把握,自由裁量的空间貌似比较大,这可能也是不同平台目前强制公开IP地址信息的范围有所差异的原因之一。
浙江理工大学的学生已针对微博强制公开其IP地址信息的行为提起诉讼,如果平台方能举证证明其目的和范围均符合法定免责事由,理论上存在免责的可能性。
二、关于IP地址信息准确性问题
实践中也会存在平台显示的IP地址信息与真实IP地址信息不一致的情形。微博在《IP属地功能升级公告》Q4针对定位不准的问题提到,定位是根据运营商IP信息解析,站方只展示对应IP属地位置,并不获取其他信息,如有问题可咨询对应运营商。那么,如果不一致,平台、用户是否需承担法律责任呢?
(一)非用户原因导致IP地址信息不准
《民法典》第一千零三十七条等规定了个人信息决定权,即有权对错误的个人信息请求更正,而承担更正义务的对象根据该条款的文义解释应为“信息处理者”。《民法典》第一千零三十五条第二款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,可见个人信息公开者也应属于个人信息处理者。
根据上述法律规定,如果非因用户原因导致IP地址信息错误,平台方并不能因声明而免除自己的法定责任,由此建议平台方对非因用户原因导致IP地址信息不准提供相应纠错渠道和途径,否则同样可能存在侵犯个人信息权的风险。
(二)用户使用虚拟定位
1.虚拟定位技术上可行
IP地址是大部分网站反爬虫机制的依据,当我们访问网站时我们的IP地址会被记录,如果某IP地址访问频次高于目标网站的设定值,目标网站服务器通常会将其识别为爬虫并根据平台规则限制相应爬虫的访问,而爬虫方为防止被目标网站限制访问或记录异常,通常会使用动态/虚假IP地址(下文称为“虚拟定位”)。虚拟定位的工作原理即在客户端和目标网站之间设置中间节点,通过其中介服务器完成访问和数据传输,稳定的手机虚拟定位插件通常包括硬件和软件两个部分:硬件为定位芯片,硬件插入手机后将干扰覆盖手机本身的定位功能;软件为方向摇杆,可输入具体位置坐标,将软件中的地理位置坐标发送给手机,最终实现修改手机定位数据的目的。由此可见,通过安装插件等技术上可以实现虚拟定位,那么通过虚拟定位改变平台显示的IP地址是否合法呢?
2.应用虚拟定位技术存在侵权、封号等风险
技术本身具有中立性,最高人民法院在(2021)最高法知民终1687号案件中对“网络爬虫技术”的保护也可以印证司法对技术中立原则的态度。互联网鼓励自由竞争和技术创新,但技术中立不等于使用中立的技术不构成侵权,如果虚拟定位插件不具有实质性非侵权用途,其仍然可能存在违法问题。
《一起来捉妖》是一款依托手机即时定位的AR探索手游,曾有一款定位插件为该手游提供虚拟定位服务,使得使用该虚拟定位游戏辅助插件的玩家捕捉妖灵的数量、种类、概率等都优于正常玩家,最终被诉至法院[4]。网络游戏通常由后台服务器和客户端组成,客户端将环境数据如地理位置、玩家行为指令等数据传输给后台服务器,后台服务器进行分析反馈,最终完成游戏玩家所能感知的游戏效果。虚拟定位插件即通过修改或伪造客户端向后台服务器发送的数据信息,使得数据与游戏设置本来应当发出的数据值不符,这样游戏玩家为获得相同的游戏效果会选择购买低成本的虚拟定位游戏辅助插件而不是向游戏运营方购买相关游戏道具,该行为导致的最终后果就是减缩了游戏的生命周期,游戏开发商和运营商的投入与产出不成正比,扰乱了游戏市场的竞争秩序和游戏平台的营商环境,而且对其他游戏玩家也有失公平。上海、重庆等地法院均已认为使用虚拟定位插件引诱玩家“作弊”的行为有违网络游戏行业公认的商业道德,具有不正当性。
目前关于手机插件、浏览器插件存在许多司法纠纷,虽然相关插件存在“作弊”甚至“流量劫持”之嫌,但并非所有的网络插件都被认定为不正当竞争。如果虚拟定位插件存在扰乱互联网平台产品的正常运行秩序、公平竞争环境、用户体验、网络空间安全、存在实质性侵权用途等情形,提供、使用虚拟定位插件的行为将存在侵权甚至违法犯罪的风险。
此外对于使用虚拟定位插件的主体而言,其使用互联网平台产品时通常需要遵守《用户服务协议》或平台规则等的约束(如网游产品中通常会明确告知玩家“禁止用户使用‘可以让您在游戏效率或者收益数据上表现异常的硬件’”),如果违反平台规则等内容,还存在被封号的风险。如果其使用虚拟定位插件进行虚假广告宣传,侵犯消费者权益,同样也需要承担相应的法律责任。
综上所述,平台方在符合法定情形时可以强制公开用户IP地址信息,但仍应受强制公开目的和范围的限制。同时,强制公开的IP地址信息应当为真实信息,非因用户原因造成的不真实,平台方需要履行尊重用户个人信息决定权的义务;用户故意使用虚拟定位时,涉案虚拟定位插件提供方、用户都可能存在侵权、违规等风险。
注释:
[1] https://mp.weixin.qq.com/s/eN8Id5v1tZE_tiHKO3GvbA。
[2] 北京互联网法院一审(2019)京0491民初6694号判决书。
[3] 案件信息来源:
https://share.gmw.cn/legal/2021-04/16/content_34770588.htm。
[4] 上海知识产权法院二审(2021)沪73民终489号判决书。
(本文仅为作者观点,不代表知产力立场)