CENSORED
STATUS: RESCUED DATE: 2022-05-11

【404文庫】何琛沒有以|平臺公開IP位址屬地信息的問答

[⚠️ 警告:原始來源已被防火長城 (GFW) 審查或抹除]
🔗 備份端點:https://chinadigitaltimes.net/chinese/681231.html
CDT 檔案卡
標題:何琛沒有以|平臺公開IP位址屬地信息的問答
作者:程嘯(清華大學法學院教授)
來源:微信公眾號「何琛沒有以」
發表日期:2022.5.11
主題歸類:社交媒體開放IP屬地
CDS收藏:老大哥館
版權說明:該作品版權歸原作者所有。中國數字時代僅對原作進行存檔,以對抗中國的網絡審查。詳細版權說明

前言

以下內容為清華大學法學院教授程嘯老師關於平臺公開IP位址屬地信息的問答。感謝程老師授權發布!

平臺公開IP位址屬地信息的問答

程嘯

(清華大學法學院教授)

問題一

-問:IP屬地是否屬於個人信息?

答:依據《個人信息保護法》第4條第1款的規定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。在我國,由於社交平臺按照規定要採取實名制或進行實名認證。故此,對於社交平臺而言,網絡用戶是已經識別的自然人,故此網絡用戶的IP位址以及IP位址屬地信息也就都屬於個人信息。

同時,依據《個人信息保護法》第4條第2款,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。網絡服務提供者向外界公開網絡用戶的IP位址屬地信息的行為,當然是個人信息的處理活動。因此,必須嚴格遵循《民法典》《個人信息保護法》等法律的規定。對於公開個人信息,我國《個人信息保護法》規定得非常嚴格,該法第25條規定:「個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。」因此,只有取得信息主體即自然人的單獨同意或者符合《個人信息保護法》第13條第1款第2-7項規定的情形,才可以公開個人信息。此外,IP位址屬地信息還涉及到個人的行蹤軌跡,因此也可能會構成敏感個人信息,《個人信息保護法》第二章第二節對敏感個人信息的處理作出更加嚴格的要求,例如,該法第28條第2款規定,只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。第29條規定,處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。

問題二

問:平臺作出公布IP位址屬地信息的依據據說是2021年10月26日國家網信辦發布的《網際網路用戶帳號名稱信息管理規定(徵求意見稿)》,該意見稿規定,網際網路用戶帳號服務平臺應當以顯著方式,在網際網路用戶帳號信息頁面展示帳號IP位址屬地信息。境內網際網路用戶帳號IP位址屬地信息需標註到省(區、市),境外帳號IP位址屬地信息需標註到國家(地區)。這個規定是否可以作為法律依據呢?

答:姑且不說這個規章還只是徵求意見稿,沒有正式通過並生效。即便通過且生效了,從法律效力層級上說,只是屬於部門規章,不符合《民法典》第1035條與《個人信息保護法》第13條第1款所限定的「法律、行政法規另有規定的」情形。

問題三

問:有一種觀點認為,雖然《網際網路用戶帳號名稱信息管理規定》不屬於「法律、行政法規」,但是它對平臺的要求屬於平臺應當履行的「法定職責或者法定義務」。故此,依據《個人信息保護法》第13條第1款第3項也可以公開IP位址屬地信息。

答:我認為,這個觀點是完全錯誤的,也是有害的。首先,《個人信息保護法》第13條第1款第3項中的「法定職責或者法定義務」是有特定涵義的,所謂法定職責,包括法定職權和法定責任,是指立法機關、行政機關以及司法機關等公權力機關依據法律法規的規定而享有的職權以及必須履行的義務。社交平臺顯然不存在履行法定職責的問題。所謂法定義務,並非是指廣義上的法律規定的任何義務,而應當做限縮解釋,僅指法律、行政法規規定的必須履行的義務。例如,《反洗錢法》第3條、《反恐怖主義法》第20條、《網絡安全法》第21條、《電子商務法》第27條所規定的義務。如果把法定義務胡亂解釋為還包括部門規章規定的義務,顯然是不正確的。一方面,《立法法》第80條第2款明確規定:「部門規章規定的事項應當屬於執行法律或者國務院的行政法規、決定、命令的事項。沒有法律或者國務院的行政法規、決定、命令的依據,部門規章不得設定減損公民、法人和其他組織權利或者增加其義務的規範,不得增加本部門的權力或者減少本部門的法定職責。」如果通過部門規章的規定,就可以認為平臺履行法定義務而可以任意公開個人信息,那麼這就屬於部門規章設定了減損公民權利的規範,違反了《立法法》。另一方面,我國《民法典》第1035條第1項、《個人信息保護法》第13條第1款第7項都明確規定,只有法律和行政法規可以規定,無須自然人同意即可處理其個人信息,除此之外,地方性法規、部門規章和地方政府規章都不得作出這一規定。如果部門規章可以透過履行法定義務,而作為處理個人信息不需要個人同意的例外情形,那麼就明顯違反了《民法典》和《個人信息保護法》的規定!

問題四

問:《民法典》第1036條規定了處理個人信息的三項免責事由,其中第(三)項為「為維護公共利益或者該自然人合法權益,合理實施的其他行為」。這是否能作為平臺公開IP位址屬地信息的依據呢?

答:我認為,《民法典》的這一規定僅指,在特定、具體的某個活動中,為維護公共利益或自然人的合法權益而不經自然人同意所實施的個人信息處理行為,不能將其漫無邊際地理解為普遍、一般性要求的法律依據。因此,如果沒有取得用戶的單獨同意,也沒有法律、行政法規規定的合法性根據,網絡平臺服務提供者就擅自公布用戶的IP位址屬地信息,這種個人信息處理活動是非法的,應當依法承擔侵害個人信息權益的法律責任。



[ 🔙 斷開連線 / 返回檔案庫主機 ]