如今,我们的信息安全意识越来越强,在日常生活中,我们会警惕涉及姓名、身份证号码、手机号码、指纹、银行账号等信息的使用。但还有一些看似不太像个人信息的内容,实际上它们也是个人信息,需要我们特别注意。今天,我们来探讨这些隐形的个人信息以及如何识别它们。
动态IP 地址
IP地址是指分配给连接互联网的计算机的一串编号,用于这些计算机之间的通信。IP地址可以分为静态IP地址和动态IP地址,其中动态IP地址是否属于个人信息一度存在争议,如今已明确:IP地址无论静态还是动态都属于个人信息。
2007年,欧盟的第29条数据保护工作组(欧洲议会与欧盟理事会根据欧盟数据保护指令第29条于1995年10月24日设立的关于数据保护的工作组)提交了一份关于个人信息概念的咨询报告(OPINION 4/2007 on the concept of personal data)其中,工作组认为:工作组认为互联网接入服务提供者和管理者是给网络用户分配IP地址的主体,他们同时还会记录互联网用户的登录日期、登录持续时间、动态地址等日志信息,并且掌握HTTP服务器的日志本。所以,互联网接入服务提供者和管理者能够通过一定的方式识别动态IP地址的分配用户的身份。所以,毫无疑问,IP地址属于欧洲数据保护指令(Directive 95/46)第2(a)条所定义的个人信息。
The Working Party has considered IP addresses as data relating to an identifiable person. It has stated that "Internet access providers and managers of local area networks can, using reasonable means, identify Internet users to whom they have attributed IP addresses as they normally systematically “log” in a file the date, time, duration and dynamic IP address given to the Internet user. The same can be said about Internet Service Providers that keep a logbook on the HTTP server. In these cases there is no doubt about the fact that one can talk about personal data in the sense of Article 2 (a) of the Directive …”
Patrick Breyer案,欧盟法院确认动态IP属于个人信息
2016年欧盟法院就Patrick Breyer与Federal Republic of Germany的咨询申请做出的裁定,欧盟法院认为:动态IP地址属于个人信息。该案原告Breyer起诉德国联邦政府,称对方在其访问政府网站时收集了他的IP地址,该案在德国国内经过两级审理,法院对于动态IP地址是否属于个人信息难以确定,向欧盟法院申请咨询。欧盟法院经审理后认为,考虑到互联网服务提供者能够通过结合其他信息来识别动态IP地址的信息主体身份,因此,动态IP地址属于欧盟数据保护指令(Directive 95/46)定义的个人信息。
Having regard to all the foregoing considerations, the answer to the first question is that Article 2(a) of Directive 95/46 must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person.
Cookie
它是保存在计算机中的一个文本文件,该文件与特定的网页文件关联在一起,保存了该计算机访问这个网页时的信息,由此,当该计算机下次再访问这个网页时,cookies中保存的信息就能被调用出来进行关联。Cookie一般包括两部分内容,一部分是名称,指用户访问的网页的网址,另一部分是内容,包括网页访问的具体日期、访问所持续的时间等。
2015年前后,Google公司因为违规通过cookie获取个人信息在全球遭遇诉讼,在这些诉讼中,审判法院对cookie的个人信息属性作了认定。
Google与Judith Vidal-Hall案
该案的背景是,2011年夏天至2012年2月17日期间,Google在苹果手机用户的safari浏览器(苹果为用户提供的网络游览器)中违规安装cookie文件,并且绕过safari浏览器的重置功能,使得手机用户即使主动拒绝安装,也无法删除Google在safari浏览器中安装的cookie文件,通过Cookie文件Google偷偷收集苹果手机用户的网络浏览信息,英国案件中称为BGI(Browser-Generated Information,美国同案中未作此定义直接使用Cookie)。Google将这些收集到的信息提供给广告商用于精准广告营销。Google公司在该案中主张cookie不属于个人信息,但没有得到英国上诉法院支持,英国上诉法院认为,鉴于本案BGI信息中包含用户的浏览网址、日期、时间,用户的虚拟地址、物理地址等,BGI属于英国数据保护条例(DPA)第1(1)条定义的个人信息:
The BGI singles them out and therefore directly identifies them for the purposes of section 1(1)(a) of the DPA having regard to the following:
(i) BGI information comprises two relevant elements: (a) detailed browsing histories comprising a number of elements such as the website visited, and dates and times when websites are visited; and (b) information derived from use of the ‘doubleclick’ cookie, which amounts to a unique identifier, enabling the browsing histories to be linked to an individual device/user; and the Defendant(此处指Google公司)to recognise when and where the user is online, so advertisements can be targeted at them, based on an analysis of their browsing history.
(ii) Taking those two elements together, the BGI enables the defendant(此处指Google公司)to single out users because it tells the defendant (i) the unique ISP address of the device the user is using i.e. a virtual postal address; (ii) what websites the user is visiting; (iii) when the user is visiting them; (iv) and, if geo location is possible, the location of the user when they are visiting the website; (v) the browser’s complete browsing history; (vi) when the user is online undertaking browser activities. The defendant therefore not only knows the user’s (virtual) address; it knows when the user is at his or her (virtual) home.
FTC诉Google案(CN 12-04177 SI)
2012年,因为同样的原因,Google在美国受到美国贸易委员会(Federal Trade Commission 简称FTC)的监管,双方达成监管协议并由美国地区法院裁定确认。法院并未对案件实体内容进行审理,但本案中,Google同样因为违规收集用户收集中的cookie为广告公司提供精准广告营销需要支付2250万美元的赔偿款,可见,对收集cookie的行为,美国监管部门同样给予了负面评价。
BSSID
我们的手机在使用过程中(包括安卓系统和苹果IOS系统),需要实时与手机基站、北斗卫星、GPS卫星等通信手机所处经纬度,BSSID(basic service set identifier)就是记录手机精确经纬度的文件,通常只有在用户同意的情况下才会提供给第三方。简单理解,BSSID就是手机的物理地址。在美国发生的案例中,一家广告经营公司因为未经用户允许获取用户手机中的BSSID信息,被美国贸易委员会监管。
FTC诉OpenX案(2:21-cv-09693)
OpenX是一家为广告商提供精准广告推送支持的公司,2018年FTC发现OpenX未经用户的允许,违规收集用户手机上的BSSID信息。FTC并没有直接认定BSSID是个人信息,但认定OpenX未经用户的允许收集用户手机上的BSSID信息,属于违法行为,对OpenX进行监管。
OpenX collected and transferred the BSSID even if the consumer had not provided consent or had expressly denied permission to collect location data. Therefore, the representations referred to in Paragraph 57 were false or misleading, and constitute a deceptive act or practice in violation of Section 5(a) of the FTC Act, 15 U.S.C. § 45(a).
TC 字符串
字符串(String)是由数字、字母、下划线组成的一串字符。它是编程语言中表示文本的一种数据类型。在2024年3月欧盟法院的裁定中认定,TC字符串属于个人信息。
IAB Europe v Gegevensbeschermingsautoriteit (C-604/22)
Gegevensbeschermingsautoriteit是比利时的数据保护部门(简称DPA),IAB Europe是一家从事广告中介和线上竞标的非盈利机构,2019年开始DPA陆续接到对IAB Europe的投诉,称其通过TC字符串违法传输个人信息。TC字符串是IAB Europe的广告竞标平台所使用的字符串数据,内容包含了互联网用户或者APP用户同意处理他们个人信息的意思表示,即,同意app提供方、数据中间商和广告商处理他们的信息,还有用户在网络浏览时的偏好行为信息等。IAB Europe在自己的平台上建立了一套数据处理规则,规定了TC字符串是如何生成、存储、传输。IAB Europe采取会员制,只有注册IAB Europe的会员才能获取这些字符串数据,会员还必须遵守IAB Europe制定的上述数据处理规则,会员获取TC字符串中的互联网用户信息后进行广告精准投送。
本案争议焦点是TC 字符串是否属于个人信息。比利时布鲁塞尔上诉法院因不能确定,向欧盟法院提出咨询申请。
欧盟法院对照欧洲《通用数据保护条例》(GDPR)第4(1)条的规定,认为TC字符串虽然不能直接识别一个自然人的身份,但是它只要与其他数据相结合(如IP地址),就能够识别一个自然人的身份,所以,仍然是第4(1)条所定义的个人信息。
The GDPR must be interpreted as meaning that a string composed of a combination of letters and characters,such as the TC String,containing the preferences of a user of the internet or of an application relating to that user's consent to the processing of personal data concerning him or her by website or application provider as well as by brokers of such data and by advertising platforms constitutes personal data within the meaning of that provision in so far as,where those data may,by reason means, be associated with an identifier, as, inter alias, the IP address of the user’s device, they allow the data subjects to be identified.