熱門文章

凡走過必留下IP,淺談IP位址是否係屬個資法之個人資料?

作者:張靜婕 審閱:葉奇鑫律師  

在網際網路發達的時代,不論是打開網頁、登入E-mail帳號、網路購物、甚至是回應留言,任何在網路上的一舉一動皆會被紀錄在系統設備中,而IP位址即係目前普遍被記錄的欄位(Log)之一,檢警甚至也會利用IP位址做為偵查辦案的手法,然IP位址在新舊法適用下是否係屬「個人資料」之範疇,IP位址外洩是否會有個資法問題,恐容有疑義。

所謂的IP位址即網際協定位址(Internet Protocol Address),係一種主機編址的方式,網際網路在傳送資料時皆係透過IP位址進行辨識,將資料傳送到唯一目的地位址以完成通訊。簡言之,任何一台電腦要連線到網際網路上皆會有一組獨立且不重複的IP位址,又IP位址區分為浮動式IP位址和固定式IP位址,一般個人上網除非被賦予一個固定IP位址,否則個人上網時大多是暫時的擁有ISP業者所配發的浮動式IP位址。此類浮動式IP位址除非透過ISP業者交叉比對其配發記錄與內部客戶資料,否則實難以辨識系屬特定個體。

又依現行電腦處理個人資料保護法第3條第1款對個人資料之定義,係指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。去年修正之新版個人資料保護法參考1995年歐盟資料保護指令(95/46/EC),將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」,故不論係在新個資法或舊個資法之適用上,IP位址是否屬個人資料皆是一值得探討的有趣問題,鑒於國內未有相關實務討論,茲就各國相關見解臚列於下:

(一)肯定說:歐盟、瑞典、瑞士  

歐盟資料保護工作小組(The Article 29 Working Party),於2007年6月公布的個人資料概論意見書[1]中,曾就IP位址是否係屬Directive 95/46/EC之個人資料發表相關意見。工作小組認為:IP位址為可識別個人之資料,因為網路服務業者或管理者可以透過適當的手段識別出網路使用者身分,即使是浮動式IP位址,亦可由其內部系統的記錄欄位辨識出該IP位址的網路使用者身分。 瑞典最高行政法院於2009年6月18日,在一個有關反盜版法的判決中表示[2],IP位址係屬個人資料,蒐集或儲存IP位址已違反瑞典的個人資料法。 瑞士法院在Swiss Federal Data Protection and Information Commissioner v. Logistep AG的判決中,法院明確指出IP位址係屬個人資料,受瑞士資料保護法(Data Protection Act[3])之規範。

(二)否定說:德國、愛爾蘭、法國  

採否定說的法院見解理由皆係認為IP位址是由一連串的數字組成,很難僅就一串數字之組合即認為可辨識該個人身分,數字的組合本身並沒有透露個人的身分,且其代表的是某台電腦的位置而並非可以識別到底誰是電腦的使用者,而係必須透過網際網路服務提供者才有可能發現使用者的身分,而網際網路服務提供者只有在有法律的依據下,才會向第三人透露在哪個特定的時段是由誰在使用該IP位址。

(三)折衷說:英國、香港  

ICO(英國資訊委員辦公室) 於2007年5月6日對外發表有關利用網路蒐集個人資料應行注意事項(Data Protection Good Practice Note-Collecting personal information using webs[4])及香港個人資料私隱專員在案件No. 200603619[5]中,皆認為單純的IP位址是無法顯示出電腦使用者的身分,因其本身係由數字組成,惟如IP位址與其他可得識別個人之資料做結合時,則可能會被列為是個人資料,故仍需依個案具體判斷。

綜上所述,筆者認為應採否定說或折衷說見解,依新法對個人資料之定義為「得以直接或間接方式識別該個人之資料」,因IP位址本身為一串數字之組合,一般人並無法藉由IP位址「直接」識別出特定個人;再者,所謂的「間接」依10月27日公告的個人資料保護法施行細則修正草案第3條之規定係指僅以該資料不能識別,須與其他資料對照、組合、連結等,始能識別該特定個人者。即IP位址有可能透過ISP業者交叉比對其配發記錄與內部客戶資料而查出固定式或浮動式IP位址之註冊人資料,此時即有可能落入「間接」資料之範疇,惟該條但書認為查詢困難、需耗費過鉅或耗時過久始能特定者,不在此限,依但書之解釋IP位址對於一般人應屬於無法識別之個人資料,一般民眾並無法透過IP位址直接或間接特定出特定個人。即使IP位址對於ISP業者可能係屬「間接」資料,惟亦存在透過其內部資料比對出IP位址之註冊人資料是否即為實際電腦使用者的問題,因為IP位址本身僅為特定電腦之網路位址,並無法明確得知在特定時段特定電腦之使用者為誰。綜上所述,筆者認為單就IP位址本身並非個人資料之一種,惟如IP位址與其他得以識別個人之資料相結合,則整筆資料至多可能被視為新版個人資料保護法第2條第2款個人資料檔案。

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw