熱門文章

【個資】動態IP位址是不是個人資料?歐盟法院這樣看

ISP業者暫時性配發給使用者的動態IP位址究竟是不是個人資料,長期以來爭議不斷。但在今(2016)年5月,歐盟法院的佐審官(Advocate General)針對歐盟法院受理「人民請求禁止德國政府儲存其登入政府網站的IP位址」之案件提出意見,採取肯定的見解。

佐審官將本件爭點限縮於「對網站控制者而言,在第三人(ISP業者)握有得以識別當事人的其他資訊之情況下,瀏覽者連結該網站的動態IP位址是否為歐盟個資保護指令95/46/EC2條(a)項定義之個人資料」。

需先說明的是,歐盟個資保護指令95/46/EC2條(a)項針對個人資料的定義為:

"any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity"

而在該指令的前言立法理由第26條也針對個人資料的解釋進一步闡釋:

"...to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person..."

在此爭議下,正反兩面的意見略為:

1德國政府採取否定意見,認為從該指令前言立法理由第26條說明的「合理(reasonably)識別方法」來看,指令無意將所有客觀上可能透過第三人持有之資訊而可識別當事人的資料都納入「個人資料」的範疇,因此,ISP業者既然不可在沒有法律允許的情況下將各動態IP位址對應的使用者身分提供給網站控制者,對網站控制者而言,其所儲存的瀏覽者動態IP位址便沒有合理方法可以識別對應的使用者身分,是以動態IP位址應不屬於指令定義的個人資料。

2奧地利政府及歐盟執委會則採肯定見解,前者主張依照指令前言立法理由第26條的說明,「當事人可否被識別」不以所有資料均由單一控制者持有為限,因此在ISP業者(第三人)無須額外不成比例的付出便可識別動態IP位址使用者的情況下,對網站控制者而言,瀏覽者的動態IP位址也具有可識別性,屬於個人資料;後者則認為,既然網站控制者儲存瀏覽者IP位址的目的之一就在於「識別」網路攻擊的行為人,那麼由IPS業者紀錄的IP位址使用者身分自然是識別該瀏覽者的「合理方法」,因此IP位址屬於指令定義的個人資料。

佐審官在審酌正反兩方說法後提出意見,採取肯定見解,認為:

1無爭議的是,動態IP位址如與其他資料結合,便可成為間接識別當事人的個人資料。

2在此前提下,應考量的是指令前言立法理由第26條所謂的「合理識別當事人之方法」的內涵。佐審官指出,指令前言立法理由第26條要求檢視的是有無「合理」方式識別當事人,也就是除非向第三人(本件爭點中的ISP業者)聯繫要求取得對照資訊將花費極大的人力或經費,或是實際上無可能或受法律禁止,否則即可能存有「合理」向第三人取得識別當事人身分的管道。而在本件案例事實中,向ISP業者取得其保有的動態IP位址使用者紀錄,對於網站控制者而言正是可以「合理」識別當事人的方法。

3雖然德國政府主張ISP業者不得在沒有法律許可的情況下提供動態IP位址使用者紀錄,但佐審官認為,誠然該見解固非無見,但相反的情況亦有可能發生(註:應指ISP業者違法提供或在特殊情況下依法提供動態IP位址使用者資訊)。事實上,網路控制者正是最有可能向ISP業者要求提供瀏覽網站IP對應的使用者身分資訊之人(註:可能為追查網路攻擊行為人,也可能是為識別身分而作為精準行銷之用等)。是以只要該識別管道存在,不論實際上受到多嚴格的限制,對於網路控制者而言,仍應視為存在「合理方式」可經由動態IP位址識別瀏覽者身分。

4因此佐審官的結論是,如果ISP業者保有受配發動態IP位址使用者身分的紀錄,那麼對網站控制者而言,其保有的瀏覽者動態IP位址便是指令規範的個人資料。

雖然佐審官的意見不必然拘束歐盟法院,但在實務上具有極高的影響力,因此歐盟法院很有可能參酌佐審官的意見來下判決。但無論判決結果如何,即將在2018年施行的歐盟個資保護規則(暫譯,General Data Protection RegulationGDPR)第4條第(1)項將個人資料的定義修正為:(底線部分為與個資保護指令95/46/EC不同處)

"any information relating to an identified or identifiable natural person (‘data subject’; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological,genetic, mental, economic, cultural or social identity of that natural person"

GDPR在前言立法理由第30條指出:

"Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols,such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them."

由此可見,這部考量網路時代科技發展而修訂的歐盟個資保護規則,應已將IP位址劃歸個人資料的範疇而受法律保護,值得留意。

*佐審官意見全文請見:        

http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d5ee615ecdad1f44e2850989689e04f359.e34KaxiLc3eQc40LaxqMbN4Pa38Te0?text=&docid=178241&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=76592


達文西個資暨高科技法律事務所 王慕民律師

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw