6月27日,国家互联网信息办公室(“国家网信办”)发布《互联网用户账号信息管理规定》(“《规定》”),《规定》将在8月1日起正式施行,为企业留下了一个月的整改适应期。《规定》对于互联网信息服务提供者为用户提供的账号注册和使用服务,明确了信息安全管理的规范,提出了基本的监管框架,并且突出了其中对互联网用户账号信息的全生命周期管理要求和主体责任。
与此同时,《规定》通过搭建用户账号信息安全和账户信用管理机制,助力网络空间的诚信体系和良好生态建设。制定《规定》是规范互联网用户注册、使用和互联网信息服务提供者管理账号信息行为的需要,是维护意识形态安全、社会公平公正和网民合法权益的需要,也是防范化解国家安全风险、维护网络空间良好生态的需要。[1]本文将对《规定》的立规沿革、重点制度以及企业义务进行多场景和全方位的分析。
一、 《规定》的出台背景与基本概念
(一) 历史沿革与上位法依据
《规定》最初源于2015年国家网信办发布的《互联网用户账号名称管理规定》。按照“后台实名,前台自愿”的原则,《互联网用户账号名称管理规定》对注册、使用和管理互联网用户账号名称提出了要求。不过,当时的规定只将用户账号名称作为规制的范围。但在现实生活中,随着互联网信息服务提供者提供服务的多样化和网络信息技术的进步,互联网用户除了用户名称以外,还有更多的在公共网络场景展示用户个性化信息的空间。这些用户信息对外展示时如同一张名片。而一些不法分子通过篡改、仿冒或者利用用户账号信息进行虚假宣传、招摇撞骗,乃至实施网络暴力等违法犯罪活动,对国家、社会、组织和个人的合法权益保护以及我国诚信清朗网络空间的建设带来了极大的危害。立规者敏锐地观察到了用户账户信息亟待进一步全面规制的现实需求,于2021年出台《互联网用户账号名称信息管理规定(征求意见稿)》(“《规定(征求意见稿)》”),该规定是对《互联网用户账号名称管理规定》的修订,包括用户名在内,将用于标识用户账号的信息(名称、头像、封面、简介、签名、认证信息等)纳入了规制的范围。
而此次《规定》约束对象由“账号名称”进一步向“账号信息”丰富和扩展。 “用户账号名称”和“用户账号信息”在表述上不同,或可以理解为相关部门已经关注到“名称”和“信息”可能并非并列关系而是包含关系,从而最终确定使用“用户账号信息”的表述。在范围上,《规定》第23条明确表示互联网用户账号信息为“用于标识用户账号的信息”,与《规定(征求意见稿)》保持了一致。不过,最终出台的《规定》规定条款中并未明示与《互联网用户账号名称管理规定》之间作何衔接或处理,就目前来看,两个规定将同时处于有效状态并适用,而非替代关系。
与《规定》规范内容较为相近的相关规定还有《互联网用户公众账号信息服务管理规定》。但需要注意的是,两个规定所规制的对象可能并不相同。《规定》是将“互联网用户账号信息”作为主要的规制对象;后者则是聚焦于“在运营公众账号从事内容生产发布”的行为。由于互联网用户账号信息发布的平台未必都是公众账号,但同样要受到《规定》的规制。
从上位法依据看,和2015年《互联网用户账号名称管理规定》相比,在《网络安全法》《个人信息保护法》《互联网信息服务管理办法》等法律法规相继出台之后,《规定》有了更加扎实的上位法基础。依托《网络安全法》构建的网络信息安全制度、《个人信息保护法》构建的个人信息处理和安全保护制度,以及《互联网信息服务管理办法》所规范的互联网信息管理制度,《规定》中各项条款约束的范围和依据相较于原来有了较大篇幅的新增,各项规定也自然考虑得更为全面,内容上更为详尽。
(二) 《规定》的效力范围、规制行为和对象
1. 效力范围:位于境外的互联网信息服务提供者是否受《规定》约束?
《规定》第2条第1句规定:互联网用户在中华人民共和国境内的互联网信息服务提供者注册、使用互联网用户账号信息及其管理工作,适用本规定。该条实质上规定了《规定》的效力范围和规制行为。
在适用范围上,《规定》的要求是“在中华人民共和国境内的互联网信息服务提供者”。就此,似乎容易理解为《规定》只适用于在中国境内成立或者依据中国境内法律登记和注册的互联网信息服务提供者所提供互联网信息服务中包含的用户账号信息。但结合《规定》相关上位法、参照《电子商务法》第2条之规定,我们理解,位于境外或者依据境外法律设立的互联网信息服务提供者,当其以面向中国境内用户提供互联网信息服务为目的,从事互联网信息服务活动的,也理应落入本《规定》规制范畴之中。例如,在部分跨境电商场景中,虽然电子商务平台经营者可能并非在中国境内登记并设立,但若其有意识地主动地面向中国用户提供互联网信息服务,便需要履行《规定》有关作为互联网信息服务提供者的义务。当然,对于这种情形下是否最终需落实《规定》相关要求,还需根据客观情况和具体情形进行个案判断。
2. 规范对象:互联网用户账号信息与个人信息之间的联系与区别?
在规范行为上,《规定》规制的行为是“互联网用户在中华人民共和国境内的互联网信息服务提供者注册、使用互联网用户账号信息及其管理工作”,因此包含两个主体的行为,其一是互联网用户在互联网信息服务提供者注册、使用互联网用户账号信息;其二是针对前述行为的管理工作。
其中,尤其需要关注的是 “互联网用户账号信息”这一关键概念的内涵和外延。根据《规定》第23条,互联网用户账号信息,是指互联网用户在互联网信息服务中注册、使用的名称、头像、封面、简介、签名、认证信息等用于标识用户账号的信息。但请注意,“互联网用户”与“个人/自然人”并非是完全等同的概念。根据《规定》第7条的规定,互联网用户区分为个人用户和机构用户。因此不论是用于标识个人抑或是机构用户账号的信息,均属于“互联网用户账号信息”。
就互联网个人用户的互联网用户账号信息而言,在我国实名制的要求之下,这些信息和已识别或可识别的特定个人相关联,因此属于《个人信息保护法》第4条所定义的个人信息。因此,这类信息除了受到本《规定》的规制,互联网信息服务提供者在处理这些信息时还应遵守《个人信息保护法》的有关规定。但互联网用户账号信息的主要作用是用户在公共网络空间起到标识的作用,因此可能并非所有因账号产生或账号关联的信息均构成本《规定》中的互联网用户账号信息。例如,目前各互联网企业基于业务和管理之便,往往会为用户配置UID等仅供内部使用的用户唯一标识符,但由于这类信息仅由系统根据特定或随机算法生成的字符串,也仅作内部账号管理和映射使用,并不具有对外标识的作用,所以从规范意义上,这类信息虽然属于个人信息,但可能不属于《规定》所指称的互联网用户账号信息。
3. 义务主体:如何理解互联网用户和互联网信息服务提供者的定义?
互联网用户和互联网信息服务提供者是《规定》的两大义务主体。互联网用户在《规定》中未见专门定义。在网信办出台的部门规章及相关规范性文件中,使用“互联网用户”这一概念的有《互联网用户公众账号信息服务管理规定》《电信和互联网用户个人信息保护规定》,以及《互联网用户账号名称管理规定》等,但这三个规定也未对“互联网用户”进行明确定义。而《互联网用户账号名称管理规定》除在标题使用“用户”这一措辞之后,全文也均以“互联网信息服务使用者”这一类型化的法规概念进行表述。我们认为,《规定》中的“互联网用户”,指的是通过注册和使用互联网用户账号信息,以接受和使用互联网信息服务的自然人、法人或者非法人主体,包括个人用户和机构用户。
与“用户”这一概念不同,《规定》为“互联网信息服务提供者”提供了明确的定义:是指向用户提供互联网信息发布和应用平台服务,包括但不限于互联网新闻信息服务、网络出版服务、搜索引擎、即时通讯、交互式信息服务、网络直播、应用软件下载等互联网服务的主体。这一概念以描述式定义和列举式概括的方式,外延实则较为宽泛,囊括了现有提供互联网信息服务的多种业态,因此不论具体的信息服务内容类型如何,通过互联网提供信息发布和应用平台服务产品的企业一般均属于《规定》的互联网信息服务提供者。从上位法来看,《互联网信息服务管理办法》第3条还专门规定了互联网信息服务的定义,包括经营性(通过互联网向上网用户有偿提供信息或者网页制作等服务活动)和非经营性两类(通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动)。由此看来,《规定》在界定互联网信息服务提供者时,并未突破《互联网信息服务管理办法》的有关定义,但是对其进行了更具场景化和类型化的描述。
二、 《规定》的热点问题与重点制度
(一) 账号信息的真实性核验
《规定》第7条和第9条分别规定了账号信息真实性核验和实名认证制度。账号信息真实性核验主要源于《互联网用户公众账号信息服务管理规定》第9条的规定。具体而言,个人用户涉及职业信息的,应当与个人真实职业信息相一致;机构用户账号信息,应当与机构名称、标识等相一致,与机构性质、经营范围和所属行业类型等相符合。《互联网用户公众账号信息服务管理规定》第9条的规定在内容上更接近于《规定》第11条的特定行业的账号认证机制。因此可以理解为《规定》将该要求拓展至了用户账号信息的管理方面,并作出了更加一般性的规定。不过,第7条的规定对个人用户和机构用户也进行了区别处理。个人用户只有在含有职业信息的时候才存在对应要求;较此而言,机构用户的账号信息则必须保证其真实性。
(二) 实名认证制度
《规定》第9条并非首次规定实名认证要求。《互联网用户公众账号信息服务管理规定》以及《互联网用户账号名称管理规定》均对用户实名制进行了规定。在互联网信息服务提供者为互联网用户“提供信息发布、即时通讯等服务”时,明确需履行实名认证义务。
但需注意的是,注册用户履行实名制要求,系由于不论是信息发布还是即时通讯服务,都体现出用户能够利用该服务对外生产和交换信息内容的特征。换言之,企业不得以实名制认证等法定要求,强迫非注册用户(不属于《规定》定义下的“互联网用户”)提交实名认证信息。这其中的考虑,实际上协调的是《个人信息保护法》“个人信息收集的最小必要原则”和《常见类型移动互联网应用程序必要个人信息范围规定》等规定之间的关系。《个人信息保护法》第16条规定,不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;《常见类型移动互联网应用程序必要个人信息范围规定》中相当多的App类型(例如浏览器类、输入法类)无需个人信息即需提供基本功能。因此,如果《规定》一方面要求互联网信息服务提供者需对所有注册或非注册的用户履行实名认证义务,要求用户提供实名制的个人信息,另一方面又要求其不能收集非必要个人信息,则会一定程度上出现两者不协调乃至矛盾的情况。
由此,对于涉及用户能够对外生产和交换内容信息的服务,互联网信息服务提供者应遵守《规定》的要求,强制要求用户进行实名制认证。而对于非上述范围内的互联网信息服务,尽管互联网信息服务提供者仍需要根据《互联网用户账号名称管理规定》等履行实名制认证义务,但是否进行注册应交由使用者自行决定,不能因为使用者拒绝注册成为用户而拒绝提供服务。由此,《规定》的要求便能够和《个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》取得协调。
(三) 特定行业的账号认证机制
1. 特定行业的账号认证机制
除了《规定》第7条外,第11条还规定了特定行业的账号认证机制:对于互联网用户申请注册提供互联网新闻信息服务、网络出版服务等依法需要取得行政许可的互联网信息服务的账号,或者申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,互联网信息服务提供者应当要求其提供服务资质、职业资格、专业背景等相关材料,予以核验并在账号信息中加注专门标识。
例如,根据《出版管理条例》第36条规定,通过互联网等信息网络从事出版物发行业务的单位或者个体工商户,应当依照本条例规定取得《出版物经营许可证》。就其中的新闻出版而言,还要根据《新闻出版许可证管理办法》获取新闻出版许可证。而针对特别的行业领域,对生产这类信息内容的账号进行认证是有必要的,这类信息往往可能产生较大的社会影响力,该举措一定程度上能够保证这类信息的权威度和真实性,以防止良莠不齐的网络信息对公共利益造成不良影响。
2. 与特定行业的账号认证机制与实名认证的区分
首先,两者认证的触发条件不同。《规定》的实名认证要求在用户需要对外生产信息内容之前强制触发。但特定行业的账号认证仅是在需要实名认证的基础上,基于特殊的法律规定、特定行业的对外信息内容生产用户进行。因此,如果一个用户虽然涉及对外生产内容信息,但并没有特殊法律规制,也不属于特定行业,则只需进行实名认证,而无需进行特定行业的账号认证。
其次,两者的公示程度不同。对于特定行业的账号认证中涉及的部分用户账号信息,需要根据《规定》第13条的规定,以一定的形式在合理范围内进行公示。而实名认证机制,往往是互联网信息服务提供者对用户的一种管理要求,遵循“后台实名,前台自愿”的原则。这意味着用于实名认证所需的个人电话号码、身份证号等信息乃至隐私信息无需也不能对外公开披露。
3. 选择性职业认证和强制性职业认证
就个人用户而言,《规定》第7条和第9条均涉及了对职业的认证。我们理解,第7条第1款的规定是一种选择性的职业认证,是否进行认证交由个人用户自行决定;而第9条则更倾向于属于强制性职业认证,当该个人用户申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,则必须提供职业资格、专业背景等相关材料进行认证,由互联网信息服务提供者强制要求个人用户进行。
不过,不论是选择性职业认证和强制性职业认证,一旦触发职业认证机制,则互联网信息服务提供者必须采取一定的手段核验这些信息的真实性。不过,正如前文所述,个人用户账号信息属于个人信息范畴,因此宜遵循最小必要原则,把握对“职业认证”的方式。在《规定》出台之前,互联网平台已经就职业认证进行了充分的实践。例如,某社交平台的职业认证中,基本的认证材料需求为在职证明、执业证明和职业资格证书。其中,在职证明需要用户提供单位的地址、联系人和联系电话,以确保身份的真实性。某知识类分享平台的职业认证需要用户提交身份证明、工作证明、职业资格证明。对材料则要求包括:材料需为原件、清晰、有效、公开渠道可查。[2]
综合各种实践,我们理解,在进行职业认证时,可能需要要求用户提供执业资格、持续、有效的执业状态、以及真实身份以及验证其职业资格的真实关联性三个维度进行把控。同时应注意避免收集过多的,与职业认证无关的个人信息,从而触及《个人信息保护法》收集个人信息最小必要性的问题而引起纠纷。为此,建议互联网信息服务提供者在开展此项工作时,开展充分的前期调查,了解特定行业的行政许可要求、特定行业的从业资格证书类型等,建立针对各行各业的认证清单,将认证工作流程化、规范化。
(四)信息内容安全管理制度
《规定》第8条规定了互联网用户注册、使用账号信息时,不得出现的8种情形。这位互联网信息服务提供者在审核账号信息时提供了较为清晰的指导。
需要特别注意的是,该条第1项将《网络信息内容生态治理规定》中第7条的违法信息和第8条的不良信息作了统一的要求,即一律要求不得在注册、使用账号信息的情形下出现。《规定》将两者统一作为“不得”出现的内容,意味着对用户账号信息的内容要求更为严格。我们理解,这是因为账号信息作为标识和展示用户,往往具有更强的公开信息属性,因此公众对这些信息的依赖程度更高,而《规定》认为互联网信息服务提供者在对用户账号信息内容的管理上,可能负有更高的信息内容安全注意义务。
(五)互联网用户账号信用体系
《规定》第18条规定,互联网信息服务提供者应当建立健全互联网用户账号信用管理体系,将账号信息相关信用评价作为账号信用管理的重要参考指标,并据以提供相应服务。该条并没有为互联网信息服务提供者提供具体的措施,为市场主体如何履行该义务,留下了较大的自主空间。
1. 互联网用户账号信用管理体系的目的?
互联网用户账号信用管理体系的建立是为了进一步防范、打击同一不法主体利用互联网用户账号从事网络违法犯罪活动。通过该机制,互联网信息服务提供者能够根据其识别和判断用户账号信用情况,进而拒绝提供相应的服务。
该体系通过分类分级的方式进行。根据种类和严重程度不同来决定拒绝提供多大范围、多大程度上的服务。同时,由于这类处理对用户的权益影响较大,在并非极其严重的情形下,互联网信息服务提供者宜审慎把握各类永久措施。
例如,近期出台的《关于进一步规范网络直播营利行为促进行业健康发展的意见》中,明确要求加强网络直播账号分级分类管理。网络直播平台应当严格按照有关法律法规要求,建立并严格执行网络直播账号分级分类管理制度;对违反相关法律法规的网络直播账号,依法依规采取警示提醒、责令限期改正、限制账号功能、暂停账号使用、永久关闭账号、禁止重新注册等处置措施,保存有关记录并按要求及时向有关部门报告。
2. 针对用户账号抑或是针对用户个人?
我们理解,从本质上来看,《规定》所要求的互联网用户账号信用管理体系应需针对具体的用户主体。因为并非用户账号,而是使用用户账号的本人才是具体的信息内容生产者,才是需要被纳入信用管理的实际对象。对于一些经常利用互联网用户账号从事不法活动的个人和机构,应当建立长效机制,有效防范这类用户频繁“转移阵地”,采取不断更换用户账号等方式继续从事不法活动。
3. 是否需要跨平台协作实现?
互联网用户账号信用管理体系可能会以跨平台的方式实现。这意味着,一个在A互联网信息服务的用户账号信用情况,在未来可能将会和B等其他互联网信息服务实现共享,从而实现全互联网信用协同。一个用户在一个互联网信息服务的行为,将会影响到其他互联网信息服务对其提供的服务。
这一思考在构建诚信网络空间的方向性把握上具有较强的指导意义,而且也并非完全没有现实基础。此前,中国信通院曾推出手机号“一键解绑”功能,通过其旗下微信公众号“一号通查”功能,可解除本人持有号码前(即号码注销重启前)号码注册绑定的互联网账号关联关系(本人持有号码期间绑定的互联网账号不受影响)。该功能覆盖多款常用App。[3]虽然通信院提供的仅是解绑功能,但功能背后实现的是以手机号码为纽带的多互联网平台的信息共享。因此,实现全网络平台的互联网用户账号信用管理体系,并非完全是“空中楼阁”。
不过,《规定》第18条的义务是否仅限于互联网信息服务提供者自身内部的用户账号信息,或许还有点进一步细致的论证研讨。虽说技术上实现全平台的信息共享不无可能,但是这可能也会给各平台增加一定的技术协调成本。而若仅由某一个或几个平台承担账号信用信息汇集和梳理工作,则跨平台共享用户账号信息管理也可能存在超出乃至滥用个人信息处理“权限”的嫌疑。从用户权益上看,如果仅因某个用户的某个不当行为而引起全网连锁反应,也可能会影响该用户在其他互联网信息服务的正当使用。因此,为了符合“比例原则“的要求,未来用户账号信用体系的跨平台建设,可能是个值得多方参与、贡献智慧的重要课题。
三、 《规定》下企业的法定义务与责任
(一) 对用户账号信息的全生命周期审查义务
纵观《规定》五章共计二十四条的条款规定,不难发现,对于“互联网用户账户信息”的网络信息安全管理方面也贯彻了事前、事中和事后的全生命周期监管要求。总结来看,企业作为互联网信息服务提供者,应当至少在用户账号信息的管理上履行“事前严格审查”、“事中动态审查”和“事后定期审查”等多个里程碑节点的法定义务。
1. 对一般用户账号注册前的审查义务
《规定》第10条第1款实际上规定了互联网平台应当在用户账号进行注册(包括通过手机号码实现用户首次“一键登录”)前应当履行的核验义务。根据该条规定,我们理解,应当核验的维度至少应当包含《规定》第7条、第8条和第9条所规定的内容,进行实质性的核验,以尽可能保证用户账号信息的真实性、完整性和准确性。在目前的行业实践中一般可能采取机器自动化核查(如关键词屏蔽)和人工审查相结合的方式,以达成前述法定义务的预期履行效果。
遵循对应用户账户风险等级对应信息分类分级管理的基本思路,《规定》第10条第2款专门对包含“中国”“中华”“中央”“全国”“国家”等内容,或者含有党旗、党徽、国旗、国歌、国徽等党和国家象征和标志的用户账号信息,要求以从严标准进行核验。初步理解,对于“国字号”相关机构称谓或者带有党和国家象征的相关标志的使用,应当遵循诸如《中国共产党党徽党旗条例》《国旗法》《国歌法》《国徽法》等相关法律、法规和国家规定,特别是其中的禁止性使用条件或规范,进行逐条审查和核对。
2. 对强制关闭账号的高关联账号注册时的从严核验义务
而值得注意的是,《规定》第10条第3款要求“防止依法依约关闭账号重新注册”,以及与前述账号关联度高的账号信息进行从严核验的特殊规定。考虑到互联网信息服务的匿名性强、流动性大,网络违法犯罪活动和不良信息的复现率比较高,由此《规定》对于已经依法依约强制关闭的账号信息,以及与该被强制关闭的账号具有较高关联性的账号信息,施以互联网信息服务提供者以更高的注意义务和防范责任。
对于该款的解读,主要在于“防止重新注册如何理解”以及“关联性如何判断”两个关键问题上。
首先,我们认为不得重新注册的账号应该限于依据法律法规、用户使用协议等存在较为严重的违法违约行为而导致已经被采取强制措施关闭的账号。该规定的本质在于杜绝违法违约账号改头换面后的“死灰复燃”,从而避免违法或者不良信息、网络信息违法犯罪活动“卷土重来”。但对于注册已被关停的账号的个人或者机构而言,并不当然属于该条所被禁止“重新注册”账号之列。但是,对于具有被强制关闭账号的用户个人或机构而言,其需要接受更为严格的审查核验。
其次,哪些“关联度高”的用户个人或者机构需要受到“从严核验”的约束,换言之,如何判断“关联性高”?《规定》暂未作出明确要求。从互联网信息服务行业实践来看,如果属于同一自然人用户在同一或关联平台注册的新账号,或者相同和具有紧密关联关系(如具有直接股权控制或在利益关系上归属于同一集团)的组织机构用户在同一或关联平台上注册的新账号,应当被理解为归属于前述需严格核验的账号信息范畴。
3. 对正常使用和存量用户账号的动态核验义务
《规定》第15条规定了互联网信息服务提供者应当建立账号信息动态核验制度,“适时核验存量账号信息”。对于企业而言,应当关注动态审核机制的触发条件或情形,以及可被视作动态核验的相关措施。
联系《规定》第10条,当用户在申请或者主动变更账号信息时,应当被视作触发动态审查的具体情形之一。目前行业中不少平台均在用户重新上传头像、更改昵称或者个性化签名等资料信息时,提示用户将进行机器或部分人工审核的机制。当然,当用户账号行为出现部分标志性信号时,如用户常用登录IP地址出现跨境或者敏感地区变化,或者用户账号在同一段时间内出现明显不合理地频繁登录等情形时,可以考虑通过再次要求用户提交核验信息的方式,以达成动态核验的要求。当然,当用户主动寻求“找回账号”等时间点契机上,也可考虑加入动态核验机制,以在尽可能避免干扰用户正常使用的同时强化账号信息的常态化监督。
此外,对于“沉默账号”的处理一直是互联网信息服务提供者较为苦恼的问题。结合目前行业实践,在不少平台的业务部门进行沉默用户“召回/促活”的过程中,我们也建议嵌入账号信息的定期盘点和核验机制。对于同时可能存在信息安全问题的长久沉默账号,根据《规定》要求应当暂停提供服务,并以应用内通知、通知栏消息以及授权后短信等合理方式,通知用户限期改正。
(二) 用户账号信息公开展示与持续监督义务
在《规定》第7条、第9条和第11条的基础之上,第12条和第13条进一步规定了用户账号信息公开制度。其中,第12条要求互联网信息服务提供者应当在互联网用户账号信息页面展示合理范围内的互联网用户账号的互联网协议(IP)地址归属地信息,便于公众为公共利益实施监督。第13条要求互联网信息服务提供者应当在互联网用户公众账号信息页面,展示公众账号的运营主体、注册运营地址、内容生产类别、统一社会信用代码、有效联系方式、互联网协议(IP)地址归属地等信息。
可以看出,第12条和第13条在内容上存在一定的重合,都提及了互联网协议(IP)地址归属地信息的公示要求。我们理解,就互联网协议(IP)地址归属地信息而言,第13条规定了互联网信息服务者对此具有强制公示义务;第12条则是规定了公示互联网协议(IP)地址归属地信息的目的以及限制。
1. 公开IP归属地信息的合法性基础研讨
自从2022年4月28日,某社交平台发布将公开IP地址归属地信息以来,就该信息是否属于个人信息,公开该信息是否具备《个人信息保护法》个人信息处理合法性等问题引发了较大范围内的讨论。[4]此前,也存在用户以某社交平台强制公开用户IP地址归属地信息侵犯个人信息权利为由进行起诉的案例。就此,我们理解,《规定》第12、第13条一方面将公开IP地址归属地信息以互联网信息服务提供者义务的形式确定了下来,另一方面也说明该行为具有为公共利益进行舆论监督的性质,因此具备个人同意以外其他公开个人信息的合法性基础。
对于个人用户而言,公示IP地址或者归属地信息,无疑属于一种在客观上“未经个人同意”处理个人信息的情形,因此会受到合法性挑战。为此,第12条说法是“便于公众为公共利益实施监督”,意为该方式是为公众提供一个舆论监督的渠道。该规定是为了确认互联网信息服务提供者未经用户同意便可处理个人信息(公示IP地址归属地信息)的合法性。《规定》在效力上属于部门规章,不属于法律和行政法规,因此无法直接将《个人信息保护法》第13条第7项的要求作为合法性依据,但该合法性基础或可尝试从该条第5项中得以援引。
借鉴新闻传播领域的专业观点,舆论监督的主体可能为新闻媒体或者普通公民,其中,媒体是公民实现舆论监督的媒介。不过,由于互联网信息技术的发展,公民可通过在互联网平台上发表意见和评论,以体现公民作为实现舆论监督的主体。就此而言,在广泛意义上理解《个人信息保护法》第13条第5项,新闻媒体并非舆论监督的唯一主体,公众更是舆论监督的直接参与者。[5]在这一层面上,《规定》认为公示互联网协议(IP)地址归属地信息是为了实现《个人信息保护法》中规定的为公共利益实施新闻报道、舆论监督等行为,为该种义务设定相应寻求了合法性依据。并且,根据12条的表述,该信息的公开需要在“合理范围内”,这一要求也和《个人信息保护法》的要求相互吻合。这同时也要求互联网信息服务提供者在公示IP地址归属地信息时不能过于精确,以避免与其他信息结合轻易识别到具体个人,对个人产生其他权益影响。
2. 公开IP归属地信息时的“合理范围”平衡
在根据《规定》第12条公示IP地址归属地信息时,应同时符合《个人信息保护法》第13条第5项的要求。简言之,一是要确保公示该信息确有保护公共利益,能够起到促进舆论监督的作用;二是要将公示的程度限制在“合理范围”内。
就公共利益而言,已经有学者对公示IP地址归属地信息能否真正起到良好的舆论监督提供了辩证的观点。一方面公示IP地址归属地信息的确能够在一定程度上起到识别、防范“境外水军”的风险,但同时也可能产生地域歧视等潜在问题,对于真正试图限制的对象,使用技术手段篡改上述信息也并非没有可能。互联网信息服务提供者在履行该项义务时,也应仔细考量公开信息与目的实现之间的匹配关系。例如,用户在某搜索引擎上注册账号。但由于用户在搜索引擎中并不对外生产和交互信息内容,其在搜索引擎进行搜索的行为也不涉及公共利益,在这种场景下仍强制公开用户账号的IP属地信息是缺乏必要性的。
就合理范围而言,客观存在基于公共利益进行舆论监督的必要性的基础上,公示的范围应遵循目的限制原则,仅限于实现目的的范围内。如今颁布的《规定》和之前的征求意见稿相比,删去了公示用户IP属地信息的细节规定,转而要求平台在“合理范围内”公开该信息。这表明《规定》意识到了在不同场景下,合理公开与否、范围均是不同的,不能幻想给出一套“放之四海而皆准”的细节性规范。为此,可以考虑从调整强制公开的阶段、限定强制公开的对象、缩小强制公开的范围等方面合理控制公开的范围。[6]
(三) 企业互联网账号信息管理的主体责任
《规定》第14条规定,互联网信息服务提供者应当履行互联网用户账号信息管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。由此,《规定》在用户账号信息这一规范对象上,形成了对互联网企业的管理主体责任要求。
根据《规定》第21、22条,企业账号信息管理方面的主体责任,可以从“执法抓手”和“法律后果”两个方面体现出来。一方面,网信部门可依据相关规范对互联网信息服务提供者管理互联网用户注册、使用账号信息情况实施监督检查,而互联网信息服务提供者应当予以配合,并提供必要的技术、数据等支持和协助;另一方面,对于存在较大网络信息安全风险的,省级以上网信部门可以要求企业采取暂停信息更新、用户账号注册或者其他相关服务等措施,企业应当按照要求采取措施,进行整改,消除隐患。
关于处罚责任,考虑到《规定》归属于部门规章法效层级,根据《行政处罚法》相关规定,可以在法律、行政法规规定的给予行政处罚的行为、种类和幅度的范围内作出具体规定。若尚未制定法律、行政法规的,国务院部门规章对违反行政管理秩序的行为,可以设定警告、通报批评或者一定数额罚款的行政处罚。罚款的限额由国务院规定。《规定》第22条中所规定的罚则条款,便遵循了该规定,在遵从已有法律、行政法规规定处罚的前提下,为了更为全面的压实企业对用户账号信息安全的主体责任,还专门规定了未有法律、行政法规规定情形下的“警告”“通报批评”“责令限期改正”以及“罚款”的处罚要求。对于这种可能面临的行政处罚责任情况,值得引起互联网企业的重视。
四、 结语
理解上述《规定》所体现和折射的立规价值取向和基本立场定位,我们认为相关主管部门对于互联网信息服务提供者对于互联网用户账号信息安全的审核和管理要求进行了全面的调整和升级,对于相关特定情形的安全保障义务和责任也进行了细节性和常态化的规定。特别是在厘清相关概念和义务要求的前提下,企业需要建立起针对互联网用户账号信息的全生命周期管理流程、体系和机制,主动配合相关部门对于账号信息安全的管理和执法要求,尤其是在实践中探索一套既符合业务实际需求、又能够确保网络空间生态治理和诚实信用体系建设的企业规则。这或许是我们期待《规定》所能够达到的“规则指引实践,实践丰富规则”的积极局面。
