动态IP地址属于个人数据（C-582/14）
2018-05-11 09:55:18 阅读次

【背景】Breyer先生向德国行政法院提出上诉，要求法院下令禁止德国联邦网站运营机构存储网站访问用户IP地址信息的行为。

本案中，动态IP地址（dynamic IP address）是由系统自动储存，自然人无法辨识。但是，将该IP地址信息与用户访问该网站的日期以及登录网站时使用的用户信息等综合在一起时，可以识别出该具体用户的身份。

【结论】德国最高法院（Bundesgerichtshof）请求欧洲法院（European Court of Justice）就本案的两个问题作出初步裁定。

首先，受理法院询问欧洲法院，网站运营商存储的计算机动态IP地址信息结合互联网接入服务商所掌握的用户其他必要数据后，能够辨识出具体用户的身份的情况下，该计算机动态IP地址信息能否视为个人数据（personal data）？

欧洲法院此前曾认定，与动态IP地址不同的是，静态IP地址（static IP address）中包含可以辨识自然人身份的信息，因此属于个人数据。但是，这里的可辨识身份信息是指直接辨识还是间接辨识，仍然存在不确定性。

随后，欧洲法院还认定，可辨识数据主体身份的信息无需掌握在特定人手中，只要证明数据控制人或者第三人能够使用该信息辨识出主体身份即可。

本案中，网络媒体服务供应商可以合法获取互联网访问者的必要信息。因此，使用动态IP地址信息间接辨识出数据主体身份是可能的。

于是，欧洲法院裁定，通过适当方式，结合动态IP地址信息和互联网接入服务供应商所掌握的其他信息，网站运营商可以确定该数据主体的身份，因此，动态IP地址属于个人数据。

第二个问题是，《欧洲议会和理事会关于保护私人权利有关个人数据处理和自由流通的指令（第95/46/EC号）》（以下简称《欧盟第95/46/EC号指令》）是否禁止，成员国国内法规定为便于提供服务并收取相应服务费，网络媒体服务供应商可以未经用户同意收集和使用特定信息？

《欧盟第95/46/EC号指令》详尽列举了视为合法使用个人数据的情形，德国法律对此作了进一步限制，规定为确保服务质量而存储的个人数据应当在服务结束后删除。

鉴于德国法律已经缩小了《欧盟第95/46/EC号指令》第7条（f）项规定的合法使用的情形范围，因此，欧洲法院裁定，其国内法中有关“网络媒体服务供应商可以未经用户同意收集和使用特定信息”的规定违反《欧盟第95/46/EC号指令》的规定。

【评述】本案裁决的关键点在于，通过对“可辨识性（identifiable）”和“间接地（indirectly）”这两个概念进行解释，大大拓展了个人数据的范围。

系统在用户浏览互联网或者使用互联网服务时收集的大量数据，如果结合互联网接入服务商获取的其他信息，能够辨识数据主体身份，那么收集的此类数据也属于个人数据范畴。这极大拓宽了个人数据的概念。

编译：刘丹，艾萨博睿法律顾问

来源：艾萨博睿（ELZABURU）知识产权