作为个人数据的IP地址 - 网站提供商与欧盟数据隐私法更加审查

IP地址

网站提供商从网站访问者收集动态互联网协议地址(“IP地址”)可能很快就会受到欧盟数据保护当局的更加审查。

上周,欧洲的倡导者将军曼努埃尔坎波斯·贝尔斯·波尔多州(欧洲司法法院的顾问之一,“ECJ”)发布了一个观点如果被欧洲委员会遵循欧洲委员会的讨论问题是欧盟数据隐私法的个人数据。倡导者认为当第三方(例如互联网接入提供商)访问网站提供商的手中时,动态IP地址是个人数据,当第三方(例如,互联网接入提供商)可以访问将能够识别Internet用户的其他信息。

Internet用户的在线活动 - 例如与IP地址相关的分析信息 - 通常由网站提供商用于营销和网站优化等目的。此类信息通常收集并保留了更长的时间段,而不会收购个人同意,即使可能需要同意。此意见对任何此类网站提供商来说都是最重要的兴趣。

根据欧盟隐私法,它已经争论了动态IP地址是否有资格符合“个人数据”,即使它单独使用收件人可以识别用户。欧盟指令95/46 /欧共体在其首字母26:“(26),而保护原则必须适用于识别或可识别人员的任何信息;虽然,要确定一个人是否是可识别的,但应考虑可能合理地由控制员或任何其他人识别上述人员的所有手段; ......“

到目前为止,它是否高度争议,无论是第三方这样的信息,这种互联网接入提供商的信息是“可能合理地用于”例如网站提供商。

例如,德国数据保护机构通常将IP地址作为个人数据分类,而许多法律学者们也倾向于采取更多实况特定的观点,并仅将IP地址视为个人数据,只有他们认为该实体收集IP的实体地址也合理地访问允许识别用户的其他信息。同样在欧盟级别,最常见的是,IP地址被视为个人数据,即将到来的一般数据隐私监管证实了这一观点。

但是,即使在一般数据隐私监管生效之前,辩论也可能很快结束了。倡导者在德国联邦最高法院提到欧洲委员会的情况下交付了一般意见(Bundesgerichtshof,“BGH”)。德国政客Patrick Breyer向德国政府提出了一个案例,要求它停止将来自访客的动态IP地址存储到德国政府网站的时间,而不是提供网站内容所需的时间。政府在日志文件中存储更长的时间内的IP地址,以便能够识别和起诉攻击者和黑客。Breyer认为,IP地址可以链接回他,因此将构成个人数据。倡导者一般的意见同意这一论点,而在欧洲委员会没有约束的同时可能对欧洲委员会的含义可能是高度说服力的。

在2014年12月17日呈现的裁决中,BGH向ECJ提交了以下问题:

  1. Whether, under Article 2a of the EU Data Protection Directive 95/46/EC, an IP address is personal data when the IP address is stored by a website provider and a third party (e.g., an internet access provider) possesses sufficient additional data to identify the user.
  2. 无论是艺术。7f of the EU Data Protection Directive is contrary to a provision in a national member state’s law according to which a website provider may collect and process the personal data of users without their consent only to the extent it is necessary to (1) enable the general functionality of the website or (2) arrange payment. In addition, the relevant provision of the national member state’s law states that enabling the general functionality of the website does not permit user data to be processed after the user closes, or navigates away from, the website.

对于第一个问题,根据倡导者,在网站访问者访问其网站访问者时,IP地址的IP地址构成了欧盟数据保护法下的个人数据,即使识别数据主题所需的其他信息仅在占有互联网接入提供商。与德意志联邦共和国的观点相反,认为,由于互联网访问提供商只能被允许在非常有限的情况下披露此类信息,因此倡导者认为访问提供者的拥有是相关和决定性。倡导者,甚至网站提供商的数据披露的这种有限情况也足以假设网站提供商的这种知识将“意味着可能合理地被第三方使用”(见欧共体的第26次指令95/46 / EC)。

这是对第三方知识的相当广阔的观点,因为网站运营商只有非常有限的手段要求来自Internet访问提供商的信息。

对于第二个问题,倡导者一般表示,欧盟成员国无法完全禁止保留其保留网站运营商的合法利益,以便能够使用其网站的IP地址。

如果ECJ的最终决定遵循倡导者的意见,那将意味着:

  • 网站提供商超出了用于明确定义的目的的网站提供商的任何录制,存储或使用都需要互联网用户的同意,除非网站服务提供商可以证明需要保留IP地址以确保正常运行这样的网站。
  • 在依赖于假设动态IP地址不是个人数据的网站提供商,因为欧盟数据隐私法将不得不重新考虑并重新评估IP地址的处理以及实现其数据隐私兼容处理的方法。

有关这些事态发展的更多信息,请联系此博客或您的orrick关系合作伙伴的作者。