IP地址作为个人数据-网站提供商将受到欧盟数据隐私法更严格的审查

IP地址

网站提供商从网站访问者收集动态互联网协议地址(“IP地址”)可能很快就会受到欧盟数据保护当局的更加审查。

上周,欧洲的倡导者将军曼努埃尔坎波斯·贝尔斯·波尔多州(欧洲司法法院的顾问之一,“ECJ”)发布了一个的意见如果被欧洲委员会遵循欧洲委员会的讨论问题是欧盟数据隐私法的个人数据。倡导者认为当第三方(例如互联网接入提供商)访问网站提供商的手中时,动态IP地址是个人数据,当第三方(例如,互联网接入提供商)可以访问将能够识别Internet用户的其他信息。

互联网用户的在线活动——比如与IP地址绑定的分析信息——经常被网站提供商收集并用于营销和网站优化等目的。此类信息的收集和保存时间往往较长,即使可能需要获得个人的同意,也没有获得个人的同意。这一意见是最重要的利益为任何此类网站提供商。

根据欧盟隐私法,它已经争论了动态IP地址是否有资格符合“个人数据”,即使它单独使用收件人可以识别用户。欧盟指令95/46 /欧共体在其首字母26:“(26),而保护原则必须适用于识别或可识别人员的任何信息;然而,为了确定一个人是否可辨认,应考虑控制人或任何其他人可能合理地用来辨认该人的所有方法; ......“

到目前为止,它是否高度争议,无论是第三方这样的信息,这种互联网接入提供商的信息是“可能合理地用于”例如网站提供商。

例如,德国数据保护部门分类的IP地址作为个人数据一般虽然许多法律学者和德国法院更倾向于采取特定的视图和作为IP地址的个人数据只有他们认为收集IP地址的实体也相当容易获得额外的信息允许识别用户。在欧盟层面,IP地址通常被视为个人数据,即将出台的《一般数据隐私条例》也证实了这一观点。

然而,即使在《一般数据隐私条例》(General Data Privacy Regulation)生效之前,这场争论可能很快就会结束。德国联邦最高法院(Bundesgerichtshof,“BGH”)。德国政客Patrick Breyer向德国政府提出了一个案例,要求它停止将来自访客的动态IP地址存储到德国政府网站的时间,而不是提供网站内容所需的时间。政府在日志文件中存储更长的时间内的IP地址,以便能够识别和起诉攻击者和黑客。Breyer认为,IP地址可以链接回他,因此将构成个人数据。倡导者一般的意见同意这一论点,而在欧洲委员会没有约束的同时可能对欧洲委员会的含义可能是高度说服力的。

在2014年12月17日作出的一项裁决中,BGH向欧洲法院提交了以下问题:

  1. 根据欧盟数据保护指令95/46/EC第2a条,当IP地址由网站提供商和第三方(例如互联网接入提供商)存储,并拥有足够的附加数据识别用户时,IP地址是否属于个人数据。
  2. 无论是艺术。7f of the EU Data Protection Directive is contrary to a provision in a national member state’s law according to which a website provider may collect and process the personal data of users without their consent only to the extent it is necessary to (1) enable the general functionality of the website or (2) arrange payment. In addition, the relevant provision of the national member state’s law states that enabling the general functionality of the website does not permit user data to be processed after the user closes, or navigates away from, the website.

对于第一个问题,根据主一般,IP地址,网站提供者商店当游客访问其网站的网站构成个人数据根据欧盟数据保护法律,即使需要识别数据的附加信息的主题是只有在拥有互联网接入提供商。与德意志联邦共和国的观点,认为这样的第三方知识自互联网接入提供商无关只会被允许披露此类信息在非常有限的情况下,提倡一般认为访问提供者拥有的是相关的和决定性的。总律师认为,即使网站供应商披露数据的情况有限,也足以假定该网站供应商的知识是“可能被第三方合理使用的手段”(见EC指令95/46/EC引述部分第26号)。

这是第三方知识的一个相当广泛的观点,因为网站运营商只有非常有限的手段从互联网接入提供商要求这些信息。

对于第二个问题,倡导者一般表示,欧盟成员国无法完全禁止保留其保留网站运营商的合法利益,以便能够使用其网站的IP地址。

如果欧洲法院的最终决定遵循总检察长的意见,这将意味着:

  • 网站提供商超出了用于明确定义的目的的网站提供商的任何录制,存储或使用都需要互联网用户的同意,除非网站服务提供商可以证明需要保留IP地址以确保正常运行这样的网站。
  • 在依赖于假设动态IP地址不是个人数据的网站提供商,因为欧盟数据隐私法将不得不重新考虑并重新评估IP地址的处理以及实现其数据隐私兼容处理的方法。

有关这些发展的更多信息,请联系本博客的作者或您的奥瑞克关系伙伴。