本文伊始，需明确的是本次讨论的对象应是“IP属地信息”，而非“IP地址”。

IP地址是否属于个人信息，素有争议。较易明确的是，国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 个人信息安全规范》附录A中将“IP地址作为网络身份标识信息”列为个人信息。在域外法中，美国联邦贸易委员会2013年修订《儿童在线隐私保护法案》中，将“IP地址”视为个人信息。

IP地址作为一个群体标识，其本身是否能够指向特定主体而具有识别性，仍需画上一个问号。因此，就IP地址本身而言，笔者倾向于认为不构成个人信息。但就此问题，国内外司法实践所形成的“组合识别”角度值得借鉴。

在Breyer v. Deutschland案件中，欧盟法院认为如果一个公司通过结合其储存的（动态）IP地址和互联网服务提供者提供的其他数据，可以识别一个自然人，并且该等公司有途径可以访问互联网服务提供者提供的前述其他数据，那么对于这个公司来说，这些动态IP地址就属于个人数据。由于Breyer访问网站服务中披露了个人身份信息，则IP地址、访问网站日期构成个人数据，网站运营者可以通过这些信息的集合识别到该用户。比判决结果更为重要的是，该案提供了“间接识别”的角度，即评价数据是否可以识别到个人，并不能只看单个采集数据的主体是否具有识别个人的能力。

我国司法实践之中，亦存在如此分析逻辑。在凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷【案号为（2019）京0491民初6694号】一案中，法院认为考虑信息是否属于个人信息不应割裂地单独判断，而应结合具体场景以信息处理者处理的“相关信息组合”进行判断。本案中，抖音通过IP地址获得不能识别个人身份的城市级别的模糊位置信息。但同时抖音已经收集了用户的手机号码，因手机号码具有可识别性，在收集了手机号码的情况下，位置信息与手机号码组合能够识别到特定人，属于个人信息，与该位置的精确程度无关。如上，北京互联网法院的法官对IP地址是否构成个人信息采取的亦是“组合识别”的认定方式。

IP属地信息不等同于IP地址。《个保法》对于“个人信息”的界定方式采取“识别+关联说”的路径。笔者以为，当IP属地信息与其他信息相结合，形成“数据集合”能够识别特定主体的情况下，当然构成个人信息。北大的王锡锌教授直言，虽然公开IP属地信息到省一级，并不一定必然增加用户的可识别性，但如果IP属地信息与该用户的其他信息结合在一起，可能形成针对个人的清晰拼图。程啸教授则是从关联的角度判断该问题。在我国，由于社交平台按照规定要采取实名制或进行实名认证。故此，对于社交平台而言，网络用户是已经识别的自然人，网络用户的IP地址以及IP地址属地信息也就都属于个人信息[1]。

在此次事件中，用户在平台注册时通常会被要求提供手机号，甚至身份证号进行实名认证，可以说平台已经准确掌握可识别的用户信息。此时，考虑到与已识别的自然人相关联，对IP属地信息的处理活动很可能被认定为落入《个保法》规定的个人信息处理活动中。

平台对于信息的处理流程为：收集用户的IP地址并转化为地理位置信息，进而对用户的IP属地位置进行公开。由此产生两个问题，首要便是互联网平台是否具有信息处理行为。无疑，收集、使用、公开等行为是《个保法》规制的个人信息处理行为[2]。由此所引发的第二个问题为：平台是否属于“公开个人信息”。

如上文所述，IP属地位置与其他可识别用户的信息所形成的“数据集合”，对平台而言当属个人信息范畴。但在对外提供这个场景中，基于接收方角度考虑，“数据集合”中的部分信息是否仍属于“公开个人信息”？尤其在IP属地位置单独无法识别特定主体的情况之下，仍应结合具体场景，判断公开的数据是否可以为接收方识别特定主体。

结合本次事件，不论以何种方式公开IP属地位置，与之相绑定的均是该社交账号本身。更进一步地，亦有社交账号的历史发送记录。换言之，平台公开的IP属地位置，实则为IP属地位置与账号信息的“数据集合”，可识别性显而易见。在此分析路径之下，平台公开IP属地位置的做法即为公开个人信息。

《个保法》对于公开个人信息的限定在于“取得个人单独同意”[3]。对于单独同意是否适用《个保法》的例外规定[4]，存在一定争议，因篇幅所限不进行赘述。笔者倾向于认为需要“单独同意”的前提是其需要“同意”。换句话说，如果属于《个保法》第十三条规定的无需同意情形，自然无需进一步的“单独同意”。结合本次事件，笔者以为更具探讨意义的为本次事件是否落入“为履行法定职责或者法定义务所必需”及“为公共利益实施新闻报道、舆论监督等行为，在合理范围内处理个人信息”两项。

（一）为履行法定职责或者法定义务所必需

之于法定义务，目前尚未有现行法律法规明确平台须公开IP属地位置。《互联网用户账号名称信息管理规定（征求意见稿）》第12条规定：“互联网用户账号服务平台应当以显著方式，在互联网用户账号信息页面展示账号IP属地信息。境内互联网用户账号IP属地信息需标注到省（区、市），境外账号IP属地信息需标注到国家（地区）。”但该《管理规定》于2021年10月征求意见，截至目前尚未通过或正式施行，不具备法律效力。

（二）为公共利益实施新闻报道、舆论监督等行为，在合理范围内处理个人信息

之于新闻报道，探究《个保法》该条原意，个人信息合理使用制度的前提是维护公共利益，例如国家国防安全、公共卫生安全等涉及到国家全体成员的共同重要利益。对于与公共利益无关，难以反映不特定多数人意志的新闻报道[5]，如对特定个人的违法或不道德行为，或以休闲娱乐为目的的新闻报道，则无法适用合理使用制度。公布IP属地位置的社会目的为维护网络传播秩序，进一步打击仿冒搬运、造谣传谣等行为。此与《个保法》的合理使用制度的立法初衷是否一致，尚有疑问。笔者倾向于认为难以满足该立法目的。

关于舆论监督，其与新闻报道并列规定于《个保法》第13条第5项，从立法目的的解释角度，理应同属对公权力监督。而以之为由对公众舆论进行监督，实属牵强。

国家网信办部署开展2022年“清朗”系列专项行动，10个方面重点任务中“清朗·打击网络谣言”专项行动、“清朗·互联网用户账号运营专项整治行动”与此次互联网内容治理高度相关。虽未直接要求，但公开IP属地位置确有助于维持舆论的稳定性，也可以为用户就网络信息真实性判断提供更多的参考要素。至于“合理范围”之限定，公开的属地位置在国内精确到省份/地区，在国外仅显示国家，就凭该信息进行识别，难谓直接对用户隐私造成威胁。上文关于IP属地位置与账号信息的“数据集合”之担忧，实则在于账号信息所具有的更强识别性，基于信息叠加或组合产生导致个人信息陷于不法侵害之风险。

如此平衡，将此次事件视为“为舆论监督等行为且在合理范围内处理个人信息”有合理性。至于此，笔者以为，此次事件说到底是价值平衡的问题，并不是非黑即白。

不可否认的是，随着大数据技术的不断普及，零散数据可以被轻易叠加和组合，IP属地信息和账号信息结合成为极具风险的“数据集合”，一个模糊的地理位置亦会导致个人信息遭受风险。如此，笔者以为可以考虑在实际施行过程中进行一定程度限缩，其一限定公开的范围，如仅适用于在热点话题或舆情中进行公开；其二赋予用户关闭公开IP属地位置的选择，以拒绝公开作为其显示标识，但舆论监督的效力会否因此减弱，仍值得深思。同时，从此次“公开事件”亦可以看出《个保法》适用中亟待解决的问题，如个人信息识别标准的具体应用、公共利益条款的限定范围等。

目前，浙江理工大学的学生已针对微博强制公开其IP地址信息的行为提起诉讼，平台方是否具有法定免责事由，有待于法院裁判的进一步释明。

[1] 参见《IP属地后日谈|回复与整理》，载于“新江湾的周日”微信公众号，

https://mp.weixin.qq.com/s/pU8xYgHS7I9oPoTSfnEn6g。

[2] 《中华人民共和国个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

[3] 《中华人民共和国个人信息保护法》第二十五条 个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

[4] 参见《中华人民共和国个人信息保护法》第十三条。

[5] 魏永征：《<民法典>中“新闻报道”行为的主体》，载《青年记者》。