作者:张楠
老话说:盲人骑瞎马,夜半临深池。如今app的运营恰是如此情形。互联网是大趋势,这毋庸置疑,作为手机端的基础部分,app的未来发展也是会越发蓬勃。但属于app野蛮发展的红利时代已经过去了。现在关于app类产品的规范已越发清晰明确。就如8月1日正式实行的《互联网用户账号信息管理规定》(以下简称“《账号管理规定》”),可以发现,从用户隐私保护到用户管理规范,就连之前从未考虑的用户账户注册管理规范,也开始出台相应的明晰管理规定。如果还是像从前一样毫无顾忌的“裸体狂奔”,必然会面对沉重的监管之痛。以下笔者就《账号管理规定》中几个新规对互联网部分行业可能造成的影响进行简要阐述。
一、账户实名制与特种执业备案
《账号管理规定》第九条规定“应当对申请注册相关账号信息的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证”,该规定呼应了网络法目前的基本管理原则“前台自愿,后台实名”的规范。不过在此基础上,对于“前台自愿”还是做了一系列的详细规范,禁止了涉党涉国等类型的词语。在加强用户账户与个人信息之间的绑定上,也给日常的MCN公司带来的挑战。在传统的MCN公司业务中,网红账号都是用该网红信息注册的,二者相互绑定。虽然公司将该账户作为公司资产进行运营,但该资产是不稳定的,在网红离职时,基于个人与账号的强绑定,完全有可能将该资产强制带走,所以要注意通过协议并引入整合资源等方式对账号和公司进行关联绑定。
新规还强调的特种执业的备案规则,即“申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,互联网信息服务提供者应当要求其提供服务资质、职业资格、专业背景等相关材料,予以核验并在账号信息中加注专门标识。”这一规定是针对目前短视频领域的知识分享的乱象,知识分享型的短视频在短视频分布中占有极大的比重,面对竞争日益激烈的领域,部分分享用户打起专业知识的分享注意。在没有专业知识加持的情况下,一些博主利用带有噱头的题目和内容,吸引其他用户关注,但往往这些分享的内容过于片面,极易误导其他用户。
笔者不止一次看到一些类似名为“XX股权搭建”的“大师”在科普股权架构,并绘声绘色的描述可以按照他所搭建的股权架构达到避税、免税,设立皮包公司做杠杆等目的。但实质上,股权架构的搭建专业属性很强,涉及到股权在法律及财务上的设计,并非三言两语可述说清楚的。而这短短的两三分钟的短视频仅是片面的描述极易对用户产生误导。除此之外,医疗、心理、金融、育儿板块也是充斥这种情况。新规要求从事“经济、教育、医疗卫生、司法等领域”的账户应“提供服务资质、职业资格、专业背景等相关材料,予以核验”,从一定程度上对目前短视频上的乱象进行了涤清。
二、IP归属地披露
IP归属地披露被闹得沸沸扬扬的应该是在今天3月到6月的上海疫情期间。原来的目的是为了打击海外造谣团体,但IP地址的披露同时也撕下了大批自诩“留居海外”的大V的伪装。随后,也有不少人在讨论“IP地址”是否属于个人隐私,平台在未获得用户同意的情况下的披露行为是否属于侵犯个人隐私?
首先,IP地址的披露并非首次,天涯、搜狐等平台早年间就已经适用IP归属地址的披露了,即使在目前,在用户回复信息时,平台同时也会披露出IP地址的归属。甚至以前的QQ还有一个珊瑚虫版本,该版本甚至会披露出所在区县等更详实的地址信息。
其次,IP地址是否归属个人隐私也需进一步论证。个人隐私归属在个人信息中,按照《民法典》第一千零三十四条的规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。按照该规定,个人信息是可以推导出信息的具体归属人员的,而目前大部分地区采用的IPV4仍无法达到单独依靠IP地址就可以锁定具体位置,因为具体的IP地址仍是从IP池里随机抓取的,若只知道IP地址,而不知道使用的时间段,是无法从服务器上追查到个人的。但如果使用的是IPV6的技术规范,IP地址可以绑定具体的物理地址,则可能以此锁定到具体地址。但目前仅披露的是IP归属地,范围比较大,没有锁定到具体地址,所以仍不能算是个人信息。
三、个人账号的核验义务
《账号管理规定》规定第十条规定:“互联网信息服务提供者应当采取必要措施,防止被依法依约关闭的账号重新注册;对注册与其关联度高的账号信息,应当对相关信息从严核验。”意味着平台要注意因“依法依约关闭的账号”而“重新注册”的账号审核。这里其实对平台的数据管理,尤其个人数据的管理提出了新要求。
平台如何判断该用户为“重新注册”?现行可行的办法是平台内部应先设立一个基于“依法依约关闭的账号”的黑名单,如果新设账号的信息恰好与这个黑名单匹配,则可以推定是“重新注册”,因此不予注册。但平台是否有权设立这种黑名单呢?如果用户因出现相关违反法律法规的行为,平台关闭其账号,终止了服务,那么按照《数据安全管理办法》第二十条的规定:“网络运营者保存个人信息不应超出收集使用规则中的保存期限,用户注销账号后应当及时删除其个人信息,经过处理无法关联到特定个人且不能复原(以下称匿名化处理)的除外。”即平台应删除该个人信息,也就是不应再保留信息,设立黑名单。所以产生一个立法冲突,如果为了防止“依法依约关闭的账号”重新注册,就应该设立“黑名单”,但设立“黑名单”又违反了《数据安全管理办法》中关于数据删除的要求。
鉴于此,笔者建议平台应将该特殊情形描述于用户协议中,进行特殊情况的豁免,规避自身的风险。