媒体平台全量公开用户IP属地甚至浏览记录引争议，数据合规你关注到了吗？

早先，微博、抖音、小红书等多个平台的个人主页界面或其发表的评论全面显示其IP所在地，境内精确到省一级，境外可以显示国家，并且IP属地为强制显示项目，用户不能主动开启或关闭。近日，微博又推出了一个新功能，那就是可以查看任意账号最近浏览过的超话记录。各媒体平台的这一举动是否侵犯用户个人信息隐私引发网友热议。在给出结论前，我们首先要问，哪些数据属于用户个人信息，IP属地信息、浏览记录是否属于公民的个人信息？

哪些数据属于个人信息？

个人信息是指能够识别到具体某个人身份的相关联的信息。因此属于个人信息的数据主要是：
1. 基本信息：为了完成大部分网络行为，消费者会根据服务商要求提交包括姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等在内的个人基本信息，有时甚至会包括婚姻、信仰、职业、工作单位、收入等相对隐私的个人基本信息。

2. 设备信息：主要是指消费者所使用的各种计算机终端设备（包括移动和固定终端）的基本信息，如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息、操作系统版本等。

3. 账户信息：主要包括网银账号、第三方支付账号，社交账号和重要邮箱账号等。

4. 隐私信息：主要包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等。

5. 社会关系信息：这主要包括好友关系、家庭成员信息、工作单位信息等。

6. 网络行为信息：主要是指上网行为记录，消费者在网络上的各种活动行为，如上网时间、上网地点、输入记录、聊天交友、网站访问行为、网络游戏行为等个人信息。

互联网平台显示IP属地是侵权吗？ 

按照《民法典》，IP属地肯定是属于个人信息范畴的，但是IP属地的显示只是限定到省一级，信息过于粗略，即使要识别到具体个人，也需要叠加大量其他信息才能进行认定，因此IP属地信息不能构成个人信息保护法里对个人信息的定义；其次，个人信息是否属于个人私密敏感信息，如果属于，则涉及到隐私的问题，《中华人民共和国民法典》关于隐私的定义是，与公民个人生活安宁相关，不愿意向他人透露的私密空间活动以及信息，如果IP属地只显示到省甚至市，公开显示可能不足以达到侵害生活安宁的程度，所以，即使IP属地信息能够认定为个人信息，公开属地信息也达不到侵害隐私的程度。因此互联网平台显示IP属地不是侵权。按照民法典的规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。网上信息浏览记录是用户的网上私密行为，属于隐私权的保护范围，所以互联网平台显示浏览记录是侵权。

尽管公开用户属地信息不算侵权，但不可否认，个人信息的公开热议也将“数据”和“合规”再次成为吸引着公众的目标，数据合规从没有像今天这样重要、迫切。

数据合规为什么成为迫切需求？

数据合规指的是企业及其员工对于数据收集、存储、使用、处理、共享、转让、跨境或非跨境传输、流动、保护的行为需符合国际条约、国内法律法规规章、其他规范性文件、行业准则、商业惯例、社会道德以及企业章程、规章制度的要求。企业数据可分为个人数据与非个人数据，前者是指具有可识别性的个人数据，如员工数据与客户（用户）数据，后者是指与个人无关的数据，如企业经营记录、日常管理记录、财务会计记录。（特别说明：本文探讨的数据仅限于企业数据中的个人数据，非个人数据不在本文的讨论范围。）

简单的说，企业数据合规管理既企业收集数据时应遵守的法律法规，企业数据使用中应遵守的业务规则和道德规范。但是企业合规管理面临两大问题：一是，企业数据合规相关法律法规尚待完善。企业数据合规领域仍尚缺乏明确细致的法律条文，这导致对企业数据的监督管理多停留在行政执法与舆论监督层面。二是，企业数据合规管理尚缺乏行业统一标准。我国数据资源庞大，数字经济发展迅速，大多数企业尚未形成数据合规法制意识，更不必说建立统一数据合规的行业准则。导致现阶段我国部分企业在收集使用用户个人信息时，仍存在惯性商业逻辑和商业思维，很多做法甚至与现行法律法规相违背，互联网垄断和不正当竞争问题日益突出。而从事数据合规实务工作经常面临共同的难题：

1、如何全面识别个人信息保护相关的各类风险？

2、如何将五花八门的合规要求转换为企业内可执行的标准？

3、如何持续满足不断更新变化的相关监管要求？

4、如何有效评价数据合规工作的实际效果？

企业数据合规难题怎么解？

结合访谈和合规实操经验，我们得出结论：企业数据合规的关键在于合规体系的搭建。而一个行之有效的合规体系搭建，离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核等因素。

综合来说，企业数据合规体系的搭建可以分为3步：

第一步，数据核查。从信息安全角度进行的数据核查，其常规做法是使用软件来“感知”一个系统内的数据种类，并给予这些数据的敏感程度对该系统提出整体的安全方案。例如，通过数据剖析工具，对数据获取、数据存储、数据传输、数据加工、数据使用、数据交换、数据销毁并合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查。

数据核查不仅能够了解企业个人信息收集和处理的现状，同时也是企业了解现状、识别风险和建立数据合规体系的重要基础。

 第二步，进行风险识别和制定合规方案。在识别现状的基础上，结合适用法律法规规定的合规义务进行差距分析和风险识别。就企业的IT系统、用户界面、用户注册流程以及在个人信息收集、使用以及保护的透明度等方面，进行整体合规方案规划。

 第三步，数据合规规则建立和落地。结合企业实际情况建立数据合规规则，完善相关的制度和流程。开展员工意识培训，使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。在数据保护合规制度搭建起来后，企业需要持续追踪数据保护合规制度实施情况，改善企业数据合规机制，确保企业的数据合规制度持续为企业保驾护航。

数据合规技术的发展已印证了数据合规能够作为企业数据资产防护盾的说法。此外，数据合规活动本身即可解决业务痛点，例如网约车司乘安全及数据共享问题。如事前，通过脱敏、加密手段将联系手机号转为虚拟号码，通过大数据识别深夜、醉酒、未成年人乘车，实践安全派单干预和风险订单监控；事中，将车内司乘对话全程录音，通过行车规划路线偏离警报识别异常订单并支持乘客分享行程，通过机器学习、人工智能的应用，不断提高行程中安全场景的感知度，为司乘提供更精准的安全保护；事后，通过警企电话专线，由警方专人对接受理平台报警，并通过警企间敏感信息传输通道调证协查。此类措施不仅解决了业务痛点、减轻了监管压力，还一定程度上提高了公共安全治理水平，可见数据技术的合规创新使用可以创造多赢局面。

数据是企业的重要资产和发展动力，而数据合规工作是基础，也是机会。企业应当投入更多资源，积极探索数据资产的合规创新使用，在常规合规工作之外追求更高的价值。