根据 GDPR,一个单纯的 IP 地址可能不构成personal data,这取决于它的处理方式以及与之一起传输的数据。
根据第 4 条第 1 款,n。 1,法规 EU/679/2016 (GDPR),personal datameans any information relating to an identified or identifiable natural person (‘data subject’)。
同一段添加an identifiable natural person是
one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
鉴于上述情况,在我看来,在大多数情况下,单纯的 IP 不足以识别用户。假设我在一家咖啡店,在他们的 WI-FI 上,我访问了嵌入 youtube 视频的您的网站。如果发送给 Youtube 的唯一信息是我的 IP,那么 Google 就无法知道我是谁。这同样适用于用户使用动态 IP 连接互联网的所有情况。
在这方面你可以看看而 n. GDPR第30条(GDPR第1条之前的部分),其中解释为Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them。
此“鉴于”确认 IP 在与其他可能导致识别自然人的信息结合时可能存在问题。例如,如果还发送了带有 IP 地址的 UUID,或另一条可用于识别用户的信息。
但是,有人可能会说,可以通过从 ISP 获取有关已分配 IP 的信息,将个人与 IP 联系起来。但是,造成自然人identifiable 的罪魁祸首将是 ISP,而不是仅仅提供 IP 列表的人。
因此,仅 IP 地址可能被视为personal data 的唯一情况是natural person(即不是公司,而只是一个实际的个人)具有静态 IP 地址,并以某种方式使其可识别/她的 IP 地址,例如通过公开声明他/她从哪个 IP 地址连接到互联网。这不太可能。
当然,以上所有内容仅适用于嵌入式 youtube 视频收集的唯一数据是 IP 地址,我不太确定。您还需要评估您是否向 Google(Alphabet Inc.)发送了任何其他信息。例如,如果您使用的是 Google Analytics,那么情况就完全不同了。
由于场景和不同的适用规则非常复杂和广泛,我强烈建议您通过在www.autoprivacy.eu 运行自检来快速检查 GDPR 对您的实际作用