继去年“滴滴被罚80亿”后,知网也迎来网络安全审查相关处罚。

据南都此前报道,9月6日,国家网信办发布针对知网(CNKI)作出的网络安全审查相关行政处罚通报,知网被处人民币5000万元罚款。对此,知网回应称将诚恳接受,坚决服从。

有专家指出,此次知网的处罚通报并非网络安全审查处罚公告,而是“对知网涉嫌违法处理个人信息行为进行立案调查”的结论。5000万罚款是依据《个人信息保护法》作出的“顶格处罚”,意味着知网很可能存在情节严重的违法行为。不过,通报中列举的相关违法事由多为App常规违法行为,如此配以“顶格处罚”的理由尚不清楚。

文|樊文扬 吕虹

知网违法处理个人信息被罚五千万并回应

事情的起因可追溯至2022年6月。彼时,知网正值“多事之秋”,先是因身陷垄断风波被市场监管总局立案调查,不久后又迎来了网络安全审查。

去年6月24日,国家网信办发布公告称,网络安全审查办公室依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,宣布对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。

启动审查一年多以后,9月6日,国家网信办发布网络安全审查相关行政处罚的通报。

经查实,知网运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。国家网信办依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,责令知网停止违法处理个人信息行为,并处人民币5000万元罚款。

通报发出后不久知网便作出回应,称诚恳接受,坚决服从,还承诺将继续夯实个人信息保护、数据安全和网络安全管控体系。

中国政法大学传播法研究中心副主任朱巍告诉南都记者,知网此次被罚反映出当前国家对个人信息的保护力度。尤其是具有市场支配地位的平台,国家对其个人信息采集、使用、处理过程中出现的问题,是“下狠手的”。这次处罚再次强调了目前个人信息保护已落实到执法层面。

调查知网的线索源自网络安全审查

知网被罚的消息一出便引发广泛关注。不仅是因其在国内影响力极大,且多次深陷知识产权、垄断行为等纠纷,更是因通报中提到的“网络安全审查”一直以来被视为整治个保问题企业的“利器”——此前滴滴也受到了网络安全审查相关行政处罚,被罚人民币80.26亿元。

海问律师事务所合伙人傅鹏针对通报指出,对知网启动网络安全审查的上位法依据并不包括《个人信息保护法》,而此次作出行政处罚决定的理由却为日常经营中较常见的、与《个人信息保护法》有关的违法行为,即侵犯个人信息权益的行为。

他梳理发现,此前国家网信办对滴滴全球股份有限公司、美光公司依法开展网络安全审查的相关公告中,尽管着墨不多,但都明确提到了网络安全审查的相关结果,以及可能影响国家安全的因素。然而,知网的处罚通报虽也紧扣“网络安全审查相关”这一表述,但从通报内容来看,“没有看出与启动审查消息中提到的重点行业领域重要数据或敏感信息有什么直接的关系。”

不仅如此,处罚通报中提到的法律依据也将启动网络安全审查公告中的《国家安全法》和《数据安全法》排除在外。

对此,中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋公开撰文指出,此次知网的处罚通报并非网络安全审查处罚公告,“网络安全审查相关行政处罚”中的“相关”一词值得重视。

处罚通报显示,根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。

左晓栋分析,这一说法意味着目前对知网的网络安全审查已经结束,而且形成了结论。根据网络安全审查结论,发现知网存在个人信息保护问题,并对相关线索进行了“移送”,故国家网信办对知网涉嫌违法处理个人信息的行为进行立案调查。

换言之,处罚通报中提到的14款App违反必要原则收集个人信息、未经同意收集个人信息等违法行为,均是“对知网涉嫌违法处理个人信息行为进行立案调查”的结论,而非网络安全审查的结论——这是两件不同的事情。

左晓栋还在文中强调,我国法律从未规定网络安全审查结论需要公布,从国际视角来看,不公布是惯常做法。

北京高勤律师事务所合伙人王源针对处罚通报指出,网络安全审查制度和个人信息保护制度存在本质区分,前者属于“特殊法”,后者为普遍性地保护个人权益的“一般法”,针对的违法行为无需达到危害国家安全的程度。

她直言,此次处罚通报显示的理由是与《个人信息保护法》相关的侵犯个人信息权益行为,同时提及了与网络安全审查相关。那么,知网究竟是因网络安全审查结果,还是违反《个人信息保护法》而受到处罚,从通报内容本身来看是比较模糊的。

王源表示,如果知网确因违反《个人信息保护法》被处罚,或因在网络安全审查过程中被发现还存在违反《个人信息保护法》的行为,那么应当按照《网信部门行政执法程序规定》另行立案,根据法定程序举行听证,最后作出处罚。而对于网络安全审查结果,也应当书面通知知网,“这是两个制度与程序。”

五千万“顶格罚款”怎么来的?

既然知网违反的是《个人信息保护法》,那么5000万元的罚款额度自然也要从该法中寻找依据。

《个人信息保护法》在法律责任方面规定,违反该法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,可责令改正,给予警告等;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

违法行为情节严重的,可没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等。

左晓栋指出,国家网信办采取了法律规定的上限“5000万元”,这是自滴滴被罚后的第二例“顶格罚款”。仅有的两例顶格处罚都伴随网络安全审查而至,在他看来带有“惩戒”性质——因其在网络安全审查中存在问题,在随后进行个人信息保护行政处罚时需要从严惩戒。

王源也认同5000万罚款是依据《个人信息保护法》作出的“顶格处罚”,这意味着知网很可能存在情节严重的违法行为。不过,通报中列举的相关违法事由均为App原则性地违反必要原则,未经同意收集、未及时删除个人信息等常规违法行为,“配以顶格5000万的处罚理由不够清楚,很容易让营商环境产生误解,可能也无法为社会面将来进行合规整改以及更好地遵守法律提供指引。”

她进一步指出,与社交媒体不同,知网盈利的主要来源并不依赖个人信息。作为一个学术平台,其违法收集和使用个人信息的动机并不强。对知网进行“顶格处罚”确实具有较强的威慑力,但执法依据、流程、违法事实与处罚结果的模糊也可能打击其他企业发展的积极性,处罚力度、通报方式等还有进一步考量的空间。

谈及知网的安全风险问题,左晓栋表示,当一个组织囊括了海量公开学术资源后,其已经具备了超强的数据挖掘能力和情报分析能力,并事实上成为了综合性的信息服务提供商。此时的知网服务于谁、如何服务很重要。作为综合性信息服务提供商,知网的业务也远不止于让普通读者以有限的速率下载几篇论文。

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。