知网又出问题了,这次被罚5000万。

 

最近,国家互联网信息办公室(以下简称“网信办”)对知网(CNKI)依法作出网络安全审查相关行政处罚,责令停止违法处理个人信息行为,并处人民币5000万元罚款。

 

各地网信办处理过大量关于过度收集个人信息、侵害用户权益行为的App,一般是针对违法行为进行通报、责令期限整改或下架处理,处以罚款的情况并不多见。

 

而且,自2021年11月1日《个人信息保护法》正式施行以来,这是迄今为止罚金最高的一笔处罚

 

为什么会受罚?

 

“网信中国”官方公号发布的文章显示,根据网络安全审查结论及发现的问题和移送的线索,网信办依法对知网涉嫌违法处理个人信息行为进行立案调查。

 

经查实,知网主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。

 

此次处罚依据来自《个人信息保护法》第六十六条,有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

 

知网被罚5000万,看来是顶格受罚。


不过,网信办对知网违规行为的定性,偏重于隐私保护,而非数据安全/网络安全。

 

随后,知网对此回应,诚恳接受,坚决服从。知网还表示“继续夯实个人信息保护、数据安全和网络安全管控体系”。

 

这次处罚,应该是去年网络安全审查办公室对知网启动的网络安全审查结果。

 

根据“网信中国”官方公号2022年6月24日的通报,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息

 

为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》(下称《办法》),2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,对知网启动网络安全审查。

 

这是自去年2月15日新修订《办法》生效以来,官方首次从公开层面对一家企业进行网络安全审查。

 

问题不止一处

 

网信办对知网采取的行动,或许针对的是教育信息服务行业中的一个通病。去年6月,就在网信办对知网立案、进行网络安全审查的前一天,一个名为M78Sec的网络安全团队爆料,暗网上有人挂出了1.7亿条学生用户数据,这些数据泄露自超星旗下名为“学习通”的APP。

 

“学习通”是国内大学生中一个非常普及的教育信息化平台,大学生用来听课、考试等,遭泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息。

 

像知网、超星这样的教育服务平台,它们储存着大量的学生、学者、学校信息,其中还包含敏感或机密学术研究数据。如果这些平台过度收集数据,并且无法妥善保护这些数据,会成为巨大的安全隐患。

 

教育服务平台除了有过度收集数据、数据安全上的弊病,也涉及垄断问题。

 

作为国内最大的学术电子资源集成商,知网收录了95%以上正式出版的中文学术资源,且独家授权的期刊占40%以上,并无其他学术资源平台能够实质性替代它的服务。这样庞大的市场垄断,显然是不够合规的。

 

在网络安全审查办公室启动网络安全审查的前一个月,即2022年5月,知网已因涉嫌垄断被市场监督总局立案调查。

 

2022年底,知网被市场监管总局重罚8760万元。这个数字其实是知网2021年境内销售额(17.52亿元)的5%。而2022年知网的净利润只有6000万元。

 

知网就垄断问题进行整改之后,其知识服务产品的价格和市场份额都有所下降。


2023年上半年,知网的营收为4.97亿,较去年同期减少6%。而上半年的归属净利润是负的6000万。

 

所以这次5000万元的罚单,对知网的财务状况又是一记重击

 

风险预警,暂无

 

知网次次把风险用最粗糙的方式硬抗下来。其背后,是母公司同方科技拉垮的企业治理。

 

知网背后的同方股份,原本是清华大学的校办企业。2019年,在校企改革进程中,清华控股将同方的股权划转给了中国核工业集团(简称“中核”)。原本校企改革的目的是改善校办企业治理,但这在同方股份身上并没有奏效。中核给同方股份带来了很大一块民用核技术业务(具体包括与核技术相关的检测、安检、医疗等)。然而同方整体的营收水平,这几年一直停步不前。

 

就在几天前,同方股份发布了公司历史上首份ESG报告。这份报告看起来像是民用核技术、能源管理、数字信息三种业务的缝合体。知网属于数字信息业务中的一部分,谈不上有什么妥善地ESG治理可言,报告中也看不到同方对数据安全的任何思考

 

9月1日,同方的大股东中核,又把股份全部转让给了自己的子公司中国宝原。

 

控股股东4年换了三个。公司年报里面的发展重点,一年换一套说法。知网坐在这艘颠簸的大船上,也难以有什么稳定可言。

 

知网在屡次违法被罚后,还想在公众认知里重塑信任和专业性,前景更不明朗了。


感谢您的阅读。ESG从业者或对此有兴趣的研究者、投资者,欢迎扫描下面二维码,申请加入我们社群。