9月6日下午,国家互联网信息办公室公布了对知网(CNKI)做出网络安全审查相关行政处罚的决定,罚款5000万元人民币。
如何理解知网时隔9个月再次遭到监管部门的行政处罚?《互联网法律评论》特约专家、安徽大学法学院讲师、硕士生导师徐则林博士认为,本次处罚是中国个人信息保护领域又一标志性案件,可大致推测罚金的主体基于知网严重违反《个人信息保护法》而产生,虽然处罚金额不小,但还不是最严厉的,因为暂停相关业务、停业整顿、吊销业务许可或营业执照等处罚措施,并没有出现在官方公布的处罚决定中。
来源:中国网信网
时隔滴滴被罚80.26亿元一年,中国个人信息保护领域再出标志性案件。本次,国家互联网信息办公室剑指学术数据库知网(CNKI)。
2023年9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,认定知网(CNKI)存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为,对知网(CNKI)的主要运营主体依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
这不是知网第一次接受监管部门的处罚。2022年12月,国家市场监管总局认定知网构成滥用市场支配地位,责令知网停止违法行为,并处以其2021年中国境内销售额17.52亿元5%的罚款,计8760万元。
为何知网再次被罚?拥有垄断地位的知网具有哪些特别义务?知网未来合规经营还应补齐哪些短板?本文试着回答上述三个问题。
一、知网再次被罚,涉四类个人信息保护违法行为
作为一个在中国境内中文学术文献网络数据库服务市场具有支配地位的数据库经营者,知网所掌握的数据是海量的。通过与期刊报纸和学校合作,知网直接获得期刊论文和学位论文的授权,从而奠定了其在数据库市场上的霸主地位。
中国知网不仅基于垄断地位攫取了高额垄断利润,还进一步侵犯了作者和读者的个人信息。根据国家互联网信息办公室的通报,知网主要存在如下四个方面的违法行为:
第一,违反必要原则收集个人信息。根据《个人信息保护法》,搜集个人信息,应当具有明确、合理的目的,并应当与处理目的直接相关,限于实现处理目的的最小范围,不得过度收集个人信息。例如,知网可以收集作者的姓名、单位等基本信息,但如若继续收集作者的家庭住址、家庭成员等信息,可能就超过了知网运营所需的最小范围,有过度收集个人信息的嫌疑。
第二,未经同意收集个人信息。当下,我国《个人信息保护法》确立了以“告知-同意”为核心的个人信息处理规则。在“告知-同意”规则的设定上,域外立法有选择加入(opt-in)和选择退出(opt-out)两种模式,前者要求信息处理者获得信息主体自愿、明确的同意才可以处理个人信息,后者只要信息主体没有不同意即可。
显然,我国选择了更为严格的选择加入模式。此外,《个人信息保护法》还规定了需要书面同意、单独同意等特殊情形。如果知网在收集个人信息时,没有遵守以上的要求,特别是收集敏感个人信息时没有征得用户的单独同意,就会构成未经同意收集行为。
第三,未公开或未明示收集使用规则。这一行为直接违反了《个人信息保护法》第七条所规定的公开透明原则,即应公开个人信息处理规则,明示处理的目的、方式和范围。在这一基础上,才能保障个人对个人信息处理的知情、同意、查阅、更正、删除等权利的行使,因此公开、透明原则也需贯穿在个人信息处理活动的各个环节。
第四,未提供账号注销功能、在用户注销账号后未及时删除用户个人信息。根据《个人信息保护法》第四十七条,信息主体享有信息的删除权,也被称之为被互联网“遗忘”的权利。
当处理目的已实现、无法实现或者为实现处理目的不再必要,或者个人信息处理者停止提供产品或者服务等情况出现的时候,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。这意味着,知网有义务主动从其系统中删除信息主体提供的信息,否则属于未履行法定的个人信息保护义务。
二、责任升级,大型个人信息处理者应注意的特别义务
除了个人信息处理者的基本义务,针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,我国《个人信息保护法》还规定了其应当履行的特殊义务。如何判定大型个人信息处理者,就成为判断平台义务范围的关键。
我国市场监管总局发布的《互联网平台分类分级指南(征求意见稿)》中,曾综合考虑用户规模、业务种类以及限制能力,将平台分为超级平台、大型平台和中小平台。事实上,区分一般经营者和大型经营者,赋予大型经营者以更高的义务,也为域外相关法律所普遍采用。
例如,欧盟《数字市场法》中“守门人(gatekeeper)”规则确定了大型平台经营者在经营过程中的特定义务,并确立了“守门人”的具体认定标准:“对国内市场有重大影响、提供的核心平台服务是商家接触终端用户的重要渠道、已经拥有或可以预期即将拥有稳固且持久的市场地位”。欧盟的“守门人”就是指控制关键环节,有资源赋予其他个人信息处理者处理个人信息能力的互联网运营者。
对于知网而言,在对知网的垄断处罚决定中,市场监管总局指出,知网在中国境内中文学术文献网络数据库服务市场具有支配地位。虽归属于不同法律规范之中,但“具有市场支配地位”与“属于大型个人信息处理者”之间具有相似的论证逻辑。
具有市场支配地位的知网,在相关市场上具有极高的市场份额,几乎不存在可替代的竞争对手,可以轻易控制和改变交易条件,受到高校和科研机构的高度依赖,因而往往也能够显著影响下游作者和读者的个人信息保护,成为个人信息保护领域的重点监管对象。
基于此,在国内数据库服务市场具有市场支配地位的中国知网,可能属于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,还应承担相应的特殊义务,具体包括:
第一,建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
第二,明确平台内经营者的个人信息保护义务;
第三,停止为违法违规的平台内经营者提供服务;
第四,定期发布个人信息保护社会责任报告,接受社会监督。
这意味着,在接下来的整改工作中,知网必须提高重视,构建更完备的个人信息保护、数据安全和网络安全管控体系,严格履行个人信息保护的法定义务。
三、未尽之意,法律责任升级与网络安全保障
对个人信息的保护,是对人最基本权利的捍卫。知网被罚再次给个人信息的收集和处理者们敲响警钟。
从罚款金额角度来看,国家互联网信息办公室对知网开出5000万元罚款,根据《个人信息保护法》的规定,属于违法情节严重的罚款区间。虽然官方同时提到了《网络安全法》,且没有公布行政处罚金额的分项,但由于《网络安全法》罚金的上限只有100万,可大致推测出这一罚金的主体应该是基于知网严重违反《个人信息保护法》而产生的,这一情况与去年滴滴公司被罚基本相似。
从《个人信息保护法》的角度来看,虽然这次的罚款金额较高,但也仅限于罚款以及责令停止违法行为。关于法律罚则中的暂停相关业务、停业整顿、吊销业务许可或营业执照,对直接负责的主管人员和其他直接责任人员予以罚款,以及责任人员“行业禁入”和没收违法所得等处罚措施,并没有出现在官方公布的处罚决定中。
就知网的企业性质而言,一个重量级的数据库必然意味着其占有了大量与国防、工业、经济、科技、资源、政治相关的重要内容,还记载了最新科研进展等敏感信息。国家互联网信息办公室提到了对知网(CNKI)的主要运营主体进行网络安全审查,虽具体审查内容未在公告中予以公开,但可以想象,知网的信息事关网络安全和国家安全,在数据流动方面应该更加谨慎,在网络安全保障体系性建设上还有更长的路要走。
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:徐则林