来论︱知网受顶格行政处罚对于我国个人信息保护的标杆意义_南方+

编者按：

聚焦高质量发展前沿动态，传播主流政经新锐观点。今起，南方+东莞频道开设“来论”专栏，刊发各行业各领域的观察人士关注东莞及粤港澳大湾区时政、经济、文化、民生等方面的评论和理论文章，敬请关注。

知网受顶格行政处罚对于我国个人信息保护的标杆意义

作者信息：

王德华（国家注册个人信息保护专员、国际云安全联盟认证数据保护官、广东省律协数字经济专业委员会副主任）

正文：

昨天，国家互联网信息办公室发布消息，依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规，对知网（CNKI）依法作出网络安全审查相关行政处罚的决定，责令停止违法处理个人信息行为，并处人民币5000万元罚款。

这是继去年7月21日，国家互联网信息办公室对滴滴全球股份有限公司违反《网络安全法》《数据安全法》，特别是违反《个人信息保护法》进行顶格行政处罚，罚款80.26亿元以来，又一宗对违反《个人信息保护法》的知名公司进行顶格处罚的案件。这突显国家对于网络安全、数据安全，特别是个人信息保护的重视。去年，国家网信办就明确表示，我国网络安全、数据安全、个人信息保护工作任重道远，需要进一步加大执法力度，抓更多典型，形成强大声势和有力震慑，建立维护网络安全、数据安全、个人信息保护的长效机制。

一、知网违法处理个人信息行为

根据国家网信办的通报，知网（CNKI）主要运营主体为同方知网（北京）技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊（光盘版）》电子杂志社有限公司三家公司，其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。

二、处罚决定

国家网信办作出网络安全审查相关行政处罚，责令停止违法处理个人信息行为，并处人民币5000万元罚款。

三、对知网行政处罚决定的解读

首先，违法行为界定。这个行政处罚是对知网在个人信息方面的违法行为进行的处罚，而不是对知网的网络安全方面违法行为的处罚。

处罚决定写得很清楚，是“依法作出网络安全审查相关行政处罚”。因此，这次处罚虽然是与网络安全审查相关，但不是针对网络安全问题。

而且，通报写明，是根据网络安全审查结论及发现的问题和移送的线索，国家互联网信息办公室依法对知网（CNKI）涉嫌违法处理个人信息行为进行立案调查。可见，这次国家网信办是对知网违法处理个人信息行为进行立案处理。

其次，违法行为表现。知网主要的运营主体所运营的App，对个人信息的违法行为，主要表现在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等方面。而这些违法行为，是从2019年1月国家开始整治App以来，至今一直存在，还没有从根本上消除的普遍现象，需要认真大力整治。

今年4月20日，国务院发布2023年第一季度整治App情况，今年一季度，工业和信息化部整治重点问题，对50余万款App进行技术检测，通报了101款违规App和SDK。

今年7月7日，工业和信息化部通报，经组织第三方机构检测群众关注的休闲娱乐、实用工具、出行服务等移动互联网应用程序（App）及第三方软件开发工具包（SDK）进行检查，发现31款App（SDK）存在侵害用户权益行为。从通报的违法行为来看，主要还是集中在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则，以及强制、频繁、过度索取权限等方面。这些都是老百姓普遍遇到，反响强烈的问题，已经对人民群众的生活造成了干扰，有的还导致人民群众的财产损失。

今年7月21日，浙江省通信管理局通报，截至7月21日，尚有17款APP未按要求完成整改。该通报的APP来看，违法问题还是集中在上述几个方面。

今年8月23日，上海市通信管理局关于侵害用户权益行为APP的通报（2023年第二批），该局组织第三方机构检测发现120款APP存在“违规收集个人信息”“超范围收集个人信息”“过度索取权限”等相关问题。截至目前，尚有44款APP未完成整改。该通报名单显示，部分App也存在未提供注销功能等违法行为。

由此可见，目前国内侵害个人信息的违法行为还很普遍，特别是与人民群众生活息息相关的移动互联网应用程序（App），处理个人信息的违法现象没有根本解决。所以，国家网信办对知网进行顶格处罚，是保法治，顺民意之举，意义重大，有标杆作用。

最后，处罚依据。《个保法》第六十六条规定：“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。”

可见，国家网信办对知网的处罚，是按法律规定的最高额度。

问题是，目前国内很多App都存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为，为什么只对知网顶格处罚？

细读国家网信办的处罚决定可以知道原因。国家网信办通报：“综合考虑知网（CNKI）违法处理个人信息行为的性质、后果、持续时间，特别是网络安全审查情况等因素，作出行政处罚决定。”可见，知网不仅存在上述违法行为，而且持续时间长，受侵害的人太多，影响很恶劣，此外还存在网络安全的问题。试想，知网多年运营，积累了包含各行各业的海量的数据，这些数据稍做挖掘、整合、分析，都可能关系到国家安全、国民经济命脉、重要民生、重大公共利益等。这就是网络安全问题，需要按《网络安全法》规定进行网络安全审查。如果不严格规范，后果不堪设想。

回看国家网信办对滴滴的处罚，依据的也是《个保法》第六十六条进行顶格处罚。滴滴2021年财报显示，2021年总营收为1738.3亿元，罚款80.26亿元未超过其上一年度营业额的5%；滴滴案还对董事长和总经理进行了顶格处罚，各罚款100万元。滴滴案的性质比知网严重。国家网信办认为，“通过网络安全审查还发现，滴滴公司存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。”

四、知网案的启示

国家网信办基于知网在其主体运营的App上，违法处理个人信息，性质、后果、持续时间都很严重，作出顶格处罚，这是力图进一步加大执法力度，抓更多典型，形成强大声势和有力震慑，建立维护网络安全、数据安全、个人信息保护的长效机制。可以预见，在接下来的时间，国家对侵害个人信息的犯罪行为，对违法违规收集使用个人信息的违法行为，都会加大打击力度，扩大整治范围，运用《网络安全法》《数据安全法》《个人信息保护法》，全面保护国家安全，保护公民的个人信息安全，促进经济健康发展，让人民群众安居乐业。