知网违法处理个人信息被罚五千万并回应
事情的起因可追溯至2022年6月。彼时,知网正值“多事之秋”,先是因身陷垄断风波被市场监管总局立案调查,不久后又迎来了网络安全审查。
去年6月24日,国家网信办发布公告称,网络安全审查办公室依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,宣布对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。
启动审查一年多以后,9月6日,国家网信办发布网络安全审查相关行政处罚的通报。
经查实,知网运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。国家网信办依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,责令知网停止违法处理个人信息行为,并处人民币5000万元罚款。
通报发出后不久知网便作出回应,称诚恳接受,坚决服从,还承诺将继续夯实个人信息保护、数据安全和网络安全管控体系。
中国政法大学传播法研究中心副主任朱巍告诉南都记者,知网此次被罚反映出当前国家对个人信息的保护力度。尤其是具有市场支配地位的平台,国家对其个人信息采集、使用、处理过程中出现的问题,是“下狠手的”。这次处罚再次强调了目前个人信息保护已落实到执法层面。
调查知网的线索源自网络安全审查
知网被罚的消息一出便引发广泛关注。不仅是因其在国内影响力极大,且多次深陷知识产权、垄断行为等纠纷,更是因通报中提到的“网络安全审查”一直以来被视为整治个保问题企业的“利器”——此前滴滴也受到了网络安全审查相关行政处罚,被罚人民币80.26亿元。
海问律师事务所合伙人傅鹏针对通报指出,对知网启动网络安全审查的上位法依据并不包括《个人信息保护法》,而此次作出行政处罚决定的理由却为日常经营中较常见的、与《个人信息保护法》有关的违法行为,即侵犯个人信息权益的行为。
他梳理发现,此前国家网信办对滴滴全球股份有限公司、美光公司依法开展网络安全审查的相关公告中,尽管着墨不多,但都明确提到了网络安全审查的相关结果,以及可能影响国家安全的因素。然而,知网的处罚通报虽也紧扣“网络安全审查相关”这一表述,但从通报内容来看,“没有看出与启动审查消息中提到的重点行业领域重要数据或敏感信息有什么直接的关系。”
不仅如此,处罚通报中提到的法律依据也将启动网络安全审查公告中的《国家安全法》和《数据安全法》排除在外。
对此,中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋公开撰文指出,此次知网的处罚通报并非网络安全审查处罚公告,“网络安全审查相关行政处罚”中的“相关”一词值得重视。
处罚通报显示,根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。
左晓栋分析,这一说法意味着目前对知网的网络安全审查已经结束,而且形成了结论。根据网络安全审查结论,发现知网存在个人信息保护问题,并对相关线索进行了“移送”,故国家网信办对知网涉嫌违法处理个人信息的行为进行立案调查。
换言之,处罚通报中提到的14款App违反必要原则收集个人信息、未经同意收集个人信息等违法行为,均是“对知网涉嫌违法处理个人信息行为进行立案调查”的结论,而非网络安全审查的结论——这是两件不同的事情。
左晓栋还在文中强调,我国法律从未规定网络安全审查结论需要公布,从国际视角来看,不公布是惯常做法。
北京高勤律师事务所合伙人王源针对处罚通报指出,网络安全审查制度和个人信息保护制度存在本质区分,前者属于“特殊法”,后者为普遍性地保护个人权益的“一般法”,针对的违法行为无需达到危害国家安全的程度。
她直言,此次处罚通报显示的理由是与《个人信息保护法》相关的侵犯个人信息权益行为,同时提及了与网络安全审查相关。那么,知网究竟是因网络安全审查结果,还是违反《个人信息保护法》而受到处罚,从通报内容本身来看是比较模糊的。
王源表示,如果知网确因违反《个人信息保护法》被处罚,或因在网络安全审查过程中被发现还存在违反《个人信息保护法》的行为,那么应当按照《网信部门行政执法程序规定》另行立案,根据法定程序举行听证,最后作出处罚。而对于网络安全审查结果,也应当书面通知知网,“这是两个制度与程序。”
五千万“顶格罚款”怎么来的?
既然知网违反的是《个人信息保护法》,那么5000万元的罚款额度自然也要从该法中寻找依据。
《个人信息保护法》在法律责任方面规定,违反该法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,可责令改正,给予警告等;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违法行为情节严重的,可没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等。
左晓栋指出,国家网信办采取了法律规定的上限“5000万元”,这是自滴滴被罚后的第二例“顶格罚款”。仅有的两例顶格处罚都伴随网络安全审查而至,在他看来带有“惩戒”性质——因其在网络安全审查中存在问题,在随后进行个人信息保护行政处罚时需要从严惩戒。
王源也认同5000万罚款是依据《个人信息保护法》作出的“顶格处罚”,这意味着知网很可能存在情节严重的违法行为。不过,通报中列举的相关违法事由均为App原则性地违反必要原则,未经同意收集、未及时删除个人信息等常规违法行为,“配以顶格5000万的处罚理由不够清楚,很容易让营商环境产生误解,可能也无法为社会面将来进行合规整改以及更好地遵守法律提供指引。”
她进一步指出,与社交媒体不同,知网盈利的主要来源并不依赖个人信息。作为一个学术平台,其违法收集和使用个人信息的动机并不强。对知网进行“顶格处罚”确实具有较强的威慑力,但执法依据、流程、违法事实与处罚结果的模糊也可能打击其他企业发展的积极性,处罚力度、通报方式等还有进一步考量的空间。
数据泄露的危害有多大?该怎么保护我们的数据信息安全?
个人数据泄露的危害
1)金融账户如支付宝、微信支付、网银等账号与密码被曝光,会被其他人拿来进行金融犯罪与诈骗;
2)用户虚拟账户中的虚拟资产可能被盗窃、变现;
3)隐私数据的泄露会导致大量广告、垃圾信息、电商营销等发送给用户,给用户生活上带来极大的不便;
企业数据泄露的危害
1)企业品牌和声誉,网站受到攻击时,最先受到影响的是企业品牌和声誉。而每一个公司绝对不会想要把名声与著名的入侵事件或客户信用卡信息丢失联系起来。
2)流量损失,无论您的网站是纯粹信息型网站,还是电子商务网站,网络流量关系到可见性与受欢迎性。如果网站遭受攻击,那些避免登录可疑网站的谨慎客户就可能不在访问该网站,不仅如此,企业网站在搜索引擎上的排名也将受到影响。谷歌通常定期抓取网站并进行识别,并将那些被黑客攻击或出现“可疑活动”的网站列入黑名单。
3)企业人力成本,网站受到攻击造成数据泄露时,公司受其影响搭上的不仅仅只是声誉,作为企业主、执行官或IT专业人士负责网站安全的人员,一旦在其监管之下发生攻击事件造成数据泄露,这可能意味着他要引咎辞职。
4)时间、成本的增加,一旦网站受到攻击,必要遭受入侵造成的数据泄露,而且永远不知道还会有哪些其他风险和漏洞,对于人力物力来说,都是一个很大的花费。
用户隐私泄露,小部分是由于不良习惯无意识流出,多数还是系统管理漏洞导致,当用户在浏览一些未知网站时,总是没有意识的忽略警告,造成信息泄露,当然有些事系统管理不合理造成的,所以,在上网时都应该注意加以防范。
很多互联网企业对网络安全和数据信息保护不够重视,存在很大的安全隐患。很多企业都想着如何收集到更多的用户信息,然后通过大数据分析从这些用户身上榨取到最大的利益。对大数据信息安全根本就没有投入技术支持,数据在采集、储存、分析、计算、调用的过程中缺乏安全加密系统的保护。以下用户及企业需要为保护数据所应做的措施。
个人注意事项:
减少URLS应用:尽量减少在如bit.ly这类服务网址上的浏览时间,因为他们都可以是恶性的。用户应该打开新的浏览器选项卡,并搜索涉及到的有关内容或网站
重视安全证书警告:当网站SSL证书过期或者无效,警告会显示在用户浏览器,以提示当前登录网站的安全证书无效,或不受信任的CA机构颁发的SSL证书。用户应该退出浏览或检查网站的真实性。
认真检查网址:伪造的网络钓鱼网站往往精心制作,伪装一个拥有SSL证书的假网站。因此,在提供登录认证或帐户等任何个人信息之前,用户应养成认真检查地址栏中证书信息的习惯。
企业注意事项:
随着网络钓鱼变得愈加复杂和精明,安全意识培训对于保护企业和员工免受依托技术的网络钓鱼诈骗变得至关重要。
而企业和各个平台也更应该注重安全防护,及时通过数安时代GDCA安装SSL证书,除了保护用户信息安全、防止用户误进钓鱼假冒网站以外,还能让用户有信心访问网站。
SSL证书可为网站进行身份认证、对网站数据传输进行加密,防止用户误进钓鱼网站、部署SSL证书后严谨的加密系统有效防止第三方窃取、篡改、流量劫持等行为,保证用户数据安全。
部署SSL证书后,网址栏会显示“HTTPS”和绿锁,更高级的EV SSL证书还可以在网址栏显示企业信息,让用户更信任的同时还可以提升企业品牌形象增加企业的营业额。隐私泄露问题并非一朝一夕就能改变,需要企业和个人共同努力,为用户的信息安全做出努力。所以部署SSL证书是企业为用户做的最好保护。