*本文首发于LexisNexis律商联讯《中国法律透视》
继因滥用市场支配地位实施不公平高价、限定交易等行为排除、限制相关市场竞争被罚8760万元后,近日,知网(CNKI)又因违规收集个人信息被处5000万元罚款。
据国家互联网信息办公室公开处罚信息显示,知网主要运营主体同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账后未及时删除用户个人信息等违法行为。
表1.知网(CNKI)处罚主要违法行为
序号 | 违法行为 | 条款依据 |
1 | 违反必要原则收集个人信息 | 《个人信息保护法》第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。 收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。 |
2 | 未经同意收集个人信息 | 《个人信息保护法》第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; (七)法律、行政法规规定的其他情形。 依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。 |
3 | 未公开或未明示收集使用规则 | 《个人信息保护法》第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 |
4 | 未提供账号注销功能 | 《电信和互联网用户个人信息保护规定》第九条第四款 电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。 |
5 | 在用户注销后未及时删除用户个人信息 | 《个人信息保护法》第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (一)处理目的已实现、无法实现或者为实现处理目的不再必要; (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。 |
此次知网被罚,处罚原因集中在个人信息的收集、使用及删除过程。个人信息处理者在进行个人信息数据处理时,应当遵循《网络安全法》、《个人信息保护法》等法律规范要求,履行个人信息保护义务。
依据规范要求,个人信息处理者收集个人信息,应当确保:1.不得过度收集个人信息,收集个人信息限于处理目的的最小范围;2.处理个人信息前取得合法性基础,需获取个人同意的,应当告知并取得个人同意;3.不得以个人不同意或撤回同意为由,拒绝提供产品或服务。
个人信息使用过程,应当确保:1.处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理目的、方式和范围; 2. 严格围绕授权使用范围,若超出原先告知同意范围,则须再次征求个人信息主体明示同意;3.利用个人信息进行自动化决策,应保证决策的透明度和结果公平、公正;4.使用过程需加强个人信息访问控制、个人信息展示宜采取去标识化等措施、进行用户画像需消除明确身份指向性等。个人信息使用过程需确保程序合规、安全合法,强化对个人信息的安全保障、防止数据泄露。
在个人信息的保存上,应当确保:1.除法律、行政法规另有规定外,个人信息保存期限为实现处理目的所必要的最短时间;2.处理目的已实现、无法实现或为实现处理目的不在必要的,个人信息处理者停止提供产品或者服务,或者保存期限已届满的,法律、行政法规规定的其他情形下个人撤回同意的,应及时删除个人信息;3.委托处理情形下,委托合同不生效、无效、被撤销或者终止的,受托人应及时将个人信息返还或删除,不得保留。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,上述知网违法行为所涉的个人信息收集、使用及删除事由为个人信息处理阶段的部分组成。个人信息处理者应遵从《个人信息保护法》等相关法律规范条款要求,确保数据处理过程始终充分保障个人信息主体权利、维护数据安全。
依据《个人信息保护法》法律责任条款规定,对违反个人信息处理规则,情节严重的应当由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。此次知网违法处理个人信息,国家网信办处罚中顶格适用了五千万罚款数额。上一年度营业额由于案涉企业年报财务数据未进行公开,参照国家市监局行政处罚中载明知网2021年度境内销售额17.52亿元来看,2022年度年营业额的百分之五大致也在5000万上下。根据公开的处罚通知,行政机关综合考虑了违法行为性质、后果、持续时间,特别是网络安全审查情况等因素,做出网络安全审查相关行政处罚决定。对此,可以了解到,此次顶格处罚结合了网络安全审查与个人信息处理审查,知网可能涉及未予公开的其他严重情节。
从本案公开的个人信息审查违法结果来看,违反必要原则收集个人信息、未及时删除个人信息等行为客观上实务中尚且相当普遍,对于此类行为顶格处罚,为涉及个人信息处理的企业敲响了警钟。
应对个人信息保护需求,企业应对处理的个人信息情况进行自我盘查,了解个人信息数据收集使用情况,并对相关处理情形及保护现状进行核查。在个人信息立法及监管起步阶段,较多企业对相关事项尚且未树立风险意识,导致在数据合规场域中存在较大的问题。对于涉及个人信息数据处理的企业而言,形成对个人信息保护的充分重视、核查个人信息保护现状、发现风险缺口,是开启个人信息保护合规的首要步骤。
了解个人信息处理情况后,企业应集中建立内部个人信息保护管理制度及操作规程,采取分类分级管理等形式加强对个人信息数据的管控。就个人信息管理过程安全技术措施、操作权限控制、人员教育及培训、个人信息安全事件应急预案等涉及个人信息保护的事项,形成书面制度及操作管理规程,从而指导合规建设。个人信息制度建成后,企业须推动规则落地,逐步在企业内部形成个人信息保护及数据安全管理组织架构,推进合规保障制度体系的稳步运行。
近期,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》,初步确立了个人信息保护合规审计相关要求。对于处理超过100万人次个人信息的个人信息处理者而言,需每年开展合规涉及,其他个人信息处理者需每二年至少开展一次审计。定期进行个人信息合规保护审计,有助于企业发现个人信息保护合规风险漏洞,借助审计工作进行风险整改,促使企业形成良性循环的个人信息保护合规体系,切实保障个人信息权益、规范个人信息处理活动。
在个人信息保护强监管的执法背景下,企业在业务经营中涉及收集处理个人信息的,应当严格履行《个人信息保护法》规范要求,践行个人信息安全保障与合规义务。伴随个人信息场域监管执法的不断强化,企业涉及个人信息处理活动的应当未雨绸缪,自行或借助第三方专业机构渠道形成自身个人信息保护合规制度与规范体系,进行合规建设与整改,避免数据安全事件、降低可能存在的法律与经济风险。