德恒解读丨知网被罚5000万元，企业数据合规迫在眉睫！

原创 赵长江、李甚泽 德恒重庆律师事务所 

知网(www.cnki.net)作为国内规模最大、最具影响力的中文学术期刊网,是全国学生、教师与科研人员开展科研工作、撰写论文都无法离开的最重要的数据库,已经成为了“国家知识基础设施”。

近年来,因数据库收费太高、版权问题、垄断问题和数据安全问题,知网一次次成为舆论焦点。本次知网因网络安全审查被罚5000万元事件,暴露出国内企业在数据安全管理与合规方面普遍存在的的重大管理缺陷,又一次将数据安全与合规推至风口。

一、知网被罚5000万元事件回顾

(一)网络安全审查的启动

2022年6月23日,为防范国家数据安全风险、维护国家安全、保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,网络安全审查办公室宣布对知网启动网络安全审查。

根据公开的信息,启动审查的原因是知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息,其数据处理活动影响或可能影响国家安全。

(二)网络安全审查的结果

2023年9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。

二、处罚结果分析

(一)处罚的依据是什么,5000万元是怎么算出来的?

根据通告内容,本次处罚的依据主要是《网络安全法》《个人信息保护法》《行政处罚法》,但从处罚金额5000万元上看,主要是依据《个人信息保护法》第六十六条。

该条确立了侵犯公民个人信息三个层次的处罚:第一层次是“责令改正、给予警告、没收违法所得、责令暂停或终止提供服务”;第二层次是“一百万元以下罚款”;第三层次是“情节严重的,处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或执照”。

从处罚结果看,知网事件无疑属于“情节严重”,因此直接适用了五千万元的处罚。

该处罚是否系顶格处罚?否也!

一是办案单位并未适用“停业、吊销”类处罚措施,这类措施的影响对于网络平台震慑力更大;二是并未按营业额的5%进行处罚。按照公开的财报,知网2022年的收入总额逾17亿元,若适用“营业额百分之五”,则处罚金额可以高达8000多万元。

(二)处罚针对的事实是什么?

根据公告,知网本次被查处的事实是“违法处理个人信息”,具体包括:三家公司14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。

上述行为,从数据生命周期的视角看,集中在“个人信息采集”(最小必要、知情同意、公开透明)和“个人信息销毁”(未提供账号注销和注销后的销毁)两个环节,这也是个人信息保护普遍存在的问题。

从国内已有的处罚案例看,仅仅以个人信息的采集和销毁问题而被罚款至5000万元的,也非常罕见,处罚公告中也未提及启动审查时声称的重要敏感数据问题。因此有理由相信,这是执法部门对知网违反数据安全和个人信息保护行为综合评价的结果。

(三)处罚对企业有何影响?

知网于去年被认定滥用市场支配地位处以8760万元的罚款,本次又被处以5000万元罚款,两次罚款累计逾1.3亿元,企业损失惨重。去年缴纳罚款后,知网调整了产品线、调低了数据库售价并裁撤了部分部门和人员,本次处罚结果出来后,知网除了缴纳罚款外,仍然必须要进行数据合规的整改,建立企业的个人信息保护体系,企业前期在合规方面偷工减料,后期全部要加倍的补上。

三、知网事件的启示

(一)监管日趋严格,企业不能有侥幸心理

从已经公开的重点执法案件与常态执法案件看,目前网络与数据安全领域的执法已经进入密集期,企业一旦有违法处理个人信息的行为,轻则责令改正、警告、没收违法所得,重则会引发高额罚款,甚至可能会有刑事责任。

“滴滴事件”80.26亿元的处罚、知网本次5000万元的处罚,给国内企业敲响了数据合规的警钟,也表明了监管部门的决心,企业对此万万不可有侥幸心理。

上海、江苏等地的网信执法,甚至已经走向了餐饮等“街边小店”。各地打击个人信息类刑事犯罪也从未停止,一些个人信息来源不明或者存在“数据原罪”的企业,往往也因为触犯该罪名而被科以刑事责任,企业负责人和技术负责人因此锒铛入狱。

(二)企业应当至少完成底线合规

目前未被处罚的企业应该抓紧时间进行数据安全风险排查和合规。数据合规必然带来一定成本,企业肯定要考虑可负担性问题。基于此,德恒重庆数据合规团队根据实践经验,总结出“三位一体”、“动静结合”的数据合规八字诀,并在此基础上提出了底线合规的理念,即:基于合规目的,设计最低限度满足法律规定的合规体系,同时为企业未来发展预留足够空间。

企业底线合规的主要内容

1、搭建“法律+技术+管理”三位一体的基础合规体系。

首先,从管理上要建立数据合规组织架构与职责体系,将合规责任分解到每个部门。

其次,从法律上要识别企业数据生命周期中每个环节的风险点,不求全面但求突出重点。

最后,从技术上要检视企业现有的技术体系与安全环境,避免明显违法行为。

上述三体一体的架构,可视企业发展阶段、发展战略和风险大小视情况投入。

2、识别重点环节风险。

企业应当对数据进行识别和分类分级,在此基础上,基于数据生命周期来排查法律风险点,相关环节包括数据采集、数据传输、数据存储、数据处理、数据使用、数据交换和数据销毁。

为了控制投入,企业可以多考虑两个内容:一是监管重点(如个人信息),二是主营业务直接相关。

综上,上述底线合规可以简化为:

(1)依法建立组织机构并明确职责;

(2)建立管理制度规范文本和法律协议文本;

(3)完成等保2.0(若有需要);

(4)重点数据生命周期环节的风险整改。

3、重视个人信息保护生命周期风险排查。

从行政和刑事执法的案例看,目前监管的重点仍然是个人信息保护问题,因此企业应当重点对网站、平台、公众号、APP等个人信息全生命周期的风险进行全面排查,特别是个人信息的采集与处理。

需要提示的是,数据销毁往往被企业认为是不重要的环节,而本次知网被罚的事实中,有两条与个人信息未销毁相关。

当然,底线合规不是最终目的,数据合规实际上是企业数字化转型中的常规工作,往往要伴随企业的整个生命周期。企业应当视之为一项长期工作加以重视,视发展阶段、发展重点围绕“三位一体”投入建设。

企业在搭建数据合规体系时,应当委托专业律师团队,结合自身所属行业或产业背景,设计和搭建富有弹性、具备长期发展可能的数据合规体系,这样才能够阶段性控制成本投入,实现数据合规与企业发展的协调共生。

联合撰写作者:

重庆邮电大学 李甚泽(德恒重庆见习生)

本文作者

声明:

本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。

德恒重庆律师事务所