日前,国家互联网信息办公室依据法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。(9月6日新华社)
无独有偶,这是不到一年时间里,知网第二次遭重罚。上次是2022年12月,因为滥用市场支配地位被国家市场监管总局处以人民币8760万元罚款。因实施垄断行为被罚之后,知网表示要“深刻自省,全面自查,彻底整改,依法合规经营”,然而才过9个月时间,又发生了违法处理个人信息的问题。这次,他们表示“诚恳接受,坚决服从”,并称“全面开展整改工作”。但愿知网知耻而后勇,从此全面依法合规经营,而不只是停留在口头上。
5000万元罚款,是个人信息保护法实施以来最大的一笔罚单,知网刷新了纪录。罚款数额对照法律条文,可见其违法行为属于“情节严重”范畴。从官方通报来看,知网在个人信息保护上存在四大问题:违反必要原则收集个人信息,未经同意收集个人信息,未公开或未明示收集使用规则,未提供账号注销功能、在用户注销账号后未及时删除用户个人信息。这些行为本身,就已经违反相关法律。譬如按个人信息保护法规定,搜集个人信息,应当具有明确、合理的目的,并应当与处理目的直接相关,限于实现处理目的的最小范围,不得过度收集个人信息。倘若这些信息被滥用、误用,甚至被不法之徒非法使用,那就更可怕了。
从同类案件来看,个人信息从收集、储存到应用的各个环节,均存在泄露风险点。以储存环节为例,由于一些平台缺乏足够的保护能力,导致其所收集的大量用户信息容易被黑客攻破、窃取,何况个别企业还存在“内鬼”现象。央视《今日说法》栏目不久前揭秘过一起“黑灰产”案,公安机关抓获了23名运营商“内鬼”。警方从查获的电脑中恢复的数据,包括8000多万条手机号码。这个漏洞有多大、风险有多大,想想都后怕。
巨额罚单是为知网开的,但警钟是为全网敲的,因为无论是在过度收集、未经同意收集还是未及时删除用户个人信息上,知网都不是孤例,不少企业的情况并不比知网好多少,之前也有若干企业领了罚单。知网遭监管重锤敲打,对所有相关企业发出警示,用户个人信息固然是企业可以利用的重要财富,但也可能是企业运营的一个风险点,如果忽视操作过程的依法合规性,就可能给企业带来违法风险,不可不慎。
面对非法获取个人信息、非法提供个人信息、App等信息工具设计和使用不合规、个人信息保管不当、第三方机构违规等诸多风险,开展个人信息处理的企业必须比过去更加重视保护工作。首先,要结合自身业务特点建立健全个人信息保护合规管理制度。包括内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度。其次,要建立有效的个人信息意外泄露应急响应预案。制定预案,明确意外事件分级处理方法和响应程序,将潜在风险降到最低。再次,要持续关注合规义务的发展变化。我国在这方面的法律规范仍在不断出台和更新,企业应持续关注相关变化,及时调整和不断完善合规管理目标、风险判断标准和管理措施。
法律是坚硬的。在刚性法律面前,不能有任何侥幸心理。相关企业必须看清形势、把握大势,构建起更完备的个人信息保护、数据安全和网络安全管控体系,与社会保持良性互动、实现共赢。
(广州日报评论员 练洪洋)