摘要:2023年9月6日,国家互联网信息办公室发布《国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚》,知网(CNKI)主要运营主体的三家公司及其运营的14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑其违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对其依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
目 录
一、本次处罚决定中有哪些信息?
二、APP侵害用户权益的主要监管方面
三、APP处理个人信息的法律合规要点
四、违法处理个人信息的行政处罚尺度
01
本次处罚决定中有哪些信息?
(一) 个人信息保护的监管机构
根据我国《个人信息保护法》的规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门、县级以上地方人民政府有关部门在职责范围内负责个人信息保护和监督管理工作。根据公开可查的相关行政处罚案例中,笔者发现,实际作出行政处罚的主体主要为国家互联网信息办公室、市场监督管理局、公安局、通信管理局,其中以公安局为主要处罚主体、其次为市场监督管理局。实际上,个人信息保护相关职责部门包括国家互联网信息办公室、工业和信息化部通信管理局、公安机关和国家市场监督管理局,同时根据具体行业领域的不同,还会涉及央行、保监会、银监会、证监会、邮政管理机构、征信监督管理机构等其他部门。
(二) 不同主体的责任划分
从国家网信办的处罚决定中可以知悉,知网的主要运营主体三家公司,旗下涉嫌违法处理个人信息的APP有14款,且存在多项具体违法行为。但处罚决定没有清晰地说明罚款的具体承担主体(是否为连带责任)、不同APP存在的具体违法情形,仅笼统地表达为“对知网(CNKI)依法作出网络安全审查相关行政处罚的决定”。我国《行政处罚法》规定了具有一定社会影响的行政处罚决定应当依法公开。同时规定,行政处罚决定书应当载明下列事项:当事人的姓名或者名称、地址;违反法律、法规、规章的事实和证据;行政处罚的种类和依据;行政处罚的履行方式和期限;申请行政复议、提起行政诉讼的途径和期限;作出行政处罚决定的行政机关名称和作出决定的日期。然而,在知网处罚案中,上述事项并未逐一列明。
(三) 知网APP收集了哪些个人信息
从“手机知网”APP的隐私政策中所公开的个人信息收集清单,可以看出此款APP采集了大量的个人信息,包括:
而上述APP信息收集是否超过必要范围,是否与收集目的直接相关、是否具全部有必要性值得推敲。
从国家网信办的处罚中也可看出,知网(CNKI)收集的个人信息或已经超出了必要的范围。违法收集个人信息,对个人隐私、人身及财产安全带来的潜在威胁是巨大的。
02
APP侵害用户权益的主要监管方面
2019年《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》、2020年《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》、2021年《工业和信息化部启动互联网行业专项整治行动》中指出了多项常见APP违规处理个人信息情形,具体包括:
1. 违规收集用户个人信息:私自收集个人信息、超范围收集个人信息。
2. 违规使用用户个人信息:私自共享给第三方、强制用户使用定向推送功能。
3. 不合理索取用户权限:不给权限不让用、频繁申请权限、过度索取权限。
4. 为用户账号注销设置障碍:账号注销难。
5. APP、SDK违规处理用户个人信息:违规收集个人信息、超范围收集个人信息、违规使用个人信息、强制用户使用定向推送功能。
6. 设置障碍、频繁骚扰用户:APP强制、频繁、过度索取权限,APP频繁自启动和关联启动。
7. 欺骗误导用户:欺骗误导用户下载APP、欺骗误导用户提供个人信息。
8. 启动弹窗欺骗误导用户,强制提供个性化服务等问题,包括弹窗整屏为跳转链接、定向推送时提供虚假关闭按钮等场景。
2021年国家计算机网络应急技术处理协调中心(CNCERT)与中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》中也指出,2019年、2020年、2021年受理的投诉举报事件中超范围收集无关个人信息、强制或频繁索要无关权限、无法注销账号等问题数量较多。
03
APP处理个人信息的法律合规要点
我国个人信息保护法等相关法律法规对个人信息的处理、个人信息主体的权利有明确的规定。APP作为违规处理个人信息的重灾区受到监管部门的重点关注,其运营者应当特别注意合法合规处理个人信息的要点,包括如下:
(一) 合法正当必要
《个人信息保护法》第五条规定:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。其中“必要”原则的理解为处理个人信息不应超过处理目的的最小范围。只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。
(二) 最小范围
《个人信息保护法》第六条规定:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最少的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。目的达成后,应及时删除个人信息。在2021年发布的《常见类型移动互联网应用程序必要个人信息范围规定》中对39类APP必要个人信息范围进行了明确,如学习教育类,基本功能服务为“在线辅导、网络课堂等”,必要个人信息为:注册用户移动电话号码。电子图书类,基本功能服务为“电子图书搜索、阅读”,无须个人信息,即可使用基本功能服务。
(三) 公开透明
《个人信息保护法》第七条规定:处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。即以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
(四) 告知同意
《个人信息保护法》设立了处理个人信息的“告知+同意”规则,除第十三条第一款第二项至第七项规定的特殊情形外,个人信息处理者处理个人信息必须获得个人的同意。同时个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式,处理的个人信息种类、保存期限、个人行使本法规定权利的方式和程序等。涉及敏感个人信息处理的,还应当取得单独同意,同时告知处理敏感个人信息的必要性及对个人权益的影响。
(五) 个人信息主体权利的响应
根据《个人信息保护法》等的规定,个人信息主体享有查询、更正、删除、撤回授权同意、注销账户、获取副本的权利。个人信息处理者应在三十天内或法律法规规定的期限内作出答复及合理解释。
04
违法处理个人信息的行政处罚尺度
我国《个人信息保护法》中对于违法处理个人信息的规定为,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
从上述规定可以看出,《个人信息保护法》对违法处理个人信息的处罚力度大。根据违法程度,对单位或个人给予相应的处罚,并且规定了双罚制,对直接负责人员和其他直接责任人也可以处以罚款。在过往的巨额处罚案例中可以看出,国家对个人信息保护、网络安全监管的高度重视,特别是对企业多次、长期、隐瞒欺骗性等恶劣违法行为的严厉惩治。还需要注意的是,企业违法处理个人信息除了将受到监管部门的处罚外,还可能会面临个人信息主体等起诉要求侵权赔偿。
作者简介
方诗龙
国浩上海合伙人
业务领域:知识产权、公司投融资、民商事争议解决等
邮箱:simonfang@grandall.com.cn
洪靓勤
国浩上海律师
业务领域:知识产权、民商事争议解决等
邮箱:hongliangqin@grandall.com.cn
【 特别声明:本篇文章所阐述和说明的观点仅代表作者本人意见,仅供参考和交流,不代表本所或其律师出具的任何形式之法律意见或建议。】
