法学专家解读，知网为何被国家网信办罚5000万

9月6日，针对知网的网络安全审查相关处罚落地。“知网被罚5000万”冲上热搜，网友评论“天下学子苦知网久矣”“谁给他权力用别人的知识赚钱”“干得漂亮”等。

国家网信办责令知网停止违法处理个人信息行为，并处人民币5000万元罚款。受访人士认为，知网的行为被认定属于“情节严重”的违法行为。

此前的2022年12月26日，市场监管总局对知网滥用市场支配地位作出行政处罚，并责令其全面整改。（详见：《知网被罚8760万元之后》）

此外，知网还曾于2022年被19名作家起诉，理由是未经作者授权在其网站上发布原创作品，严重侵犯创作者著作权。财经E法从知情人士处了解到，目前这些作家大多已经与知网形成和解。（详见：《19名作家索赔700余万元，知网独家回应：从未故意侵权，愿意承担相应责任》）

在立案调查15个月之后，国家网信办公布的网络安全审查相关行政处罚决定显示，知网运营的14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。责令停止违法处理个人信息行为，并处人民币5000万元罚款。

在这一处罚决定公布12分钟后，知网发布声明称，“诚恳接受，坚决服从”。

声明还表示，自接受网络安全审查以来，知网全力配合，坚持安全与发展并重，全面开展整改工作，进一步加强了网络安全、数据安全、个人信息保护等各项建设。

怎么理解和认定收集个人信息的违法行为？

本次对知网的处罚主要是针对“其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。”

怎么理解和认定此类违法行为？武汉大学法学院副教授、武汉大学网络治理研究院副院长袁康，接受极目新闻记者采访时说，当前不少网络服务提供者以及APP都存在着违法收集处理个人信息的问题。我国的网络安全法和个人信息保护法已经有明确的规定，个人信息处理的规则也比较明确，个人信息处理应当遵循“最小必要原则”和“知情同意规则”。《网络安全法》第22条第三款，以及《个人信息保护法》第13条，都规定了个人信息处理的知情同意规则。《个人信息保护法》第6条，规定了最小必要原则。

袁康解读说，知网违反必要原则收集个人信息，就是超出了提供服务所实际需要的范围，过度收集个人信息。在当前大数据时代，很多企业都有冲动，尽可能多地收集个人信息和数据，从而形成和积累数据资产，但这无疑是与公民个人信息权益相冲突的。比如原本只需要用户IP地址，姓名等信息的，还要去搜集用户的性别，手机号码，通讯录的信息等等，那就属于是过度收集个人信息。还有一些个人信息处理者过度索权，在未得到用户授权的情况下，就拒绝提供服务，这其实都属于违法行为，违反了个人信息保护法第六条的规定。

未经同意收集个人信息，就是在用户不知情且未明确授权的情况下，私下擅自收集处理个人信息，这与个人信息保护法所明确的知情同意规则完全相悖，在未得到用户同意的情况下，是不能收集个人信息的。

未公开或未明示收集使用规则，实际上是知情同意规则中的“知情”的标准没达到。《个人信息保护法》第七条和第17条，都规定了个人信息处理规则，以及处理的目的，方式和范围，这些是为了确保用户知悉其个人信息有哪些会被收集以及如何去处理，还有将用于什么用途？这种规则是为了保障用户的知情权。

袁康说，国家网信办这次对知网的处罚，应该说具有比较强的示范意义，可以通过这个案例进一步强化整个社会以及相关企业对于个人信息保护法的重视和遵守。

旗下14款App违法处理个人信息

针对知网的网络安全审查始于2022年6月23日，国家网信办宣布其下属的网络安全审查办公室约谈同方知网（北京）技术有限公司负责人，并对知网启动网络安全审查。

网络安全审查相关行政处罚决定显示，知网主要运营主体为同方知网（北京）技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊（光盘版）》电子杂志社有限公司三家公司，其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。

根据《个人信息保护法》第66条规定，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。

中伦律师事务所合伙人陈际红表示，根据处罚结果来看，知网的违法行为应该被认定“情节严重”。

德恒律师事务所律师刘扬表示，可以看到，监管机构对于违反《个人信息保护法》相关规定行为的打击力度在逐步提高。他建议，相关行业应该更加重视个人信息保护，同时应做好相应合规工作，确保收集个人信息的行为符合法律法规要求。

中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋左晓栋分析，当前中国家非常重视数据安全工作，已经颁布《网络安全法》《数据安全法》和《个人信息保护法》等法律，并制定一系列的细则。他建议行业要认识到当前国家加强数据安全保护的决心，认识到法律的威慑力，要增强守法、依法运营的意识。

为何被审查？

对于“网络安全审查相关行政处罚”，左晓栋认为，“相关”二字非常重要。

通报指出，根据网络安全审查结论及发现的问题和移送的线索，国家网信办对知网涉嫌违法处理个人信息行为进行立案调查。

陈际红也表示，监管机构在对知网实行网络安全审查过程中，发现违反《个人信息保护法》的行为，对其进行行政处罚，“是两个不同的程序”。他指出，网络安全审查因为涉及到国家安全事项，可以不公开。

按照《行政处罚结果信息网上公开暂行办法》规定，有下列情形之一的行政处罚结果信息，不予网上公开：(一)被处罚人是未成年人的；(二)案件主要事实涉及国家秘密、商业秘密、个人隐私的；(三)公开后可能危及国家安全、公共安全、经济安全和社会稳定的；(四)省级以上行政执法机关认为不适宜网上公开的其他行政处罚结果信息。

此前，为何会对知网启动网络安全审查？

去年，在对知网启动网络安全审查时的通报曾指出，知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据，以及我重大项目、重要科技成果及关键技术动态等敏感信息。

刘扬分析指出，知网作为一家学术网站，其本身的业务属性决定了必然会掌握海量的信息和数据，当前无论是信息出境还是数据出境，都是国家战略高度关注的问题，相关的国家安全问题可能与此有关。