国家互联网信息办公室对知网(CNKI)作出网络安全审查相关行政处罚
2023年9月6日,国家互联网信息办公室在其官网发布通报,宣布对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令其停止违法处理个人信息行为,并处人民币5000万元罚款。这一消息迅速引发社会各界广泛关注,不仅因为知网作为国内最大的学术文献数据库平台,长期服务高等教育与科研机构,更因为这起处罚是《网络安全法》《数据安全法》《个人信息保护法》全面实施以来,针对大型数据平台开出的又一具有标杆意义的罚单。
此次网络安全审查始于2022年6月。当时,国家网信办会同有关部门,依据《国家安全法》《网络安全法》《数据安全法》对知网启动审查。审查工作历时一年有余,最终认定知网存在多项违法事实。通报指出,知网运营的多个移动应用程序存在强制收集非必要个人信息、未经用户同意收集个人信息、未提供账号注销功能、在隐私政策中未完整说明个人信息处理规则等违规行为,严重违反《个人信息保护法》相关规定。与此同时,审查还发现知网存在数据安全管理制度不健全、数据安全技术防护能力不足、未履行网络安全保护义务等问题,构成《网络安全法》所规定的网络运营者不履行安全保护义务的情形。
知网作为中国知识基础设施工程的重要组成部分,二十余年来累计收录海量学术期刊、学位论文、会议论文、报纸、年鉴等资源,其数据库涵盖国内绝大多数科研产出,用户群体覆盖几乎全部高校、科研院所及大量企事业单位。这种高度的资源集中性,使其天然成为个人信息与重要数据的汇聚节点。仅以学位论文为例,每年新增博硕士学位论文数十万篇,每一篇都包含作者的姓名、学校、专业、导师、联系方式等个人信息,部分涉密或非公开论文亦在特定范围内流转。庞大的数据体量与复杂的采集场景,若缺乏严谨的合规框架与安全防护,极易演变为个人信息泄露与数据滥用的风险敞口。
根据国家网信办公开的细节,知网多款App在用户注册时,强制要求开启非必要的通讯录、位置、存储权限,且未提供拒绝选项;在用户注销账号时,设置不合理条件或拖延处理,部分用户注销申请提交后数月仍未完成;隐私政策中关于个人信息出境、第三方共享、数据留存期限等条款表述模糊,用户难以知悉自己的信息被如何处理。这些行为并非知网独有,在移动互联网行业一度成为普遍痼疾,但作为服务国家科研基础设施的头部平台,其合规标准本应更为严格。
值得注意的是,此次处罚的法律依据不仅包括新近实施的《个人信息保护法》,还援引了《网络安全法》与《数据安全法》。三法并用的处罚结构,释放出监管部门对“数据全生命周期合规”的系统性要求。换言之,平台不仅要确保个人信息采集环节的合法正当,还必须建立覆盖收集、存储、使用、加工、传输、提供、公开、删除等各环节的数据安全管理体系,落实网络安全等级保护制度,履行安全事件应急响应义务。知网被罚5000万元,虽低于此前对某些跨国科技巨头的处罚金额,但其警示效应直指本土大型数据平台——没有企业可以因“公益性”或“科研属性”而豁免数据合规责任。
处罚决定公布当日,知网在其官方网站及社交媒体平台发布回应声明,表示诚恳接受、坚决服从网信部门的行政处罚决定,并已制定详细的整改方案。声明称,知网将全面开展个人信息保护合规自查,优化移动应用程序权限管理,完善用户账号注销流程,修订隐私政策并显著提示关键条款;同时,将加大数据安全技术投入,建立数据安全官制度,定期开展合规审计与员工培训。这一系列承诺能否落地,将成为观察平台整改诚意的试金石。
回顾过去两年,知网先后经历反垄断调查、巨额罚单、舆论质疑,从一家默默运行二十余年的学术基础设施突然被推向公众审视的前台。2022年5月,市场监管总局对知网涉嫌实施垄断行为立案调查,同年12月作出行政处罚决定,责令知网停止独家合作、不得限制竞争,并处以其2021年度中国境内销售额5%的罚款,计8760万元。反垄断与网络安全审查的双重监管重锤,反映出国家对平台经济发展模式的深层反思——无论是学术资源还是社交娱乐,任何平台都不能借市场支配地位或数据优势地位,偏离公平竞争与保护用户权益的底线。
从行业视角看,知网案是继滴滴、BOSS直聘、满帮之后,又一起针对赴美上市企业与关键信息基础设施运营者的网络安全执法案例。但与前述企业不同,知网并未上市,其违规行为主要集中在境内个人信息处理与数据安全义务履行方面。这表明监管部门对数据合规的审查已从跨境上市企业延伸至境内所有大型数据平台,不再以是否涉及境外上市为启动门槛。未来,凡是在特定行业具有较高市场占有率、掌握海量敏感信息、服务关键基础设施的平台,均可能被纳入常态化网络安全审查视野。
对于学术界与科研用户而言,知网的合规整改同样关乎切身利益。多年来,高校师生对知网的抱怨不止于下载费用、独家版权,还包括账号注销难、个人论文被强制授权、非必要信息收集等隐私焦虑。此次处罚若能真正推动知网简化注册流程、开放账号注销、明确个人信息处理规则,无疑将改善用户体验,重塑平台与用户之间的信任关系。进一步看,这也为其他学术数据库、在线教育平台、知识付费产品提供了可参照的合规范本。
网络安全审查与行政处罚从来不是目的,而是手段。国家互联网信息办公室在答记者问中强调,此次处罚意在“惩戒违法违规、引导规范发展”。知网二十余年的积累,使其成为不可替代的国家知识基础设施,但在数字化、智能化、法治化并轨前行的新时代,基础设施必须首先成为合规的标杆。5000万元罚款是一笔沉重的合规成本,却也是一笔值得付出的治理投资。当每一篇论文、每一份报告、每一位用户的个人信息都能在安全的轨道上流转,知网才能真正担负起它被赋予的历史使命。
