让每一份权利都有法律守护
联络我们
English 简体中文

关于 |

 文章详情

知网被罚5000万!数据合规中如何把握收集个人信息的“必要原则”?
来源:https://mp.weixin.qq.com/s/Sh3F7IiuHEMX4glWV7ioXA | 作者:葛伟超 | 发布时间: 2023-09-07 | 1420 次浏览 | 分享到:

#知网又上热搜啦#


这次直接是国家互联网信息办公室


依法作出网络安全审查相关行政处罚



热度之快,影响之大


连各大官微也发文通报




让人不禁好奇,知网做了什么被罚了5000万??



知网被罚50000万


       2023年9月6日16:51分,“网信中国”微信公众号公布了中国知网因涉嫌违法处理个人信息行为被立案调查的处罚结果。全文如下:



       根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。经查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。


       9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。


       国家互联网信息办公室将继续坚持统筹发展和安全,坚持依法管网,强化网络安全、数据安全和个人信息保护等领域执法,为企业营造健康规范有序的发展环境,切实维护国家网络安全、数据安全和公民合法权益。


       就在该通知发出后不久,知网进行了诚恳地回应:



       一个发布处罚,一个接受罚款,没有狡辩、没有反转大家吃瓜就吃完了?不!!法律人吃瓜从来不会这么简单!


        知网被处罚不是个例,在之前,已经有过多家知名互联网企业旗下的App产品因数据安全被处罚,而且大多数被处罚的原因也是在个人信息收集过程中违反了“必要原则”。



       那么,什么是“必要原则”呢?



App违反“必要原则”收集个人信息的规范来源



       这就需要从法律法规及规范性文件层面,梳理App违反“必要原则”收集个人信息的规范来源:


       1.《民法典》


       第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:

       (一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

       (二)公开处理信息的规则;

       (三)明示处理信息的目的、方式和范围;

       (四)不违反法律、行政法规的规定和双方的约定。

       个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。


       2.《网络安全法》


       第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

       第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

       网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。


      3.《个人信息保护法》


       第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

       第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。

       第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。

       第九条  个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

       第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。


       4. 《App违法违规收集使用个人信息行为认定方法》

       四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息:

       1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;

       2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

       3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

       4.收集个人信息的频度等超出业务功能实际需要;

       5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

       6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

       

       此外,还有网信办、工信部等下发的《关于开展App违法违规收集使用个人信息专项治理的公告》《网络数据安全管理条例(征求意见稿)》《常见类型移动互联网应用程序必要个人信息范围规定》等部门规章以及国家标准化管理委员会发布的(GB/T 35273-2020《信息安全技术 个人信息安全规范》等国家标准等。


       从法律规范层面来看,对于收集个人信息的“必要原则”在法律位阶各个层面均有明确规定,但该原则属于个人信息安全的基本原则,在具体应用方面,还需结合互联网行业及App的具体应用场景进行把握。



“必要原则”在具体应用中的体现


       2021年3月,国家网信办、工信部、公安部、市场监管局四部门联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,对39种常见类型的App收集个人信息的必要性范围作出了明确规定。


       其中与我们日常生活中相关的App收集个人信息的必要性范围典型如:

       通过对上述39类常见类型的App进行分析,可知除了基于业务需求和实现特定业务场景所必要的业务索取外,App不得收集除实现其基本功能之外的客户个人信息。而对于何为“基于业务需求和实现特定业务场景所必要的业务索取的个人信息”,则需要各企业在开发过程中自主判断,审慎选择。


互联网企业数据合规全流程建议


       随着网络科技的发展,导致越来越多的公民个人信息暴露在互联网之上,也滋生了很多公民个人信息被侵犯的安全问题。


       因此,国家对个人信息和数据保护力度必将逐步加大,自2019年以来,已经出现了多家知名企业因为数据合规问题被进行处罚,因此,互联网企业万不可轻视数据合规工作。



       针对互联网企业对个人信息的收集、使用、保护、存储和删除的数据全流程合规问题,华格律师提出如下建议:



- E N D -


作者 | 葛伟超

图片 | 网络、摄图网