知网天价罚单之鉴，企业如何打好个人信息保护合规战

9月6日下午，国家互联网信息办公室公布了对知网（CNKI）做出网络安全审查相关行政处罚的决定，责令停止违法处理个人信息行为，并罚款5000万元人民币。

官方通报显示，知网在个人信息保护上存有四大问题：（一）违反必要原则收集个人信息；（二）未经同意收集个人信息；（三）未公开或未明示收集使用规则；（四）未提供账号注销功能、在用户注销账号后未及时删除用户个人信息。

本次处罚是自2021年11月1日《个人信息保护法》施行以来，相对重磅的一张罚单，此事件也标志着个人信息保护已成为企业必须正视与重视的合规要地。

? 何为个人信息？

最早明确该定义的是于2017年6月1日起施行的《网络安全法》，该法第76条规定：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。该定义表明可以识别个人身份的信息为个人信息，强调“身份”和“可识别”。

2021年1月1日施行的《民法典》第1034条中又提及：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。对比《网络安全法》，去掉了对于“身份”的限定，并继续坚持“可识别”，在列举中加入了“电子邮箱“、“健康信息”和”行踪信息”。

及至《个人信息保护法》对个人信息的定义保留了抽象定义，舍弃了具象列举，并加入了除外情况，具体表述为：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息（《个人信息保护法》第4条）。此规定，将不具可识别特性的匿名化处理信息明确排除于个人信息范围之外。

综观以上立法精神，不难看出，法律无需穷举每一种具体信息是否为个人信息，而只需判断该信息是否具备对自然人的“可识别性”，即可认定是否为个人信息。现代商业发展日新月异，个人信息不断展现出新的表现形式，企业唯有把握上述核心要义，方可正确界定本企业所需规范的个人信息范畴，合规守正，构筑安全的经营边界。

? 法律对于个人信息保护的要求

一、 侵犯公民个人信息罪

2015年11月1日《刑法修正案（九）》将原有的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，整合为“侵犯公民个人信息罪”，具体规定如下：（一）违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。（二）违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。（三）窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。（《刑法》第253条之一）

由此可知，侵犯公民个人信息罪的入罪标准为：

①违反国家有关规定，出售公民个人信息。该个人信息若是在履职或提供服务过程中获取的，从重处罚；

②违反国家有关规定，提供公民个人信息。该个人信息若是在履职或提供服务过程中获取的，从重处罚；

③窃取公民个人信息；

④非法获取公民个人信息。

再结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017年6月1日起施行），可以得出以下几点关键意见：

第一，第①②条有“违反国家有关规定”为前提，即符合国家有关规定的出售和提供，则不触犯本罪。“国家有关规定”包括法律、行政法规、部门规章，没有包括地方性法规和地方政府规章。

法律对于“合法的”提供有如下规定：《个人信息保护法》第23条规定“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意”。《网络安全法》第42条规定“未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外”。《民法典》第1038条规定“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。”以上强调的均是取得本人同意。

第二，依据第②条规定，即便是无偿的“提供”也属于本罪入罪范围，行为人若以并未获利为由实施抗辩，抗辩应属无效。“向他人提供”，不仅指向特定人提供，也包括通过信息网络或其他途径向不特定公众公开发布。

第三，第④条所提及“非法获取”，指违反国家有关规定，通过购买、收受、交换等方式获取，或在履职或提供服务过程中收集。通过第一条分析中对于“合法提供”的界定，可以推知“合法获取”的要求也是取得本人同意，或获取已合法公开的个人信息。

第四，属于“情节严重”的情形，主要从信息用途、信息类型、信息数量、违法所得数额、行为人主观恶性、行为是否造成严重后果等方面进行考量，包括非法获取、出售或提供的个人信息达到特定条目数以上，或违法所得五千元以上等。

二、违反个人信息保护的有关法律

违反《个人信息保护法》《网络安全法》《民法典》等法律法规对于个人信息保护的规定，但又尚未严重到触犯《刑法》253条之一侵犯公民个人信息罪的程度，则属于个人信息保护的违法行为，会受到相关行政处罚，或需承担相应民事赔偿责任。

上述法律对于个人信息保护的规定大致涵盖如下：

第一，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第二，个人信息的处理遵循“告知-同意”原则。

告知指信息处理者应公开或明示个人信息处理规则，并应在处理个人信息前，对用户进行充分告知。告知内容包括：个人信息处理者的名称和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使权利的方式和程序；法律、行政法规规定应当告知的其他事项。上述内容发生变更，应将变更部分告知用户。

同意指个人同意处理者按照告知的处理规则处理个人信息（法律法规有规定无需取得个人同意的情形除外），按照法律规定特定信息还应取得单独同意（如向他人提供个人信息）或书面同意。同意作出后，个人有权撤回，商家不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务（处理个人信息属于提供产品或者服务所必需的除外）。个人撤回同意，商家应主动删除个人信息。

在知网判例中，知网便踩了此处的未公开收集使用规则、未获用户同意、用户注销（撤销同意）后未能删除用户信息的法律红线。

第三，收集个人信息应符合必要原则，不得过度收集个人信息。个人信息的处理应当具有明确合理的目的，收集信息应当限于实现处理目的的最小范围，个人信息的保存期限应当为实现处理目的所必要的最短时间。

2022年7月21日，国家网信办对滴滴全球股份有限公司处以80.26亿元人民币罚款，对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款，其主要处罚原因即为滴滴过度收集用户信息，包括违法收集用户手机相册中的截图信息1196.39万条；过度收集用户剪切板信息、应用列表信息83.23亿条；过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条等。

第四，用户对个人信息的处理享有知情权、决定权（可限制或拒绝商家处理）、更正补充权、删除请求权。

第五，处理敏感个人信息，应具有特定的目的和充分的必要性，并采取严格保护措施。敏感信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

第六，利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

第七，向境外提供个人信息应遵循法律法规特定规定。

第八，违法处罚规定。违反个人信息保护法律法规规定，由监管部门责令改正，给予警告，没收违法所得，对相关应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的，由省级以上监管部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

? 企业在个人信息保护领域应构筑的合规防火墙

首先，完善组织建设和制度规范。在产品或服务提供过程中，会接触用户个人信息的企业应指定个人信息保护负责人，并遵循相关法律法规，制订健全的个人信息处理制度，加强人员培训，确保信息保护工作按制度执行与落地。有条件的企业可以聘请外部独立机构对制度流程制订和实施情况进行监督。

其次，切实履行“告知-同意”原则，做到个人信息处理规则公开公示，完善用户“告知-同意”的交互流程，加强系统可回溯功能，使用经用户加密签名的电子授权书，或采取可视化技术，可还原用户在阅读告知、确认同意环节的操作行为，降低纠纷发生时企业举证不能的风险。

第三，做好数据安全管理。评估数据收集的必要性与合理性，避免过度采集。采取加密、去标识化等安全技术进行数据存储。对于敏感信息处理、对外提供信息等重大事件应予以事前评估，过程记录。对个人信息数据实施分类管理。合理设置内部人员数据权限。建立定期的外部或内部审计制度。

最后，作好数据安全风险预案，制定在极端风险之下可以采取的补救措施，组织安全演练。

伴随互联网技术的普及，即便是提供非互联网产品或服务的企业也不可避免的会使用网络技术，与用户触网，接触或收集到一定的用户信息。如何让这些信息可以精准为企业服务，提升用户体验，带来经济效益，而非成为烫手山芋，为企业带来风险或隐患。滴滴、知网殷鉴在前，如何作好个人信息保护合规建设，避免遭遇不可承受之痛，应成为每一位企业经营者认真思考的话题。