扫码打开虎嗅APP
出品|虎嗅ESG组
作者|王静
编辑|袁加息
头图|视觉中国
本文是#ESG进步观察#系列第048篇文章
本次观察关键词:数据安全、隐私保护
知网又出问题了,这次被罚5000万。
最近,国家互联网信息办公室(以下简称“网信办”)对知网(CNKI)依法作出网络安全审查相关行政处罚,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
各地网信办处理过大量关于过度收集个人信息、侵害用户权益行为的App,一般是针对违法行为进行通报、责令期限整改或下架处理,处以罚款的情况并不多见。
而且,自2021年11月1日《个人信息保护法》正式施行以来,这是迄今为止罚金最高的一笔处罚。
为什么会受罚?
“网信中国”官方公号发布的文章显示,根据网络安全审查结论及发现的问题和移送的线索,网信办依法对知网涉嫌违法处理个人信息行为进行立案调查。
经查实,知网主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。
此次处罚依据来自《个人信息保护法》第六十六条,有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
知网被罚5000万,看来是顶格受罚。
不过,网信办对知网违规行为的定性,偏重于隐私保护,而非数据安全/网络安全。
随后,知网对此回应,诚恳接受,坚决服从。知网还表示“继续夯实个人信息保护、数据安全和网络安全管控体系”。
这次处罚,应该是去年网络安全审查办公室对知网启动的网络安全审查结果。
根据“网信中国”官方公号2022年6月24日的通报,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。
为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》(下称《办法》),2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,对知网启动网络安全审查。
这是自去年2月15日新修订《办法》生效以来,官方首次从公开层面对一家企业进行网络安全审查。
问题不止一处
网信办对知网采取的行动,或许针对的是教育信息服务行业中的一个通病。去年6月,就在网信办对知网立案、进行网络安全审查的前一天,一个名为M78Sec的网络安全团队爆料,暗网上有人挂出了1.7亿条学生用户数据,这些数据泄露自超星旗下名为“学习通”的APP。
“学习通”是国内大学生中一个非常普及的教育信息化平台,大学生用来听课、考试等,遭泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息。
像知网、超星这样的教育服务平台,它们储存着大量的学生、学者、学校信息,其中还包含敏感或机密学术研究数据。如果这些平台过度收集数据,并且无法妥善保护这些数据,会成为巨大的安全隐患。
教育服务平台除了有过度收集数据、数据安全上的弊病,也涉及垄断问题。
作为国内最大的学术电子资源集成商,知网收录了95%以上正式出版的中文学术资源,且独家授权的期刊占40%以上,并无其他学术资源平台能够实质性替代它的服务。这样庞大的市场垄断,显然是不够合规的。
在网络安全审查办公室启动网络安全审查的前一个月,即2022年5月,知网已因涉嫌垄断被市场监督总局立案调查。
2022年底,知网被市场监管总局重罚8760万元。这个数字其实是知网2021年境内销售额(17.52亿元)的5%。而2022年知网的净利润只有6000万元。
知网就垄断问题进行整改之后,其知识服务产品的价格和市场份额都有所下降。
2023年上半年,知网的营收为4.97亿,较去年同期减少6%。而上半年的归属净利润是负的6000万。
所以这次5000万元的罚单,对知网的财务状况又是一记重击。
风险预警,暂无
知网次次把风险用最粗糙的方式硬抗下来。其背后,是母公司同方科技拉垮的企业治理。
知网背后的同方股份,原本是清华大学的校办企业。2019年,在校企改革进程中,清华控股将同方的股权划转给了中国核工业集团(简称“中核”)。原本校企改革的目的是改善校办企业治理,但这在同方股份身上并没有奏效。中核给同方股份带来了很大一块民用核技术业务(具体包括与核技术相关的检测、安检、医疗等)。然而同方整体的营收水平,这几年一直停步不前。
就在几天前,同方股份发布了公司历史上首份ESG报告。这份报告看起来像是民用核技术、能源管理、数字信息三种业务的缝合体。知网属于数字信息业务中的一部分,谈不上有什么妥善地ESG治理可言,报告中也看不到同方对数据安全的任何思考。
9月1日,同方的大股东中核,又把股份全部转让给了自己的子公司中国宝原。
控股股东4年换了三个。公司年报里面的发展重点,一年换一套说法。知网坐在这艘颠簸的大船上,也难以有什么稳定可言。
知网在屡次违法被罚后,还想在公众认知里重塑信任和专业性,前景更不明朗了。
感谢您的阅读。ESG从业者或对此有兴趣的研究者、投资者,欢迎扫描下面二维码,申请加入我们社群。