国家インターネット情報弁公室は知網(CNKI)に対してサイバーセキュリティ審査に関する行政処罰を行う
2023年9月6日、国家インターネット情報弁公室は公式サイトで通報を発表し、知網(CNKI)に対して法に基づくサイバーセキュリティ審査に関する行政処罰の決定を下し、個人情報の違法処理行為の停止を命じ、人民元5000万元の罰金を科すと発表した。このニュースは急速に社会各界の注目を集めている。知網が国内最大の学術文献データベースプラットフォームとして、長期にわたって高等教育と科学研究機関にサービスを提供しているだけでなく、この処罰は『サイバーセキュリティ法』『データセキュリティ法』『個人情報保護法』が全面的に実施されて以来、大型データプラットフォームに対するもう一つのベンチマーク的な罰金であるからだ。
今回のサイバーセキュリティ審査は2022年6月から始まった。当時、国家網信弁公室は関係部門と共同で、『国家安全法』『サイバー安全法』『データ安全法』に基づいて知網の審査を開始した。審査は1年余りをかけて行われ、最終的に知網に複数の違法事実が存在すると認定された。通報によると、知網が運営する複数のモバイルアプリケーションは、不必要な個人情報の強制収集、ユーザーの同意を得ずに個人情報を収集し、アカウントのログアウト機能を提供していない、プライバシーポリシーの中で個人情報処理規則を完全に説明していないなどの違反行為があり、個人情報保護法の関連規定に重大な違反があるという。同時に、審査はまた、知網にデータ安全管理制度の不備、データ安全技術の防護能力の不足、ネットワーク安全保護義務の未履行などの問題が存在し、『ネットワーク安全法』に規定されたネットワーク運営者が安全保護義務を履行しない状況を構成していることを発見した。
知網は中国の知識インフラプロジェクトの重要な構成部分として、20年来累計で大量の学術定期刊行物、学位論文、会議論文、新聞、年鑑などの資源を収録し、そのデータベースは国内のほとんどの科学研究産出をカバーし、ユーザー層はほとんどの高校、科学研究院所及び大量の企業・事業体をカバーしている。このような高度なリソース集中性は、個人情報と重要なデータの収束ノードとして天然に機能します。学位論文だけを例に、毎年数十万件の博修士学位論文が新たに追加され、いずれも著者の名前、学校、専門、指導者、連絡先などの個人情報を含み、一部の機密または非公開論文も特定の範囲内で流転している。膨大なデータ量と複雑な収集シーンは、厳格なコンプライアンスフレームワークとセキュリティ保護が欠けていると、個人情報の漏洩とデータの乱用のリスクの開放に発展しやすい。
国家網信弁公室が公開した詳細によると、知網の複数のAppはユーザー登録時に、必要ではない住所、位置、記憶権限のオープンを強制的に要求し、拒否オプションを提供していない、ユーザーがアカウントをログアウトする時、不合理な条件を設定したり、処理を遅らせたりして、一部のユーザーがログアウト申請を提出してから数ヶ月経っても完成していない、プライバシーポリシーにおける個人情報の出国、第三者共有、データ保存期間などの条項についての記述があいまいで、ユーザーは自分の情報がどのように処理されているかを知ることができない。これらの行為は知網独自ではなく、モバイルインターネット業界では一時一般的な持病となったが、国家科学研究インフラにサービスを提供するヘッドプラットフォームとして、そのコンプライアンス基準はより厳格であるべきである。
注目すべきは、今回の処罰の法的根拠には、最近施行された「個人情報保護法」だけでなく、「サイバーセキュリティ法」と「データセキュリティ法」も引用されていることだ。3つの法を併用した処罰構造は、「データの全ライフサイクルコンプライアンス」に対する規制当局のシステム的な要件を解放する。言い換えれば、プラットフォームは個人情報収集段階の合法的かつ正当性を確保するだけでなく、収集、記憶、使用、加工、伝送、提供、公開、削除などの各段階をカバーするデータ安全管理システムを構築し、ネットワーク安全等級保護制度を実行し、安全事件の応急応答義務を履行しなければならない。知網は5000万元の罰金を科され、これまでの多国籍科学技術大手に対する処罰額を下回ったが、その警告効果は本土の大型データプラットフォームを指している。「公益性」や「科学研究属性」によってデータコンプライアンスの責任を免除できる企業はない。
処罰決定の公布当日、知網は公式サイトとソーシャルメディアプラットフォームで対応声明を発表し、誠実に受け入れ、断固として網信部門の行政処罰決定に従うことを表明し、そして詳細な改善案を制定した。声明によると、知網は個人情報保護コンプライアンスの自己調査を全面的に展開し、モバイルアプリケーションの権限管理を最適化し、ユーザーアカウントのログアウトプロセスを改善し、プライバシーポリシーを改訂し、重要な条項を顕著に提示する。同時に、データセキュリティ技術の投入を増やし、データセキュリティ官制を確立し、定期的にコンプライアンス監査と従業員研修を展開する。この一連の約束が定着するかどうかは、プラットフォームの改善の誠意を観察する試金石になるだろう。
過去2年間を振り返ってみると、知網は前後して独占禁止調査、巨額の罰金、世論の疑問を経験し、20年以上黙々と運営してきた学術インフラから突然公衆の目にさらされた。2022年5月、市場監督管理総局は知網が独占行為の疑いで立件調査を実施し、同年12月に行政処罰決定を下し、知網に独占協力の停止、競争の制限を命じ、2021年度の中国国内売上高の5%の罰金を科し、計8760万元を科した。独占禁止とサイバーセキュリティ審査の二重規制の重錘は、学術資源であれソーシャルエンターテインメントであれ、いかなるプラットフォームも市場支配地位やデータ優位性を借りることができず、公平な競争とユーザー権益保護のベースラインから逸脱していることを反映している。
業界の視点から見ると、知網事件は滴滴、BOSS直招聘、満組に続き、米国に進出した上場企業と重要な情報インフラ運営者に対するサイバーセキュリティ法執行事例である。しかし、前述の企業と異なり、知網は上場しておらず、その違反行為は主に国内の個人情報処理とデータセキュリティ義務の履行に集中している。これは、規制当局によるデータコンプライアンスの審査が国境を越えた上場企業から国内のすべての大型データプラットフォームに延長され、海外上場に関連するかどうかを開始のハードルとしていないことを示している。将来、特定の業界で高い市場占有率を持ち、大量の敏感な情報を把握し、重要なインフラストラクチャにサービスを提供するプラットフォームは、常態化したネットワークセキュリティ審査の視野に入れられる可能性がある。
学界と科学研究ユーザーにとって、知網のコンプライアンス改善は同様に身近な利益にかかわる。長年にわたり、大学の教師と学生の知網に対する苦情はダウンロード費用、独占著作権だけでなく、アカウントの抹消難、個人論文の強制授権、不必要な情報収集などのプライバシー上の不安も含まれている。今回の処罰が知網の登録プロセスの簡略化、アカウントの登録解除、個人情報処理規則の明確化を真に推進できれば、ユーザー体験を改善し、プラットフォームとユーザーの間の信頼関係を再構築することは間違いない。さらに見ると、これは他の学術データベース、オンライン教育プラットフォーム、知識有料製品にも参照可能なコンプライアンスの手本を提供している。
サイバーセキュリティ審査と行政処罰はこれまで目的ではなく手段だった。国家インターネット情報弁公室は記者の質問に答え、今回の処罰は「違法な違反を処罰し、規範的な発展を誘導する」ことを目的としていると強調した。知網の20年以上の蓄積は、かけがえのない国家知識インフラにしてきたが、デジタル化、インテリジェント化、法治化が並行して進む新時代には、インフラはまずコンプライアンスのベンチマークにならなければならない。5000万元の罰金は重いコンプライアンスコストですが、ガバナンス投資にも価値があります。各論文、各レポート、各ユーザーの個人情報が安全な軌道を回ることができるようになると、知網はそれに与えられた歴史的使命を本当に担うことができる。
