2021-2022个人信息保护法对互联网商业模式影响分析报告.pptx

2021-2022个人信息保护法对互联网商业模式影响分析报告核心观点个人信息保护法出台是对我国信息安全法律体系的完善。从个人信息保护法的具体内容看，基本对标全球最严个人信息保护法规欧盟 GDPR。个人信息保护法的告知 - 同意原则及对于自动化推荐及互联网平台的相关要求将一定程度改变互联网商业模式边界。 1 个人信息保护法对于互联网商业模式的影响集中在个性化推荐以及数字广告方面 : ）处理个人信息前需征得用户同意条件下，用户拒绝提供非必需信息可能对短视频、新闻、推荐等基于用户个人信息的内容分发和推荐效率产生一定负面影响；目前关闭个性化推荐所需步骤繁杂，且关闭后内容质量或大幅下滑，后续用户关闭意愿仍有待观察； 2 ）用户行为数据不可使用下，广告颗粒度下降，造成 eCPM降低，广告主 ROI下滑；参考欧盟 GDPR实施后情况 , GDPR实施后造成网页浏览量下滑 11.7%，电商网站收入下滑 13.3%，主要由于用户拒绝访问非必需数据以及广告投放效率降低共同导致。其中，拒绝访问行为数据的单用户广告收入下降 52%，占比约 4.1%-15.4%。尽管如此，随着总用户量、用户留存及时长以及广告曝光量增加，数字广告市场仍保持增长。从不同渠道看，后续广告投入或转向对个人信息要求较低的社交和搜索广告。目录 1 2 、个人信息保护法的主要内容、个人信息保护法对互联网商业模式的影响 1 、个人信息保护法的主要内容 1 1 1 .1、个人信息保护法的立法背景和历程 .2 、个人信息保护法的重点内容 .3 、中美欧个人信息保护立法比较 1 .1、个人信息保护法的立法背景和历程个人信息保护法于 2021年 8月 20日经十三届全国人大常委会第三十次会议正式表决通过，将于 2021年 11 月 1日施行。截至 2020年 12月，我国互联网用户达 9.89亿，网站超过 443万个、应用程序超过 345万个，个人信息的收集、使用广泛；与此同时，随意收集、违法获取、过度使用、非法买卖个人信息、大数据杀熟等问题突出，为进一步加强个人信息保护法制保障、维护网络空间良好生态、促进数字经济健康发展，制定个人信息保护法。图 1:个人信息保护法的立法历程资料来源：中国人大网，南方都市报，光大证券研究所 4 1 .2、个人信息保护法的重点内容图 2:个人信息保护法的主要内容资料来源：个人信息保护法，光大证券研究所 5 个人信息保护法涉及的术语及定义表 1:个人信息保护法涉及的术语及定义个人信息以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息个人敏感信息自动化决策去标识化通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程匿名化个人信息经过处理无法识别特定自然人且不能复原的过程资料来源：个人信息保护法，光大证券研究所 6 个人信息保护法的保护和规制对象表 2:个人信息保护法的保护和规制对象保护对象规制对象自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益在中华人民共和国境内处理自然人个人信息的活动，包括以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为；法律、行政法规规定的其他情形。国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。监管机构 / / 自然人个人信息权益知情权、反对权撤回权、复制权可携带权资料来源：个人信息保护法，光大证券研究所 7 个人信息处理基本原则：最小必要、公开、透明个人信息保护法规定，收集个人信息应当限于实现处理目的的最小范围，并且不得过度收集个人信息。参考常见类型移动互联网应用程序必要个人信息范围规定对不同类别 App所必需的个人信息规定，过度收集个人信息的行为或遭一定限制。表 3：常见类型移动互联网应用程序必要个人信息范围规定（部分）无须个人信息，即可使用基本功能服务（不超过一定时长的视频搜索、播放）地图导航位置信息、出发地、到达地短视频类注册用户移动电话号码；乘车人出发地、到达地、位置信息、行踪轨迹；支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付金额、支付渠道等支付信息网络约车类餐饮外卖类注册用户移动电话号码；旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等；旅客出发地、目的地、出发时间、车次 /船次 /航班号、席别 /舱位等级、座位号（如有）、车牌号及车牌颜色（ ETC服务 )；支付时间、支付金额、支付渠道等支付信息注册用户移动电话号码；账号信息：账号、即时通信联系人账号列表即时通信类交通票务类注册用户移动电话号码；借款人姓名、证件类型和号码、证件有效期限、银行卡号码网络社区类网络支付类注册用户移动电话号码网络借贷类网络游戏类注册用户移动电话号码；注册用户姓名、证件类型和号码、证件有效期限、银行卡号码注册用户移动电话号码资料来源：常见类型移动互联网应用程序必要个人信息范围规定，光大证券研究所 8 一般规则：告知同意个人信息保护法第十三条规定，处理个人信息应当取得个人同意。若为订立、履行个人作为一方当事人的合同；或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理；履行法定职责或者法定义务；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；或法律、行政法规规定的其他情形，可不需取得个人同意个人信息保护法第十四条规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。个人信息保护法第十五、十六条规定， 1）基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 2）个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。资料来源：个人信息保护法，光大证券研究所 9 一般规则：关于自动化决策个人信息保护法中将自动化决策定义为通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。个人信息保护法第二十四条规定个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。资料来源：个人信息保护法，光大证券研究所 1 0 敏感信息：处理前需取得个人单独同意个人信息保护法第二十八条指出，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。未成年人个人信息处理：个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意并应当制定专门的个人信息处理规则。资料来源：个人信息保护法，光大证券研究所 1 1 个人在个人信息处理活动中的权利知情权：个人信息保护法第四十四条，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。复制权 /可携带权： 1）个人有权向个人信息处理者查阅、复制其个人信息；规定情形除外。 2）个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。 3）个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。可撤回权 /删除权：个人信息保护法第四十七、四十九条：有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除： 1 ）处理目的已实现、无法实现或者为实现处理目的不再必要； 2）个人信息处理者停止提供产品或者服务，或者保存期限已届满； 3）个人撤回同意； 4）个人信息处理者违反法律、行政法规或者违反约定处理个人信息； 5）法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。资料来源：个人信息保护法，光大证券研究所 1 2 个人信息处理者的义务个人信息保护法第 51条：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失： 1）制定内部管理制度和操作规程； 2）对个人信息实行分类管理； 3）采取相应的加密、去标识化等安全技术措施； 4）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训； 5）制定并组织实施个人信息安全事件应急预案； 6）法律、行政法规规定的其他措施。个人信息保护法第 52条 : 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。个人信息保护法第 53条 :中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。个人信息保护法第 54条 :个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。资料来源：个人信息保护法，光大证券研究所 1 3 个人信息处理者的义务个人信息保护法第 55条：有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录： 1）处理敏感个人信息； 2）利用个人信息进行自动化决策； 3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息； 4）向境外提供个人信息； 5）其他对个人权益有重大影响的个人信息处理活动。个人信息保护法第 56条：个人信息保护影响评估应当包括下列内容： 1）个人信息的处理目的、处理方式等是否合法、正当、必要； 2）对个人权益的影响及安全风险； 3）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。个人信息保护法第 57条：发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项： 1）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害； 2）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施； 3）个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。资料来源：个人信息保护法，光大证券研究所 1 4 特别个人信息处理者的义务提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者资料来源：个人信息保护法，光大证券研究所 1 5 处罚措施个人信息保护法第 66条：违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。个人信息保护法第 67条：有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。资料来源：个人信息保护法，光大证券研究所 1 6 1 .3、中美欧个人信息保护立法比较目前全球共有 128 个国家通过立法保护个人信息。其中，结合市场规模、规制范围等因素，以欧盟通用数据保护条例 ( GDPR， 2018年 5月 )，美国加利福尼亚州隐私保护法 (CCPA以及法律、行政法规规定的其他情形欧盟境外 :在欧盟境外向欧盟境内个人提供商品或服务，或对其监控的情形 / 加州居民：非临时或临时目的而在该州的每个人，以及居住在该州但临时或因暂时的目的而在该州之外的每个人欧盟境内自然人和在欧盟设立的机构所处理的个人数据中国境内的自然人和在中国境内处理的个人数据 (不限于欧盟境内的自然人） (不限于中国境内的个人 ) 受保护对象 1 ）年收入超过 2500万美元 ; 2)购买、收取、出数据控制者和数据处理者（减免雇员人数在 250 人以下实体的备案义务）售或共享 100,000 人甚至更多的消费者、家庭或设备的个人信息 ; 3)通过销售或共享消费者的个人信息获得其年收入的 50%甚至更多的企业规制对象个人信息处理者和受托人任何一项或多项针对单一个人数据或系列个人数据所进个人信息处理包括收集、存储、使用、加工、传输、行的操作行为提供、公开、删除等适用的数据活动收集、出售、共享资料来源：腾讯研究院，光大证券研究所 1 8 1 .3、中美欧个人信息保护立法比较合法性基础：同意规则（ OPT-IN ）和选择退出（ OPT-OUT）中国个人信息保护法与欧盟 GDPR 都采取了选择加入 (opt-in)模式，即以个人同意作为数据处理合法性理由的，非经个人同意，不得对其个人信息进行处理，并且都对同意的有效性提出了实质性要求，即自愿明确充分知情加州隐私法以选择退出 (opt-out)为主要模式，即除非用户拒绝或退出，则公司可以继续处理用户的个人信息表 6:个人信息保护法、 GDPR、 CCPA 2)公开处理的个人信息 ; 3)所收集的个人图像、身份识别信息用于维护公共安全以外的目的 ;4)处理敏感个人信息 ; 5)向境外提供个人信息 ; 书面同意：法律、行政法规规定处理敏感个人信息应当取得个人书面同意的同意类型合法范围处理特殊类型数据 :明确同意 / 信息主体的同意 ;订立或者履行个人作为一方当事人的数据主体的同意 ;履行合同所必要 ;数据控制者履行法定义务合同所必需 ;为履行法定职责或者法定义务所必需 ;紧所必需 ;保护数据主体或另一自然人的核心利益所必要 ;处理急情况下为保护自然人的生命健康和财产安全所必需 ; 是为了公共利益或基于官方权威而履行义务 ;控制者或第三方公共利益 ;依照依法制定的劳动规章制度和依法签订的的正当利益 (不违背数据主体的优先性理由、基本权利与自由 ) 集体合同实施人力资源管理所必需 ;在合理的范围内处理个人自行公开或者已经合法公开的个人信息不适用于可公开获取的信息以及合法获得的、引起公众关注的真实信息资料来源：腾讯研究院，光大证券研究所 19 1 .3、中美欧个人信息保护立法比较信息主体权利：知情权知情权方面，个人信息保护法对个人信息处理者的信息披露要求更为严格；由于数字服务涉及多方数据主体参与，以数字广告为例，广告主、数据管理平台、第三方数据提供商、广告验证和归因提供商等主体均处理大量的个人信息，后续仍需观察处理者对所有参与方的身份信息在事前予以披露的落地方案。表 7:个人信息保护法、 GDPR、 CCPA收入影响大公司 VS小公司 = -8.9% VS -17.4% 图 8:GDPR实施后用户拒绝率对页面访问量和收入的影响图 9:GDPR实施前后 Facebook欧洲和总体收入增长率变动 8 0% 0% 0% 0% 0% 0% 0% 0% 7 6 5 4 3 2 1 0% 1Q17 2Q17 3Q17 4Q17 1Q18 2Q18 3Q18 4Q18 1Q19 2Q19 3Q19 4Q19 1Q20 2Q20 3Q20 4Q20 1Q21 2Q21 FB-EUROPE YOY YOY 注：为拒绝提供个人信息用户 /总体用户比率；为页面访问量和收入受影响比例资料来源： REGULATING PRIVACY ONLINE: AN ECONOMIC EVALUATION OF THE GDPR，作者： Samuel G. Goldberg, Garrett A. Johnson和 Scott K. Shriver 资料来源：公司公告，光大证券研究所 2 9 2 .2、数字广告： eCPM和 ROI下滑欧盟：不同广告渠道受 GDPR影响程度不同，展示和电子邮件广告对页面浏览量和收入的负面影响较大根据 Samuel G. Goldberg, Garrett A. Johnson Ravichandran and Korula, 2019), 则对数字广告市场总体影响 -5%；但总用户量、用户留存及时长以及总体广告量的曝光增加将推动数字广告市场持续增长。图 13:2017-2020年欧洲各数字广告形式支出占比变化图 12:2010-2020年欧洲数字广告市场规模 80 70 60 50 40 30 20 10 0 20% 18% 16% 14% 12% 10% 8% 6% 4% 2% 0% 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 欧洲数字广告市场规模（十亿欧元，左轴） YOY（右轴）资料来源： IAB，光大证券研究所资料来源： IAB，光大证券研究所 3 1 2 .2、数字广告：广告投入随用户注意力迁徙用户注意力有限下互联网时长保持稳定，数字广告仍有望持续增长从广告市场构成看， 2020年我国广告市场总体规模达到 9,144亿元，其中数字广告达 5439亿元，占比达 59.5%；广告投入随用户注意力迁徙，互联网用户时长和规模保持稳定下，广告曝光量增加将推动数字广告市场持续增长。图 15:2020年 12月中国细分移动互联网媒介平台广告容量分布图 14:2018-2022年中国互联网广告市场规模变化 1 2,000 0,000 25% 20% 24.3% 11,070 1 10,168 18.0% 9,144 8,000 6,000 4,000 2,000 0 8,674 7 ,987 6,079 1 5% 6 ,71 1 1.8% 12.6% 5,439 10.5% .9% 1 0.20% 10% 8 8 .6% 11.2% 4 ,095 4 ,830 5.4% 5% 0% 2018 2019 2020 2021e 2022e 中国广告市场规模（亿元）中国互联网广告市场规模（亿元）中国广告市场增长率（ %）中国互联网广告市场增长率（ %）资料来源： Quest Mobile，光大证券研究所资料来源： Quest Mobile预测，光大证券研究所 3 2 2 .2、数字广告：广告投入随用户注意力迁徙个人信息保护法新规对腾讯广告收入影响有限媒体广告以品牌广告为主，受个人信息保护影响较小；社交广告方面，微信朋友圈广告贡献超 80%收入（根据 QuestMobile 互联网广告规模及不同媒介广告收入占比计算）朋友圈广告定向能力主要来自于地理位置、个人基本信息（年龄、性别等）、行为和兴趣定向；微信目前已积累大量用户信息（ 2Q21 MAU达 12.51亿）。个人信息保护法实施后，用户拒绝提供个人信息和关闭个性化推荐意愿有待观察。匿名化信息处理及用户拒绝访问行为数据或使广告精确度有一定下降，但用户数及时长不变条件下，广告曝光量及广告内容视频化将持续推动收入增长。图 16:1H21不同媒介互联网广告收入 TOP10季度占比图 17:1Q19-2Q21中国互联网广告市场规模及增速 3 3 2 2 1 1 5% 2 1 1 1 ,000 60% 50% 29.2% ,800 ,600 ,400 0% 5% 0% 5% 0% 1 Q21 2Q21 4 0% 0% 3 1,200 ,000 00 600 16.5% 20% 10% 0% 1 8 10.3% 8.9% 5.6% -10% 4 00 00 0 3.2% 3.2% 5 % % 2 .2% 1.4% 1.2% 2 -20% -30% 0 1Q19 2Q19 3Q19 4Q19 1Q20 2Q20 3Q20 4Q20 1Q21 2Q21E 广告市场规模（左轴，亿元） YoY（右轴， %）资料来源： Quest Mobile预测，光大证券研究所资料来源： Quest Mobile，光大证券研究所 3 3 2 .3、个性化定价：明确禁止大数据杀熟个人信息保护法第 24条指出，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。据中国青年报 2021年 5月调查显示，电商类和住宿类平台大数据 “ 杀熟 ” 最普遍；同时 74.3%受访者认为大数据 “ 杀熟 ” 现象并未减少，未来实现决策透明度或成为企业合规重点图 18:用户在哪些平台遭遇过大数据 “ 杀熟 ” 图 19:用户认为大数据 “ 杀熟 ” 有改善吗 70% 60% 50% 40% 30% 20% 10% 61.8% 57.4% 45.2% 43.3% 40.5% 0% 资料来源：中国青年报社会调查中心（ 2021.05），光大证券研究所资料来源：中国青年报社会调查中心（ 2021.05），光大证券研究所 3 4 风险提示监管变动：互联网行业监管框架、政策和法律法规体系仍在完善中；随着实践推进，监管政策存在不确定性。流量红利消退：中国移动互联网用户数及用户时长基本见顶，对于广告业务产生负面影响。经济增长放缓：广告行业和经济周期高度正相关，宏观经济复苏不达预期或导致广告市场需求低迷。 3 5 THANKS