个人信息保护法对互联网商业模式的影响：个人信息保护新纪元平台数据合规升级.pdf

证券研究报告 个人信息保护新纪元，平台数据合规升级 个人信息保护法对互联网商业模式的影响 2021年10月11日 作者： 【光大互联网传媒】付天姿/王凯/王缘 请务必参阅正文之后的重要声明 核心观点 1 个人信息保护法出台是对我国信息安全法律体系的完善。从个人信息保护法的具体 内容看，基本对标全球最严个人信息保护法规 欧盟 GDPR。个人信息保护法的告知- 同意原则及对于自动化推荐及互联网平台的相关要求将一定程度改变互联网商业模式边界。 个人信息保护法对于互联网商业模式的影响集中在个性化推荐以及数字广告方面: 1）处理个人信息前需征得用户同意条件下，用户拒绝提供非必需信息可能对短视频、新闻、 推荐等基于用户个人信息的内容分发和推荐效率产生一定负面影响；目前关闭个性化推荐所 需步骤繁杂，且关闭后内容质量或大幅下滑，后续用户关闭意愿仍有待观察； 2）用户行为数据不可使用下，广告颗粒度下降，造成eCPM降低，广告主ROI下滑；参考欧盟 GDPR实施后情况, GDPR实施后造成网页浏览量下滑11.7%，电商网站收入下滑13.3%，主 要由于用户拒绝访问非必需数据以及广告投放效率降低共同导致。其中，拒绝访问行为数据 的单用户广告收入下降52%，占比约4.1%-15.4%。尽管如此，随着总用户量、用户留存及 时长以及广告曝光量增加，数字广告市场仍保持增长。从不同渠道看，后续广告投入或转向 对个人信息要求较低的社交和搜索广告。 请务必参阅正文之后的重要声明 目 录 1、个人信息保护法的主要内容 2、个人信息保护法对互联网商业模式的影响 2 请务必参阅正文之后的重要声明 1.1、个人信息保护法的立法背景和历程 1.2 、个人信息保护法的重点内容 3 1、个人信息保护法的主要内容 1.3 、中美欧个人信息保护立法比较 请务必参阅正文之后的重要声明 4 1.1、个人信息保护法的立法背景和历程 资料来源：中国人大网，南方都市报，光大证券研究所 个人信息保护法于2021年8月20日经十三届全国人大常委会第三十次会议正式表决通过，将于2021年11 月1日施行。 截至2020年12月，我国互联网用户达9.89亿，网站超过443万个、应用程序超过345万个，个人信息的收集、 使用广泛；与此同时，随意收集、违法获取、过度使用、非法买卖个人信息、大数据杀熟等问题突出，为进一 步加强个人信息保护法制保障、维护网络空间良好生态、促进数字经济健康发展，制定个人信息保护法。 图1:个人信息保护法的立法历程 请务必参阅正文之后的重要声明 1.2、个人信息保护法的重点内容 5 资料来源：个人信息保护法，光大证券研究所 图2:个人信息保护法的主要内容 请务必参阅正文之后的重要声明 个人信息保护法涉及的术语及定义 6 资料来源：个人信息保护法，光大证券研究所 定义 个人信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 个人信息处理 包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等 个人敏感信息 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息 自动化决策 通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动 去标识化 个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程 匿名化 个人信息经过处理无法识别特定自然人且不能复原的过程 表1:个人信息保护法涉及的术语及定义 请务必参阅正文之后的重要声明 个人信息保护法的保护和规制对象 7 资料来源：个人信息保护法，光大证券研究所 个人信息保护法 保护对象 自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益 规制对象 在中华人民共和国境内处理自然人个人信息的活动，包括以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为；法律、行政法规规定的其他情形。 监管机构 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规 定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职 责，按照国家有关规定确定。 自然人个人信息权益 知情权、反对权/撤回权、复制权/可携带权 表2:个人信息保护法的保护和规制对象 请务必参阅正文之后的重要声明 个人信息处理基本原则：最小必要、公开、透明 8 资料来源：常见类型移动互联网应用程序必要个人信息范围规定，光大证券研究所 应用程序类别 必要个人信息 应用程序类别 必要个人信息 地图导航 位置信息、出发地、到达地 短视频类 无须个人信息，即可使用基本功能服务（不超过一定时长的视频搜索、播放） 网络约车类 注册用户移动电话号码；乘车人出发地、到达地、位置信息、行 踪轨迹；支付时间、支付金额、支付渠道等支付信息（网络预约 出租汽车服务） 餐饮外卖类 注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付金额、支付渠道等支付信息 即时通信类 注册用户移动电话号码；账号信息：账号、即时通信联系人账号列表 交通票务类 注册用户移动电话号码；旅客姓名、证件类型和号码、旅客类型。 旅客类型通常包括儿童、成人、学生等；旅客出发地、目的地、 出发时间、车次/船次/航班号、席别/舱位等级、座位号（如有）、 车牌号及车牌颜色（ETC服务)；支付时间、支付金额、支付渠道 等支付信息 网络社区类 注册用户移动电话号码 网络借贷类 注册用户移动电话号码；借款人姓名、证件类型和号码、证件有效期限、银行卡号码 网络支付类 注册用户移动电话号码；注册用户姓名、证件类型和号码、证件有效期限、银行卡号码 网络游戏类 注册用户移动电话号码 个人信息保护法规定，收集个人信息应当限于实现处理目的的最小范围，并且不得过度收集个人信息。参 考常见类型移动互联网应用程序必要个人信息范围规定对不同类别App所必需的个人信息规定，过度收集 个人信息的行为或遭一定限制。 表3：常见类型移动互联网应用程序必要个人信息范围规定（部分） 请务必参阅正文之后的重要声明 一般规则：告知同意 9 资料来源：个人信息保护法，光大证券研究所 个人信息保护法第十三条规定，处理个人信息应当取得个人同意。 若为订立、履行个人作为一方当事人的合同；或者按照依法制定的劳动规章制度和依法签订的集体合同实施人 力资源管理；履行法定职责或者法定义务；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健 康和财产安全；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；或法律、行政法 规规定的其他情形，可不需取得个人同意 个人信息保护法第十四条规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自 愿、明确作出。 个人信息保护法第十五、十六条规定，1）基于个人同意处理个人信息的，个人有权撤回其同意。个人信息 处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活 动的效力。2）个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务； 处理个人信息属于提供产品或者服务所必需的除外。 请务必参阅正文之后的重要声明 一般规则：关于自动化决策 10 资料来源：个人信息保护法，光大证券研究所 个人信息保护法中将自动化决策定义为通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经 济、健康、信用状况等，并进行决策的活动。 个人信息保护法第二十四条规定 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交 易价格等交易条件上实行不合理的差别待遇。 通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人 提供便捷的拒绝方式。 通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 请务必参阅正文之后的重要声明 敏感信息：处理前需取得个人单独同意 11 资料来源：个人信息保护法，光大证券研究所 个人信息保护法第二十八条指出，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受 到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、 行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严 格保护措施的情形下，个人信息处理者方可处理敏感个人信息。 处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从 其规定。个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理 敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。 未成年人个人信息处理：个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或 者其他监护人的同意并应当制定专门的个人信息处理规则。 请务必参阅正文之后的重要声明 个人在个人信息处理活动中的权利 12 资料来源：个人信息保护法，光大证券研究所 知情权：个人信息保护法第四十四条，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝 他人对其个人信息进行处理；法律、行政法规另有规定的除外。 复制权/可携带权：1）个人有权向个人信息处理者查阅、复制其个人信息；规定情形除外。2）个人请求查阅、 复制其个人信息的，个人信息处理者应当及时提供。3）个人请求将个人信息转移至其指定的个人信息处理者， 符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。 可撤回权/删除权：个人信息保护法第四十七、四十九条： 有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除： 1）处理目的已实现、无法实现或者为实现处理目的不再必要；2）个人信息处理者停止提供产品或者服务， 或者保存期限已届满；3）个人撤回同意；4）个人信息处理者违反法律、行政法规或者违反约定处理个人信 息；5）法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止 除存储和采取必要的安全保护措施之外的处理。 自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复 制、更正、删除等权利；死者生前另有安排的除外。 请务必参阅正文之后的重要声明 13 资料来源：个人信息保护法，光大证券研究所 个人信息处理者的义务 个人信息保护法第51条：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及 对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定， 并防止未经授权的访问以及个人信息泄露、篡改、丢失：1）制定内部管理制度和操作规程；2）对个人信息实 行分类管理；3）采取相应的加密、去标识化等安全技术措施；4）合理确定个人信息处理的操作权限，并定期 对从业人员进行安全教育和培训；5）制定并组织实施个人信息安全事件应急预案；6）法律、行政法规规定的 其他措施。 个人信息保护法第52条: 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保 护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护 负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。 个人信息保护法第53条:中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构 或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行 个人信息保护职责的部门。 个人信息保护法第54条:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 请务必参阅正文之后的重要声明 14 资料来源：个人信息保护法，光大证券研究所 个人信息处理者的义务 个人信息保护法第55条：有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对 处理情况进行记录：1）处理敏感个人信息；2）利用个人信息进行自动化决策；3）委托处理个人信息、向其 他个人信息处理者提供个人信息、公开个人信息；4）向境外提供个人信息；5）其他对个人权益有重大影响的 个人信息处理活动。 个人信息保护法第56条：个人信息保护影响评估应当包括下列内容：1）个人信息的处理目的、处理方式 等是否合法、正当、必要；2）对个人权益的影响及安全风险；3）所采取的保护措施是否合法、有效并与风险 程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。 个人信息保护法第57条：发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取 补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：1）发生或者可能发生个人信 息泄露、篡改、丢失的信息种类、原因和可能造成的危害；2）个人信息处理者采取的补救措施和个人可以采取 的减轻危害的措施；3）个人信息处理者的联系方式。 个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人； 履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。 请务必参阅正文之后的重要声明 15 资料来源：个人信息保护法，光大证券研究所 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者 特别个人信息处理者的义务 请务必参阅正文之后的重要声明 16 资料来源：个人信息保护法，光大证券研究所 处罚措施 个人信息保护法第66条： 违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护 职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服 务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以 下罚款。 有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部 门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下 罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 个人信息保护法第67条： 有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。 请务必参阅正文之后的重要声明 1.3、中美欧个人信息保护立法比较 17 资料来源：腾讯研究院，光大证券研究所 GDPR 个人信息保护法 CCPA以及法律、行政法规规定的其他情形 / 受保护对象 欧盟境内自然人和在欧盟设立的机构所处理的个人数据(不限于欧盟境内的自然人） 中国境内的自然人和在中国境内处理的个人数据 (不限于中国境内的个人) 加州居民：非临时或临时目的而在该州的每个人， 以及居住在该州但临时或因暂时的目的而在该州 之外的每个人 规制对象 数据控制者和数据处理者 （减免雇员人数在 250 人以下实体的备案义务） 个人信息处理者和受托人 1）年收入超过2500万美元; 2)购买、收取、出 售或共享 100,000 人甚至更多的消费者、家庭 或设备的个人信息; 3)通过销售或共享消费者的 个人信息获得其年收入的 50%甚至更多的企业 适用的数据活动 任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为 个人信息处理包括收集、存储、使用、加工、传输、提供、公开、删除等 收集、出售、共享 规制对象 中欧法律作为通用性综合性立法，并没有对受规制主体加以限缩，而是不区分规模大小和服务性质，从公共领域到 私营领域，从中小企业到跨国公司和个人，只要收集处理个人数据，均受规制 CCPA 2)公开处理的个 人信息 ; 3)所收集的个人图像、身份识别信息用于维 护公共安全以 外的目的;4)处理敏感个人信息; 5)向 境外提供个人信息; 书面同意：法律、行政法规规定处理敏感个人信息应 当取得 个人书面同意的 合法范围 数据主体的同意 ;履行合同所必要 ;数据控制者履行法定义务 所必需 ;保护数据主体或另一自然人的核心利益所必要;处理 是为了公共利益或基于官方权威而履行义务 ;控制者或第三方 的正当利益(不违背数据主体的优先性理由、基本权利与自由) 信息主体的同意;订立或者履行个人作为一方当事人的 合同所必需;为履行法定职责或者法定义务所必需;紧 急情况下为保护自然人的生命健康和财产安全所必需; 公共利益;依照依法制定的劳动规章制度和依法签订的 集体合同实施人力资源管理所必需;在合理的范围内处 理个人自行公开或者已经合 法公开的个人信息 不适用于可公开获取的信息以及合法获得的、 引起公众关注的真实信息 合法性基础：同意规则（OPT-IN ）和选择退出（OPT-OUT） 中国个人信息保护法与欧盟 GDPR 都采取了选择加入(opt-in)模式，即以个人同意作为数据处理合法性理由的， 非经个人同意， 不得对其个人信息进行处理，并且都对同意的有效性提出了实质性要求，即自愿明确充分知情 加州隐私法以选择退出(opt-out)为主要模式， 即除非用户拒绝或退出，则公司可以继续处理用户的个人信息 表6:个人信息保护法、GDPR、CCPA收入影响大公司VS小公司= -8.9% VS -17.4% 资料来源：REGULATING PRIVACY ONLINE: AN ECONOMIC EVALUATION OF THE GDPR，作者： Samuel G. Goldberg, Garrett A. Johnson和Scott K. Shriver 请务必参阅正文之后的重要声明 2.2、数字广告： eCPM和ROI下滑 30 资料来源：计算广告，作者：刘鹏，王超 图10:GDPR实施后不同广告渠道对网站页面访问量和收入的影响 图11:在线广告产品进化示意图 欧盟：不同广告渠道受GDPR影响程度不同，展示和电子邮件广告对页面浏览量 和收入的负面影响较大 根据Samuel G. Goldberg, Garrett A. Johnson Ravichandran and Korula, 2019), 则对数字广告市场总体影响-5%；但总用户量、用户留存及时长以及总体 广告量的曝光增加将推动数字广告市场持续增长。 图12:2010-2020年欧洲数字广告市场规模 图13:2017-2020年欧洲各数字广告形式支出占比变化 请务必参阅正文之后的重要声明 2.2、数字广告：广告投入随用户注意力迁徙 32 资料来源：Quest Mobile，光大证券研究所 资料来源：Quest Mobile预测，光大证券研究所 7,987 8,674 9,144 10,168 11,070 4,095 4,830 5,439 6,079 6,718 10.20% 8.6% 5.4% 11.2% 8.9% 24.3% 18.0% 12.6% 11.8% 10.5% 0% 5% 10% 15% 20% 25% 0 2,000 4,000 6,000 8,000 10,000 12,000 2018 2019 2020 2021e 2022e 中国广告市场规模（亿元） 中国互联网广告市场规模（亿元） 中国广告市场增长率（%） 中国互联网广告市场增长率（%） 图14:2018-2022年中国互联网广告市场规模变化 图15:2020年12月中国细分移动互联网媒介平台广告容量分布 用户注意力有限下互联网时长保持稳定，数字广告仍有望持续增长 从广告市场构成看，2020年我国广告市场总体规模达到9,144亿元，其中数字广告达5439亿元，占比达59.5%； 广告投入随用户注意力迁徙，互联网用户时长和规模保持稳定下，广告曝光量增加将推动数字广告市场持续增 长。 请务必参阅正文之后的重要声明 2.2、数字广告：广告投入随用户注意力迁徙 33 资料来源：Quest Mobile预测，光大证券研究所 资料来源：Quest Mobile，光大证券研究所 个人信息保护法新规对腾讯广告收入影响有限 图16:1H21不同媒介互联网广告收入TOP10季度占比 29.2% 16.5% 10.3% 8.9% 5.6% 3.2% 3.2% 2.2% 1.4% 1.2% 0% 5% 10% 15% 20% 25% 30% 35% 1Q21 2Q21 媒体广告以品牌广告为主，受个人信息保护影响较小；社交广告方面，微信朋友圈广告贡献超80%收入（根据QuestMobile 互联 网广告规模及不同媒介广告收入占比计算） 朋友圈广告定向能力主要来自于地理位置、个人基本信息（年龄、性别等）、行为和兴趣定向；微信目前已积累大量用户信 息（2Q21 MAU达12.51亿）。 个人信息保护法实施后，用户拒绝提供个人信息和关闭个性化推荐意愿有待观察。匿名化信息处理及用户拒绝访问行为 数据或使广告精确度有一定下降，但用户数及时长不变条件下，广告曝光量及广告内容视频化将持续推动收入增长。 图17:1Q19-2Q21中国互联网广告市场规模及增速 -30% -20% -10% 0% 10% 20% 30% 40% 50% 60% 0 200 400 600 800 1,000 1,200 1,400 1,600 1,800 2,000 1Q19 2Q19 3Q19 4Q19 1Q20 2Q20 3Q20 4Q20 1Q21 2Q21E 广告市场规模（左轴，亿元） YoY（右轴，%） 请务必参阅正文之后的重要声明 2.3、个性化定价：明确禁止大数据杀熟 34 61.8% 57.4% 45.2% 43.3% 40.5% 0% 10% 20% 30% 40% 50% 60% 70% 资料来源：中国青年报社会调查中心（2021.05），光大证券研究所 资料来源：中国青年报社会调查中心（2021.05），光大证券研究所 图18:用户在哪些平台遭遇过大数据“杀熟” 图19:用户认为大数据“杀熟”有改善吗 个人信息保护法第24条指出，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正， 不得对个人在交易价格等交易条件上实行不合理的差别待遇。 据中国青年报2021年5月调查显示，电商类和住宿类平台大数据“杀熟”最普遍；同时74.3%受访者认为大数据“杀 熟”现象并未减少，未来实现决策透明度或成为企业合规重点 请务必参阅正文之后的重要声明 风险提示 监管变动：互联网行业监管框架、政策和法律法规体系仍在完善中；随着实践推进，监管政策 存在不确定性。 流量红利消退：中国移动互联网用户数及用户时长基本见顶，对于广告业务产生负面影响。 35 经济增长放缓：广告行业和经济周期高度正相关，宏观经济复苏不达预期或导致广告市场需求低迷。