1.1、《个人信息保护法》的立法背景和历程
《个人信息保护法》于2021年8月20日经十三届全国人大常委会第三十次会议正式表决通过,将于2021年11 月1日施行。 截至2020年12月,我国互联网用户达9.89亿,网站超过443万个、应用程序超过345万个,个人信息的收集、 使用广泛;与此同时,随意收集、违法获取、过度使用、非法买卖个人信息、大数据杀熟等问题突出,为进一 步加强个人信息保护法制保障、维护网络空间良好生态、促进数字经济健康发展,制定《个人信息保护法》。
1.2、《个人信息保护法》的重点内容
个人信息处理基本原则:最小必要、公开、透明
《个人信息保护法》规定,收集个人信息应当限于实现处理目的的最小范围,并且不得过度收集个人信息。参 考《常见类型移动互联网应用程序必要个人信息范围规定》对不同类别App所必需的个人信息规定,过度收集 个人信息的行为或遭一定限制。
敏感信息:处理前需取得个人单独同意
《个人信息保护法》第二十八条指出,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受 到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、 行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严 格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
个人在个人信息处理活动中的权利
知情权:《个人信息保护法》第四十四条,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝 他人对其个人信息进行处理;法律、行政法规另有规定的除外。
复制权/可携带权:1)个人有权向个人信息处理者查阅、复制其个人信息;规定情形除外。2)个人请求查阅、 复制其个人信息的,个人信息处理者应当及时提供。3)个人请求将个人信息转移至其指定的个人信息处理者, 符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
可撤回权/删除权:《个人信息保护法》第四十七、四十九条: 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: 1)处理目的已实现、无法实现或者为实现处理目的不再必要;2)个人信息处理者停止提供产品或者服务, 或者保存期限已届满;3)个人撤回同意;4)个人信息处理者违反法律、行政法规或者违反约定处理个人信 息;5)法律、行政法规规定的其他情形。
处理敏感个人信息应当取得个人的单独同意
法律、行政法规规定处理敏感个人信息应当取得书面同意的,从 其规定。个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理 敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。 未成年人个人信息处理:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或 者其他监护人的同意并应当制定专门的个人信息处理规则。
1.3、中美欧个人信息保护立法比较
目前全球共有 128 个国家通过立法保护个人信息。其中,结合市场规模、规制范围等因素,以欧盟《通用数据 保护条例》( GDPR,2018年5月),美国加利福尼亚州隐私保护法(CCPA&CPRA,2020年1月) 最具影响力; 在规则的严厉程度上《个人信息保护法》基本对标欧盟 GDPR,加州隐私立法(CCPA&CPRA)相较于其他两部法 律较为宽松,在立法模式、个人信息定义、适用范围、规制对象和具体条款方面存在一定差异。
规制对象
中欧法律作为通用性综合性立法,并没有对受规制主体加以限缩,而是不区分规模大小和服务性质,从公共领域到 私营领域,从中小企业到跨国公司和个人,只要收集处理个人数据,均受规制 ;CCPA&CPRA 作为聚焦于消费者隐私保护的立法, 仅适用于盈利性机构的背景下,将大部分中小企业排除在外,体 现消费者保护的实际效果,以及与促进企业发展、技术创新之间的平衡。
合法性基础:同意规则(OPT-IN )和选择退出(OPT-OUT)
中国 《个人信息保护法》与欧盟 GDPR 都采取了选择加入(opt-in)模式,即以个人同意作为数据处理合法性理由的, 非经个人同意, 不得对其个人信息进行处理,并且都对同意的有效性提出了实质性要求,即自愿明确充分知情 ;加州隐私法以选择退出(opt-out)为主要模式, 即除非用户拒绝或退出,则公司可以继续处理用户的个人信息。
2.1、个性化推荐:用户拒绝提供非必需信息或影响效率
根据《个人信息保护法》规定,个人信息处理前需征得用户同意,通过自动化决策方式(通过计算机程序自 动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动)向个人进行信 息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式 ;
新规下若用户拒绝提供非必需信息仍可继续使用服务;短视频、内容电商等基于用户个人信息的分发和推荐 效率受到一定影响;根据美国国家经济研究局NBER测算,GDPR的告知同意要求使得可追踪到的用户 Cookies总数下降了12.5%,但选择同意追踪的用户的预测准确性将有所提高 ;除特定自然人以外的信息,匿名用户信息仍可使用;此外,关闭个性化推荐后大概率导致内容质量降低,消 费者关闭个性化推荐意愿仍有待观察
2.2、数字广告
eCPM和ROI下滑
平台:用户行为数据不可使用下(匿名信息仍可使用),广告颗粒度下降,造成eCPM降低,ARPU值有所下 滑;据Garrett A. Johnson, Scott K. Shriver & Shaoyin Du(2019)测算,用户不允许追踪其行为数据相较 允许追踪的用户为广告联盟产生的收入减少52%;
广告主:数字广告投放精准度降低,ROI下滑。
欧盟:GDPR实施后,网站页面访问量下滑11.7%,电商收入下滑13.3%。根据Samuel G. Goldberg, Garrett A. Johnson & Scott K. Shriver(2021)对欧盟1084个在线网页在2017和 2018年第4周到第35周的数据, GDPR实施后造成网页浏览量下滑11.7%,造成电商网站收入下滑13.3%。
欧盟:用户拒绝访问非必需数据以及广告投放效率降低共同导致电商网站收入下滑。根据Samuel G. Goldberg, Garrett A. Johnson & Scott K. Shriver(2021)对欧盟1084个在线网页2017和2018年 第4周到第35周的数据,广告效率下降对页面浏览量估计值的影响约为9.4%,对收入估计值的影响约7.6%; 此外,用户拒绝提供个人信息对页面访问量的估计值影响约7%,对电商网站收入估计值影响约29%;但同意追踪 个人信息的单用户页面访问量增加20%,每次访问对收入的增加值约$0.172。
社交和搜索广告投放或增加
欧盟:数字广告市场保持增长,广告主投入转向社交和搜索广告 。 从欧洲数字广告市场增长情况看, GDPR实施后广告主对数字广告投入变动较小。从不同渠道看,由于展示广告和 电子邮件等方式对个人信息采集要求较高,对页面访问量和收入负面影响较大;后续广告投入或转向对个人信息 要求较低的社交和搜索广告; 参考欧盟,假设拒绝访问行为数据的用户占比为10%,拒绝个性化广告的单用户广告收入下降52% (Johnson et al., 2020; Ravichandran and Korula, 2019), 则对数字广告市场总体影响-5%;但总用户量、用户留存及时长以及总体 广告量的曝光增加将推动数字广告市场持续增长。
广告投入随用户注意力迁徙
用户注意力有限下互联网时长保持稳定,数字广告仍有望持续增长。从广告市场构成看,2020年我国广告市场总体规模达到9,144亿元,其中数字广告达5439亿元,占比达59.5%; 广告投入随用户注意力迁徙,互联网用户时长和规模保持稳定下,广告曝光量增加将推动数字广告市场持续增 长。
《个人信息保护法》新规对腾讯广告收入影响有限。媒体广告以品牌广告为主,受个人信息保护影响较小;社交广告方面,微信朋友圈广告贡献超80%收入(根据QuestMobile 互联 网广告规模及不同媒介广告收入占比计算) ;朋友圈广告定向能力主要来自于地理位置、个人基本信息(年龄、性别等)、行为和兴趣定向;微信目前已积累大量用户信 息(2Q21 MAU达12.51亿)。 《个人信息保护法》实施后,用户拒绝提供个人信息和关闭个性化推荐意愿有待观察。匿名化信息处理及用户拒绝访问行为 数据或使广告精确度有一定下降,但用户数及时长不变条件下,广告曝光量及广告内容视频化将持续推动收入增长。
2.3、个性化定价:明确禁止大数据杀熟
《个人信息保护法》第24条指出,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正, 不得对个人在交易价格等交易条件上实行不合理的差别待遇。 据《中国青年报》2021年5月调查显示,电商类和住宿类平台大数据“杀熟”最普遍;同时74.3%受访者认为大数据“杀 熟”现象并未减少,未来实现决策透明度或成为企业合规重点。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
