互联网传媒行业个人信息保护法对互联网商业模式的影响：个人信息保护新纪元，平台数据合规升级

证券研究报告 个人信息保护新纪元，平台数据合规升级 ——个人信息保护法对互联网商业模式的影响 2021年10月11日 作者： 【光大互联网传媒】付天姿/王凯/王缘 请务必参阅正文之后的重要声明 核心观点 1 《个人信息保护法》出台是对我国信息安全法律体系的完善。从《个人信息保护法》的具体内容看，基本对标全球最严个人信息保护法规— 欧盟 GDPR。《个人信息保护法》的告知-同意原则及对于自动化推荐及互联网平台的相关要求将一定程度改变互联网商业模式边界。 《个人信息保护法》对于互联网商业模式的影响集中在个性化推荐以及数字广告方面: 1）处理个人信息前需征得用户同意条件下，用户拒绝提供非必需信息可能对短视频、新闻、推荐等基于用户个人信息的内容分发和推荐效率产生一定负面影响；目前关闭个性化推荐所需步骤繁杂，且关闭后内容质量或大幅下滑，后续用户关闭意愿仍有待观察； 2）用户行为数据不可使用下，广告颗粒度下降，造成eCPM降低，广告主ROI下滑；参考欧盟GDPR实施后情况, GDPR实施后造成网页浏览量下滑11.7%，电商网站收入下滑13.3%，主要由于用户拒绝访问非必需数据以及广告投放效率降低共同导致。其中，拒绝访问行为数据的单用户广告收入下降52%，占比约4.1%-15.4%。尽管如此，随着总用户量、用户留存及时长以及广告曝光量增加，数字广告市场仍保持增长。从不同渠道看，后续广告投入或转向对个人信息要求较低的社交和搜索广告。 kYbZmZfVbWgYmNtRoN6M9R9PnPqQsQpOlOoPoOkPpOoM6MrQpRNZqRnQxNqNtM请务必参阅正文之后的重要声明 目 录 1、《个人信息保护法》的主要内容 2、《个人信息保护法》对互联网商业模式的影响 2 请务必参阅正文之后的重要声明 1.1、《个人信息保护法》的立法背景和历程 1.2 、《个人信息保护法》的重点内容 3 1、《个人信息保护法》的主要内容 1.3 、中美欧个人信息保护立法比较 请务必参阅正文之后的重要声明 4 1.1、《个人信息保护法》的立法背景和历程 资料来源：中国人大网，南方都市报，光大证券研究所 《个人信息保护法》于2021年8月20日经十三届全国人大常委会第三十次会议正式表决通过，将于2021年11月1日施行。 截至2020年12月，我国互联网用户达9.89亿，网站超过443万个、应用程序超过345万个，个人信息的收集、使用广泛；与此同时，随意收集、违法获取、过度使用、非法买卖个人信息、大数据杀熟等问题突出，为进一步加强个人信息保护法制保障、维护网络空间良好生态、促进数字经济健康发展，制定《个人信息保护法》。 图1:《个人信息保护法》的立法历程 请务必参阅正文之后的重要声明 1.2、《个人信息保护法》的重点内容 5 资料来源：《个人信息保护法》，光大证券研究所 图2:《个人信息保护法》的主要内容 请务必参阅正文之后的重要声明 《个人信息保护法》涉及的术语及定义 6 资料来源：《个人信息保护法》，光大证券研究所 定义 个人信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 个人信息处理 包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等 个人敏感信息 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息 自动化决策 通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动 去标识化 个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程 匿名化 个人信息经过处理无法识别特定自然人且不能复原的过程 表1:《个人信息保护法》涉及的术语及定义 请务必参阅正文之后的重要声明 《个人信息保护法》的保护和规制对象 7 资料来源：《个人信息保护法》，光大证券研究所 《个人信息保护法》 保护对象 自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益 规制对象 在中华人民共和国境内处理自然人个人信息的活动，包括以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为；法律、行政法规规定的其他情形。 监管机构 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。 自然人个人信息权益 知情权、反对权/撤回权、复制权/可携带权 表2:《个人信息保护法》的保护和规制对象 请务必参阅正文之后的重要声明 个人信息处理基本原则：最小必要、公开、透明 8 资料来源：《常见类型移动互联网应用程序必要个人信息范围规定》，光大证券研究所 应用程序类别 必要个人信息 应用程序类别 必要个人信息 地图导航 位置信息、出发地、到达地 短视频类 无须个人信息，即可使用基本功能服务（不超过一定时长的视频搜索、播放） 网络约车类 注册用户移动电话号码；乘车人出发地、到达地、位置信息、行踪轨迹；支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务） 餐饮外卖类 注册用户移动电话号码；收货人姓名（名称）、地址、联系电话；支付时间、支付金额、支付渠道等支付信息 即时通信类 注册用户移动电话号码；账号信息：账号、即时通信联系人账号列表 交通票务类 注册用户移动电话号码；旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等；旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号（如有）、车牌号及车牌颜色（ETC服务)；支付时间、支付金额、支付渠道等支付信息 网络社区类 注册用户移动电话号码 网络借贷类 注册用户移动电话号码；借款人姓名、证件类型和号码、证件有效期限、银行卡号码 网络支付类 注册用户移动电话号码；注册用户姓名、证件类型和号码、证件有效期限、银行卡号码 网络游戏类 注册用户移动电话号码 《个人信息保护法》规定，收集个人信息应当限于实现处理目的的最小范围，并且不得过度收集个人信息。参考《常见类型移动互联网应用程序必要个人信息范围规定》对不同类别App所必需的个人信息规定，过度收集个人信息的行为或遭一定限制。 表3：常见类型移动互联网应用程序必要个人信息范围规定（部分） 请务必参阅正文之后的重要声明 一般规则：告知同意 9 资料来源：《个人信息保护法》，光大证券研究所 《个人信息保护法》第十三条规定，处理个人信息应当取得个人同意。 若为订立、履行个人作为一方当事人的合同；或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理；履行法定职责或者法定义务；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；或法律、行政法规规定的其他情形，可不需取得个人同意 《个人信息保护法》第十四条规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前