1、背景

截至2020年12月,我国互联网用户达9.89亿,网站超过443万个、应用程序超过345万个,个人信息的收集、使用广泛;与此同时,随意收集、违法获取、过度使用、非法买卖个人信息、大数据杀熟等问题突出。

为进一步加强个人信息保护法制保障、维护网络空间良好生态、促进数字经济健康发展,制定《个人信息保护法》(下简称“个保法”)。与现行的《网络安全法》、《数据安全法》(今年9月份施行),并行成为网络空间治理和数据保护的三驾马车。

  • 《网络安全法》:侧重网络空间安全整体的治理;

  • 《数据安全法》:侧重数据处理活动的安全和开发利用;

  • 《个人信息保护法》:侧重个人信息的使用与保护规则。

2、个保法的内容介绍

个保法的主要内容如下导图:

(1)基本原则

个保法规定,收集个人信息应当限于实现处理目的的最小范围,并且不得过度收集个人信息。

个人信息主要有以下类别内容:

参考《常见类型移动互联网应用程序必要个人信息范围规定》对不同类别App所必需的个人信息规定,过度收集个人信息的行为将遭一定限制。以前那种不授权信息就不让使用APP的流氓软件,终于可以滚蛋了。

(2)信息处理规则

个保法第十三条规定,处理个人信息应当取得个人同意。除了少数影响公共安全等情况可不需取得个人同意。

第十四条规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。

另外,信息处理者的名称或者姓名、联系方式、处理目的、处理方式、处理信息种类、保存期限等均需要告知用户。

(3)关于敏感信息

个保法第二十八条指出,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括 生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹 等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

处理敏感个人信息应当取得个人的单独同意,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

因此,用户标签画像相关中,使用敏感信息基本就比较不建议了。

(4)个人权利

个保法规定的个人权利主要包括三个类别:信息收集、信息维护、信息获取相关的权利。

要落实决定权,以后APP均需要给用户提供是否接受数据收集的入口;要落实可携带权、查阅权,则需要APP给用户提供数据下载等相关的入口。这些都无疑会提高APP的研发维护成本。

(5)法律责任

最后,如果企业违反个保法,会受到怎样的处罚呢?

看这里,上限是5000万,或者营业额5%……如果是BAT这种大厂,一年营业额的5%,真的是天文数字了。

3、对互联网业务的影响

对互联网而言,个保法的影响主要在以下几个方面。

(1)个性化定价(大数据杀熟)

个保法第24条指出,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

据《中国青年报》2021年5月调查显示,电商类和住宿类平台大数据“杀熟”最普遍,未来实现决策透明度或成为企业合规重点。

(2)个性化推荐(自动化决策)

根据个保法规定,个人信息处理前需征得用户同意,通过自动化决策方式(通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动)向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

新规下若用户拒绝提供非必需信息仍可继续使用服务;短视频、内容电商等基于用户个人信息的分发和推荐效率受到一定影响;根据美国国家经济研究局NBER测算,GDPR的告知同意要求使得可追踪到的用户Cookies总数下降了12.5%,但选择同意追踪的用户的预测准确性将有所提高。

除特定自然人以外的信息,匿名用户信息仍可使用;此外,关闭个性化推荐后大概率导致内容质量降低,消费者关闭个性化推荐意愿仍有待观察。

(3)数字广告

主要的影响从广告平台和广告主两方面来看。

广告平台:用户行为数据不可使用下(匿名信息仍可使用),广告颗粒度下降,造成eCPM降低,ARPU值有所下滑;据 Shaoyin Du(2019)测算,用户不允许追踪其行为数据相较允许追踪的用户为广告联盟产生的收入减少52%。

广告主:数字广告投放精准度降低,ROI下滑。

好了,关于《个人信息保护法》相关的内容,就分享这些。