Çinin Şəxsi Məlumatların Qorunması Qanununu Başa Düşmək

Çinin 1 Noyabr 2021-ci ildə qüvvəyə minən Şəxsi Məlumatların Qorunması Qanunu (PIPL) Avropadan kənarda ən mühüm məlumat gizliliyi qaydalarından biridir. Qlobal veb-saytlar, xüsusilə Çin ziyarətçiləri olan və ya Çində əməliyyatları olan saytlar üçün PIPL, GDPR tələblərindən müstəqil — və bəzən onlarla ziddiyyət təşkil edən — razılıq öhdəlikləri yaradır.

PIPL Çin daxilində olan şəxslərin şəxsi məlumatlarının emalını tənzimləyir. Onun ərazi əhatəsi genişdir: təşkilatın özünün harada yerləşməsindən asılı olmayaraq, Çində yerləşən insanların şəxsi məlumatlarını emal edən istənilən təşkilata tətbiq edilir. Veb-saytınız Çin istifadəçiləri üçün əlçatandırsa və onlardan hər hansı şəxsi məlumat toplayırsınızsa, PIPL sizinlə əlaqəlidir.

PIPL ilə GDPR: Əhəmiyyətli Əsas Fərqlər

PIPL tez-tez "Çinin GDPR-i" adlandırılsa da, bu müqayisə razılığı necə tətbiq etdiyinizə təsir edən mühüm fərqləri gizlədir:

• Əsas hüquqi əsas kimi razılıq: GDPR qanuni maraq da daxil olmaqla emal üçün altı hüquqi əsas təqdim edir. PIPL daha çox razılığa yönəlmişdir. Digər hüquqi əsasları (müqavilə zərurəti, hüquqi öhdəlik, ictimai maraq) tanısa da, qanuni marağın əhatə dairəsi xeyli dardır və əksər kommersiya məlumat emalı üçün razılıq gözlənilən standartdır.
• Həssas məlumatlar üçün ayrıca razılıq: PIPL həssas şəxsi məlumatların emalı üçün ayrıca, açıq razılıq tələb edir ki, bura biometrik məlumatlar, maliyyə məlumatları, məkan izləmə və 14 yaşından kiçiklərin məlumatları daxildir. Cookie əsaslı davranış izləmə bu kateqoriyaya düşə bilər.
• Məcburi məlumat lokallaşdırması: Kritik informasiya infrastrukturu operatorları və Çin Kiber Məkan İdarəsinin (CAC) müəyyən etdiyi həcm həddinə yuxarı şəxsi məlumatları emal edən təşkilatlar məlumatları Çin daxilində saxlamalıdır. Bu, analitika və cookie məlumatlarınızın harada emal edilə biləcəyinə təsir edir.
• Transsərhəd ötürülmə məhdudiyyətləri: Şəxsi məlumatların Çindən kənara ötürülməsi üç mexanizmdən birini tələb edir: CAC təhlükəsizlik qiymətləndirməsindən keçmək, tanınmış orqandan sertifikat almaq və ya CAC tərəfindən nəşr edilmiş standart müqavilə şərtlərinə daxil olmaq. Bu, GDPR-in ötürmə mexanizmlərindən daha məhdudlaşdırıcıdır.
• Çin xüsusiyyətli fərdi hüquqlar: PIPL məlumat subyektlərinə GDPR-ə bənzər hüquqlar (giriş, düzəliş, silmə, daşınma) verir, lakin avtomatlaşdırılmış qərarların qəbulunu rədd etmək hüququ və avtomatlaşdırılmış emal qaydalarının izahını tələb etmək hüququ əlavə edir.

PIPL Cookie-lər və İzləmə üçün Nə Deməkdir

PIPL AB-nin ePrivacy Direktivinin etdiyi kimi "cookie-lər"i xüsusi olaraq qeyd etmir. Lakin qanunun şəxsi məlumatların geniş tərifi — müəyyən edilmiş və ya müəyyən edilə bilən fiziki şəxslə əlaqəli istənilən məlumat — cookie əsaslı izləmənin əksəriyyətini əhatə edir:

• Analitika cookie-ləri istifadəçinin səhifələr arasında davranışını izləyir və istifadəçi daxil olmasa belə, PIPL-in tərifinə görə şəxsi məlumat toplayır.
• Reklam cookie-ləri və saytlararası izləmə pikselləri cihaz identifikatorlarına bağlı profillər qurduğu üçün açıq şəkildə əhatə dairəsinə daxildir.
• Sessiya cookie-ləri əsas funksionallıq üçün (alış-veriş səbətləri, giriş vəziyyəti) ümumiyyətlə GDPR-ə bənzər müqavilə zərurəti əsasında icazə verilir.
• Üçüncü tərəf cookie-ləri məlumatları xarici tərəflərlə paylaşdıqda üçüncü tərəf açıqlaması və potensial olaraq transsərhəd ötürmə qaydaları ilə bağlı əlavə PIPL tələblərini işə salır.

PIPL Tətbiqi: Həqiqi Nəticələr

Əsasən kağız üzərində mövcud olan bəzi gizlilik qanunlarından fərqli olaraq, PIPL tətbiqi aktiv və artmaqdadır. Çin Kiber Məkan İdarəsi, İctimai Təhlükəsizlik Nazirliyi və digər qurumlarla birlikdə konkret addımlar atıb:

• Çindəki əsas tətbiq mağazaları həddindən artıq məlumat toplama və lazımi razılıq almama səbəbindən tətbiqləri silib. Tətbiq kampaniyalarında yüzlərlə tətbiq siyahıdan çıxarılıb.
• Şirkətlər bəyan edilmiş məqsədləri üçün lazım olandan artıq şəxsi məlumat topladıqlarına görə cərimə edilib.
• CAC gizlilik siyasətləri məlumat emal fəaliyyətlərini adekvat şəkildə təsvir etməyən şirkətlərə açıq xəbərdarlıqlar verib.
• Ağır hallarda PIPL 50 milyon yuanə (təxminən 7 milyon ABŞ dolları) qədər cərimə və ya əvvəlki ilin gəlirinin 5%-i, eləcə də biznes əməliyyatlarının potensial dayandırılmasına icazə verir.

Beynəlxalq şirkətlər üçün risk həm tənzimləyici, həm də kommersiyadır. Uyğunsuzluq Çin tətbiq mağazalarından tətbiqin silinməsinə, xidmətlərin bloklanmasına və bir milyarddan çox internet istifadəçisi olan bazarda nüfuz zədələnməsinə səbəb ola bilər.

Çinli Ziyarətçilərin Geo-hədəflənməsi

Veb-saytınız Çin istifadəçilərini də əhatə edən qlobal auditoriyaya xidmət edirsə, geo-hədəflənmiş razılıq strategiyasına ehtiyacınız var. Bu, ziyarətçinin Çində olduğunu aşkar etmək və PIPL tələblərini qarşılayan razılıq mexanizmlərini təqdim etmək deməkdir:

• IP əsaslı aşkarlama: Materik Çindən gələn ziyarətçiləri müəyyən etmək üçün IP geolokasiyanı istifadə edin. Bu, AİƏ ziyarətçilərinin GDPR geo-hədəflənməsi üçün istifadə edilən eyni yanaşmadır.
• Dil əsaslı siqnallar: İstifadəçinin brauzer dili Çin dilinə (zh-CN və ya zh-TW) qurulubsa, bu ikinci dərəcəli siqnal ola bilər, lakin yeganə müəyyənedici olmamalıdır.
• Razılıq banneri məzmunu: Çinli istifadəçilərə göstərilən razılıq bildirişi Sadələşdirilmiş Çin dilində olmalı, məlumat toplama məqsədlərini aydın şəkildə bəyan etməli, məlumat nəzarətçisini müəyyən etməli və qeyri-vacib emalı rədd etmək üçün həqiqi mexanizm təmin etməlidir.
• Həssas emal üçün ayrıca razılıq: Əgər davranış profilləşdirmə və ya məkan izləmə üçün cookie-lərdən istifadə edirsinizsə, Çinli istifadəçilər bu kateqoriyalar üçün ayrıca, daha ətraflı razılıq sorğusu görməlidir.

Bir CMP ilə GDPR və PIPL-in İdarə Edilməsi

Əksər qlobal veb-saytlar eyni vaxtda birdən çox gizlilik rejiminə uyğun olmalıdır. Problem ayrı sistemlər saxlamadan doğru istifadəçiyə doğru razılıq təcrübəsini təqdim etməkdir. Vahid yanaşma belə işləyir:

Əsas Olaraq Region Aşkarlaması

CMP əvvəlcə ziyarətçinin yerini müəyyən etməlidir. Buna əsaslanaraq müvafiq razılıq qaydalarını tətbiq edir:

• AİƏ/BK ziyarətçiləri: Consent Mode V2 ilə TCF 2.3 razılıq banneri, opt-in modeli, bütün GDPR tələbləri.
• Çinli ziyarətçilər: Sadələşdirilmiş Çin dilində PIPL-ə uyğun razılıq bildirişi, qeyri-vacib emal üçün opt-in, məlumatlar Çini tərk edərsə transsərhəd ötürmələrin aydın açıqlanması.
• ABŞ ziyarətçiləri: Ştatə xas qaydalar (Kaliforniya üçün CCPA/CPRA, Kolorado, Konnektikut, Virciniya və s. üçün ştat qanunları), adətən opt-out modelləri.
• Digər regionlar: Naşirin risk tolerantlığına və tətbiq olunan yerli qanunlara əsaslanan standart davranış.

Razılıq Saxlama Mülahizələri

PIPL-in məlumat lokallaşdırma tələbləri Çinli istifadəçilər üçün razılıq qeydlərinin Çin daxilindəki serverlərdə saxlanmalı ola biləcəyi deməkdir, əgər məlumat emal həcmləriniz CAC-ın hədlərini aşırsa. Təsadüfi Çin trafiki olan əksər beynəlxalq veb-saytlar üçün bu həddin qarşılanması ehtimal olunmur, lakin Çini hədəfləyən yüksək trafikli saytlar yerli hüquq məsləhətçisi ilə məsləhətləşməlidir.

Transsərhəd Ötürmə Sənədləşdirməsi

Çinli istifadəçi Çindən kənardakı serverlərə məlumat göndərən cookie-lərə razılıq verdikdə (ki bu faktiki olaraq bütün Qərb analitika və reklam platformaları üçün belədir), CMP bu razılığı transsərhəd ötürmə əsaslandırmasının bir hissəsi kimi sənədləşdirməlidir. Razılıq bildirişi məlumatların beynəlxalq səviyyədə ötürüləcəyini açıq şəkildə qeyd etməlidir.

Qlobal Uyğunluq üçün Praktik Addımlar

GDPR ilə yanaşı PIPL-ə müraciət etməli olan veb-saytlar üçün prioritetləşdirilmiş fəaliyyət planı:

• Çin trafikinizi yoxlayın: Ziyarətçilərinizin neçə faizinin Çindən gəldiyini başa düşmək üçün analitikanızı yoxlayın. Əhəmiyyətsizdirsə, riskiniz aşağıdır, lakin sıfır deyil.
• Cookie-lərinizi PIPL kateqoriyalarına uyğunlaşdırın: Hansı cookie-lərin PIPL tərifinə görə şəxsi məlumatları emal etdiyini və hər hansı birinin həssas şəxsi məlumatları əhatə edib-etmədiyini müəyyən edin.
• Geo-hədəflənmiş razılığı tətbiq edin: Hər region üçün müvafiq dil və hüquqi əsasla ziyarətçi yerinə əsaslanan fərqli razılıq təcrübələri təqdim edə bilən CMP istifadə edin.
• Gizlilik siyasətinizi yeniləyin: Çinli istifadəçilər üçün PIPL hüquqlarını və məlumat emal təcrübələrinizi xüsusi olaraq əhatə edən bölmə əlavə edin.
• Transsərhəd ötürmələri nəzərdən keçirin: Çinli istifadəçilərin şəxsi məlumatlarının beynəlxalq səviyyədə necə ötürüldüyünü və emal edildiyini sənədləşdirin və etibarlı ötürmə mexanizminiz olduğundan əmin olun.

Vacib qeyd: Çini hədəfləyən veb-saytlar üçün PIPL uyğunluğu mürəkkəb ola bilər və tənzimləyici rəhbərlik hələ də inkişaf edir. Bu məqalə ümumi baxış təqdim edir, lakin əhəmiyyətli Çin əməliyyatları və ya istifadəçi bazaları olan təşkilatlar öz vəziyyətlərinə xas hüquqi məsləhət almalıdır.

FlexyConsent regiona xas qaydalarla geo-hədəflənmiş razılıq təcrübələrini dəstəkləyir, sizə GDPR, PIPL, CCPA və digər gizlilik qanunlarını vahid platformadan həll etməyə imkan verir. Pulsuz plan geo-aşkarlama və çox regionlu razılıq konfiqurasiyasını əhatə edir.