APPI Японіі: кіраўніцтва па згодзе на файлы cookie і адпаведнасці патрабаванням на 2026 год
Калі ваш сайт прыцягвае наведвальнікаў з Японіі, вам неабходна разумець Закон аб абароне персанальнай інфармацыі (APPI). Першапачаткова прыняты ў 2003 годзе і істотна зменены ў 2022 годзе, APPI цяпер ахоплівае файлы cookie і анлайн-ідэнтыфікатары спосабамі, якія напрамую ўплываюць на тое, як вы збіраеце згоду.
Хоць APPI адрозніваецца ад GDPR у важных аспектах, папраўкі 2022 года наблізілі яго да еўрапейскіх стандартаў — асабліва ў дачыненні да перадачы дадзеных трэцім бакам і адсочвання на аснове файлаў cookie. Вось што вам трэба ведаць.
Што такое APPI?
APPI — асноўны закон Японіі аб абароне дадзеных, выкананне якога забяспечвае Камісія па абароне персанальнай інфармацыі (PPC). Ён прымяняецца да любога бізнесу, які апрацоўвае персанальную інфармацыю фізічных асоб у Японіі, незалежна ад таго, дзе гэты бізнес размешчаны.
Папраўкі 2022 года ўвялі канцэпцыю «інфармацыі, якая адносіцца да асобы» — дадзеных, якія самі па сабе не з'яўляюцца персанальнай інфармацыяй, але могуць ідэнтыфікаваць асоб пры аб'яднанні з іншымі дадзенымі. Гэтая катэгорыя ахоплівае многія тыпы файлаў cookie і ідэнтыфікатараў адсочвання.
Як APPI трактуе файлы cookie
Згодна з першапачатковым APPI, файлы cookie не рэгуляваліся напрамую, паколькі не лічыліся «персанальнай інфармацыяй», калі толькі не маглі напрамую ідэнтыфікаваць асобу. Папраўкі 2022 года істотна змянілі гэты ландшафт.
Цяпер файлы cookie трапляюць пад пільную ўвагу, калі яны перадаюцца трэцім бакам, здольным звязаць іх з персанальнай інфармацыяй. У прыватнасці, калі вы перадаяце дадзеныя cookie трэцяму боку (напрыклад, рэкламнай сетцы або пастаўшчыку аналітыкі), які можа супаставіць іх з ідэнтыфікавальнымі асобамі, вы павінны атрымаць згоду карыстальніка да гэтай перадачы.
Гэта азначае, што хоць APPI не патрабуе суцэльнай згоды на файлы cookie, як GDPR, згода абавязковая для перадачы файлаў cookie трэцім бакам у многіх распаўсюджаных рэкламных і аналітычных сцэнарыях.
Ключавыя абавязацельствы для аператараў сайтаў
- Прадастаўленне дадзеных трэцім бакам: Атрымлівайце згоду (opt-in) да перадачы дадзеных cookie трэцім бакам, здольным звязаць іх з персанальнай інфармацыяй.
- Раскрыццё ў палітыцы канфідэнцыяльнасці: Дакладна раскрывайце, якія файлы cookie вы выкарыстоўваеце, іх мэты і якія трэція бакі атрымліваюць дадзеныя.
- Трансгранічныя перадачы: Калі дадзеныя cookie адпраўляюцца на серверы за межамі Японіі, інфармуйце карыстальнікаў аб стандартах абароны дадзеных краіны прызначэння або атрымлівайце відавочную згоду.
- Апавяшчэнне аб уцечцы дадзеных: Паведамляйце аб уцечках, якія закранаюць персанальныя дадзеныя (уключаючы звязаныя з cookie), у PPC ва ўстаноўленыя тэрміны.
- Правы фізічных асоб: Адказвайце на запыты карыстальнікаў аб раскрыцці, выпраўленні або выдаленні іх персанальных дадзеных, уключаючы дадзеныя, атрыманыя з файлаў cookie.
APPI супраць GDPR: ключавыя адрозненні
Хоць абодва законы нацэлены на абарону персанальных дадзеных, яны адрозніваюцца па сферы дзеяння і падыходзе:
- Сфера згоды: GDPR патрабуе згоды амаль на ўсе несутнасныя файлы cookie. APPI факусуе патрабаванні да згоды на перадачы дадзеных трэцім бакам, а не на самім размяшчэнні файлаў cookie.
- Прававыя падставы: GDPR прапануе шэсць прававых падстаў для апрацоўкі. APPI абапіраецца ў асноўным на згоду і законную дзелавую мэту, з меншай колькасцю фармальных катэгорый.
- Штрафы: Штрафы GDPR могуць дасягаць 4 % глабальнага даходу. Штрафы APPI гістарычна былі ніжэйшымі, але папраўкі 2022 года павялічылі максімальныя штрафы да 100 млн іен (прыкладна 700 000 долараў) для карпарацый.
- Экстэрытарыяльны ахоп: Абодва законы прымяняюцца да замежных кампаній, якія апрацоўваюць дадзеныя мясцовых жыхароў, але механізмы правапрымянення істотна адрозніваюцца.
Укараненне згоды на файлы cookie, якая адпавядае APPI
Каб адпавядаць APPI, захоўваючы пры гэтым добры карыстальніцкі досвед, выканайце наступныя крокі:
- Правядзіце аўдыт файлаў cookie: Вызначце, якія файлы cookie збіраюць дадзеныя, якія перадаюцца трэцім бакам, асабліва рэкламным сеткам і аналітычным платформам.
- Класіфікуйце па рызыцы: Аддзяліце файлы cookie, якія застаюцца першым бокам, ад тых, што ўдзельнічаюць у перадачы дадзеных трэцім бакам. Толькі апошнія патрабуюць відавочнай згоды па APPI.
- Разгарніце банер згоды: Выкарыстоўвайце CMP, якая падтрымлівае спецыфічныя для APPI патокі згоды. Банер павінен дакладна тлумачыць перадачу дадзеных трэцім бакам на японскай мове.
- Паважайце выбар карыстальнікаў: Блакіруйце скрыпты старонніх файлаў cookie да прадастаўлення згоды. Функцыянальныя файлы cookie першага боку могуць загружацца без згоды згодна з APPI.
- Дакументуйце ўсё: Вядзіце запісы аб зборы згоды, інвентарызацыю файлаў cookie і пагадненні аб апрацоўцы дадзеных трэцімі бакамі.
Трансгранічныя перадачы дадзеных згодна з APPI
APPI мае асаблівыя правілы для перадачы персанальных дадзеных за межы Японіі. Калі вашы дадзеныя cookie накіроўваюцца на серверы ў іншых краінах — што характэрна для глабальных аналітычных і рэкламных платформ — вы павінны альбо:
- Атрымаць відавочную згоду асобы на трансгранічную перадачу.
- Пацвердзіць, што прымаючая краіна мае стандарты абароны дадзеных, прызнаныя PPC эквівалентнымі японскім.
- Пераканацца, што прымаючая арганізацыя ўкараніла меры абароны дадзеных, якія адпавядаюць стандартам APPI, праз дагаворныя або іншыя сродкі.
У цяперашні час PPC прызнае ЕС і Вялікабрытанію як забяспечваючыя адэкватную абарону дадзеных. Для іншых юрысдыкцый вам звычайна спатрэбіцца згода карыстальніка або дагаворныя гарантыі.
Лепшыя практыкі адпаведнасці для японскага рынку
- Лакалізуйце інтэрфейс згоды: Прадстаўляйце інфармацыю аб згодзе на файлы cookie на японскай мове. Машынна перакладзеныя банеры могуць ствараць прабелы ў адпаведнасці, калі юрыдычныя тэрміны недакладныя.
- Спалучайце APPI з GDPR: Калі вы абслугоўваеце як японскіх, так і еўрапейскіх карыстальнікаў, наладзьце вашу CMP на прымяненне правіл GDPR у ЕС і правіл APPI у Японіі. Адзіны слой згоды зніжае накладныя выдаткі на распрацоўку.
- Адсочвайце кіраўніцтвы PPC: PPC рэгулярна публікуе абноўленыя рэкамендацыі і дакументы пытанняў і адказаў. Будзьце ў курсе тэндэнцый правапрымянення і новых тлумачэнняў.
- Плануйце змены: Японія перагляддае APPI з трохгадовым цыклам. Наступны перагляд чакаецца да 2025–2026 гадоў і можа ўвесці больш строгае рэгуляванне файлаў cookie.
Заключэнне
APPI можа не патрабаваць згоды на кожны файл cookie, але яго правілы ў дачыненні да перадачы дадзеных трэцім бакам і трансгранічных перадач ствараюць рэальныя абавязацельствы для любога сайта, які выкарыстоўвае рэкламныя або аналітычныя файлы cookie з японскімі наведвальнікамі. Добра наладжаная CMP, якая адрознівае файлы cookie першага і трэцяга бакоў — і якая прадстаўляе ясныя, лакалізаваныя опцыі згоды — гэта найбольш практычны шлях да адпаведнасці.