Разуменне Закона Кітая аб абароне персанальнай інфармацыі

Закон Кітая аб абароне персанальнай інфармацыі (PIPL), які ўступіў у сілу 1 лістапада 2021 года, з'яўляецца адным з самых значных нарматыўных актаў аб прыватнасці даных за межамі Еўропы. Для глабальных сайтаў, асабліва тых, што маюць кітайскіх наведвальнікаў або дзейнасць у Кітаі, PIPL стварае абавязацельствы па згодзе, якія існуюць незалежна ад — а часам і супярэчаць — патрабаванням GDPR.

PIPL рэгулюе апрацоўку персанальнай інфармацыі асоб, якія знаходзяцца ў Кітаі. Яго тэрытарыяльны ахоп шырокі: ён прымяняецца да любой арганізацыі, якая апрацоўвае персанальную інфармацыю людзей, што знаходзяцца ў Кітаі, незалежна ад таго, дзе базуецца сама арганізацыя. Калі ваш сайт даступны кітайскім карыстальнікам і вы збіраеце ў іх якія-небудзь персанальныя даныя, PIPL мае да вас дачыненне.

PIPL супраць GDPR: ключавыя адрозненні, якія маюць значэнне

Хаця PIPL часта называюць «кітайскім GDPR», гэта параўнанне хавае важныя адрозненні, якія ўплываюць на тое, як вы рэалізуеце згоду:

• Згода як асноўная прававая падстава: GDPR прапануе шэсць прававых падстаў для апрацоўкі, уключаючы законны інтарэс. PIPL больш арыентаваны на згоду. Хаця ён прызнае іншыя прававыя падставы (дагаворная неабходнасць, юрыдычнае абавязацельства, грамадскі інтарэс), сфера законнага інтарэсу значна вузейшая, і згода з'яўляецца чаканым значэннем па змаўчанні для большасці камерцыйнай апрацоўкі даных.
• Асобная згода для адчувальных даных: PIPL патрабуе асобнай, відавочнай згоды на апрацоўку адчувальнай персанальнай інфармацыі, якая ўключае біяметрычныя даныя, фінансавую інфармацыю, адсочванне месцазнаходжання і даныя непаўналетніх да 14 гадоў. Паводніцкае адсочванне на аснове cookie можа падпадаць пад гэтую катэгорыю.
• Абавязковая лакалізацыя даных: Аператары крытычнай інфармацыйнай інфраструктуры і арганізацыі, якія апрацоўваюць персанальную інфармацыю вышэй парога аб'ёму, устаноўленага Адміністрацыяй кіберпрасторы Кітая (CAC), павінны захоўваць даныя ў Кітаі. Гэта ўплывае на тое, дзе могуць апрацоўвацца вашы аналітычныя і cookie-даныя.
• Абмежаванні на трансгранічную перадачу: Перадача персанальнай інфармацыі за межы Кітая патрабуе аднаго з трох механізмаў: праходжання ацэнкі бяспекі CAC, атрымання сертыфікацыі ад прызнанага органа або заключэння стандартных дагаворных палажэнняў, апублікаваных CAC. Гэта больш абмежавальна, чым механізмы перадачы GDPR.
• Індывідуальныя правы з кітайскай спецыфікай: PIPL прадастаўляе суб'ектам даных правы, аналагічныя GDPR (доступ, выпраўленне, выдаленне, пераноснасць), але дадае права адмовіцца ад аўтаматызаванага прыняцця рашэнняў і права запытаць тлумачэнне правілаў аўтаматызаванай апрацоўкі.

Што PIPL азначае для cookie і адсочвання

PIPL канкрэтна не згадвае «cookie» так, як гэта робіць Дырэктыва ЕС ePrivacy. Аднак шырокае вызначэнне персанальнай інфармацыі ў законе — любая інфармацыя, што адносіцца да ідэнтыфікаванай або ідэнтыфікавальнай фізічнай асобы — ахоплівае большую частку адсочвання на аснове cookie:

• Аналітычныя cookie, якія адсочваюць паводзіны карыстальніка на старонках, збіраюць персанальную інфармацыю па вызначэнні PIPL, нават калі карыстальнік не ўвайшоў у сістэму.
• Рэкламныя cookie і пікселі міжсайтавага адсочвання відавочна трапляюць у сферу дзеяння, паколькі яны будуюць профілі, прывязаныя да ідэнтыфікатараў прылад.
• Сеансавыя cookie для базавай функцыянальнасці (кошыкі пакупак, стан уваходу) звычайна дапушчальныя на падставе дагаворнай неабходнасці, аналагічна GDPR.
• Староннія cookie, якія дзеляцца данымі са знешнімі бакамі, актывуюць дадатковыя патрабаванні PIPL у дачыненні да раскрыцця трэцім бакам і патэнцыяльна правілаў трансгранічнай перадачы.

Правапрымяненне PIPL: рэальныя наступствы

У адрозненне ад некаторых законаў аб прыватнасці, якія існуюць пераважна на паперы, правапрымяненне PIPL было актыўным і нарастаючым. Адміністрацыя кіберпрасторы Кітая разам з Міністэрствам грамадскай бяспекі і іншымі ведамствамі прыняла канкрэтныя дзеянні:

• Буйныя крамы дадаткаў у Кітаі выдалілі дадаткі за надмерны збор даных і неатрыманне належнай згоды. Сотні дадаткаў былі выдалены ў ходзе кампаній правапрымянення.
• Кампаніі былі аштрафаваны за збор персанальнай інфармацыі звыш таго, што было неабходна для іх заяўленай мэты.
• CAC выпусціла публічныя папярэджанні кампаніям, чые палітыкі прыватнасці неадэкватна апісвалі дзеянні па апрацоўцы даных.
• У сур'ёзных выпадках PIPL дапускае штрафы да 50 мільёнаў юаняў (прыкладна 7 мільёнаў долараў ЗША) або 5% ад выручкі папярэдняга года, разам з патэнцыяльным прыпыненнем дзелавой дзейнасці.

Для міжнародных кампаній рызыка з'яўляецца як рэгулятарнай, так і камерцыйнай. Несупадзенне можа прывесці да выдалення дадатку з кітайскіх крам дадаткаў, блакіроўкі паслуг і рэпутацыйнай шкоды на рынку з больш чым мільярдам інтэрнэт-карыстальнікаў.

Геа-таргетынг кітайскіх наведвальнікаў

Калі ваш сайт абслугоўвае глабальную аўдыторыю, якая ўключае кітайскіх карыстальнікаў, вам патрэбна геа-таргетаваная стратэгія згоды. Гэта азначае выяўленне, калі наведвальнік знаходзіцца ў Кітаі, і прадстаўленне механізмаў згоды, якія задавальняюць патрабаванням PIPL:

• Выяўленне на аснове IP: Выкарыстоўвайце IP-геалакацыю для ідэнтыфікацыі наведвальнікаў з мацерыковага Кітая. Гэта той жа падыход, што выкарыстоўваецца для геа-таргетынгу GDPR наведвальнікаў ЕЭЗ.
• Сігналы на аснове мовы: Калі мова браўзера карыстальніка ўстаноўлена на кітайскую (zh-CN або zh-TW), гэта можа служыць другасным сігналам, хаця не павінна быць адзіным вызначальным фактарам.
• Змест банера згоды: Паведамленне аб згодзе, якое паказваецца кітайскім карыстальнікам, павінна быць на спрошчанай кітайскай, выразна ўказваць мэты збору даных, ідэнтыфікаваць кантралёра даных і прадастаўляць сапраўдны механізм адмовы ад неістотнай апрацоўкі.
• Асобная згода для адчувальнай апрацоўкі: Калі вы выкарыстоўваеце cookie для паводніцкага прафілявання або адсочвання месцазнаходжання, кітайскія карыстальнікі павінны бачыць асобны, больш дэталёвы запыт згоды для гэтых катэгорый.

Апрацоўка GDPR і PIPL з адной CMP

Большасці глабальных сайтаў неабходна адначасова выконваць некалькі рэжымаў прыватнасці. Задача — прадставіць правільны досвед згоды правільнаму карыстальніку без падтрымкі асобных сістэм. Вось як працуе ўніфікаваны падыход:

Вызначэнне рэгіёна як аснова

CMP павінна спачатку вызначыць месцазнаходжанне наведвальніка. На аснове гэтага яна прымяняе адпаведныя правілы згоды:

• Наведвальнікі ЕЭЗ/Вялікабрытаніі: Банер згоды TCF 2.3 з Consent Mode V2, мадэль згоды (opt-in), усе патрабаванні GDPR.
• Кітайскія наведвальнікі: Адпаведнае PIPL паведамленне аб згодзе на спрошчанай кітайскай, opt-in для неістотнай апрацоўкі, выразнае раскрыццё трансгранічных перадач, калі даныя пакідаюць Кітай.
• Наведвальнікі ЗША: Правілы канкрэтных штатаў (CCPA/CPRA для Каліфорніі, законы штатаў для Каларада, Канэктыкута, Вірджыніі і г. д.), звычайна мадэлі адмовы (opt-out).
• Іншыя рэгіёны: Паводзіны па змаўчанні на аснове талерантнасці выдаўца да рызыкі і прымянімых мясцовых законаў.

Меркаванні па захоўванні згоды

Патрабаванні PIPL па лакалізацыі даных азначаюць, што запісы згоды для кітайскіх карыстальнікаў могуць патрабаваць захоўвання на серверах у Кітаі, калі вашы аб'ёмы апрацоўкі даных перавышаюць парогі CAC. Для большасці міжнародных сайтаў з выпадковым кітайскім трафікам гэты парог наўрад ці будзе дасягнуты, але сайтам з высокім трафікам, нацэленым на Кітай, варта пракансультавацца з мясцовым юрыдычным саветнікам.

Дакументаванне трансгранічнай перадачы

Калі кітайскі карыстальнік пагаджаецца на cookie, якія адпраўляюць даныя на серверы за межамі Кітая (што характэрна практычна для ўсіх заходніх аналітычных і рэкламных платформаў), CMP павінна дакументаваць гэтую згоду як частку абгрунтавання трансгранічнай перадачы. Паведамленне аб згодзе павінна відавочна згадваць, што даныя будуць перададзены на міжнародным узроўні.

Практычныя крокі для глабальнай адпаведнасці

Вось прыярытэзаваны план дзеянняў для сайтаў, якім неабходна ўлічваць PIPL разам з GDPR:

• Правядзіце аўдыт вашага кітайскага трафіку: Праверце сваю аналітыку, каб зразумець, які працэнт вашых наведвальнікаў прыходзіць з Кітая. Калі ён нязначны, ваша рызыка ніжэйшая, але не нулявая.
• Супастаўце вашы cookie з катэгорыямі PIPL: Вызначце, якія cookie апрацоўваюць персанальную інфармацыю па вызначэнні PIPL і ці закранаюць якія-небудзь з іх адчувальную персанальную інфармацыю.
• Укараніце геа-таргетаваную згоду: Выкарыстоўвайце CMP, якая можа прадстаўляць розны досвед згоды на аснове месцазнаходжання наведвальніка, з адпаведнай мовай і прававой падставай для кожнага рэгіёна.
• Абнавіце вашу палітыку прыватнасці: Дадайце раздзел, які канкрэтна тычыцца правоў па PIPL і вашых практык апрацоўкі даных для кітайскіх карыстальнікаў.
• Перагледзьце трансгранічныя перадачы: Дакументуйце, як персанальная інфармацыя кітайскіх карыстальнікаў перадаецца і апрацоўваецца на міжнародным узроўні, і ўпэўніцеся, што ў вас ёсць сапраўдны механізм перадачы.

Важная заўвага: Адпаведнасць PIPL для сайтаў, нацэленых на Кітай, можа быць складанай, а рэгулятарныя рэкамендацыі ўсё яшчэ развіваюцца. Гэты артыкул дае агульны агляд, але арганізацыям са значнымі кітайскімі аперацыямі або карыстальніцкімі базамі варта звяртацца за юрыдычнай кансультацыяй, спецыфічнай для іх сітуацыі.

FlexyConsent падтрымлівае геа-таргетаваны досвед згоды з рэгіянальнымі правіламі, дазваляючы вам улічваць GDPR, PIPL, CCPA і іншыя законы аб прыватнасці з адзінай платформы. Бясплатны план уключае геа-вызначэнне і наладку згоды для некалькіх рэгіёнаў.