Ръководство за съответствие с Hong Kong PDPO за съгласие за бисквитки за издателите през 2026 г.
Personal Data (Privacy) Ordinance (PDPO) на Hong Kong е един от най-старите всеобхватни закони за поверителност в Азия, влязъл в сила през 1996 г. През по-голямата част от своето съществуване PDPO заемаше странна позиция: структурно стабилен, но еволюиращ бавно чрез тълкуване, а не чрез изменения. Privacy Commissioner for Personal Data (PCPD) е активният двигател на тази еволюция, публикувайки насоки, които постепенно са привели оперативния стандарт на Hong Kong в съответствие с европейските норми, докато основното законодателство се е променяло по-малко драматично, отколкото в Сингапур, Австралия или дори Mainland China. Измененията от 2021 г. адресираха конкретно доксинга, но по-широкият режим на поверителност продължава да функционира по оригиналната рамка на PDPO, тълкувана чрез почти три десетилетия насоки на PCPD. За издателите и SaaS операторите, обслужващи трафик от Hong Kong — пазар, включващ една от най-големите концентрации на дейност на финансови услуги в Азия и значителен дял от регионалната електронна търговия — картината на съответствието с PDPO през 2026 г. е такава на зрял регулатор, умерено строги стандарти и необичайно ясни насочващи документи. Тази статия разглежда изискванията на PDPO, начина, по който PCPD е приложил рамката към онлайн проследяването, и оперативните последствия за дизайна на банера за бисквитки.
PDPO в общи линии
PDPO е организиран около шест принципа за защита на данните (DPPs), регулиращи събирането, точността, съхраняването, използването, сигурността и откритостта на личните данни. Принципите предхождат GDPR с почти две десетилетия и използват малко по-различна терминология, но съществените стандарти са се сближили чрез тълкуване. DPP1 (цел и начин на събиране), DPP3 (използване на лични данни) и DPP5 (обща достъпност на информацията) са принципите, пряко свързани с онлайн проследяването.
Наредбата се прилага за всеки потребител на данни — терминът на Hong Kong за това, което GDPR нарича администратор — който контролира събирането, съхраняването, обработката или използването на лични данни. Териториалният обхват е бил спорна область: PDPO предхожда екстериториалните доктрини и PCPD е заемал исторически по-консервативна позиция от EDPB относно офшорното прилагане. На практика PCPD претендира за юрисдикция върху офшорни оператори, насочени към жителите на Hong Kong или обработващи данни от Hong Kong с достатъчна връзка, и операторите, обслужващи трафик от Hong Kong, трябва да планират като че ли екстериториалният обхват се прилага.
Как PDPO третира бисквитките и онлайн проследяването
PDPO не съдържа специфична разпоредба за бисквитки; задълженията за съгласие и информация произтичат от DPPs и от Насоките на PCPD от 2022 г. за онлайн проследяване и поведенческа реклама. Насоките са един от най-ясните документи за съответствие с бисквитките в Азия и формулират очаквания, тясно съответстващи на позицията на EDPB Cookie Banner Taskforce.
Изрично съгласие за несъществено проследяване
Позицията на PCPD е, че съгласието трябва да бъде изрично за несъществено проследяване. Подразбиращото се съгласие, продължаването на употребата и предварително отметнатите квадратчета не удовлетворяват изискването на DPP1 за специфично и информирано при тълкуване в онлайн контекст. Насоките изрично назовават превъртането като съгласие като дефектен модел.
Детайлни категорийни контроли
Банерите трябва да позволяват на потребителя да приема и отхвърля категории независимо. Насоките третират единичния бутон за приемане на всичко без еквивалентно отхвърляне като структурен дефект и идентифицират неправилното обозначаване на маркетинговите бисквитки като строго необходими като отделно нарушение.
Съдържание на известието за поверителност
DPP5 исторически е един от най-активно прилаганите принципи. Известията за поверителност трябва да идентифицират потребителя на данни, целите, получателите (включително получателите при прехвърляне), рамката за права съгласно DPP6 (достъп и корекция) и точка за контакт за запитвания. PCPD е бил изричен, че общите шаблонни известия не отговарят на DPP5 — разкриването трябва да отразява действителната обработка.
Трансгранично прехвърляне (Section 33)
Section 33 на PDPO регулира трансграничните прехвърляния и за по-голямата част от историята на Наредбата е бил най-необичайната характеристика на режима: разделът е приет през 1995 г., но никога не е бил въведен в сила от Секретаря. PCPD все пак е издал образци на договорни клаузи и третира гаранциите в стил Section 33 като практически необходими за прехвърляния към юрисдикции извън Hong Kong. Правният статус е неясен — Section 33 е закон, но не е в сила — но оперативното очакване следва Chapter V на GDPR.
Позицията на PCPD по прилагането
PCPD работи с характерен стил на прилагане, различаващ се от по-големите европейски органи за защита на данните по три наблюдаеми начина.
Широко използване на разследвания за съответствие
Основният инструмент за прилагане на PCPD е разследването за съответствие, което завършва с известие за прилагане, а не с глоба. Известията изискват отстраняване в рамките на определен срок и обикновено се решават без парична санкция. Съществуват граждански санкции, но те са използвани пестеливо.
Публичните коментари като сигнал за прилагане
PCPD публикува подробни доклади за разследване при висококалибрени случаи, функциониращи като прецедентно право при липса на силни глоби за установяване на прецеденти. Операторите четат тези доклади внимателно, тъй като те формулират конкретни очаквания, които може да не фигурират в официалните насоки.
Координация с Континента
Трансгранични разследвания, включващи потоци от данни между Hong Kong и Mainland China, се обработват все повече чрез координирани процедури с Cyberspace Administration of China. Екстериториалният обхват на PIPL и позицията на Hong Kong в икономическата рамка на Greater Bay Area правят тази координация по-оперативно значима, отколкото би била в повечето юрисдикции.
Практически контролен списък за съответствие
Шест конкретни въпроса за отговор за всеки банер за бисквитки, обслужващ трафик от Hong Kong.
- Налице ли е изрично отхвърляне на първия слой? Пътят за отхвърляне трябва да бъде на същата повърхност като приемането, с comparable prominence. Превъртането като съгласие и продължаването на употребата не отговарят на Насоките от 2022 г.
- Категориите детайлни ли са? Необходимите, аналитичните и маркетинговите трябва да са отделно контролируеми.
- Известието по DPP5 специфично ли е? Потвърдете, че известието за поверителност идентифицира действителните потребители на данни, цели и получатели — не общ шаблон.
- Езикът подходящ ли е? За аудитории, включващи родни говорители на китайски, банерът и известието трябва да бъдат достъпни на Traditional Chinese (стандартът в Hong Kong), както и на английски.
- Трансграничните прехвърляния документирани ли са? Section 33 не е в сила, но PCPD третира договорните гаранции като очаквани. Идентифицирайте всяка дестинация извън Hong Kong и гаранцията, разрешаваща прехвърлянето.
- Журналирането на съгласие на ниво одит ли е? Записи за решения за съгласие с времеви печат и версия на банера са необходими за отговор на разследване за съответствие от PCPD.
Мястото на Hong Kong в стек с множество юрисдикции
Hong Kong е най-зрелият режим за защита на данните в Greater China и служи като действителна входна точка за трансгранични потоци от данни между Mainland China и останалия свят. За издателите, изграждащи към паназиатски операции, PDPO стои редом с PDPA на Сингапур, APPI на Япония и PIPA на Южна Корея като четирите най-оперативно значими азиатски режима. PDPO е най-разрешителният от четирите на хартия, но най-взискателният по отношение на качеството на документацията, тъй като задвижваният от разследвания стил на прилагане на PCPD прави добре написаното известие за поверителност най-силната единична линия на защита. CMP архитектура, изградена по европейски стандарти, обработва по-голямата част от съответствието с Hong Kong с две допълнения: поддръжка на традиционния китайски език Traditional Chinese и модела за документация на трансграничните прехвърляния, подразбиран от Section 33, дори когато не е официално в сила. За операторите, обслужващи Hong Kong от офшор, практическата позиция е да третират Насоките на PCPD от 2022 г. като авторитетен документ и да проектират спрямо специфичните шаблони на неуспех, а не само спрямо по-стария текст на PDPO.