Разбиране на китайския Закон за защита на личната информация

Китайският Закон за защита на личната информация (PIPL), влязъл в сила на 1 ноември 2021 г., е един от най-значимите регламенти за поверителност на данните извън Европа. За глобалните уебсайтове, особено тези с китайски посетители или операции в Китай, PIPL създава задължения за съгласие, които съществуват независимо от — и понякога в противоречие с — изискванията на GDPR.

PIPL урежда обработката на лична информация на лица в Китай. Териториалният му обхват е широк: прилага се за всяка организация, която обработва лична информация на хора, намиращи се в Китай, независимо от това къде е базирана самата организация. Ако вашият уебсайт е достъпен за китайски потребители и събирате лични данни от тях, PIPL е приложим за вас.

PIPL срещу GDPR: Ключови разлики, които имат значение

Макар че PIPL често се нарича "китайският GDPR", това сравнение прикрива важни разлики, които влияят на начина, по който прилагате съгласието:

• Съгласието като основно правно основание: GDPR предлага шест правни основания за обработка, включително легитимен интерес. PIPL е по-ориентиран към съгласието. Макар да признава и други правни основания (договорна необходимост, правно задължение, обществен интерес), обхватът на легитимния интерес е далеч по-тесен и съгласието е очакваното по подразбиране за повечето търговски обработки на данни.
• Отделно съгласие за чувствителни данни: PIPL изисква отделно, изрично съгласие за обработка на чувствителна лична информация, която включва биометрични данни, финансова информация, проследяване на местоположение и данни на непълнолетни под 14 години. Поведенческото проследяване, базирано на бисквитки, може да попадне в тази категория.
• Задължителна локализация на данните: Операторите на критична информационна инфраструктура и организациите, обработващи лична информация над праг на обема, определен от Администрацията за кибернетичното пространство на Китай (CAC), трябва да съхраняват данните в Китай. Това засяга къде могат да се обработват вашите аналитични данни и данни от бисквитки.
• Ограничения за трансграничен трансфер: Прехвърлянето на лична информация извън Китай изисква един от три механизма: преминаване на оценка за сигурност от CAC, получаване на сертификация от признат орган или сключване на стандартни договорни клаузи, публикувани от CAC. Това е по-ограничително от механизмите за трансфер на GDPR.
• Индивидуални права с китайски характеристики: PIPL предоставя на субектите на данни права, подобни на GDPR (достъп, коригиране, изтриване, преносимост), но добавя правото да се откаже автоматизирано вземане на решения и правото да се поиска обяснение на правилата за автоматизирана обработка.

Какво означава PIPL за бисквитките и проследяването

PIPL не споменава конкретно "бисквитки" по начина, по който го прави Директивата за електронна поверителност на ЕС. Въпреки това широката дефиниция на закона за лична информация — всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице — обхваща повечето проследявания, базирани на бисквитки:

• Аналитичните бисквитки, които проследяват поведението на потребителите между страниците, събират лична информация по дефиницията на PIPL, дори ако потребителят не е влязъл в профила си.
• Рекламните бисквитки и проследяващите пиксели между сайтовете ясно попадат в обхвата, тъй като изграждат профили, свързани с идентификатори на устройства.
• Сесийните бисквитки за основна функционалност (кошници за пазаруване, състояние на вход) обикновено са позволени на основание на договорна необходимост, подобно на GDPR.
• Бисквитките на трети страни, които споделят данни с външни страни, задействат допълнителни изисквания на PIPL относно разкриването пред трети страни и потенциално правилата за трансграничен трансфер.

Прилагане на PIPL: Реални последствия

За разлика от някои закони за поверителност, които съществуват предимно на хартия, прилагането на PIPL е активно и ескалиращо. Администрацията за кибернетичното пространство на Китай, заедно с Министерството на обществената сигурност и други агенции, е предприела конкретни действия:

• Големите магазини за приложения в Китай са премахнали приложения заради прекомерно събиране на данни и неполучаване на надлежно съгласие. Стотици приложения са били свалени от списъка в кампании по прилагане.
• Компании са били глобявани за събиране на лична информация, надхвърляща необходимото за заявената им цел.
• CAC е издала публични предупреждения на компании, чиито политики за поверителност не описват адекватно дейностите по обработка на данни.
• В тежки случаи PIPL позволява глоби до 50 милиона юана (приблизително 7 милиона щатски долара) или 5% от приходите за предходната година, заедно с потенциално спиране на бизнес операциите.

За международните компании рискът е както регулаторен, така и търговски. Несъответствието може да доведе до премахване на приложението от китайските магазини за приложения, блокиране на услуги и репутационни щети на пазар с над един милиард интернет потребители.

Геотаргетиране на китайски посетители

Ако вашият уебсайт обслужва глобална аудитория, която включва китайски потребители, имате нужда от стратегия за геотаргетирано съгласие. Това означава да откриете кога посетител е в Китай и да представите механизми за съгласие, които удовлетворяват изискванията на PIPL:

• Откриване на базата на IP: Използвайте IP геолокация, за да идентифицирате посетители от континентален Китай. Това е същият подход, използван за GDPR геотаргетиране на посетители от ЕИП.
• Езикови сигнали: Ако езикът на браузъра на потребителя е зададен на китайски (zh-CN или zh-TW), това може да служи като вторичен сигнал, макар да не трябва да бъде единственият определящ фактор.
• Съдържание на банера за съгласие: Известието за съгласие, показвано на китайските потребители, трябва да бъде на опростен китайски, ясно да посочва целите на събирането на данни, да идентифицира администратора на данни и да осигурява реален механизм за отказ от несъществена обработка.
• Отделно съгласие за чувствителна обработка: Ако използвате бисквитки за поведенческо профилиране или проследяване на местоположение, китайските потребители трябва да видят отделна, по-подробна подкана за съгласие за тези категории.

Управление на GDPR и PIPL с една CMP

Повечето глобални уебсайтове трябва да спазват множество режими за поверителност едновременно. Предизвикателството е да представите правилното преживяване за съгласие на правилния потребител, без да поддържате отделни системи. Ето как работи унифицираният подход:

Откриване на региона като основа

CMP трябва първо да определи местоположението на посетителя. Въз основа на това прилага подходящите правила за съгласие:

• Посетители от ЕИП/Обединеното кралство: TCF 2.3 банер за съгласие с Consent Mode V2, модел за включване, всички изисквания на GDPR.
• Китайски посетители: Известие за съгласие, съвместимо с PIPL, на опростен китайски, включване за несъществена обработка, ясно разкриване на трансгранични трансфери, ако данните напускат Китай.
• Посетители от САЩ: Специфични за щата правила (CCPA/CPRA за Калифорния, щатски закони за Колорадо, Кънектикът, Вирджиния и др.), обикновено модели за отказ.
• Други региони: Поведение по подразбиране въз основа на толерантността към риск на издателя и приложимите местни закони.

Съображения за съхранение на съгласието

Изискванията на PIPL за локализация на данните означават, че записите за съгласие на китайски потребители може да трябва да се съхраняват на сървъри в Китай, ако обемите ви на обработка на данни надхвърлят праговете на CAC. За повечето международни уебсайтове с инцидентен китайски трафик е малко вероятно този праг да бъде достигнат, но сайтове с висок трафик, насочени към Китай, трябва да се консултират с местен юридически съветник.

Документация за трансграничен трансфер

Когато китайски потребител даде съгласие за бисквитки, които изпращат данни до сървъри извън Китай (което е случаят за практически всички западни аналитични и рекламни платформи), CMP трябва да документира това съгласие като част от обосновката за трансграничен трансфер. Известието за съгласие трябва изрично да споменава, че данните ще бъдат прехвърлени международно.

Практически стъпки за глобално съответствие

Ето приоритизиран план за действие за уебсайтове, които трябва да адресират PIPL наред с GDPR:

• Одитирайте вашия китайски трафик: Проверете аналитиката си, за да разберете какъв процент от посетителите ви идват от Китай. Ако е незначителен, рискът ви е по-нисък, но не е нулев.
• Картографирайте бисквитките си към категориите на PIPL: Определете кои бисквитки обработват лична информация по дефиницията на PIPL и дали някои включват чувствителна лична информация.
• Внедрете геотаргетирано съгласие: Използвайте CMP, която може да представя различни преживявания за съгласие въз основа на местоположението на посетителя, с подходящ език и правно основание за всеки регион.
• Актуализирайте политиката си за поверителност: Добавете раздел, който конкретно адресира правата по PIPL и вашите практики за обработка на данни за китайски потребители.
• Прегледайте трансграничните трансфери: Документирайте как личната информация на китайските потребители се прехвърля и обработва международно и се уверете, че имате валиден механизъм за трансфер.

Важна забележка: Съответствието с PIPL за уебсайтове, насочени към Китай, може да бъде сложно и регулаторните насоки все още се развиват. Тази статия предоставя общ преглед, но организациите със значителни китайски операции или потребителски бази трябва да потърсят правен съвет, специфичен за тяхната ситуация.

FlexyConsent поддържа геотаргетирани преживявания за съгласие с правила, специфични за региона, позволявайки ви да адресирате GDPR, PIPL, CCPA и други закони за поверителност от една платформа. Безплатният план включва геооткриване и конфигурация на съгласие за множество региони.