Porozumění čínskému zákonu o ochraně osobních údajů

Čínský zákon o ochraně osobních údajů (Personal Information Protection Law, PIPL), který vstoupil v platnost 1. listopadu 2021, patří k nejvýznamnějším předpisům v oblasti ochrany osobních údajů mimo Evropu. Pro globální weby, zejména ty s čínskými návštěvníky nebo s provozem v Číně, vytváří PIPL povinnosti týkající se souhlasu, které existují nezávisle na požadavcích GDPR – a někdy s nimi i kolidují.

PIPL upravuje zpracování osobních údajů jednotlivců na území Číny. Jeho územní působnost je široká: vztahuje se na jakoukoli organizaci, která zpracovává osobní údaje osob nacházejících se v Číně, bez ohledu na to, kde sama organizace sídlí. Pokud je váš web přístupný čínským uživatelům a shromažďujete od nich jakákoli osobní data, je pro vás PIPL relevantní.

PIPL vs. GDPR: Klíčové rozdíly, na kterých záleží

Ačkoli je PIPL často označován jako „čínské GDPR“, toto srovnání zastírá důležité rozdíly, které ovlivňují, jak implementujete souhlas:

• Souhlas jako primární právní základ: GDPR nabízí šest právních základů pro zpracování, včetně oprávněného zájmu. PIPL je více orientován na souhlas. Přestože uznává i jiné právní základy (nezbytnost pro plnění smlouvy, právní povinnost, veřejný zájem), rozsah oprávněného zájmu je mnohem užší a souhlas je očekávaným výchozím řešením pro většinu komerčního zpracování dat.
• Oddělený souhlas pro citlivé údaje: PIPL vyžaduje samostatný, výslovný souhlas pro zpracování citlivých osobních údajů, mezi které patří biometrická data, finanční informace, sledování polohy a údaje o nezletilých mladších 14 let. Sledování chování pomocí cookies může do této kategorie spadat.
• Povinná lokalizace dat: Provozovatelé kritické informační infrastruktury a organizace zpracovávající osobní údaje nad objemový práh stanovený Cyberspace Administration of China (CAC) musí data uchovávat na území Číny. To ovlivňuje, kde mohou být zpracovávána vaše analytická a cookie data.
• Omezení přeshraničních přenosů: Přenos osobních údajů mimo Čínu vyžaduje jeden ze tří mechanismů: úspěšné absolvování bezpečnostního posouzení CAC, získání certifikace od uznaného subjektu nebo uzavření standardních smluvních doložek vydaných CAC. To je restriktivnější než mechanismy přenosu podle GDPR.
• Práva subjektů údajů s „čínskými charakteristikami“: PIPL přiznává subjektům údajů práva podobná GDPR (přístup, oprava, výmaz, přenositelnost), ale přidává právo odmítnout automatizované rozhodování a právo požadovat vysvětlení pravidel automatizovaného zpracování.

Co PIPL znamená pro cookies a sledování

PIPL výslovně nezmiňuje „cookies“ tak, jako to činí evropská směrnice ePrivacy. Široká definice osobních údajů – jakékoli informace vztahující se k identifikované nebo identifikovatelné fyzické osobě – však zahrnuje většinu sledování založeného na cookies:

• Analytické cookies, které sledují chování uživatele napříč stránkami, shromažďují podle definice PIPL osobní údaje, i když uživatel není přihlášen.
• Reklamní cookies a cross-site tracking pixely zjevně spadají do působnosti, protože vytvářejí profily navázané na identifikátory zařízení.
• Relační cookies pro základní funkčnost (nákupní košíky, stav přihlášení) jsou obecně přípustné na základě nezbytnosti pro plnění smlouvy, podobně jako u GDPR.
• Cookies třetích stran, které sdílejí data s externími subjekty, spouštějí další požadavky PIPL týkající se informování o třetích stranách a případně i pravidel pro přeshraniční přenos.

Vymáhání PIPL: Reálné důsledky

Na rozdíl od některých zákonů o ochraně soukromí, které existují převážně „na papíře“, je vymáhání PIPL aktivní a stupňuje se. Cyberspace Administration of China spolu s Ministerstvem veřejné bezpečnosti a dalšími orgány podniká konkrétní kroky:

• Hlavní app story v Číně odstranily aplikace kvůli nadměrnému sběru dat a neexistenci řádně získaného souhlasu. V rámci kontrolních kampaní byly staženy stovky aplikací.
• Firmy byly pokutovány za shromažďování osobních údajů nad rámec toho, co bylo nezbytné pro deklarovaný účel.
• CAC vydal veřejná varování společnostem, jejichž zásady ochrany osobních údajů nedostatečně popisovaly zpracovatelské činnosti.
• V závažných případech umožňuje PIPL pokuty až do výše 50 milionů RMB (přibližně 7 milionů USD) nebo 5 % z příjmů za předchozí rok, spolu s potenciálním pozastavením podnikatelské činnosti.

Pro mezinárodní společnosti je riziko jak regulační, tak obchodní. Nedodržování může vést k odstranění aplikace z čínských app storů, blokování služeb a poškození reputace na trhu s více než jednou miliardou uživatelů internetu.

Geotargeting čínských návštěvníků

Pokud váš web obsluhuje globální publikum, které zahrnuje i čínské uživatele, potřebujete strategii souhlasu založenou na geotargetingu. To znamená detekovat, kdy se návštěvník nachází v Číně, a zobrazit mechanismy souhlasu, které splňují požadavky PIPL:

• Detekce podle IP: Použijte IP geolokaci k identifikaci návštěvníků z pevninské Číny. Jde o stejný přístup, jaký se používá pro geotargeting návštěvníků z EHP podle GDPR.
• Signály podle jazyka: Pokud má uživatel nastaven jazyk prohlížeče na čínštinu (zh-CN nebo zh-TW), může to sloužit jako sekundární signál, neměl by však být jediným rozhodujícím faktorem.
• Obsah banneru se souhlasem: Oznámení o souhlasu zobrazované čínským uživatelům by mělo být v zjednodušené čínštině, jasně uvádět účely shromažďování dat, identifikovat správce údajů a nabídnout skutečný mechanismus pro odmítnutí nezbytného zpracování.
• Oddělený souhlas pro citlivé zpracování: Pokud používáte cookies pro profilování chování nebo sledování polohy, měli by čínští uživatelé vidět samostatnou, podrobnější výzvu k souhlasu pro tyto kategorie.

Jak zvládnout GDPR a PIPL s jedním CMP

Většina globálních webů musí současně dodržovat více režimů ochrany soukromí. Výzvou je zobrazit správný zážitek se souhlasem správnému uživateli, aniž byste museli udržovat oddělené systémy. Následující přístup umožňuje jednotné řešení:

Detekce regionu jako základ

CMP musí nejprve určit polohu návštěvníka. Na základě toho uplatní odpovídající pravidla pro souhlas:

• Návštěvníci z EHP/UK: banner souhlasu TCF 2.3 s Consent Mode V2, model opt-in, všechny požadavky GDPR.
• Čínští návštěvníci: oznámení o souhlasu v souladu s PIPL ve zjednodušené čínštině, opt-in pro nezbytné zpracování, jasné zveřejnění přeshraničních přenosů, pokud data opouštějí Čínu.
• Návštěvníci z USA: pravidla podle jednotlivých států (CCPA/CPRA pro Kalifornii, zákony států Colorado, Connecticut, Virginie atd.), obvykle model opt-out.
• Ostatní regiony: výchozí chování podle míry rizika, kterou je vydavatel ochoten akceptovat, a podle místních právních p��edpisů.

Ukládání záznamů o souhlasu

Požadavky PIPL na lokalizaci dat znamenají, že záznamy o souhlasu čínských uživatelů může být nutné ukládat na serverech v Číně, pokud objem vašeho zpracování dat překročí prahy stanovené CAC. U většiny mezinárodních webů s nahodilým čínským provozem je nepravděpodobné, že by tohoto prahu dosáhly, ale weby s vysokou návštěvností cílené na Čínu by se měly poradit s místními právníky.

Dokumentace přeshraničních přenosů

Pokud čínský uživatel udělí souhlas s cookies, které odesílají data na servery mimo Čínu (což je případ prakticky všech západních analytických a reklamních platforem), měl by CMP tento souhlas zdokumentovat jako součást odůvodnění přeshraničního přenosu. Oznámení o souhlasu by mělo výslovně uvádět, že data budou přenášena do zahraničí.

Praktické kroky pro globální soulad

Zde je prioritizovaný akční plán pro weby, které potřebují řešit PIPL vedle GDPR:

• Proveďte audit čínského provozu: Zkontrolujte v analytice, jaké procento vašich návštěvníků pochází z Číny. Pokud je zanedbatelné, vaše riziko je nižší, ale ne nulové.
• Namapujte své cookies na kategorie PIPL: Určete, které cookies zpracovávají osobní údaje podle definice PIPL a zda se některé týkají citlivých osobních údajů.
• Zaveďte geotargetovaný souhlas: Použijte CMP, který dokáže zobrazovat různé zážitky se souhlasem podle polohy návštěvníka, s odpovídajícím jazykem a právním základem pro každý region.
• Aktualizujte zásady ochrany osobních údajů: Přidejte část, která se konkrétně věnuje právům podle PIPL a vašim postupům zpracování dat pro čínské uživatele.
• Přezkoumejte přeshraniční přenosy: Zdokumentujte, jak jsou osobní údaje čínských uživatelů předávány a zpracovávány v zahraničí, a zajistěte, že máte platný mechanismus přenosu.

Důležité upozornění: Dodržování PIPL pro weby zaměřené na Čínu může být složité a regulatorní pokyny se stále vyvíjejí. Tento článek poskytuje obecný přehled, ale organizace s významným provozem nebo uživatelskou základnou v Číně by měly vyhledat právní poradenství přizpůsobené jejich konkrétní situaci.

FlexyConsent podporuje geotargetované zážitky se souhlasem s pravidly specifickými pro jednotlivé regiony, což vám umožňuje řešit GDPR, PIPL, CCPA a další zákony na ochranu soukromí z jediné platformy. Bezplatný tarif zahrnuje geodetekci a konfiguraci souhlasu pro více regionů.