Forstå Kinas lov om beskyttelse af personoplysninger

Kinas lov om beskyttelse af personoplysninger (PIPL), som trådte i kraft den 1. november 2021, er en af de mest betydningsfulde databeskyttelsesregler uden for Europa. For globale websites, især dem med kinesiske besøgende eller aktiviteter i Kina, skaber PIPL samtykkeforpligtelser, som eksisterer uafhængigt af – og nogle gange er i konflikt med – GDPR-krav.

PIPL regulerer behandling af personoplysninger om personer i Kina. Dens territoriale anvendelsesområde er bredt: den gælder for enhver organisation, der behandler personoplysninger om personer, der befinder sig i Kina, uanset hvor organisationen selv er baseret. Hvis dit website er tilgængeligt for kinesiske brugere, og du indsamler nogen form for persondata fra dem, er PIPL relevant for dig.

PIPL vs. GDPR: Vigtige forskelle, der betyder noget

Selvom PIPL ofte kaldes "Kinas GDPR", skjuler sammenligningen vigtige forskelle, der påvirker, hvordan du implementerer samtykke:

• Samtykke som primært retsgrundlag: GDPR tilbyder seks retsgrundlag for behandling, herunder legitim interesse. PIPL er mere samtykkecentreret. Selvom den anerkender andre retsgrundlag (kontraktuel nødvendighed, retlig forpligtelse, almen interesse), er anvendelsesområdet for legitim interesse langt smallere, og samtykke er den forventede standard for de fleste kommercielle databehandlinger.
• Særskilt samtykke til følsomme data: PIPL kræver særskilt, udtrykkeligt samtykke til behandling af følsomme personoplysninger, herunder biometriske data, finansielle oplysninger, lokationssporing og data om mindreårige under 14 år. Cookie-baseret adfærdsprofilering kan falde ind under denne kategori.
• Obligatorisk datalokalisering: Operatører af kritisk informationsinfrastruktur og organisationer, der behandler personoplysninger over en tærskel fastsat af Cyberspace Administration of China (CAC), skal lagre data i Kina. Dette påvirker, hvor dine analyse- og cookiedata kan behandles.
• Begrænsninger på grænseoverskridende overførsler: Overførsel af personoplysninger ud af Kina kræver en af tre mekanismer: beståelse af en sikkerhedsvurdering fra CAC, opnåelse af certificering fra et anerkendt organ eller indgåelse af standardkontraktbestemmelser offentliggjort af CAC. Dette er mere restriktivt end GDPR’s overførselsmekanismer.
• Individuelle rettigheder med kinesiske særtræk: PIPL giver registrerede rettigheder, der ligner GDPR (indsigt, berigtigelse, sletning, dataportabilitet), men tilføjer retten til at afvise automatiske afgørelser og retten til at anmode om forklaring af reglerne for automatiseret behandling.

Hvad PIPL betyder for cookies og tracking

PIPL nævner ikke specifikt "cookies" på samme måde som EU’s ePrivacy-direktiv. Men lovens brede definition af personoplysninger – enhver oplysning, der vedrører en identificeret eller identificerbar fysisk person – omfatter de fleste former for cookie-baseret tracking:

• Analysecookies, der sporer brugeradfærd på tværs af sider, indsamler personoplysninger efter PIPL’s definition, selv hvis brugeren ikke er logget ind.
• Annoncecookies og cross-site tracking-pixels falder klart inden for anvendelsesområdet, da de opbygger profiler knyttet til enhedsidentifikatorer.
• Sessionscookies til grundlæggende funktionalitet (indkøbskurve, login-status) er generelt tilladte under retsgrundlaget kontraktuel nødvendighed, på samme måde som under GDPR.
• Tredjepartscookies, der deler data med eksterne parter, udløser yderligere PIPL-krav om tredjepartsoplysning og potentielt regler om grænseoverskridende overførsel.

PIPL-håndhævelse: Reelle konsekvenser

I modsætning til nogle databeskyttelseslove, der primært eksisterer på papiret, har håndhævelsen af PIPL været aktiv og eskalerende. Cyberspace Administration of China, sammen med Ministeriet for Offentlig Sikkerhed og andre myndigheder, har taget konkrete skridt:

• Store app-butikker i Kina har fjernet apps for overdreven dataindsamling og manglende indhentelse af korrekt samtykke. Hundredvis af apps er blevet fjernet i håndhævelseskampagner.
• Virksomheder er blevet bødesanktioneret for at indsamle personoplysninger ud over, hvad der var nødvendigt til det angivne formål.
• CAC har udsendt offentlige advarsler til virksomheder, hvis privatlivspolitikker ikke tilstrækkeligt beskrev databehandlingsaktiviteterne.
• I alvorlige tilfælde giver PIPL mulighed for bøder på op til 50 millioner RMB (omtrent 7 millioner USD) eller 5 % af det foregående års omsætning, sammen med potentiel suspension af forretningsaktiviteter.

For internationale virksomheder er risikoen både regulatorisk og kommerciel. Manglende overholdelse kan føre til fjernelse af apps fra kinesiske app-butikker, blokering af tjenester og omdømmeskade på et marked med over en milliard internetbrugere.

Geo-targeting af kinesiske besøgende

Hvis dit website betjener et globalt publikum, der omfatter kinesiske brugere, har du brug for en geo-targeted samtykkestrategi. Det betyder, at du skal opdage, når en besøgende befinder sig i Kina, og præsentere samtykkemekanismer, der opfylder PIPL-kravene:

• IP-baseret detektion: Brug IP-geolokation til at identificere besøgende fra det kinesiske fastland. Dette er samme tilgang, som bruges til GDPR-geo-targeting af besøgende fra EØS.
• Sprog-baserede signaler: Hvis en brugers browser-sprog er sat til kinesisk (zh-CN eller zh-TW), kan dette fungere som et sekundært signal, men bør ikke være den eneste afgørende faktor.
• Indhold i samtykkebanner: Samtykkemeddelelsen, der vises til kinesiske brugere, bør være på forenklet kinesisk, klart angive formålene med dataindsamlingen, identificere den dataansvarlige og give en reel mulighed for at afvise ikke-nødvendig behandling.
• Særskilt samtykke til følsom behandling: Hvis du bruger cookies til adfærdsprofilering eller lokationssporing, bør kinesiske brugere se en særskilt, mere granulær samtykkeanmodning for disse kategorier.

Håndtering af GDPR og PIPL med én CMP

De fleste globale websites skal overholde flere databeskyttelsesregimer samtidig. Udfordringen er at præsentere den rigtige samtykkeoplevelse for den rigtige bruger uden at vedligeholde separate systemer. Sådan fungerer en samlet tilgang:

Regionsdetektion som fundament

CMP’en skal først fastslå den besøgendes placering. På den baggrund anvender den de relevante samtykkeregler:

• Besøgende fra EØS/UK: TCF 2.3-samtykkebanner med Consent Mode V2, opt-in-model, alle GDPR-krav.
• Kinesiske besøgende: PIPL-kompatibel samtykkemeddelelse på forenklet kinesisk, opt-in til ikke-nødvendig behandling, klar oplysning om grænseoverskridende overførsler, hvis data forlader Kina.
• Besøgende fra USA: Delstatsspecifikke regler (CCPA/CPRA for Californien, delstatslove for Colorado, Connecticut, Virginia osv.), typisk opt-out-modeller.
• Andre regioner: Standardadfærd baseret på udgiverens risikotolerance og gældende lokal lovgivning.

Overvejelser om lagring af samtykke

PIPL’s krav om datalokalisering betyder, at samtykkeregistre for kinesiske brugere muligvis skal lagres på servere i Kina, hvis dine databehandlingsmængder overstiger CAC’s tærskler. For de fleste internationale websites med sporadisk kinesisk trafik er det usandsynligt, at denne tærskel nås, men højtrafiksites, der målretter Kina, bør rådføre sig med lokal juridisk rådgivning.

Dokumentation af grænseoverskridende overførsler

Når en kinesisk bruger giver samtykke til cookies, der sender data til servere uden for Kina (hvilket er tilfældet for stort set alle vestlige analyse- og annonceplatforme), bør CMP’en dokumentere dette samtykke som en del af begrundelsen for den grænseoverskridende overførsel. Samtykkemeddelelsen bør eksplicit nævne, at data vil blive overført internationalt.

Praktiske skridt til global overholdelse

Her er en prioriteret handlingsplan for websites, der skal håndtere PIPL sammen med GDPR:

• Gennemgå din kinesiske trafik: Tjek din webanalyse for at forstå, hvor stor en procentdel af dine besøgende der kommer fra Kina. Hvis den er ubetydelig, er din risiko lavere, men ikke nul.
• Kortlæg dine cookies i forhold til PIPL-kategorier: Afgør hvilke cookies, der behandler personoplysninger efter PIPL’s definition, og om nogen involverer følsomme personoplysninger.
• Implementér geo-targeted samtykke: Brug en CMP, der kan præsentere forskellige samtykkeoplevelser baseret på den besøgendes placering, med passende sprog og retsgrundlag for hver region.
• Opdater din privatlivspolitik: Tilføj en sektion, der specifikt omhandler PIPL-rettigheder og dine databehandlingspraksisser for kinesiske brugere.
• Gennemgå grænseoverskridende overførsler: Dokumentér, hvordan personoplysninger om kinesiske brugere overføres og behandles internationalt, og sørg for, at du har en gyldig overførselsmekanisme.

Vigtig bemærkning: Overholdelse af PIPL for websites, der målretter Kina, kan være komplekst, og de regulatoriske retningslinjer er stadig under udvikling. Denne artikel giver et generelt overblik, men organisationer med betydelige aktiviteter eller brugerbaser i Kina bør søge juridisk rådgivning, der er specifik for deres situation.

FlexyConsent understøtter geo-targeted samtykkeoplevelser med regionsspecifikke regler, så du kan håndtere GDPR, PIPL, CCPA og andre databeskyttelseslove fra én samlet platform. Gratisplanen inkluderer geodetektion og konfiguration af samtykke på tværs af flere regioner.