Κατανόηση του κινεζικού Νόμου για την Προστασία Προσωπικών Πληροφοριών

Ο κινεζικός Νόμος για την Προστασία Προσωπικών Πληροφοριών (PIPL), που τέθηκε σε ισχύ την 1η Νοεμβρίου 2021, είναι μία από τις πιο σημαντικές ρυθμίσεις προστασίας δεδομένων εκτός Ευρώπης. Για παγκόσμια websites, ιδίως εκείνα με Κινέζους επισκέπτες ή δραστηριότητες στην Κίνα, ο PIPL δημιουργεί υποχρεώσεις συγκατάθεσης που υφίστανται ανεξάρτητα — και μερικές φορές συγκρούονται — με τις απαιτήσεις του GDPR.

Ο PIPL διέπει την επεξεργασία προσωπικών πληροφοριών ατόμων εντός της Κίνας. Το εδαφικό του πεδίο είναι ευρύ: εφαρμόζεται σε κάθε οργανισμό που επεξεργάζεται προσωπικές πληροφορίες προσώπων που βρίσκονται στην Κίνα, ανεξάρτητα από το πού εδρεύει ο ίδιος ο οργανισμός. Αν ο ιστότοπός σας είναι προσβάσιμος σε Κινέζους χρήστες και συλλέγετε οποιαδήποτε προσωπικά δεδομένα από αυτούς, ο PIPL σας αφορά.

PIPL vs. GDPR: Βασικές διαφορές που έχουν σημασία

Παρόλο που ο PIPL συχνά αποκαλείται «το GDPR της Κίνας», η σύγκριση αποκρύπτει σημαντικές διαφορές που επηρεάζουν τον τρόπο με τον οποίο υλοποιείτε τη συγκατάθεση:

• Η συγκατάθεση ως κύρια νομική βάση: Το GDPR προσφέρει έξι νομικές βάσεις για επ��ξεργασία, συμπεριλαμβανομένου του έννομου συμφέροντος. Ο PIPL είναι πιο προσανατολισμένος στη συγκατάθεση. Αν και αναγνωρίζει άλλες νομικές βάσεις (συμβατική αναγκαιότητα, νομική υποχρέωση, δημόσιο συμφέρον), το πεδίο του έννομου συμφέροντος είναι πολύ στενότερο και η συγκατάθεση είναι η αναμενόμενη προεπιλογή για τις περισσότερες εμπορικές επεξεργασίες δεδομένων.
• Ξεχωριστή συγκατάθεση για ευαίσθητα δεδομένα: Ο PIPL απαιτεί ξεχωριστή, ρητή συγκατάθεση για την επεξεργασία ευαίσθητων προσωπικών πληροφοριών, στις οποίες περιλαμβάνονται βιομετρικά δεδομένα, οικονομικές πληροφορίες, εντοπισμός τοποθεσίας και δεδομένα ανηλίκων κάτω των 14 ετών. Η συμπεριφορική παρακολούθηση μέσω cookies μπορεί να εμπίπτει σε αυτή την κα��ηγορία.
• Υποχρεωτικός εντοπισμός δεδομένων: Οι φορείς κρίσιμων υποδομών πληροφοριών και οι οργανισμοί που επεξεργάζονται προσωπικές πληροφορίες πάνω από ένα όριο όγκου που ορίζεται από την Cyberspace Administration of China (CAC) πρέπει να αποθηκεύουν τα δεδομένα εντός Κίνας. Αυτό επηρεάζει το πού μπορούν να υποβάλλονται σε επεξεργασία τα δεδομένα analytics και cookies.
• Περιορισμοί διασυνοριακών διαβιβάσεων: Η διαβίβαση προσωπικών πληροφοριών εκτός Κίνας απαιτεί έναν από τρεις μηχανισμούς: επιτυχή ολοκλήρωση ελέγχου ασφάλειας από την CAC, λήψη πιστοποίησης από αναγνωρισμένο φορέα ή σύναψη τυποποιημένων συμβατικών ρητρών που δημοσιεύονται από την CAC. Αυτό είναι πιο περιοριστικό από τους μηχανισμούς διαβίβασης του GDPR.
• Ατομικά δικαιώματα με κινεζικά χαρακτηριστικά: Ο PIPL παρέχει στα υποκείμενα των δεδομένων δικαιώματα παρόμοια με εκείνα του GDPR (πρόσβαση, διόρθωση, διαγραφή, φορητότητα), αλλά προσθέτει το δικαίωμα άρνησης αυτοματοποιημένης λήψης αποφάσεων και το δικαίωμα αίτησης εξήγησης των κανόνων αυτοματοποιημένης επεξεργασίας.

Τι σημαίνει ο PIPL για τα cookies και την παρακολούθηση

Ο PIPL δεν αναφέρει συγκεκριμένα τα «cookies» με τον τρόπο που το κάνει η Οδηγία ePrivacy της ΕΕ. Ωστόσο, ο ευρύς ορισμός του για τις προσωπικές πληροφορίες — κάθε πληροφορία που σχετίζεται με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο — καλύπτει το μεγαλύτερο μέρος της παρακολούθησης μέσω cookies:

• Cookies ανάλυσης (analytics) που παρακολουθούν τη συμπεριφορά του χρή��τη σε πολλές σελίδες συλλέγουν προσωπικές πληροφορίες σύμφωνα με τον ορισμό του PIPL, ακόμη κι αν ο χρήστης δεν είναι συνδεδεμένος.
• Διαφημιστικά cookies και pixels παρακολούθησης μεταξύ ιστότοπων εμπίπτουν σαφώς στο πεδίο εφαρμογής, καθώς δημιουργούν προφίλ συνδεδεμένα με αναγνωριστικά συσκευών.
• Cookies συνεδρίας για βασική λειτουργικότητα (καλάθια αγορών, κατάσταση σύνδεσης) είναι γενικά επιτρεπτά βάσει της συμβατικής αναγκαιότητας, παρόμοια με το GDPR.
• Cookies τρίτων που κοινοποιούν δεδομένα σε εξωτερικά μέρη ενεργοποιούν πρόσθετες απαιτήσεις του PIPL σχετικά με τη γνωστοποίηση σε τρίτους και ενδεχομένως τους κανόνες διασυνοριακών διαβιβάσεων.

Επιβολή του PIPL: Πραγματικές συνέπειες

Σε αντίθεση με ορισμένους νόμους περί απορρήτου που υπάρχουν κυρίως στα χαρτιά, η επιβολή του PIPL είναι ενεργή και κλιμακούμενη. Η Cyberspace Administration of China, μαζί με το Υπουργείο Δημόσιας Ασφάλειας και άλλες αρχές, έχει λάβει συγκεκριμένα μέτρα:

• Μεγάλα app stores στην Κίνα έχουν αφαιρέσει εφαρμογές λόγω υπερβολικής συλλογής δεδομένων και αποτυχίας λήψης κατάλληλης συγκατάθεσης. Εκατοντάδες εφαρμογές έχουν διαγραφεί σε εκστρατείες επιβολής.
• Εταιρείες έχουν τιμωρηθεί με πρόστιμα επειδή συνέλεγαν προσωπικές πληροφορίες πέρα από ό,τι ήταν απαραίτητο για τον δηλωμένο σκοπό τους.
• Η CAC έχει εκδώσει δημόσιες προειδοποιήσεις σε εταιρείες των οποίων οι πολιτικές απορρήτου δεν περιέγραφαν επαρκώς τις δραστηριότητες επεξεργασίας δεδομένων.
• Σε σοβαρές π��ριπτώσεις, ο PIPL επιτρέπει πρόστιμα έως 50 εκατομμύρια RMB (περίπου 7 εκατομμύρια USD) ή 5% των εσόδων του προηγούμενου έτους, μαζί με πιθανή αναστολή επιχειρηματικών δραστηριοτήτων.

Για διεθνείς εταιρείες, ο κίνδυνος είναι τόσο κανονιστικός όσο και εμπορικός. Η μη συμμόρφωση μπορεί να οδηγήσει σε αφαίρεση εφαρμογών από τα κινεζικά app stores, σε αποκλεισμό υπηρεσιών και σε ζημιά στη φήμη σε μια αγορά με πάνω από ένα δισεκατομμύριο χρήστες διαδικτύου.

Geo-targeting Κινέζων επισκεπτών

Αν ο ιστότοπός σας εξυπηρετεί ένα παγκόσμιο κοινό που περιλαμβάνει Κινέζους χρήστες, χρειάζεστε μια στρατηγική συγκατάθεσης με geo-targeting. Αυτό σημαίνει εντοπισμό του πότε ένας επισκέπτης βρίσκεται στην Κίνα και εμφάνιση μηχανισμών συγκατάθεσης που ικανοποιούν ��ις απαιτήσεις του PIPL:

• Εντοπισμός βάσει IP: Χρησιμοποιήστε γεωεντοπισμό IP για να αναγνωρίζετε επισκέπτες από την ηπειρωτική Κίνα. Πρόκειται για την ίδια προσέγγιση που χρησιμοποιείται για geo-targeting του GDPR για επισκέπτες του ΕΟΧ.
• Σήματα βάσει γλώσσας: Αν η γλώσσα του browser του χρήστη είναι ρυθμισμένη στα κινεζικά (zh-CN ή zh-TW), αυτό μπορεί να λειτουργήσει ως δευτερεύον σήμα, αν και δεν θα πρέπει να αποτελεί τον μοναδικό καθοριστικό παράγοντα.
• Περιεχόμενο banner συγκατάθεσης: Η ειδοποίηση συγκατάθεσης που εμφανίζεται σε Κινέζους χρήστες θα πρέπει να είναι στα απλοποιημένα κινεζικά, να δηλώνει με σαφήνεια τους σκοπούς συλλογής δεδομένων, να προσδιορίζει τον υπεύθυνο επεξεργασίας και να παρέχει έναν πραγματικό μηχανισμό άρνησης μη απαραίτητης επεξεργασίας.
• Ξεχωριστή συγκατάθεση για ευαίσθητη επεξεργασία: Αν χρησιμοποιείτε cookies για συμπεριφορικό προφίλ ή εντοπισμό τοποθεσίας, οι Κινέζοι χρήστες θα πρέπει να βλέπουν ένα ξεχωριστό, πιο λεπτομερές αίτημα συγκατάθεσης για αυτές τις κατηγορίες.

Διαχείριση GDPR και PIPL με ένα CMP

Τα περισσότερα παγκόσμια websites πρέπει να συμμορφώνονται ταυτόχρονα με πολλαπλά καθεστώτα απορρήτου. Η πρόκληση είναι να παρουσιάζεται η σωστή εμπειρία συγκατάθεσης στον σωστό χρήστη χωρίς τη διατήρηση ξεχωριστών συστημάτων. Δείτε πώς λειτουργεί μια ενοποιημένη προσέγγιση:

Ο εντοπισμός περιοχής ως θεμέλιο

Το CMP πρέπει πρώτα να προσδιορίσει την τοποθεσία του επισκέπτη. Με βάση αυτό, εφαρμόζει τ��υς κατάλληλους κανόνες συγκατάθεσης:

• Επισκέπτες από ΕΟΧ/Ηνωμένο Βασίλειο: Banner συγκατάθεσης TCF 2.3 με Consent Mode V2, μοντέλο opt-in, όλες οι απαιτήσεις του GDPR.
• Κινέζοι επισκέπτες: Ειδοποίηση συγκατάθεσης συμβατή με PIPL στα απλοποιημένα κινεζικά, opt-in για μη απαραίτητη επεξεργασία, σαφής γνωστοποίηση διασυνοριακών διαβιβάσεων αν τα δεδομένα φεύγουν από την Κίνα.
• Επισκέπτες από τις ΗΠΑ: Κανόνες ανά πολιτεία (CCPA/CPRA για την Καλιφόρνια, νόμοι πολιτειών για Κολοράντο, Κονέκτικατ, Βιρτζίνια κ.λπ.), συνήθως μοντέλα opt-out.
• Άλλες περιοχές: Προεπιλεγμένη συμπεριφορά βάσει της ανοχής κινδύνου του publisher και των εφαρμοστέων τοπικών νόμων.

Ζητήματα αποθήκευσης συγκατάθεσης

Οι απαιτήσεις εντοπισμού δεδομένων του PIPL σημαίνουν ότι τα αρχεία συγκατάθεσης για Κινέζους χρήστες ενδέχεται να χρειάζεται να αποθηκεύονται σε servers εντός Κίνας αν οι όγκοι επεξεργασίας δεδομένων σας υπερβαίνουν τα όρια της CAC. Για τα περισσότερα διεθνή websites με περιστασιακή κινεζική επισκεψιμότητα, είναι απίθανο να ξεπεραστεί αυτό το όριο, αλλά ιστότοποι με υψηλή επισκεψιμότητα που στοχεύουν την Κίνα θα πρέπει να συμβουλευτούν τοπικούς νομικούς συμβούλους.

Τεκμηρίωση διασυνοριακών διαβιβάσεων

Όταν ένας Κινέζος χρήστης συναινεί σε cookies που στέλνουν δεδομένα σε servers εκτός Κίνας (όπως συμβαίνει σχεδόν με όλες τις δυτικές πλατφόρμες analytics και διαφήμισης), το CMP θα πρέπει να τεκμηριώνει αυτή τη συγκατάθεση ως μέρος της αιτιολόγησης για τη διασυνοριακή διαβίβα��η. Η ειδοποίηση συγκατάθεσης θα πρέπει να αναφέρει ρητά ότι τα δεδομένα θα διαβιβαστούν διεθνώς.

Πρακτικά βήματα για παγκόσμια συμμόρφωση

Ακολουθεί ένα ιεραρχημένο πλάνο δράσης για websites που πρέπει να αντιμετωπίσουν τον PIPL παράλληλα με το GDPR:

• Ελέγξτε την κινεζική επισκεψιμότητά σας: Εξετάστε τα analytics σας για να κατανοήσετε ποιο ποσοστό των επισκεπτών σας προέρχεται από την Κίνα. Αν είναι αμελητέο, ο κίνδυνός σας είναι χαμηλότερος αλλά όχι μηδενικός.
• Χαρτογραφήστε τα cookies σας στις κατηγορίες του PIPL: Προσδιορίστε ποια cookies επεξεργάζονται προσωπικές πληροφορίες σύμφωνα με τον ορισμό του PIPL και αν κάποια αφορούν ευαίσθητες προσωπικές πληροφορίες.
• Υλοποιήστε geo-targeted συγκατάθεση: Χρησιμοποιήστε ένα CMP που μπορεί να παρουσιάζει διαφορετικές εμπειρίες συγκατάθεσης βάσει τοποθεσίας επισκέπτη, με κατάλληλη γλώσσα και νομική βάση για κάθε περιοχή.
• Ενημερώστε την πολιτική απορρήτου σας: Προσθέστε ενότητα που να αντιμετωπίζει ειδικά τα δικαιώματα του PIPL και τις πρακτικές επεξεργασίας δεδομένων για Κινέζους χρήστες.
• Επανεξετάστε τις διασυνοριακές διαβιβάσεις: Τεκμηριώστε πώς οι προσωπικές πληροφορίες των Κινέζων χρηστών διαβιβάζονται και υποβάλλονται σε επεξεργασία διεθνώς και βεβαιωθείτε ότι διαθέτετε έγκυρο μηχανισμό διαβίβασης.

Σημαντική σημείωση: Η συμμόρφωση με τον PIPL για websites που στοχεύουν την Κίνα μπορεί να είναι περίπλοκη και οι κανονιστικές κατευθυντήριες γραμμές συνεχ��ζουν να εξελίσσονται. Αυτό το άρθρο παρέχει μια γενική επισκόπηση, αλλά οργανισμοί με σημαντικές δραστηριότητες ή βάσεις χρηστών στην Κίνα θα πρέπει να αναζητήσουν νομικές συμβουλές προσαρμοσμένες στη δική τους κατάσταση.

Το FlexyConsent υποστηρίζει εμπειρίες συγκατάθεσης με geo-targeting και κανόνες ανά περιοχή, επιτρέποντάς σας να αντιμετωπίζετε GDPR, PIPL, CCPA και άλλους νόμους περί απορρήτου από μία ενιαία πλατφόρμα. Το δωρεάν πλάνο περιλαμβάνει geo-detection και ρυθμίσεις συγκατάθεσης για πολλές περιοχές.