PIPL چین و رضایت کوکی: آنچه وبسایتهای جهانی باید بدانند
آشنایی با قانون حفاظت از اطلاعات شخصی چین
قانون حفاظت از اطلاعات شخصی چین (PIPL) که از ۱ نوامبر ۲۰۲۱ لازمالاجرا شد، یکی از مهمترین مقررات حریم خصوصی داده در خارج از اروپاست. برای وبسایتهای جهانی، بهویژه آنهایی که بازدیدکننده چینی دارند یا در چین فعالیت میکنند، PIPL تعهدات رضایتی ایجاد میکند که مستقل از الزامات GDPR است و گاهی حتی با آنها تعارض دارد.
PIPL بر پردازش اطلاعات شخصی افراد در داخل چین حاکم است. دامنه سرزمینی آن گسترده است: این قانون بر هر سازمانی که اطلاعات شخصی افرادِ مستقر در چین را پردازش میکند�� صرفنظر از محل استقرار خود سازمان، اعمال میشود. اگر وبسایت شما برای کاربران چینی قابل دسترس است و هر نوع داده شخصی از آنها جمعآوری میکنید، PIPL برای شما مرتبط است.
PIPL در برابر GDPR: تفاوتهای کلیدی مهم
اگرچه PIPL اغلب «GDPR چین» نامیده میشود، این مقایسه تفاوتهای مهمی را پنهان میکند که بر نحوه پیادهسازی رضایت تأثیر میگذارد:
- رضایت بهعنوان مبنای حقوقی اصلی: GDPR شش مبنای حقوقی برای پردازش ارائه میدهد، از جمله منافع مشروع. PIPL بیشتر «رضایتمحور» است. هرچند مبانی دیگری مانند ضرورت قراردادی، الزام قانونی و منافع عمومی را به رسمیت میشناسد، دامنه منافع مشروع بسیار محدودتر است و رضایت، مبنای پیشفرض مورد انتظار برای اغلب پردازشهای تجاری داده است.
- رضایت جداگانه برای دادههای حساس: PIPL برای پردازش اطلاعات شخصی حساس، رضایت جداگانه و صریح را الزامی میداند؛ اطلاعاتی که شامل دادههای بیومتریک، اطلاعات مالی، ردیابی موقعیت مکانی و دادههای افراد زیر ۱۴ سال است. ردیابی رفتاری مبتنی بر کوکی میتواند ذیل این دسته قرار گیرد.
- الزام به بومیسازی داده: اپراتورهای زیرساخت اطلاعات حیاتی و سازمانهایی که بالاتر از آستانه حجمی تعیینشده توسط اداره فضای مجازی چین (CAC) اطلاعات شخصی پردازش میکنند، باید دادهها را در داخل چین ذخیره کنند. این موضوع بر محل پردازش دادههای تحلیلی و کوکی شما تأثیر میگذارد.
- محدودیتهای انتقال برونمرزی: انتقال اطلاعات شخصی به خارج از چین مستلزم یکی از سه سازوکار است: عبور از ارزیابی امنیتی CAC، اخذ گواهی از نهاد مورد تأیید، یا انعقاد بندهای قراردادی استاندارد منتشرشده توسط CAC. این سازوکارها از سازوکارهای انتقال در GDPR محدودکنندهتر هستند.
- حقوق فردی با ویژگیهای چینی: PIPL حقوقی مشابه GDPR برای اشخاص موضوع داده (دسترسی، اصلاح، حذف، قابلیت انتقال) پیشبینی میکند، اما حق امتناع از تصمیمگیری خودکار و حق درخواست توضیح درباره قواعد پردازش خودکار را نیز اضافه میکند.
PIPL برای کوکیها و ردیابی چه معنایی دارد؟
PIPL بهطور مشخص مانند دستورالعمل ePrivacy اتحادیه اروپا از «کوکی» نام نمیبرد. با این حال، تعریف گسترده این قانون از اطلاعات شخصی ـ هر اطلاعاتی که به شخص حقیقی شناساییشده یا قابلشناسایی مربوط باشد ـ بیشتر ردیابیهای مبتنی بر کوکی را در بر میگیرد:
- کوکیهای تحلیلی که رفتار کاربر را در صفحات مختلف ردیابی میکنند، حتی اگر کاربر وارد حساب نشده باشد، طبق تعریف PIPL اطلاعات شخصی جمعآوری میکنند.
- کوکیهای تبلیغاتی و پیکسلهای ردیابی میانسایتی بهوضوح در دامنه قانون قرار میگیرند، زیرا پروفایلهایی مبتنی بر شناسههای دستگاه ایجاد میکنند.
- کوکیهای نشست برای کارکردهای پایه (سبد خرید، وضعیت ورود) عموماً تحت مبنای ضرورت قراردادی مجاز هستند، مشابه GDPR.
- کوکیهای شخص ثالث که داده را با طرفهای ثالث به اشتراک میگذارند، الزامات اضافی PIPL در مورد افشای شخص ثالث و احتمالاً قواعد انتقال برونمرزی را فعال میکنند.
اجرای PIPL: پیامدهای واقعی
برخلاف برخی قوانین حریم خصوصی که عمدتاً روی کاغذ باقی ماندهاند، اجرای PIPL فعال و رو به تشدید بوده است. اداره فضای مجازی چین، همراه با وزارت امنیت عمومی و سایر نهادها، اقدامات ملموسی انجام دادهاند:
- فروشگاههای اصلی اپ در چین، اپهایی را به دلیل جمعآوری بیش از حد داده و عدم اخذ رضایت مناسب حذف کردهاند. صدها اپ در کارزارهای اجرایی از فهرست خارج شدهاند.
- شرکتها به دلیل جمعآوری اطلاعات شخصی فراتر از آنچه برای هدف اعلامشده لازم بوده، جریمه شدهاند.
- CAC به شرکتهایی که سیاستهای حریم خصوصیشان فعالیتهای پردازش داده را بهطور کافی توصیف نمیکرد، اخطار عمومی داده است.
- در موارد شدید، PIPL امکان اعمال جریمه تا ۵۰ میلیون یوان (حدود ۷ میلیون دلار آمریکا) یا ۵٪ از درآمد سال قبل، همراه با احتمال تعلیق فعالیت تجاری را پیشبینی میکند.
برای شرکتهای بینالمللی، ریسک هم مقرراتی است و هم تجاری. عدم انطباق میتواند به حذف اپ از فروشگاههای اپ چینی، مسدود شدن خدمات و آسیب اعتباری در بازاری با بیش از یک میلیارد کاربر اینترنت منجر شود.
هدفگیری جغرافیایی بازدیدکنندگان چینی
اگر وبسایت شما مخاطب جهانی دارد که شامل کاربران چینی نیز میشود، به یک استراتژی رضایت هدفگیریشده بر اساس موقعیت جغرافیایی نیاز دارید. این یعنی تشخیص اینکه بازدیدکننده در چین قرار دارد و نمایش سازوکارهای رضایتی که الزامات PIPL را برآورده کند:
- تشخیص مبتنی بر IP: از مکانیابی IP برای شناسایی بازدیدکنندگان از سرزمین اصلی چین استفاده کنید. این همان رویکردی است که برای هدفگیری جغرافیایی بازدیدکنندگان EEA در زمینه GDPR به کار میرود.
- سیگنالهای مبتنی بر زبان: اگر زبان مرورگر کاربر روی چینی (zh-CN یا zh-TW) تنظیم شده باشد، میتواند سیگنال ثانویه باشد، هرچند نباید تنها معیار تصمیمگیری باشد.
- محتوای بنر رضایت: اعلان رضایتی که به کاربران چینی نمایش داده میشود باید به زبان چینی سادهشده باشد، اهداف جمعآوری داده را بهروشنی بیان کند، مسئول پردازش داده (کنترلکننده) را مشخص کند و سازوکاری واقعی برای رد پردازش غیرضروری فراهم آورد.
- رضایت جداگانه برای پردازش حساس: اگر از کوکیها برای پروفایلسازی رفتاری یا ردیابی موقعیت مکانی استفاده میکنید، کاربران چینی باید یک اعلان رضایت جداگانه و جزئیتر برای این دستهها ببینند.
مدیریت همزمان GDPR و PIPL با یک CMP
بیشتر وبسایتهای جهانی باید بهطور همزمان با چندین رژیم حریم خصوصی منطبق باشند. چالش این است که تجربه رضایت مناسب را به کاربر مناسب نشان دهید، بدون اینکه سیستمهای جداگانه نگه دارید. رویکرد یکپارچه به این صورت عمل میکند:
تشخیص منطقه بهعنوان پایه
CMP باید ابتدا موقعیت بازدیدکننده را تعیین کند. بر این اساس، قواعد رضایت مناسب اعمال میشود:
- بازدیدکنندگان EEA/UK: بنر رضایت TCF 2.3 با Consent Mode V2، مدل انتخاب-مبتنی بر رضایت (opt-in)، و تمام الزامات GDPR.
- بازدیدکنندگان چینی: اعلان رضایت منطبق با PIPL به زبان چینی سادهشده، مدل opt-in برای پردازشهای غیرضروری، و افشای شفاف انتقالهای برونمرزی در صورت خروج داده از چین.
- بازدیدکنندگان ایالات متحده: قواعد خاص هر ایالت (CCPA/CPRA برای کالیفرنیا، قوانین ایالتی برای کلرادو، کنتیکت، ویرجینیا و غیره)، معمولاً با مدلهای مبتنی بر انصراف (opt-out).
- سایر مناطق: رفتار پیشفرض بر اساس سطح ریسکپذیری ناشر و قوانین محلی قابل اعمال.
ملاحظات ذخیرهسازی رضایت
الزامات بومیسازی داده در PIPL به این معناست که سوابق رضایت کاربران چینی ممکن است در صورتی که حجم پردازش دادههای شما از آستانه CAC فراتر رود، لازم باشد روی سرورهای داخل چین ذخیره شوند. برای بی��تر وبسایتهای بینالمللی که ترافیک چینی آنها اتفاقی و محدود است، بعید است به این آستانه برسند، اما سایتهای پرترافیک که چین را هدف قرار میدهند باید با مشاور حقوقی محلی مشورت کنند.
مستندسازی انتقال برونمرزی
وقتی کاربر چینی با کوکیهایی موافقت میکند که داده را به سرورهای خارج از چین ارسال میکنند (که در عمل برای تقریباً تمام پلتفرمهای تحلیلی و تبلیغاتی غربی صادق است)، CMP باید این رضایت را بهعنوان بخشی از توجیه انتقال برونمرزی مستند کند. اعلان رضایت باید بهصراحت ذکر کند که داده بهصورت بینالمللی منتقل خواهد شد.
گامهای عملی برای انطباق جهانی
در اینجا یک برنامه اقدام اولویتبندیشده برای وبسایتهایی که باید همزمان با PIPL و GDPR منطبق شوند ارائه میشود:
- ترافیک چینی خود را ارزیابی کنید: در ابزارهای تحلیلی بررسی کنید چه درصدی از بازدیدکنندگان شما از چین هستند. اگر این درصد ناچیز است، ریسک شما کمتر است، اما صفر نیست.
- کوکیهای خود را با دستههای PIPL تطبیق دهید: مشخص کنید کدام کوکیها طبق تعریف PIPL اطلاعات شخصی پردازش میکنند و آیا هر یک شامل اطلاعات شخصی حساس میشود یا خیر.
- رضایت هدفگیریشده جغرافیایی پیادهسازی کنید: از یک CMP استفاده کنید که بتواند بر اساس موقعیت بازدیدکننده، تجربههای رضایت متفاوتی با زبان و مبنای حقوقی مناسب برای هر منطقه ارائه دهد.
- سیاست حریم خصوصی خود را بهروزرسانی کنید: بخشی ویژه برای حقوق PIPL و شیوههای پردازش داده شما برای کاربران چینی اضافه کنید.
- انتقالهای برونمرزی را بازبینی کنید: مستند کنید اطلاعات شخصی کاربران چینی چگونه منتقل و در سطح بینالمللی پردازش میشود و اطمینان یابید سازوکار انتقال معتبری در اختیار دارید.
نکته مهم: انطباق با PIPL برای وبسایتهایی که چین را هدف قرار میدهند میتواند پیچیده باشد و دستورالعملهای مقرراتی همچنان در حال تحول است. این مقاله یک مرور کلی ارائه میکند، اما سازمانهایی که عملیات یا پایگاه کاربری قابلتوجهی در چین دارند باید مشاوره حقوقی متناسب با وضعیت خود دریافت کنند.
FlexyConsent از تجربههای رضایت هدفگیریشده جغرافیایی با قواعد خاص هر منطقه پشتیبانی میکند و به شما امکان میدهد GDPR، PIPL، CCPA و سایر قوانین حریم خصوصی را از یک پلتفرم مدیریت کنید. طرح رایگان شامل تشخیص جغرافیایی و پیکربندی رضایت چندمنطقهای است.