راهنمای رعایت رضایت کوکی PDPA سریلانکا: قانون شماره ۹ سال ۲۰۲۲ برای ناشران در ۲۰۲۶
سریلانکا بیش از یک دهه در مسیر قانونگذاری سپری کرد پیش از آنکه قانون حفاظت از دادههای شخصیاش سرانجام به عنوان قانون شماره ۹ سال ۲۰۲۲ تصویب شود و توسط رئیس مجلس در ۱۹ March 2022 تأیید گردد. این قانون معماری گستردهای را که از زمان GDPR به استاندارد جهانی تبدیل شده اتخاذ میکند — محدودیت هدف، پایه قانونی، حقوق موضوع داده، مسئولیتپذیری، کنترلهای انتقال فرامرزی، اطلاعرسانی نقض و یک تنظیمکننده مستقل با اختیارات مجازات اداری — اما آنها را در رژیمی متناسب با واقعیتهای تجاری و قانون اساسی جنوب آسیا جای میدهد. قانون از ۱۷ March 2023 به صورت مرحلهای اجرا شد، با تعهدات اساسی ۱۸ ماه بعد و مقررات اجرایی به تدریج از سال ۲۰۲۵ تا ۲۰۲۶. برای ناشران و هر نهاد دیگری که دادههای شخصی افراد ساکن سریلانکا را پردازش میکند، نتیجه مستقیم است: موضع رضایت کوکی که با مجموعه قوانین سکتوری قبلی رضایت میداد دیگر کافی نیست، و موضعی که GDPR را ارضا میکند تنها در صورتی PDPA را نیز ارضا خواهد کرد که یکپارچهسازی برای نقاط خاصی که دو رژیم از هم متمایز میشوند پیکربندی شده باشد.
آنچه PDPA سریلانکا واقعاً طلب میکند
PDPA برای پردازش دادههای شخصی موضوعات دادهای که در سریلانکا هستند اعمال میشود، صرف نظر از محل کنترلکننده یا پردازنده، و برای کنترلکنندگان و پردازندگان مستقر در سریلانکا صرف نظر از محل موضوعات داده. دامنه سرزمینی، ماده ۳ GDPR را منعکس میکند و به این معناست که ناشری که دفتری در سریلانکا ندارد اما خوانندگان، نصب اپلیکیشن یا مشتریان پرداختکنندهی سریلانکایی دارد، به وضوح در حوزه شمول است. دادههای شخصی به طور گسترده به عنوان هر اطلاعاتی مربوط به یک شخص زنده شناختهشده یا قابل شناسایی تعریف میشوند، با دادههای دسته خاص شامل بیومتریک، ژنتیک، مالی، سلامت، نژادی، قومی، عقاید مذهبی، عقاید سیاسی و سوابق جنایی تحت قوانین سختگیرانهتر.
قانون هفت اصل اساسی حفاظت از داده، شش پایه قانونی برای پردازش، مجموعه استاندارد حقوق موضوع داده — دسترسی، اصلاح، حذف، محدودیت، اعتراض و قابلیت انتقال داده در صورت امکان فنی — و یک تنظیمکننده، مرجع حفاظت از داده سریلانکا، با اختیار صدور دستورالعمل، اعمال مجازاتهای اداری تا LKR ۱۰ میلیون در هر نقض و ارجاع موارد جدی برای تعقیب کیفری ایجاد میکند.
چگونه PDPA با رضایت کوکی به طور خاص برخورد میکند
PDPA حاوی مقررات جداگانهای به سبک ePrivacy درباره کوکیها نیست، به روشی که دستورالعمل ePrivacy اتحادیه اروپا انجام میدهد. در عوض، پردازش کوکی را در چارچوب رضایت عمومی به سبک GDPR ادغام میکند: هر پردازش داده شخصی که به رضایت به عنوان پایه قانونی متکی است باید بر اساس یک عمل تأییدی روشن که موضوع داده آزادانه، خاص، آگاهانه و بدون ابهام رضایت میدهد، اخذ شود. DPA به طور مداوم نشان داده که کادرهای از پیش تیکزده، زبان مرور-ادامه، و بنرهای رضایت بستهبندیشده اشکال معتبر رضایت تحت این قانون نیستند.
اثر عملی همان موضعی است که ناشران فعال در EEA در حال حاضر حفظ میکنند: کوکیها و هر فناوری ذخیرهسازی و دسترسی مشابه که برای ارائه خدمت کاملاً ضروری نیستند نباید قبل از آنکه کاربر به آنها رضایت فعال داده باشد تنظیم شوند. کوکیهای کاملاً ضروری — شناسههای نشست، محتوای سبد خرید، توکنهای امنیتی، کوکیهای تعادل بار — میتوانند بدون رضایت تنظیم شوند زیرا تحت پایه منافع مشروع مرتبط با خدمتی که کاربر به طور فعال درخواست کرده قرار میگیرند. همه چیز دیگر، از جمله تجزیهوتحلیل، تبلیغات، شخصیسازی، آزمون A/B، بازپخش نشست و هر برچسب شخص ثالث، نیاز به رضایت قبلی دارد.
تفاوت PDPA با GDPR
سه تفاوت برای لایه یکپارچهسازی اهمیت دارند. اول، فهرست پایههای قانونی PDPA شامل پایه منافع عمومی و تعهد قانونی است که به ماده ۶ GDPR نزدیک است اما پایه مستقل منافع مشروع به شکلی که ناشران اروپایی برای پردازش اندازهگیری آگهی به آن متکی هستند را ندارد. معادل PDPA محدودتر است و نیاز به آزمون تعادل مستنداتی دارد که در سوابق پردازش کنترلکننده بایگانی شده و در صورت درخواست DPA در دسترس قرار میگیرد. دوم، قوانین انتقال فرامرزی PDPA از DPA میخواهند که قضاوتهای مقصد را تعیین کند، و انتقال به قضاوتهای تعییننشده نیاز به رضایت صریح، تضمینهای قراردادی تأیید شده توسط DPA، یا یکی از استثنائات محدود دارد. سوم، جدول زمانی اطلاعرسانی نقض PDPA برای نقضهای پر خطر کوتاهتر و برای نقضهای کم خطر طولانیتر از قانون تخت ۷۲ ساعته GDPR است — کنترلکنندگان باید بدون تأخیر غیرموجه اطلاع دهند و در صورت امکان در پنجرهای که راهنمایی DPA در دوره شروع مرحلهای سختگیرانهتر شده است.
ظاهر یک بنر کوکی مطابق در چارچوب PDPA
الزامات فنی با آنچه هر CMP مدرن از قبل تولید میکند همگرایی دارند، اما برچسبگذاری و گزارش رضایت باید مشخصات سریلانکا را منعکس کنند. بنر لایه اول باید انتخاب واقعی را به کاربر ارائه دهد — پذیرفتن، رد کردن، مدیریت — جایی که گزینه رد حداقل به همان اندازه گزینه پذیرفتن برجسته است. رضایت بستهبندیشده ممنوع است، بنابراین لایه دوم باید opt-in به ازای هر دسته را حداقل شامل تجزیهوتحلیل، تبلیغات و هر پردازش وابسته به انتقال فرامرزی امکانپذیر سازد. دستهها باید به طور پیشفرض خاموش باشند؛ بنر نباید برچسبها را بارگذاری کند تا زمانی که کاربر به طور فعال آنها را روشن کرده باشد.
اعلامیه حریم خصوصی که از بنر ظاهر میشود باید کنترلکننده، دستههای دادههای شخصی جمعآوری شده، پایه قانونی برای هر هدف پردازش، دوره نگهداری داده، دستههای گیرندگان از جمله هر پردازنده فرعی که خارج از سریلانکا فعالیت میکند، حقوق موضوع داده تحت PDPA و جزئیات تماس DPA برای شکایات را مشخص کند. اعلامیهای که با استاندارد ماده ۱۳ GDPR مطابقت دارد تا حد زیادی همپوشانی دارد، اما خطوط تماس DPA و قضاوت انتقال فرامرزی باید به صراحت اضافه شوند.
الگوی یکپارچهسازی که بررسی DPA را پشت سر میگذارد
پیادهسازی مرجع چهار بخش متحرک دارد. اول یک CMP است که opt-in به ازای هر دسته، پیشفرض خاموش را پشتیبانی میکند و انتخاب کاربر را از طریق یک رشته رضایت ساختاریافته که ناشر میتواند در گزارش رضایت ذخیره کند نمایش میدهد. دوم یک لایه بارگذاری برچسب است — معمولاً یک مدیر برچسب سمت سرور یا دروازه اسکریپت بومی CMP — که وضعیت رضایت را قبل از اجازه دادن به هر کوکی غیر ضروری برای تنظیم شدن به شدت اعمال میکند. سوم یک گزارش رضایت سمت سرور است که برای هر رویداد رضایت انتخاب کاربر به ازای دسته، تایماستمپ، نسخه بنر رضایت، آدرس IP (کوتاهشده یا هش شده اگر کنترلکننده تصمیم گرفته باشد که این تحلیل به حداقل رساندن داده را برآورده میکند)، و دستههایی که اعطا در مقابل رد شدهاند را ثبت میکند. چهارم یک مسیر خروج است که حداقل به همان اندازه اعطای اصلی آسان است — یک لینک باز کردن مجدد بنر دائم در پاورقی الگویی است که DPA با اشاره به بهترین شیوههای بینالمللی به آرامی تأیید کرده است.
- برچسبهای تجزیهوتحلیل تنها پس از اعطای دسته تجزیهوتحلیل باید بارگذاری شوند؛ Google Analytics 4، Adobe Analytics، Matomo، Amplitude و Mixpanel همه پیکربندی دروازه رضایت را پشتیبانی میکنند که از هر نوشتن کوکی قبل از باز شدن دروازه جلوگیری میکند.
- برچسبهای تبلیغاتی — Google Ads، Meta Pixel، TikTok Pixel، LinkedIn Insight، پیشنهاددهندگان هدر برنامهای — باید به طور مشابه محافظت شوند و در صورتی که شریک تبلیغاتی دادهها را خارج از سریلانکا منتقل میکند، قضاوت مقصد شریک باید در اعلامیه حریم خصوصی ظاهر شود.
- ابزارهای بازپخش نشست و نقشه حرارتی — Hotjar، Microsoft Clarity، FullStory — باید پشت یک دروازه جداگانه و سختگیرانهتر قرار داشته باشند زیرا DPA، همسو با EDPB، رندر کردن فیلدهای ورودی را به عنوان دستهای که نیاز به رضایت صریح و دانهبندی دارد علامتگذاری کرده است.
- افشاگریهای انتقال فرامرزی باید برای هر قضاوت گیرنده خاص باشند، نه عمومی. DPA نشان داده که دادهها توسط ارائهدهندگان خدمات در سطح جهانی پردازش میشوند افشاگری کافی نیست.
موضع اعتبارسنجی و حسابرسی برای ۲۰۲۶
یک استقرار سریلانکایی قابل دفاع در ۲۰۲۶ باید چهار بررسی را پشت سر بگذارد. اول، یک نشست مرورگر تمیز که از یک آدرس IP سریلانکایی ارائه شده باشد باید قبل از اقدام بنر هیچ کوکی غیر ضروری تولید نکند. دوم، مسیر رد-همه باید همان موضع یک نشست بدون اقدام را منجر شود — هیچ برچسب تجزیهوتحلیل، هیچ برچسب تبلیغاتی، هیچ اسکریپت بازپخش نشست، فقط مجموعه کاملاً ضروری. سوم، یک جریان پذیرفتن-همه باید برچسبهایی که کاربر رضایت داده است تولید کند و گزارش رضایت باید سابقه مربوطه را داشته باشد. چهارم، یک جریان خروج باید فوراً آتشهای برچسب بعدی را متوقف کند، کوکیهای تنظیم شده در نشست رضایت داده شده را منقضی کند و هر سیگنال حذف یا انصراف پاییندستی که شرکای گیرنده نیاز دارند را فعال کند.
الزام ردپای حسابرسی جایی است که PDPA در ۲۰۲۶ متمایزترین است. DPA راهنمایی صادر کرده که نشان میدهد کنترلکنندگان باید بتوانند در صورت درخواست، سابقه رضایت خاصی که هر فعالیت پردازشی را مجاز کرده است ارائه دهند. این به این معناست که گزارش رضایت باید بر اساس شناسه کاربر یا شناسه نشست قابل جستجو باشد، برای دورهای که کنترلکننده در برنامه نگهداری مستند کرده نگه داشته شود، و در یک قالب ساختاریافته قابل صادرکردن باشد. یک CMP به درستی پیکربندی شده با یک گزارش سمت سرور، همراه با یک لایه بارگذاری برچسب که وضعیت رضایت را اعمال میکند و یک اعلامیه حریم خصوصی که هر مقصد انتقال فرامرزی را نام میبرد، همان چیزی است که PDPA سریلانکا را از یک مجهول نظارتی به بخش قابل دفاع از موضع رضایت جهانی ناشر تبدیل میکند.