Kiinan henkilötietojen suojalain ymmärtäminen

Kiinan henkilötietojen suojalaki (Personal Information Protection Law, PIPL), joka tuli voimaan 1. marraskuuta 2021, on yksi merkittävimmistä tietosuojasäädöksistä Euroopan ulkopuolella. Globaaleille verkkosivustoille – erityisesti niille, joilla on kiinalaisia kävijöitä tai toimintaa Kiinassa – PIPL luo suostumusvelvoitteita, jotka ovat riippumattomia GDPR-vaatimuksista ja ovat joskus myös ristiriidassa niiden kanssa.

PIPL säätelee Kiinassa olevien henkilöiden henkilötietojen käsittelyä. Sen alueellinen soveltamisala on laaja: se koskee kaikkia organisaatioita, jotka käsittelevät Kiinassa sijaitsevien henkilöiden henkilötietoja, riippumatta siitä, missä organisaatio itse sijaitsee. Jos verkkosivustosi on kiinalaisten käyttäjien saavutettavissa ja keräät heistä mitä tahansa henkilötietoja, PIPL on sinulle relevantti.

PIPL vs. GDPR: keskeiset erot käytännössä

Vaikka PIPL:ää kutsutaan usein ”Kiinan GDPR:ksi”, vertaus peittää alleen tärkeitä eroja, joilla on vaikutusta siihen, miten toteutat suostumuksen:

• Suostumus ensisijaisena käsittelyperusteena: GDPR tarjoaa kuusi käsittelyperustetta, mukaan lukien oikeutettu etu. PIPL on selvästi suostumuskeskeisempi. Vaikka se tunnistaa myös muita perusteita (sopimuksen täytäntöönpano, lakisääteinen velvoite, yleinen etu), oikeutetun edun soveltamisala on paljon kapeampi, ja suostumus on oletusarvoinen peruste useimmalle kaupalliselle tietojenkäsittelylle.
• Erillinen suostumus arkaluonteisille tiedoille: PIPL edellyttää erillistä, nimenomaista suostumusta arkaluonteisten henkilötietojen käsittelyyn. Tällaisia ovat muun muassa biometriset tiedot, taloudelliset tiedot, sijainnin seuranta sekä alle 14-vuotiaiden alaikäisten tiedot. Evästeisiin perustuva käyttäytymisen seuranta voi kuulua tähän kategoriaan.
• Pakollinen tietojen paikallinen säilytys: Kriittisen tietoinfrastruktuurin toimijoiden ja sellaisten organisaatioiden, jotka käsittelevät henkilötietoja yli Kiinan kyberturvallisuusviranomaisen (Cyberspace Administration of China, CAC) asettaman volyymirajan, on säilytettävä tiedot Kiinassa. Tämä vaikuttaa siihen, missä analytiikka- ja evästetietoja voidaan käsitellä.
• Henkilötietojen siirron rajoitukset rajojen yli: Henkilötietojen siirtäminen Kiinan ulkopuolelle edellyttää yhtä kolmesta mekanismista: CAC:n turvallisuusarvioinnin läpäisemistä, sertifiointia tunnustetulta taholta tai CAC:n julkaisemien vakiolausekkeiden käyttöä. Tämä on rajoittavampaa kuin GDPR:n siirtomekanismit.
• Rekisteröidyn oikeudet kiinalaisella painotuksella: PIPL myöntää rekisteröidyille GDPR:n kaltaiset oikeudet (tarkastusoikeus, oikaisu, poistaminen, siirrettävyys), mutta lisää oikeuden kieltäytyä automaattisesta päätöksenteosta sekä oikeuden pyytää selitystä automaattisen käsittelyn säännöistä.

Mitä PIPL merkitsee evästeille ja seurannalle

PIPL ei mainitse ”evästeitä” samalla tavalla kuin EU:n ePrivacy-direktiivi. Lain laaja henkilötiedon määritelmä – kaikki tieto, joka liittyy tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön – kattaa kuitenkin suurimman osan evästepohjaisesta seurannasta:

• Analytiikkaevästeet, jotka seuraavat käyttäjän toimintaa sivuilla, keräävät PIPL:n määritelmän mukaisia henkilötietoja, vaikka käyttäjä ei olisi kirjautunut sisään.
• Mainosevästeet ja sivustojen välinen seurantapikseli kuuluvat selvästi soveltamisalaan, koska niiden avulla rakennetaan profiileja, jotka sidotaan laitetunnisteisiin.
• Istuntoevästeet, joita käytetään perustoiminnallisuuteen (ostoskori, kirjautumistila), ovat yleensä sallittuja sopimuksen täytäntöönpanon perusteella, samoin kuin GDPR:ssä.
• Kolmannen osapuolen evästeet, jotka jakavat tietoja ulkopuolisille tahoille, laukaisevat PIPL:n lisävaatimuksia kolmansista osapuolista ilmoittamisesta ja mahdollisesti myös rajat ylittävien siirtojen säännöistä.

PIPL:n täytäntöönpano: todellisia seuraamuksia

Toisin kuin jotkin tietosuojalait, jotka ovat lähinnä paperilla, PIPL:n täytäntöönpano on ollut aktiivista ja voimistuvaa. Cyberspace Administration of China yhdessä julkisen turvallisuuden ministeriön ja muiden viranomaisten kanssa on ryhtynyt konkreettisiin toimiin:

• Suuret sovelluskaupat Kiinassa ovat poistaneet sovelluksia liiallisen tietojen keruun ja puutteellisen suostumuksen hankkimisen vuoksi. Satoja sovelluksia on poistettu valvontakampanjoissa.
• Yrityksiä on sakotettu siitä, että ne ovat keränneet henkilötietoja enemmän kuin oli tarpeen ilmoitettuun tarkoitukseen nähden.
• CAC on antanut julkisia varoituksia yrityksille, joiden tietosuojakäytännöt eivät kuvanneet riittävästi tietojenkäsittelytoimia.
• Vakavissa tapauksissa PIPL mahdollistaa jopa 50 miljoonan RMB:n (noin 7 miljoonan USD:n) tai 5 %:n sakot edellisen vuoden liikevaihdosta sekä mahdollisuuden keskeyttää liiketoiminnan harjoittaminen.

Kansainvälisille yrityksille riski on sekä sääntelyllinen että kaupallinen. Noudattamatta jättäminen voi johtaa sovellusten poistamiseen kiinalaisista sovelluskaupoista, palvelujen estämiseen ja mainehaittaan yli miljardin internetkäyttäjän markkinalla.

Kiinalaisten kävijöiden geokohdentaminen

Jos verkkosivustosi palvelee globaalia yleisöä, johon kuuluu kiinalaisia käyttäjiä, tarvitset geokohdennetun suostumusstrategian. Tämä tarkoittaa sitä, että tunnistat, milloin kävijä sijaitsee Kiinassa, ja esität suostumusmekanismit, jotka täyttävät PIPL-vaatimukset:

• IP-pohjainen tunnistus: Käytä IP-paikannusta tunnistaaksesi Manner-Kiinasta tulevat kävijät. Tämä on sama lähestymistapa, jota käytetään GDPR:n geokohdennuksessa ETA-alueen kävijöille.
• Kieleen perustuvat signaalit: Jos käyttäjän selaimen kieli on asetettu kiinaksi (zh-CN tai zh-TW), tämä voi toimia toissijaisena signaalina, mutta sen ei tulisi olla ainoa määräävä tekijä.
• Suostumusbannerin sisältö: Kiinalaisille käyttäjille näytettävän suostumusilmoituksen tulisi olla yksinkertaistetulla kiinalla, siinä tulisi selkeästi kuvata tietojen keruun tarkoitukset, tunnistaa rekisterinpitäjä ja tarjota aito mahdollisuus kieltäytyä ei-välttämättömästä käsittelystä.
• Erillinen suostumus arkaluonteiselle käsittelylle: Jos käytät evästeitä käyttäytymisprofiilien luomiseen tai sijainnin seurantaan, kiinalaisille käyttäjille tulisi näyttää erillinen, tarkempi suostumuspyyntö näille kategorioille.

GDPR:n ja PIPL:n hallinta yhdellä CMP:llä

Useimpien globaalien verkkosivustojen on noudatettava samanaikaisesti useita tietosuojasääntelyjä. Haasteena on esittää oikeanlainen suostumuskokemus oikealle käyttäjälle ilman erillisten järjestelmien ylläpitoa. Näin yhtenäinen lähestymistapa toimii:

Alueen tunnistus perustana

CMP:n on ensin määritettävä kävijän sijainti. Tämän perusteella se soveltaa asianmukaisia suostumussääntöjä:

• ETA/UK-kävijät: TCF 2.3 -suostumusbanneri Consent Mode V2:n kanssa, opt-in-malli, kaikki GDPR-vaatimukset.
• Kiinalaiset kävijät: PIPL-yhteensopiva suostumusilmoitus yksinkertaistetulla kiinalla, opt-in ei-välttämättömälle käsittelylle, selkeä ilmoitus rajat ylittävistä siirroista, jos tietoja siirretään Kiinan ulkopuolelle.
• Yhdysvaltalaiset kävijät: Osavaltiokohtaiset säännöt (CCPA/CPRA Kaliforniassa, osavaltiolait Coloradossa, Connecticutissa, Virginiassa jne.), tyypillisesti opt-out-mallit.
• Muut alueet: Oletuskäytäntö julkaisijan riskinsietokyvyn ja sovellettavan paikallisen lainsäädännön perusteella.

Suostumuksen tallentamisen erityispiirteet

PIPL:n tietojen paikallisen säilyttämisen vaatimukset tarkoittavat, että kiinalaisten käyttäjien suostumustiedot saatetaan joutua tallentamaan Kiinassa sijaitseville palvelimille, jos tietojenkäsittelymääräsi ylittävät CAC:n asettamat rajat. Useimmille kansainvälisille verkkosivustoille, joilla on vain satunnaista kiinalaista liikennettä, raja ei todennäköisesti täyty, mutta Kiinaan vahvasti suuntautuneiden, paljon liikennettä saavien sivustojen tulisi keskustella asiasta paikallisen lakiasiantuntijan kanssa.

Rajat ylittävien siirtojen dokumentointi

Kun kiinalainen käyttäjä antaa suostumuksen evästeille, jotka lähettävät tietoja Kiinan ulkopuolisille palvelimille (mikä käytännössä koskee lähes kaikkia länsimaisia analytiikka- ja mainosalustoja), CMP:n tulisi dokumentoida tämä suostumus osana rajat ylittävän siirron perustelua. Suostumusilmoituksessa tulisi nimenomaisesti mainita, että tietoja siirretään kansainvälisesti.

Käytännön askeleet globaaliin noudattamiseen

Tässä on priorisoitu toimintasuunnitelma verkkosivustoille, joiden on huomioitava PIPL GDPR:n ohella:

• Arvioi kiinalainen liikenteesi: Tarkista analytiikastasi, kuinka suuri osa kävijöistäsi tulee Kiinasta. Jos osuus on hyvin pieni, riskisi on matalampi, muttei nolla.
• Kartoita evästeesi PIPL-kategorioihin: Selvitä, mitkä evästeet käsittelevät PIPL:n määritelmän mukaisia henkilötietoja ja liittyykö niihin arkaluonteisia henkilötietoja.
• Toteuta geokohdennettu suostumus: Käytä CMP:tä, joka voi esittää erilaisia suostumuskokemuksia kävijän sijainnin perusteella, kullekin alueelle sopivalla kielellä ja oikeusperusteella.
• Päivitä tietosuojakäytäntösi: Lisää erillinen osio, jossa käsitellään PIPL:n mukaisia oikeuksia ja tietojenkäsittelykäytäntöjäsi kiinalaisten käyttäjien osalta.
• Tarkista rajat ylittävät siirrot: Dokumentoi, miten kiinalaisten käyttäjien henkilötietoja siirretään ja käsitellään kansainvälisesti, ja varmista, että käytössäsi on pätevä siirtomekanismi.

Tärkeä huomio: PIPL:n noudattaminen Kiinaan suuntautuvilla verkkosivustoilla voi olla monimutkaista, ja viranomaisten ohjeistus kehittyy yhä. Tämä artikkeli tarjoaa yleiskatsauksen, mutta organisaatioiden, joilla on merkittävä�� toimintaa tai käyttäjäkuntaa Kiinassa, tulisi hakea tilanteeseensa räätälöityä oikeudellista neuvontaa.

FlexyConsent tukee geokohdennettuja suostumuskokemuksia aluekohtaisilla säännöillä, jolloin voit käsitellä GDPR-, PIPL-, CCPA- ja muita tietosuojalakeja yhdeltä alustalta. Ilmaiseen pakettiin sisältyvät geotunnistus ja usean alueen suostumusasetukset.