Pag-unawa sa Personal Information Protection Law ng Tsina

Ang Personal Information Protection Law (PIPL) ng Tsina, na naging epektibo noong Nobyembre 1, 2021, ay isa sa pinakamahalagang regulasyon sa proteksyon ng datos sa labas ng Europa. Para sa mga pandaigdigang website, lalo na iyong may mga bisitang Tsino o operasyon sa Tsina, lumilikha ang PIPL ng mga obligasyon sa pahintulot na hiwalay — at kung minsan ay salungat — sa mga kinakailangan ng GDPR.

Sinasaklaw ng PIPL ang pagproseso ng personal na impormasyon ng mga indibidwal sa loob ng Tsina. Malawak ang saklaw nito: naaangkop ito sa anumang organisasyon na nagpoproseso ng personal na impormasyon ng mga taong nasa Tsina, anuman ang lokasyon ng mismong organisasyon. Kung naa-access ng mga gumagamit sa Tsina ang iyong website at nangongolekta ka ng anumang personal na datos mula sa kanila, may kaugnayan sa iyo ang PIPL.

PIPL kumpara sa GDPR: Mahahalagang Pagkakaiba

Madalas tawaging “GDPR ng Tsina” ang PIPL, ngunit natatabunan ng paghahambing na ito ang mahahalagang pagkakaiba na nakaaapekto sa paraan ng pagpapatupad mo ng pahintulot:

• Pahintulot bilang pangunahing legal na batayan: Nag-aalok ang GDPR ng anim na legal na batayan para sa pagproseso, kabilang ang lehitimong interes. Mas nakasentro sa pahintulot ang PIPL. Bagama’t kinikilala rin nito ang ibang legal na batayan (kontraktuwal na pangangailangan, legal na obligasyon, pampublikong interes), mas makitid ang saklaw ng lehitimong interes, at ang pahintulot ang inaasahang default para sa karamihan ng komersyal na pagproseso ng datos.
• Hiwalay na pahintulot para sa sensitibong datos: Nangangailangan ang PIPL ng hiwalay at hayagang pahintulot para sa pagproseso ng sensitibong personal na impormasyon, kabilang ang biometric data, pinansyal na impormasyon, pagsubaybay sa lokasyon, at datos ng mga menor de edad na wala pang 14 taong gulang. Maaaring mapasailalim dito ang cookie-based na behavioral tracking.
• Obligadong lokalisasyon ng datos: Ang mga operator ng critical information infrastructure at mga organisasyong nagpoproseso ng personal na impormasyon na lumalagpas sa itinakdang threshold ng Cyberspace Administration of China (CAC) ay kailangang mag-imbak ng datos sa loob ng Tsina. Naaapektuhan nito kung saan maaaring iproseso ang iyong analytics at cookie data.
• Mga paghihigpit sa cross-border transfer: Ang paglipat ng personal na impormasyon palabas ng Tsina ay nangangailangan ng isa sa tatlong mekanismo: pagpasa sa security assessment ng CAC, pagkuha ng sertipikasyon mula sa kinikilalang katawan, o pagpasok sa standard contractual clauses na inilathala ng CAC. Mas mahigpit ito kaysa sa mga mekanismo ng paglipat sa ilalim ng GDPR.
• Mga karapatan ng indibidwal na may “Chinese characteristics”: Ipinagkakaloob ng PIPL sa mga data subject ang mga karapatang katulad ng sa GDPR (access, pagwawasto, pagbura, portability), at dinaragdagan pa ng karapatang tumanggi sa automated decision-making at karapatang humiling ng paliwanag sa mga tuntunin ng automated processing.

Ano ang Ibig Sabihin ng PIPL para sa Cookies at Pagsubaybay

Hindi tahasang binabanggit ng PIPL ang “cookies” sa paraang ginagawa ng ePrivacy Directive ng EU. Gayunman, ang malawak na depinisyon nito ng personal na impormasyon — anumang impormasyong may kaugnayan sa isang natukoy o maaaring matukoy na natural na tao — ay sumasaklaw sa karamihan ng cookie-based na pagsubaybay:

• Analytics cookies na sumusubaybay sa kilos ng gumagamit sa iba’t ibang pahina ay nangongolekta ng personal na impormasyon sa ilalim ng depinisyon ng PIPL, kahit hindi naka-log in ang gumagamit.
• Advertising cookies at cross-site tracking pixels ay malinaw na saklaw, dahil bumubuo ang mga ito ng mga profile na nakatali sa mga identifier ng device.
• Session cookies para sa batayang functionality (shopping cart, estado ng pag-login) ay karaniwang pinahihintulutan sa ilalim ng kontraktuwal na pangangailangan, katulad ng sa GDPR.
• Third-party cookies na nagbabahagi ng datos sa panlabas na mga partido ay nagpapagana ng karagdagang mga kinakailangan ng PIPL tungkol sa pagbubunyag sa ikatlong partido at posibleng mga tuntunin sa cross-border transfer.

Pagpapatupad ng PIPL: Totoong mga Bunga

Hindi tulad ng ilang batas sa privacy na halos nasa papel lamang, aktibo at papatindi ang pagpapatupad ng PIPL. Ang Cyberspace Administration of China, kasama ang Ministry of Public Security at iba pang ahensya, ay gumawa na ng kongkretong mga hakbang:

• Inalis ng malalaking app store sa Tsina ang mga app dahil sa labis na pangongolekta ng datos at kabiguang kumuha ng wastong pahintulot. Daang-daang app ang natanggal sa mga kampanya ng pagpapatupad.
• Pinagmulta ang mga kumpanya dahil sa pangongolekta ng personal na impormasyon na lampas sa kinakailangan para sa kanilang ipinahayag na layunin.
• Naglabas ang CAC ng mga pampublikong babala sa mga kumpanyang ang mga patakaran sa privacy ay hindi sapat na naglalarawan sa kanilang mga aktibidad sa pagproseso ng datos.
• Sa malulubhang kaso, pinahihintulutan ng PIPL ang multa na hanggang 50 milyong RMB (humigit-kumulang 7 milyong USD) o 5% ng kita noong nakaraang taon, kasama ang posibleng suspensyon ng operasyon ng negosyo.

Para sa mga internasyonal na kumpanya, ang panganib ay parehong regulatori at komersyal. Maaaring humantong ang hindi pagsunod sa pagtanggal ng app mula sa mga Chinese app store, pagharang sa mga serbisyo, at pinsala sa reputasyon sa isang merkado na may higit sa isang bilyong internet user.

Geo-Targeting sa mga Bisitang Tsino

Kung nagsisilbi ang iyong website sa isang pandaigdigang audience na kinabibilangan ng mga gumagamit sa Tsina, kailangan mo ng geo-targeted na estratehiya sa pahintulot. Nangangahulugan ito ng pagtukoy kung nasa Tsina ang isang bisita at pagpapakita ng mga mekanismo ng pahintulot na tumutupad sa mga kinakailangan ng PIPL:

• IP-based detection: Gumamit ng IP geolocation upang matukoy ang mga bisita mula sa mainland China. Ito rin ang pamamaraang ginagamit para sa GDPR geo-targeting ng mga bisita mula sa EEA.
• Mga signal batay sa wika: Kung nakatakda sa Chinese (zh-CN o zh-TW) ang wika ng browser ng gumagamit, maaari itong magsilbing sekundaryong signal, bagama’t hindi ito dapat maging tanging batayan.
• Nilalaman ng consent banner: Ang notice sa pahintulot na ipinapakita sa mga gumagamit sa Tsina ay dapat nasa Simplified Chinese, malinaw na nagsasaad ng mga layunin ng pangongolekta ng datos, tumutukoy sa data controller, at nagbibigay ng tunay na mekanismo upang tanggihan ang hindi mahalagang pagproseso.
• Hiwalay na pahintulot para sa sensitibong pagproseso: Kung gumagamit ka ng cookies para sa behavioral profiling o pagsubaybay sa lokasyon, dapat makakita ang mga gumagamit sa Tsina ng hiwalay at mas granular na prompt sa pahintulot para sa mga kategoryang ito.

Paghawak sa GDPR at PIPL gamit ang Isang CMP

Karamihan sa mga pandaigdigang website ay kailangang sumunod sa maraming rehimen sa privacy nang sabay-sabay. Ang hamon ay ang pagpapakita ng tamang karanasan sa pahintulot sa tamang gumagamit nang hindi nagpapanatili ng magkakahiwalay na sistema. Ganito gumagana ang isang pinag-isang pamamaraan:

Region Detection bilang Pundasyon

Dapat munang tukuyin ng CMP ang lokasyon ng bisita. Batay dito, inilalapat nito ang naaangkop na mga tuntunin sa pahintulot:

• Mga bisita mula EEA/UK: TCF 2.3 consent banner na may Consent Mode V2, opt-in na modelo, lahat ng kinakailangan sa ilalim ng GDPR.
• Mga bisita mula Tsina: PIPL-compliant na consent notice sa Simplified Chinese, opt-in para sa hindi mahalagang pagproseso, malinaw na pagbubunyag ng cross-border transfers kung lalabas ng Tsina ang datos.
• Mga bisita mula US: Mga tuntunin na partikular sa estado (CCPA/CPRA para sa California, mga batas ng estado para sa Colorado, Connecticut, Virginia, atbp.), karaniwang opt-out na mga modelo.
• Ibang rehiyon: Default na pag-uugali batay sa risk tolerance ng publisher at sa naaangkop na lokal na batas.

Mga Pagsasaalang-alang sa Pag-iimbak ng Pahintulot

Nangangahulugan ang mga kinakailangan sa lokalisasyon ng datos ng PIPL na ang mga tala ng pahintulot para sa mga gumagamit sa Tsina ay maaaring kailanganing iimbak sa mga server sa loob ng Tsina kung ang dami ng iyong pagproseso ng datos ay lumalagpas sa mga threshold ng CAC. Para sa karamihan ng internasyonal na website na may hindi kalakihang trapiko mula sa Tsina, malamang na hindi maaabot ang threshold na ito, ngunit ang mga high-traffic site na tumatarget sa Tsina ay dapat kumonsulta sa lokal na legal na tagapayo.

Dokumentasyon ng Cross-Border Transfer

Kapag pumayag ang isang gumagamit sa Tsina sa cookies na nagpapadala ng datos sa mga server sa labas ng Tsina (na siyang kaso para sa halos lahat ng Western analytics at advertising platform), dapat idokumento ng CMP ang pahintulot na ito bilang bahagi ng batayan para sa cross-border transfer. Dapat tahasang banggitin sa consent notice na ililipat ang datos sa ibang bansa.

Praktikal na mga Hakbang para sa Pandaigdigang Pagsunod

Narito ang isang prayoritisadong plano ng pagkilos para sa mga website na kailangang tugunan ang PIPL kasabay ng GDPR:

• Suriin ang iyong trapiko mula sa Tsina: Tingnan ang iyong analytics upang maunawaan kung ilang porsyento ng iyong mga bisita ang nagmumula sa Tsina. Kung napakaliit nito, mas mababa ang iyong panganib ngunit hindi ito zero.
• I-mapa ang iyong cookies sa mga kategorya ng PIPL: Tukuyin kung aling cookies ang nagpoproseso ng personal na impormasyon sa ilalim ng depinisyon ng PIPL at kung alinman sa mga ito ang may kinalaman sa sensitibong personal na impormasyon.
• Magpatupad ng geo-targeted na pahintulot: Gumamit ng CMP na kayang magpakita ng iba’t ibang karanasan sa pahintulot batay sa lokasyon ng bisita, na may angkop na wika at legal na batayan para sa bawat rehiyon.
• I-update ang iyong patakaran sa privacy: Magdagdag ng seksyon na partikular na tumatalakay sa mga karapatan sa ilalim ng PIPL at sa iyong mga gawi sa pagproseso ng datos para sa mga gumagamit sa Tsina.
• Suriin ang mga cross-border transfer: Idokumento kung paano inililipat at pinoproseso sa ibang bansa ang personal na impormasyon ng mga gumagamit sa Tsina, at tiyaking mayroon kang balidong mekanismo ng paglipat.

Mahalagang paalala: Maaaring maging kumplikado ang pagsunod sa PIPL para sa mga website na tumatarget sa Tsina, at patuloy pang umuunlad ang regulatori na gabay. Nagbibigay ang artikulong ito ng pangkalahatang pagtingin, ngunit ang mga organisasyong may malaking operasyon o user base sa Tsina ay dapat humingi ng legal na payo na angkop sa kanilang partikular na sitwasyon.

Sinusuportahan ng FlexyConsent ang geo-targeted na mga karanasan sa pahintulot na may mga tuntuning partikular sa rehiyon, na nagbibigay-daan sa iyong tugunan ang GDPR, PIPL, CCPA, at iba pang batas sa privacy mula sa isang plataporma. Kasama sa libreng plano ang geo-detection at multi-region consent configuration.