מהו APPI?

APPI הוא חוק הגנת המידע העיקרי של יפן, הנאכף על ידי הוועדה להגנת מידע אישי (PPC). הוא חל על כל עסק המטפל במידע אישי של אנשים ביפן, ללא קשר למיקום העסק.

תיקוני 2022 הציגו את המושג "מידע הניתן לייחוס אישי" — נתונים שאינם מידע אישי כשלעצמם, אך יכולים לזהות אנשים כאשר הם משולבים עם נתונים אחרים. קטגוריה זו מכסה סוגים רבים של עוגיות ומזהי מעקב.

כיצד APPI מתייחס לעוגיות

תחת ה-APPI המקורי, עוגיות לא הוסדרו במפורש מכיוון שלא נחשבו "מידע אישי" אלא אם יכלו לזהות ישירות אדם. תיקוני 2022 שינו נוף זה באופן משמעותי.

עוגיות נמצאות כעת תחת בדיקה כאשר הן משותפות עם צדדים שלישיים שיכולים לקשר אותן למידע אישי. באופן ספציפי, אם אתם מעבירים נתוני עוגיות לצד שלישי (כגון רשת פרסום או ספק ניתוח נתונים) שיכול להתאים אותם לאנשים מזוהים, עליכם לקבל את הסכמת המשתמש לפני אותה העברה.

המשמעות היא שלמרות ש-APPI אינו דורש הסכמה גורפת לעוגיות כמו GDPR, ההסכמה חובה לשיתוף עוגיות עם צדדים שלישיים בתרחישים נפוצים רבים של פרסום וניתוח נתונים.

חובות מרכזיות למפעילי אתרים

• מסירת נתונים לצדדים שלישיים: קבלו הסכמה מראש לפני שיתוף נתוני עוגיות עם צדדים שלישיים שיכולים לקשר אותם למידע אישי.
• גילוי מדיניות פרטיות: חשפו בבירור אילו עוגיות אתם משתמשים, מטרותיהן ואילו צדדים שלישיים מקבלים את הנתונים.
• העברות חוצות גבולות: אם נתוני עוגיות נשלחים לשרתים מחוץ ליפן, יידעו את המשתמשים על תקני הגנת המידע של מדינת היעד או קבלו הסכמה מפורשת.
• הודעה על הפרת מידע: דווחו על הפרות הכוללות מידע אישי (כולל נתונים המקושרים לעוגיות) ל-PPC במסגרת זמן קבועה.
• זכויות פרט: הגיבו לבקשות משתמשים לגלות, לתקן או למחוק את המידע האישי שלהם, כולל נתונים שנגזרו מעוגיות.

APPI מול GDPR: הבדלים מרכזיים

אמנם שני החוקים שואפים להגן על מידע אישי, אך הם שונים בהיקף ובגישה:

• היקף ההסכמה: GDPR דורש הסכמה כמעט לכל העוגיות הלא-חיוניות. APPI מתמקד בדרישות ההסכמה על שיתוף נתונים עם צדדים שלישיים ולא על הצבת העוגייה עצמה.
• בסיסים משפטיים: GDPR מציע שישה בסיסים משפטיים לעיבוד. APPI נשען בעיקר על הסכמה ומטרה עסקית לגיטימית, עם פחות קטגוריות פורמליות.
• עונשים: קנסות GDPR יכולים להגיע ל-4% מההכנסה הגלובלית. עונשי APPI היו נמוכים יותר היסטורית, אך תיקוני 2022 העלו את הקנסות המרביים ל-¥100 million (כ-$700,000) לתאגידים.
• תחולה חוץ-טריטוריאלית: שני החוקים חלים על עסקים זרים המטפלים בנתוני תושבים מקומיים, אך מנגנוני האכיפה שונים באופן משמעותי.

יישום הסכמת עוגיות תואמת APPI

כדי לעמוד ב-APPI תוך שמירה על חוויית משתמש טובה, פעלו לפי שלבים אלה:

1. בצעו ביקורת על העוגיות שלכם: זהו אילו עוגיות אוספות נתונים המשותפים עם צדדים שלישיים, במיוחד רשתות פרסום ופלטפורמות ניתוח נתונים.
2. סווגו לפי סיכון: הפרידו בין עוגיות שנשארות של צד ראשון לבין אלו המעורבות בהעברות נתונים לצדדים שלישיים. רק האחרונות דורשות הסכמה מפורשת של APPI.
3. פרסו באנר הסכמה: השתמשו ב-CMP שתומך בתהליכי הסכמה ספציפיים ל-APPI. הבאנר צריך להסביר בבירור את שיתוף הנתונים עם צדדים שלישיים ביפנית.
4. כבדו את בחירות המשתמשים: חסמו סקריפטים של עוגיות צד שלישי עד שההסכמה ניתנת. עוגיות פונקציונליות של צד ראשון יכולות להיטען ללא הסכמה תחת APPI.
5. תעדו הכל: שמרו רישומים של איסוף הסכמות, מלאי העוגיות שלכם והסכמי עיבוד נתונים עם צדדים שלישיים.

העברות נתונים חוצות גבולות תחת APPI

ל-APPI יש כללים ספציפיים להעברת מידע אישי אל מחוץ ליפן. אם נתוני העוגיות שלכם זורמים לשרתים במדינות אחרות — נפוץ עם פלטפורמות ניתוח נתונים ופרסום גלובליות — עליכם:

• לקבל את הסכמתו המפורשת של הפרט להעברה החוצה גבולות.
• לאשר שלמדינה המקבלת יש תקני הגנת מידע שה-PPC מכירה בהם כשווים לאלו של יפן.
• להבטיח שהארגון המקבל יישם אמצעי הגנת מידע העומדים בתקני APPI באמצעות חוזים או אמצעים אחרים.

ה-PPC מכירה כיום באיחוד האירופי ובבריטניה כבעלי הגנת מידע נאותה. עבור תחומי שיפוט אחרים, בדרך כלל תצטרכו הסכמת משתמש או ערבויות חוזיות.

שיטות עבודה מומלצות לתאימות בשוק היפני

• התאימו מקומית את ממשק ההסכמה שלכם: הציגו מידע על הסכמת עוגיות ביפנית. באנרים שתורגמו על ידי מכונה עלולים ליצור פערי תאימות אם המונחים המשפטיים אינם מדויקים.
• שלבו APPI עם GDPR: אם אתם משרתים משתמשים יפניים ואירופיים כאחד, הגדירו את ה-CMP שלכם להחיל כללי GDPR באיחוד האירופי וכללי APPI ביפן. שכבת הסכמה מאוחדת מפחיתה עלויות פיתוח.
• עקבו אחר הנחיות ה-PPC: ה-PPC מפרסמת באופן קבוע הנחיות מעודכנות ומסמכי שאלות ותשובות. הישארו מעודכנים במגמות אכיפה ופרשנויות חדשות.
• תכננו לתיקונים: יפן בוחנת את APPI במחזור של שלוש שנים. הבחינה הבאה צפויה עד 2025-2026, שעשויה להציג תקנות מחמירות יותר בנושא עוגיות.

סיכום

APPI אולי אינו דורש הסכמה לכל עוגייה, אך הכללים שלו בנוגע לשיתוף נתונים עם צדדים שלישיים והעברות חוצות גבולות יוצרים חובות אמיתיות לכל אתר המשתמש בעוגיות פרסום או ניתוח נתונים עם מבקרים יפניים. CMP מוגדר היטב המבחין בין עוגיות צד ראשון לעוגיות צד שלישי — ומציג אפשרויות הסכמה ברורות ומותאמות מקומית — הוא הדרך המעשית ביותר לתאימות.