अनुपालन6 जून 2026 | FlexyConsent

चीन का PIPL और कुकी सहमति: वैश्विक वेबसाइटों को क्या जानना चाहिए

चीन के Personal Information Protection Law को समझना

चीन का Personal Information Protection Law (PIPL), जो 1 नवंबर 2021 से प्रभावी है, यूरोप के बाहर सबसे महत्वपूर्ण डेटा गोपनीयता विनियमों में से एक है। वैश्विक वेबसाइटों के लिए, विशेष रूप से वे जिनके चीनी आगंतुक हैं या चीन में संचालन है, PIPL ऐसी सहमति संबंधी बाध्यताएँ बनाता है जो GDPR आवश्यकताओं से स्वतंत्र रूप से — और कभी‑कभी उनके साथ टकराव में — अस्तित्व में रहती हैं।

PIPL चीन के भीतर व्यक्तियों की व्यक्तिगत जानकारी के प्रसंस्करण को नियंत्रित करता है। इसका क्षेत्रीय दायरा व्यापक है: यह किसी भी संगठन पर लागू होता है जो चीन में स्थित लोगों की व्यक्तिगत जानकारी को संसाधित करता है, चाहे संगठन स्वयं कहीं भी स्थित हो। यदि आपकी वेबसाइट चीनी उपयोगकर्ताओं के लिए सुलभ है और आप उनसे कोई भी व्यक्तिगत डेटा एकत्र करते हैं, तो PIPL आपके लिए प्रासंगिक है।

PIPL बनाम GDPR: महत्वपूर्ण अंतर जो मायने रखते हैं

हालाँकि PIPL को अक्सर "चीन का GDPR" कहा जाता है, यह ��ुलना उन महत्वपूर्ण अंतरों को छुपा देती है जो इस बात को प्रभावित करते हैं कि आप सहमति को कैसे लागू करते हैं:

प्राथमिक कानूनी आधार के रूप में सहमति: GDPR प्रसंस्करण के लिए छह कानूनी आधार प्रदान करता है, जिनमें वैध हित (legitimate interest) भी शामिल है। PIPL अधिक सहमति‑केंद्रित है। यद्यपि यह अन्य कानूनी आधारों (अनुबंध की आवश्यकता, कानूनी दायित्व, सार्वजनिक हित) को मान्यता देता है, वैध हित का दायरा कहीं अधिक संकीर्ण है, और अधिकांश वाणिज्यिक डेटा प्रसंस्करण के लिए सहमति अपेक्षित डिफ़ॉल्ट है।
संवेदनशील डेटा के लिए अलग सहमति: PIPL संवेदनशील व्यक्तिगत जानकारी के प्रसंस्करण के लिए अलग, स्पष्ट सहमति की मांग करता है, जिसमें बायोमेट्रिक डेटा, वित्तीय जानकारी, लोकेशन ट्रैकिंग, और 14 वर्ष से कम आयु के नाबालिगों का डेटा शामिल है। कुकी‑आधारित व्यवहारिक ट्रैकिंग इस श्रेणी में आ सकती है।
अनिवार्य डेटा स्थानीयकरण: महत्वपूर्ण सूचना अवसंरचना ऑपरेटर और वे संगठन जो Cyberspace Administration of China (CAC) द्वारा निर्धारित मात्रा सीमा से अधिक व्यक्तिगत जानकारी संसाधित करते हैं, उन्हें डेटा चीन के भीतर ही संग्रहीत करना होगा। यह इस बात को प्रभावित करता है कि आपके एनालिटिक्स और कुकी डेटा को कहाँ संसाधित किया जा सकता है।
सीमा‑पार स्थानांतरण पर प्रतिबंध: व्यक्तिगत जानकारी को चीन के बाहर स्थानांतरित करने के लिए तीन में से किसी एक तंत्र की आवश्यकता होती है: CAC सुरक्षा मूल्यांकन पास करना, मान्यता प्राप्त निकाय से प्रमाणन प्राप्त करना, या CAC द्वारा प्रकाशित मानक संविदात्मक धाराओं में प्रवेश करना। यह GDPR के ट्रांसफर तंत्रों की तुलना में अधिक प्रतिबंधात्मक है।
चीनी विशेषताओं के साथ व्यक्तिगत अधिकार: PIPL डेटा सब्जेक्ट्स को GDPR के समान अधिकार देता है (एक्सेस, संशोधन, विलोपन, पोर्��ेबिलिटी), लेकिन इसके साथ ही स्वचालित निर्णय‑निर्माण से इनकार करने का अधिकार और स्वचालित प्रसंस्करण नियमों की व्याख्या माँगने का अधिकार भी जोड़ता है।

कुकीज़ और ट्रैकिंग के लिए PIPL का क्या अर्थ है

PIPL "कुकीज़" का उल्लेख EU के ePrivacy Directive की तरह विशेष रूप से नहीं करता। हालाँकि, व्यक्तिगत जानकारी की इसकी व्यापक परिभाषा — किसी पहचाने गए या पहचाने जा सकने वाले प्राकृतिक व्यक्ति से संबंधित कोई भी जानकारी — अधिकांश कुकी‑आधारित ट्रैकिंग को समाहित करती है:

एनालिटिक्स कुकीज़ जो पृष्ठों के बीच उपयोगकर्ता व्यवहार को ट��रैक करती हैं, PIPL की परिभाषा के तहत व्यक्तिगत जानकारी एकत्र करती हैं, भले ही उपयोगकर्ता लॉग‑इन न हो।
विज्ञापन कुकीज़ और क्रॉस‑साइट ट्रैकिंग पिक्सेल स्पष्ट रूप से दायरे में आते हैं, क्योंकि वे डिवाइस पहचानकर्ताओं से जुड़े प्रोफाइल बनाते हैं।
सेशन कुकीज़ जो बुनियादी कार्यक्षमता (शॉपिंग कार्ट, लॉग‑इन स्थिति) के लिए होती हैं, आम तौर पर अनुबंध की आवश्यकता के आधार पर अनुमेय हैं, ठीक GDPR की तरह।
थर्ड‑पार्टी कुकीज़ जो डेटा को बाहरी पक्षों के साथ साझा करती हैं, तीसरे पक्ष के प्रकटीकरण और संभावित रूप से ��ीमा‑पार स्थानांतरण नियमों के आसपास अतिरिक्त PIPL आवश्यकताओं को ट्रिगर करती हैं।

PIPL प्रवर्तन: वास्तविक परिणाम

कुछ गोपनीयता कानूनों के विपरीत जो मुख्य रूप से कागज़ पर ही मौजूद हैं, PIPL का प्रवर्तन सक्रिय और बढ़ता हुआ रहा है। Cyberspace Administration of China, Ministry of Public Security और अन्य एजेंसियों के साथ मिलकर, ठोस कार्रवाई कर चुका है:

चीन के प्रमुख ऐप स्टोरों ने अत्यधिक डेटा संग्रह और उचित सहमति प्राप्त करने में विफल रहने के कारण ऐप्स को हटा दिया है। प्रवर्तन अभियानों में सैकड़ों ऐप्स को डीलिस्ट किया गया है।
कंपनियों पर उनके घोषित उद्देश्�� के लिए आवश्यक से अधिक व्यक्तिगत जानकारी एकत्र करने के लिए जुर्माना लगाया गया है।
CAC ने उन कंपनियों को सार्वजनिक चेतावनियाँ जारी की हैं जिनकी गोपनीयता नीतियाँ डेटा प्रसंस्करण गतिविधियों का पर्याप्त रूप से वर्णन नहीं करती थीं।
गंभीर मामलों में, PIPL पिछले वर्ष के राजस्व के 5% या 50 मिलियन RMB (लगभग 7 मिलियन USD) तक के जुर्माने, साथ ही व्यावसायिक संचालन के निलंबन की अनुमति देता है।

अंतरराष्ट्रीय कंपनियों के लिए जोखिम नियामकीय और व्यावसायिक दोनों है। अनुपालन न करने से चीनी ऐप स्टोरों से ऐप हटाए जा सकते हैं, सेवाओं को ब्लॉक किया जा सकता है, और एक अरब से अधिक इंटरनेट उपयोगकर्ताओं वाले बाज़ार में ��्रतिष्ठा को नुकसान हो सकता है।

चीनी आगंतुकों का जियो‑टार्गेटिंग

यदि आपकी वेबसाइट एक वैश्विक दर्शक वर्ग को सेवा देती है जिसमें चीनी उपयोगकर्ता शामिल हैं, तो आपको जियो‑टार्गेटेड सहमति रणनीति की आवश्यकता है। इसका अर्थ है यह पता लगाना कि आगंतुक कब चीन में स्थित है और ऐसे सहमति तंत्र प्रस्तुत करना जो PIPL आवश्यकताओं को पूरा करें:

IP‑आधारित पहचान: मुख्यभूमि चीन से आने वाले आगंतुकों की पहचान करने के लिए IP जियोलोकेशन का उपयोग करें। यह वही तरीका है जिसका उपयोग EEA आगंतुकों के लिए GDPR जियो‑टार्गेटिंग में किया जाता है।
भाषा‑आधारित संकेत: यदि उपयोगकर्ता के ब्राउज़र की भाषा चीनी (zh-CN या zh-TW) पर सेट है, तो यह एक द्वितीयक संकेत के रूप में काम कर सकता है, हालाँकि इसे अकेला निर्धारक नहीं होना चाहिए।
सहमति बैनर की सामग्री: चीनी उपयोगकर्ताओं को दिखाया जाने वाला सहमति नोटिस सरल चीनी (Simplified Chinese) में होना चाहिए, डेटा संग्रह के उद्देश्यों को स्पष्ट रूप से बताना चाहिए, डेटा नियंत्रक की पहचान करनी चाहिए, और गैर‑आवश्यक प्रसंस्करण से वास्तविक रूप से इनकार करने का तंत्र प्रदान करना चाहिए।
संवेदनशील प्रसंस्करण के लिए अलग सहमति: यद�� आप व्यवहारिक प्रोफाइलिंग या लोकेशन ट्रैकिंग के लिए कुकीज़ का उपयोग करते हैं, तो चीनी उपयोगकर्ताओं को इन श्रेणियों के लिए अलग, अधिक सूक्ष्म सहमति प्रॉम्प्ट दिखना चाहिए।

एक ही CMP के साथ GDPR और PIPL को संभालना

अधिकांश वैश्विक वेबसाइटों को एक साथ कई गोपनीयता व्यवस्थाओं का पालन करना पड़ता है। चुनौती यह है कि अलग‑अलग सिस्टम बनाए बिना सही उपयोगकर्ता को सही सहमति अनुभव प्रस्तुत किया जाए। एक एकीकृत दृष्टिकोण इस प्रकार काम करता है:

आधार के रूप में क्षेत्र की पहचान

CMP को सबसे पहले आगंतुक के स्थान का निर्धारण करना होता है�� इसके आधार पर, यह उपयुक्त सहमति नियम लागू करता है:

EEA/UK आगंतुक: TCF 2.3 सहमति बैनर Consent Mode V2 के साथ, ऑप्ट‑इन मॉडल, सभी GDPR आवश्यकताएँ।
चीनी आगंतुक: PIPL‑अनुपालन सहमति नोटिस सरल चीनी में, गैर‑आवश्यक प्रसंस्करण के लिए ऑप्ट‑इन, यदि डेटा चीन से बाहर जाता है तो सीमा‑पार स्थानांतरण का स्पष्ट प्रकटीकरण।
अमेरिकी आगंतुक: राज्य‑विशिष्ट नियम (कैलिफ़ोर्निया के लिए CCPA/CPRA, कोलोराडो, कनेक्टिकट, वर्जीनिया आदि के लिए राज्य कानून), आम तौर पर ऑप्ट‑आउट मॉडल।
अन्य क्षेत्र: प्रकाशक की जोखिम सहनशीलता और लागू स्थानीय कान��नों के आधार पर डिफ़ॉल्ट व्यवहार।

सहमति भंडारण संबंधी विचार

PIPL की डेटा स्थानीयकरण आवश्यकताओं का अर्थ है कि यदि आपके डेटा प्रसंस्करण की मात्रा CAC की सीमा से अधिक है, तो चीनी उपयोगकर्ताओं के लिए सहमति रिकॉर्ड चीन के भीतर सर्वरों पर संग्रहीत करने की आवश्यकता हो सकती है। अधिकांश अंतरराष्ट्रीय वेबसाइटों के लिए, जिनके पास केवल आकस्मिक चीनी ट्रैफ़िक है, यह सीमा पार होने की संभावना कम है, लेकिन चीन को लक्षित करने वाली उच्च‑ट्रैफ़िक साइटों को स्थानीय कानूनी सलाहकार से परामर्श करना चाहिए।

सीमा‑पार स्थानांतरण का प्रल��खन

जब कोई चीनी उपयोगकर्ता ऐसी कुकीज़ के लिए सहमति देता है जो डेटा को चीन के बाहर सर्वरों पर भेजती हैं (जो लगभग सभी पश्चिमी एनालिटिक्स और विज्ञापन प्लेटफ़ॉर्म के लिए सच है), तो CMP को इस सहमति को सीमा‑पार स्थानांतरण के औचित्य के हिस्से के रूप में प्रलेखित करना चाहिए। सहमति नोटिस में स्पष्ट रूप से उल्लेख होना चाहिए कि डेटा अंतरराष्ट्रीय स्तर पर स्थानांतरित किया जाएगा।

वैश्विक अनुपालन के लिए व्यावहारिक कदम

यहाँ उन वेबसाइटों के लिए प्राथमिकता‑क्रम में कार्य योजना दी गई है जिन्हें GDPR के साथ‑साथ PIPL को भी संबोधित करना ह��:

अपने चीनी ट्रैफ़िक का ऑडिट करें: अपने एनालिटिक्स की जाँच करें ताकि यह समझ सकें कि आपके कितने प्रतिशत आगंतुक चीन से आते हैं। यदि यह नगण्य है, तो आपका जोखिम कम है लेकिन शून्य नहीं।
अपनी कुकीज़ को PIPL श्रेणियों से मैप करें: यह निर्धारित करें कि कौन‑सी कुकीज़ PIPL की परिभाषा के तहत व्यक्तिगत जानकारी को संसाधित करती हैं और क्या उनमें से कोई संवेदनशील व्यक्तिगत जानकारी से संबंधित है।
जियो‑टार्गेटेड सहमति लागू करें: ऐसा CMP उपयोग करें जो आगंतुक के स्थान के आधार पर अलग‑अलग सहमति अनुभव प्रस्तुत कर सके, प��रत्येक क्षेत्र के लिए उपयुक्त भाषा और कानूनी आधार के साथ।
अपनी गोपनीयता नीति अपडेट करें: एक ऐसा अनुभाग जोड़ें जो विशेष रूप से PIPL अधिकारों और चीनी उपयोगकर्ताओं के लिए आपके डेटा प्रसंस्करण अभ्यासों को संबोधित करता हो।
सीमा‑पार स्थानांतरण की समीक्षा करें: यह प्रलेखित करें कि चीनी उपयोगकर्ताओं की व्यक्तिगत जानकारी को अंतरराष्ट्रीय स्तर पर कैसे स्थानांतरित और संसाधित किया जाता है, और सुनिश्चित करें कि आपके पास एक वैध स्थानांतरण तंत्र है।

महत्वपूर्ण नोट: चीन को लक्षित करने वाली वेबसाइट��ं के लिए PIPL अनुपालन जटिल हो सकता है, और नियामकीय मार्गदर्शन अभी भी विकसित हो रहा है। यह लेख एक सामान्य अवलोकन प्रदान करता है, लेकिन जिन संगठनों के पास महत्वपूर्ण चीनी संचालन या उपयोगकर्ता आधार है, उन्हें अपनी स्थिति के लिए विशिष्ट कानूनी सलाह लेनी चाहिए।

FlexyConsent क्षेत्र‑विशिष्ट नियमों के साथ जियो‑टार्गेटेड सहमति अनुभवों का समर्थन करता है, जिससे आप एक ही प्लेटफ़ॉर्म से GDPR, PIPL, CCPA और अन्य गोपनीयता कानूनों को संबोधित कर सकते हैं। निःशुल्क प्लान में जियो‑डिटेक्शन और मल्टी‑रीजन सहमति कॉन्फ़िगरेशन शामिल है।