Razumijevanje kineskog Zakona o zaštiti osobnih informacija

Kineski Zakon o zaštiti osobnih informacija (PIPL), koji je stupio na snagu 1. studenoga 2021., jedno je od najznačajnijih pravila o zaštiti podataka izvan Europe. Za globalne web‑stranice, osobito one s kineskim posjetiteljima ili poslovanjem u Kini, PIPL stvara obveze u vezi privole koje postoje neovisno o — i ponekad su u sukobu s — zahtjevima GDPR‑a.

PIPL uređuje obradu osobnih informacija pojedinaca u Kini. Njegov teritorijalni doseg je širok: primjenjuje se na svaku organizaciju koja obrađuje osobne informacije osoba koje se nalaze u Kini, bez obzira na to gdje je organizacija sa sjedištem. Ako je vaša web‑stranica dostupna kineskim korisnicima i prikupljate bilo kakve osobne podatke od njih, PIPL je za vas relevantan.

PIPL naspram GDPR‑a: ključne razlike koje su važne

Iako se PIPL često naziva „kineski GDPR“, ta usporedba prikriva važne razlike koje utječu na način na koji provodite privolu:

• Privola kao primarna pravna osnova: GDPR nudi šest pravnih osnova za obradu, uključujući legitimni interes. PIPL je više usmjeren na privolu. Iako priznaje i druge pravne osnove (nužnost za izvršenje ugovora, pravna obveza, javni interes), opseg legitimnog interesa znatno je uži, a privola je očekivani zadani temelj za većinu komercijalnih obrada podataka.
• Posebna privola za osjetljive podatke: PIPL zahtijeva posebnu, izričitu privolu za obradu osjetljivih osobnih informacija, što uključuje biometrijske podatke, financijske informacije, praćenje lokacije i podatke maloljetnika mlađih od 14 godina. Praćenje ponašanja putem kolačića može potpasti u ovu kategoriju.
• Obvezna lokalizacija podataka: Operateri ključne informacijske infrastrukture i organizacije koje obrađuju osobne informacije iznad praga koji određuje Cyberspace Administration of China (CAC) moraju pohranjivati podatke unutar Kine. To utječe na to gdje se mogu obrađivati vaši analitički i kolačićni podaci.
• Ograničenja prekograničnog prijenosa: Prijenos osobnih informacija izvan Kine zahtijeva jedan od triju mehanizama: prolazak CAC sigurnosne procjene, dobivanje certifikacije od priznatog tijela ili sklapanje standardnih ugovornih klauzula koje je objavio CAC. To je restriktivnije od mehanizama prijenosa u GDPR‑u.
• Pojedinačna prava s kineskim obilježjima: PIPL daje ispitanicima prava slična onima iz GDPR‑a (pravo na pristup, ispravak, brisanje, prenosivost), ali dodaje pravo na odbijanje automatiziranog donošenja odluka i pravo na zahtjev za objašnjenjem pravila automatizirane obrade.

Što PIPL znači za kolačiće i praćenje

PIPL ne spominje izričito „kolačiće“ na način na koji to čini EU ePrivacy direktiva. Međutim, široka definicija osobnih informacija — bilo koja informacija povezana s identificiranom ili identificirljivom fizičkom osobom — obuhvaća većinu praćenja putem kolačića:

• Analitički kolačići koji prate ponašanje korisnika na više stranica prikupljaju osobne informacije prema PIPL definiciji, čak i ako korisnik nije prijavljen.
• Oglašivački kolačići i pikseli za praćenje na više stranica jasno potpadaju u doseg, jer stvaraju profile povezane s identifikatorima uređaja.
• Sesijski kolačići za osnovnu funkcionalnost (košarice, stanje prijave) općenito su dopušteni na temelju nužnosti za izvršenje ugovora, slično kao u GDPR‑u.
• Kolačići trećih strana koji dijele podatke s vanjskim stranama pokreću dodatne PIPL zahtjeve u vezi s otkrivanjem trećim stranama i potencijalno pravilima o prekograničnom prijenosu.

Provedba PIPL‑a: stvarne posljedice

Za razliku od nekih zakona o privatnosti koji postoje uglavnom na papiru, provedba PIPL‑a je aktivna i pojačava se. Cyberspace Administration of China, zajedno s Ministarstvom javne sigurnosti i drugim tijelima, poduzela je konkretne mjere:

• Velike trgovine aplikacija u Kini uklonile su aplikacije zbog prekomjernog prikupljanja podataka i neuspjeha u dobivanju odgovarajuće privole. Stotine aplikacija uklonjene su u provedbenim kampanjama.
• Tvrtke su kažnjene zbog prikupljanja osobnih informacija iznad onoga što je bilo nužno za deklariranu svrhu.
• CAC je izdao javna upozorenja tvrtkama čije politike privatnosti nisu dovoljno opisivale aktivnosti obrade podataka.
• U težim slučajevima, PIPL dopušta kazne do 50 milijuna RMB (otprilike 7 milijuna USD) ili 5 % prihoda iz prethodne godine, zajedno s mogućom obustavom poslovanja.

Za međunarodne tvrtke rizik je i regulatoran i komercijalan. Neusklađenost može dovesti do uklanjanja aplikacija iz kineskih trgovina aplikacija, blokiranja usluga i reputacijske štete na tržištu s više od milijardu internetskih korisnika.

Geo‑ciljanje kineskih posjetitelja

Ako vaša web‑stranica služi globalnoj publici koja uključuje kineske korisnike, potrebna vam je strategija privole temeljena na geo‑ciljanju. To znači otkrivanje kada se posjetitelj nalazi u Kini i prikazivanje mehanizama privole koji zadovoljavaju PIPL zahtjeve:

• Otkrivanje na temelju IP‑a: Koristite IP geolokaciju za identifikaciju posjetitelja iz kontinentalne Kine. To je isti pristup koji se koristi za GDPR geo‑ciljanje posjetitelja iz EGP‑a.
• Signali na temelju jezika: Ako je jezik preglednika korisnika postavljen na kineski (zh‑CN ili zh‑TW), to može poslužiti kao sekundarni signal, iako ne bi trebao biti jedini kriterij.
• Sadržaj bannera za privolu: Obavijest o privoli prikazana kineskim korisnicima trebala bi biti na pojednostavljenom kineskom, jasno navesti svrhe prikupljanja podataka, identificirati voditelja obrade i pružiti stvaran mehanizam za odbijanje neesencijalne obrade.
• Posebna privola za osjetljivu obradu: Ako koristite kolačiće za profiliranje ponašanja ili praćenje lokacije, kineski korisnici trebali bi vidjeti poseban, granularniji upit za privolu za te kategorije.

Upravljanje GDPR‑om i PIPL‑om jednim CMP‑om

Većina globalnih web‑stranica mora se istodobno uskladiti s više režima privatnosti. Izazov je prikazati odgovarajuće iskustvo privole pravom korisniku bez održavanja odvojenih sustava. Ovako funkcionira objedinjeni pristup:

Otkrivanje regije kao temelj

CMP najprije mora odrediti lokaciju posjetitelja. Na temelju toga primjenjuje odgovarajuća pravila privole:

• Posjetitelji iz EGP‑a/UK‑a: TCF 2.3 banner za privolu s Consent Mode V2, modelom opt‑in i svim GDPR zahtjevima.
• Kineski posjetitelji: Obavijest o privoli usklađena s PIPL‑om na pojednostavljenom kineskom, opt‑in za neesencijalnu obradu, jasno otkrivanje prekograničnih prijenosa ako podaci napuštaju Kinu.
• Posjetitelji iz SAD‑a: Pravila specifična za savezne države (CCPA/CPRA za Kaliforniju, državni zakoni za Colorado, Connecticut, Virginiju itd.), obično modeli opt‑out.
• Druge regije: Zadano ponašanje na temelju sklonosti riziku izdavača i primjenjivih lokalnih zakona.

Razmatranja pohrane privola

Zahtjevi PIPL‑a za lokalizaciju podataka znače da se zapisi o privoli kineskih korisnika možda moraju pohranjivati na poslužiteljima unutar Kine ako vaši volumeni obrade podataka prelaze pragove koje je postavio CAC. Za većinu međunarodnih web‑stranica s usputnim kineskim prometom malo je vjerojatno da će taj prag biti dosegnut, ali web‑stranice s velikim prometom koje ciljaju Kinu trebale bi se savjetovati s lokalnim pravnim stručnjacima.

Dokumentiranje prekograničnih prijenosa

Kada kineski korisnik pristane na kolačiće koji šalju podatke na poslužitelje izvan Kine (što je slučaj za gotovo sve zapadne analitičke i oglašivačke platforme), CMP bi trebao dokumentirati tu privolu kao dio opravdanja za prekogranični prijenos. Obavijest o privoli trebala bi izričito spomenuti da će se podaci prenositi međunarodno.

Praktični koraci za globalnu usklađenost

Ovo je prioritetni akcijski plan za web‑stranice koje moraju adresirati PIPL uz GDPR:

• Analizirajte svoj kineski promet: Provjerite svoje analitičke podatke kako biste razumjeli koliki postotak vaših posjetitelja dolazi iz Kine. Ako je zanemariv, vaš je rizik manji, ali ne i nula.
• Mapirajte svoje kolačiće na PIPL kategorije: Utvrdite koji kolačići obrađuju osobne informacije prema PIPL definiciji i uključuje li koji od njih osjetljive osobne informacije.
• Provedite geo‑ciljanu privolu: Koristite CMP koji može prikazati različita iskustva privole na temelju lokacije posjetitelja, s odgovarajućim jezikom i pravnom osnovom za svaku regiju.
• Ažurirajte svoju politiku privatnosti: Dodajte odjeljak koji se posebno bavi PIPL pravima i vašim praksama obrade podataka za kineske korisnike.
• Pregledajte prekogranične prijenose: Dokumentirajte kako se osobne informacije kineskih korisnika prenose i obrađuju međunarodno te osigurajte da imate valjan mehanizam prijenosa.

Važna napomena: Usklađenost s PIPL‑om za web‑stranice koje ciljaju Kinu može biti složena, a regulatorne smjernice još se razvijaju. Ovaj članak pruža opći pregled, ali organizacije sa značajnim poslovanjem ili korisničkom bazom u Kini trebale bi potražiti pravni savjet prilagođen njihovoj situaciji.

FlexyConsent podržava geo‑ciljana iskustva privole s pravilima specifičnim za regiju, omogućujući vam da s jedne platforme adresirate GDPR, PIPL, CCPA i druge zakone o privatnosti. Besplatni plan uključuje geo‑detekciju i konfiguraciju privole za više regija.