Kína személyesadat-védelmi törvényének megértése

Kína személyesadat-védelmi törvénye (Personal Information Protection Law, PIPL), amely 2021. november 1-jén lépett hatályba, az egyik legjelentősebb adatvédelmi szabályozás Európán kívül. A globális weboldalak számára – különösen azoknak, amelyeknek kínai látogatóik vannak vagy Kínában folytatnak tevékenységet – a PIPL olyan hozzájárulási kötelezettségeket hoz létre, amelyek a GDPR-tól függetlenül, sőt időnként azzal ellentmondásban állva érvényesülnek.

A PIPL a Kínán belüli egyének személyes adatainak kezelését szabályozza. Területi hatálya széles: minden olyan szervezetre kiterjed, amely Kínában tartózkodó személyek személyes adatait kezeli, függetlenül attól, hogy maga a szervezet hol található. Ha a weboldala elérhető kínai felhasználók számára, és bármilyen személyes adatot gyűjt tőlük, a PIPL Önre is vonatkozik.

PIPL vs. GDPR: lényeges különbségek

Bár a PIPL-t gyakran „Kína GDPR-jaként” emlegetik, ez az összehasonlítás elfedi azokat a fontos különbségeket, amelyek befolyásolják a hozzájárulás gyakorlati megvalósítását:

• A hozzájárulás mint elsődleges jogalap: A GDPR hat jogalapot kínál az adatkezeléshez, beleértve a jogos érdeket is. A PIPL ezzel szemben sokkal inkább hozzájárulás-központú. Bár elismer más jogalapokat is (szerződés teljesítése, jogi kötelezettség, közérdek), a jogos érdek mozgástere jóval szűkebb, és a legtöbb kereskedelmi célú adatkezelésnél a hozzájárulás az elvárt alapértelmezett jogalap.
• Külön hozzájárulás az érzékeny adatokhoz: A PIPL külön, kifejezett hozzájárulást ír elő az érzékeny személyes adatok kezeléséhez, amelyek közé tartoznak többek között a biometrikus adatok, pénzügyi információk, helymeghatározási adatok, valamint a 14 év alatti kiskorúak adatai. A sütialapú viselkedéskövetés ebbe a kategóriába is tartozhat.
• Kötelező adatlokalizáció: A kritikus információs infrastruktúra üzemeltetői és azok a szervezetek, amelyek a Kínai Kibertér-felügyeleti Hivatal (Cyberspace Administration of China, CAC) ��ltal meghatározott küszöbérték felett kezelnek személyes adatokat, kötelesek az adatokat Kínán belül tárolni. Ez kihat arra, hogy az analitikai és sütiadatokat hol lehet feldolgozni.
• Határon átnyúló adattovábbítás korlátozásai: A személyes adatok Kínán kívülre történő továbbításához három mechanizmus egyikére van szükség: sikeres CAC biztonsági értékelésre, elismert szervezet által kiadott tanúsítványra, vagy a CAC által közzétett szabványos szerződéses kikötések alkalmazására. Ez szigorúbb, mint a GDPR adattovábbítási mechanizmusai.
• Egyéni jogok „kínai sajátosságokkal”: A PIPL a GDPR-hoz hasonló jogokat biztosít az érintetteknek (hozzáférés, helyesbítés, törlés, hordozhatóság), de kiegészíti az automatizált döntéshozatal elutasításának jogával, valamint azzal a joggal, hogy magyarázatot kérjenek az automatizált adatkezelési szabályokra.

Mit jelent a PIPL a sütikre és a követésre nézve?

A PIPL nem említi kifejezetten a „sütiket” úgy, mint az EU ePrivacy-irányelve. Ugyanakkor a törvény személyes adatra vonatkozó tág meghatározása – minden olyan információ, amely egy azonosított vagy azonosítható természetes személyhez kapcsolódik – a legtöbb sütialapú követést magában foglalja:

• Analitikai sütik, amelyek a felhasználói viselkedést követik az oldalakon, a PIPL meghatározása szerint személyes adatot gyűjtenek, még akkor is, ha a felhasználó nincs bejelentkezve.
• Hirdetési sütik és a webhelyek közötti követő pixelek egyértelműen az irányelv hatálya alá tartoznak, mivel eszközazonosítókhoz kötött profilokat építenek.
• Munkamenet-sütik, amelyek az alapvető működést szolgálják (bevásárlókosár, bejelentkezési állapot), általában a szerződés teljesítéséhez szükséges jogalap alapján megengedettek, hasonlóan a GDPR-hoz.
• Harmadik féltől származó sütik, amelyek adatokat osztanak meg külső felekkel, további PIPL-követelményeket váltanak ki a harmadik felek felé történő adatközlésre, és adott esetben a határon átnyúló adattovábbítás szabályaira vonatkozóan is.

PIPL-végrehajtás: valós következmények

A PIPL nem egy olyan adatvédelmi törvény, amely csak papíron létezik: a végrehajtás aktív és egyre szigorúbb. A Kínai Kibertér-felügyeleti Hivatal, a Közbiztonsági Minisztérium és más hatóságok kézzelfogható lépéseket tettek:

• A nagy kínai alkalmazás-áruházak eltávolítottak alkalmazásokat a túlzott adatgyűjtés és a megfelelő hozzájárulás hiánya miatt. Végrehajtási kampányok során több száz alkalmazást töröltek a kínálatból.
• Vállalatokat bírságoltak meg azért, mert a bejelentett céljukhoz képest szükségtelenül széles körben gyűjtöttek személyes adatokat.
• A CAC nyilvános figyelmeztetéseket adott ki olyan cégeknek, amelyek adatkezelési tájékoztatói nem írták le kellő részletességgel az adatkezelési tevékenységeket.
• Súlyos esetekben a PIPL akár 50 millió RMB-ig (körülbelül 7 millió USD) terjedő bírságot, illetve az előző évi árbevétel 5%-áig terjedő pénzbüntetést is lehetővé tesz, továbbá a tevékenység felfüggesztését is elrendelheti.

Nemzetközi vállalatok esetében a kockázat egyszerre szabályozási és üzleti jellegű. A nem megfelelés kínai alkalmazás-áruházakból való eltávolításhoz, szolgáltatások blokkolásához és reputációs károkhoz vezethet egy több mint egymilliárd internethasználóval rendelkező piacon.

Kínai látogatók célzott kezelése

Ha weboldala globális közönséget szolgál ki, amelybe kínai felhasználók is beletartoznak, földrajzilag célzott hozzájárulási stratégiára van szüksége. Ez azt jelenti, hogy fel kell ismerni, ha egy l��togató Kínában tartózkodik, és olyan hozzájárulási mechanizmusokat kell megjeleníteni, amelyek megfelelnek a PIPL követelményeinek:

• IP-alapú felismerés: Használjon IP-geolokációt a szárazföldi Kínából érkező látogatók azonosítására. Ez ugyanaz a megközelítés, mint amelyet a GDPR esetében az EGT-látogatók földrajzi célzására alkalmaznak.
• Nyelvi jelek: Ha a felhasználó böngészőjének nyelve kínai (zh-CN vagy zh-TW), ez másodlagos jelként szolgálhat, de önmagában nem elegendő meghatározó tényező.
• Hozzájárulási sáv tartalma: A kínai felhasználóknak megjelenített hozzájárulási tájékoztatónak egyszerűsített kínai nyelven kell készülnie, egyértelműen ismertetnie kell az adatgyűjtés céljait, meg kell neveznie az adatkezelőt, és valódi lehetőséget kell biztosítania a nem alapvető adatkezelés elutasítására.
• Külön hozzájárulás az érzékeny adatkezeléshez: Ha sütiket használ viselkedésalapú profilalkotáshoz vagy helymeghatározáshoz, a kínai felhasználók számára külön, részletesebb hozzájárulási felületet kell biztosítani ezekre a kategóriákra.

GDPR és PIPL kezelése egyetlen CMP-vel

A legtöbb globális weboldalnak egyszerre több adatvédelmi rezsimnek kell megfelelnie. A kihívás az, hogy a megfelelő felhasználónak a megfelelő hozzájárulási élményt nyújtsuk, anélkül hogy külön rendszereket kellene fenntartani. Egy egységes megközelítés így működik:

Régiófelismerés mint alap

A CMP-nek először meg kell határoznia a látogató tartózkodási helyét. Ennek alapján alkalmazza a megfelelő hozzájárulási szabályokat:

• EEA/UK látogatók: TCF 2.3 hozzájárulási sáv Consent Mode V2-vel, opt-in modell, a GDPR összes követelményével.
• Kínai látogatók: PIPL-kompatibilis hozzájárulási tájékoztató egyszerűsített kínai nyelven, opt-in a nem alapvető adatkezeléshez, az adatok Kínán kívülre történő továbbításának egyértelmű ismertetésével, ha erre sor kerül.
• Amerikai látogatók: Államspecifikus szabályok (CCPA/CPRA Kaliforniára, valamint Colorado, Connecticut, Virginia stb. állami törvényei), jellemzően opt-out modellel.
• Más régiók: Alapértelmezett működés a kiadó kockázattűrő képessége és az alkalmazandó helyi jogszabályok alapján.

Hozzájárulási adatok tárolása

A PIPL adatlokalizációs követelményei miatt előfordulhat, hogy a kínai felhasználók hozzájárulási nyilvántartásait kínai szervereken kell tárolni, ha az adatkezelés volumene meghaladja a CAC által meghatározott küszöbértékeket. A legtöbb nemzetközi weboldal esetében, ahol a kínai forgalom csak eseti vagy alacsony volumenű, ez a küszöbérték valószínűleg nem teljesül, de a Kínát célzó, nagy forgalmú oldalaknak érdemes helyi jogi tanácsadóval konzultálniuk.

Határon átnyúló adattovábbítás dokumentálása

Amikor egy kínai felhasználó hozzájárul olyan sütikhez, amelyek adatokat küldenek Kínán kívüli szerverekre (ami gyakorlatilag minden nyugati analitikai és hirdetési platform esetében így van), a CMP-nek ezt a hozzájárulást a határon átnyúló adattovábbítás indoklásának részeként kell dokumentálnia. A hozzájárulási tájékoztatónak kifejezetten utalnia kell arra, hogy az adatok nemzetközi továbbítására kerül sor.

Gyakorlati lépések a globális megfeleléshez

Az alábbiakban egy fontossági sorrendbe rendezett cselekvési tervet talál azoknak a weboldalaknak, amelyeknek a PIPL-t a GDPR mellett is figyelembe kell venniük:

• Elemezze a kínai forgalmát: Ellenőrizze az analitikában, hogy látogatói hány százaléka érkezik Kínából. Ha ez elenyésző, a kockázat alacsonyabb, de nem nulla.
• Térképezze fel a sütiket a PIPL-kategóriák szerint: Határozza meg, mely sütik kezelnek személyes adatot a PIPL meghatározása szerint, és ezek közül melyek érintenek érzékeny személyes adatokat.
• Vezessen be földrajzilag célzott hozzájárulást: Használjon olyan CMP-t, amely a látogató tartózkodási helye alapján eltérő hozzájárulási élményt tud nyújtani, régiónként megfelelő nyelvvel és jogalappal.
• Frissítse az adatkezelési tájékoztatót: Egészítse ki egy kifejezetten a PIPL-ben biztosított jogokra és a kínai felhasználókra vonatkozó adatkezelési gyakorlatokra vonatkozó résszel.
• Vizsgálja felül a határon átnyúló adattovábbításokat: Dokumentálja, hogy a kínai felhasználók személyes adatai hogyan kerülnek továbbításra és feldolgozásra nemzetközi szinten, és győződjön meg arról, hogy rendelkezik érvényes adattovábbítási mechanizmussal.

Fontos megjegyzés: A PIPL-nek való megfelelés a Kínát célzó weboldalak esetében összetett lehet, és a szabályozói iránymutatás továbbra is folyamatosan fejlődik. Ez a cikk általános áttekintést nyújt, de azoknak a szervezeteknek, amelyek jelentős kínai jelenléttel vagy felhasználói bázissal rendelkeznek, érdemes a saját helyzetükre szabott jogi tanácsot kérniük.

FlexyConsent támogatja a földrajzilag célzott hozzájárulási élményeket régióspecifikus szabályokkal, lehetővé téve, hogy egyetlen platformról kezelje a GDPR, PIPL, CCPA és más adatvédelmi jogszabályoknak való megfelelést. Az ingyenes csomag tartalmazza a geodetekciót és a több régióra kiterjedő hozzájárulási konfigurációt.