Að skilja kínversku lögin um vernd persónuupplýsinga

Kínversku lögin um vernd persónuupplýsinga (PIPL), sem tóku gildi 1. nóvember 2021, eru ein áhrifamestu persónuverndarlögin utan Evrópu. Fyrir alþjóðlegar vefsíður, sérstaklega þær sem fá umferð frá Kína eða eru með starfsemi í Kína, skapa PIPL-skuldbindingar um samþykki sem eru óháðar — og stangast stundum á við — kröfur GDPR.

PIPL gilda um vinnslu persónuupplýsinga einstaklinga innan Kína. Lögin hafa víðtækt landfræðilegt gildissvið: þau gilda um hvaða stofnun sem er sem vinnur persónuupplýsingar einstaklinga sem staðsettir eru í Kína, óháð því hvar stofnunin sjálf er staðsett. Ef vefsvæðið þitt er aðgengilegt kínverskum notendum og þú safnar einhverjum persónuupplýsingum frá þeim, eiga PIPL við um þig.

PIPL vs. GDPR: Helstu mismunir sem skipta máli

Þótt PIPL séu oft kölluð „kínversku GDPR-lögin“ skyggir sú samanburður á mikilvægum mun sem hefur áhrif á hvernig þú útfærir samþykki:

• Samþykki sem aðalheimild vinnslu: GDPR býður sex lagalegar heimildir til vinnslu, þar á meðal lögmæta hagsmuni. PIPL eru mun meira samþykkismiðuð. Þó að þau viðurkenni aðrar heimildir (samningsskyldu, lagaskyldu, almannahagsmuni) er svigrúm fyrir lögmæta hagsmuni mun þrengra og samþykki er væntanlegur sjálfgefinn grundvöllur fyrir flestar viðskiptalegar vinnslur.
• Aðskilið samþykki fyrir viðkvæmar upplýsingar: PIPL krefjast aðskilins, skýrs samþykkis fyrir vinnslu viðkvæmra persónuupplýsinga, þar á meðal lífkennagagna, fjármálaupplýsinga, staðsetningareftirlits og gagna barna yngri en 14 ára. Hegðunareftirlit með vafrakökum getur fallið undir þennan flokk.
• Skyld gagnageymsla innanlands: Rekstraraðilar mikilvægrar upplýsingainnviðar og aðilar sem vinna persónuupplýsingar umfram tiltekið magn sem Cyberspace Administration of China (CAC) setur, verða að geyma gögn innan Kína. Þetta hefur áhrif á hvar þú mátt vinna greiningar- og vafraköku­gögn.
• Takmarkanir á yfirfærslu gagna yfir landamæri: Til að flytja persónuupplýsingar út fyrir Kína þarf eitt af þremur úrræðum: a�� standast öryggisúttekt CAC, fá vottun frá viðurkenndum aðila eða gera staðlaða samningsskilmála sem CAC birtir. Þetta er meira íþyngjandi en úrræði GDPR fyrir gagnaflutning.
• Réttindi einstaklinga með kínverskum sérkennum: PIPL veita skráðum einstaklingum réttindi svipuð og í GDPR (aðgang, leiðréttingu, eyðingu, flutning), en bæta við rétti til að hafna sjálfvirkri ákvarðanatöku og rétti til að krefjast skýringa á reglum um sjálfvirka vinnslu.

Hvað PIPL þýða fyrir vafrakökur og rekjanleika

PIPL nefna ekki „vafrakökur“ sérstaklega á sama hátt og ePrivacy-tilskipun ESB gerir. Hins vegar nær víðtæk skilgreining laganna á persónuupplýsingum — allar upplýsingar sem tengjast auðkenndum eða auðkennanlegum einstaklingi — til flestra rekjanlegra vafrakaka:

• Greiningarkökur sem fylgjast með hegðun notenda milli síðna safna persónuupplýsingum samkvæmt skilgreiningu PIPL, jafnvel þótt notandinn sé ekki skráður inn.
• Auglýsingakökur og rekjanleg pixlar milli vefsvæða falla augljóslega undir gildissviðið, þar sem þær byggja upp prófíla tengda tækjaauðkennum.
• Setukökur fyrir grunnvirkni (innkaupakörfur, innskráningarstöðu) eru almennt heimilar á grundvelli samningsskyldu, svipað og samkvæmt GDPR.
• Vafrakökur þriðju aðila sem deila gögnum með utanaðkomandi aðilum kalla á viðbótarkröfur PIPL um upplýsingu um þriðju aðila og hugsanlega reglur um gagnaflutning yfir landamæri.

Framfylgd PIPL: Raunverulegar afleiðingar

Ólíkt sumum persónuverndarlögum sem eru að mestu til á pappír hefur framfylgd PIPL verið virk og vaxandi. Cyberspace Administration of China, ásamt Öryggisráðuneytinu og öðrum stofnunum, hefur gripið til raunverulegra aðgerða:

• Stórar smáforritaverslanir í Kína hafa fjarlægt öpp vegna of mikillar gagnaöflunar og skorts á fullnægjandi samþykki. Hundruð forrita hafa verið tekin úr verslunum í aðgerðaátökum.
• Fyrirtæki hafa verið sektað fyrir að safna persónuupplýsingum umfram það sem nauðsynlegt var fyrir tilgreindan tilgang.
• CAC hefur birt opinberar aðvaranir til fyrirtækja þar sem persónuverndarstefnur þeirra lýstu ekki nægilega vel vinnslu persónuupplýsinga.
• Í alvarlegum tilvikum heimila PIPL sektir allt að 50 milljónum RMB (um það bil 7 milljónir USD) eða 5% af tekjum fyrra árs, auk mögulegrar stöðvunar rekstrar.

Fyrir alþjóðleg fyrirtæki er áhættan bæði regluvarðarleg og viðskiptaleg. Brot á reglum getur leitt til þess að öpp séu fjarlægð úr kínverskum smáforritaverslunum, þjónusta sé lokuð og orðspor skaðist á markaði með yfir einn milljarð netnotenda.

Landfræðileg miðun á kínverska gesti

Ef vefsvæðið þitt þjónar alþjóðlegum markhópi sem inniheldur kínverska notendur þarftu landfræðilega miðaða samþykkisáætlun. Það þýðir að greina þegar gestur er staðsettur í Kína og birta samþykkislausnir sem uppfylla kröfur PIPL:

• IP-grunnuð greining: Notaðu IP-staðsetningu til að bera kennsl á gesti frá meginlandi Kína. Þetta er sama nálgun og notuð er fyrir GDPR-landfræðimörk fyrir EES-gesti.
• Tungumálavísbendingar: Ef tungumálastilling vafra notanda er kínverska (zh-CN eða zh-TW) getur það verið aukavísbending, þó hún ætti ekki að vera eina viðmiðið.
• Efni samþykkisborða: Samþykkistilkynningin sem sýnd er kínverskum notendum ætti að vera á einfölduðu kínversku, skýrt tilgreina tilgang gagnaöflunar, auðkenna ábyrgðaraðila og bjóða raunhæfan möguleika á að hafna óþarfa vinnslu.
• Aðskilið samþykki fyrir viðkvæma vinnslu: Ef þú notar vafrakökur til hegðunarsniðgerðar eða staðsetningareftirlits ættu kínverskir notendur að fá aðskilda, ítarlegri samþykkisbeiðni fyrir þessa flokka.

Að meðhöndla GDPR og PIPL með einu CMP

Flestar alþjóðlegar vefsíður þurfa að uppfylla kröfur margra persónuverndarreglna samtímis. Áskorunin er að sýna rétta samþykkisupplifun fyrir réttan notanda án þess að halda úti aðskildum kerfum. Svona virkar sameinuð nálgun:

Landfræðileg greining sem grunnur

CMP þarf fyrst að ákvarða staðsetningu gestsins. Á grundvelli þess beitir það viðeigandi samþykkisreglum:

• Gestir frá EES/Bretlandi: TCF 2.3 samþykkisborði með Consent Mode V2, innskráningar-/opt-in-líkan, allar GDPR-kröfur.
• Kínverskir gestir: PIPL-samræmd samþykkistilkynning á einfölduðu kínversku, opt-in fyrir óþarfa vinnslu, skýr upplýsingagjöf um gagnaflutning yfir landamæri ef gögn fara út fyrir Kína.
• Bandarískir gestir: Ríkissértækar reglur (CCPA/CPRA fyrir Kaliforníu, ríkislög í Colorado, Connecticut, Virginíu o.s.frv.), yfirleitt opt-out-líkön.
• Aðrir landshlutar: Sjálfgefin hegðun byggð á áhættuþoli útgefanda og gildandi staðbundnum lögum.

Geymsla samþykkis

Kröfur PIPL um gagnageymslu innanlands þýða að samþykkisskrár fyrir kínverska notendur kunna að þurfa að vera geymdar á netþjónum innan Kína ef umfang vinnslu persónuupplýsinga fer yfir viðmið CAC. Fyrir flestar alþjóðlegar vefsíður með tilfallandi umferð frá Kína er ólíklegt að þetta viðmið náist, en háumferðarsíður sem beinast sérstaklega að Kína ættu að leita ráðgjafar hjá staðbundnum lögfræðingum.

Skjalfesting gagnaflutnings yfir landamæri

Þegar kínverskur notandi samþykkir vafrakökur sem senda gögn til netþjóna utan Kína (sem á við um nánast öll vestræn greiningar- og auglýsingakerfi) ætti CMP að skjalfesta þetta samþykki sem hluta af rökstuðningi fyrir gagnaflutningi yfir landamæri. Samþykkistilkynningin ætti skýrt að nefna að gögn verði flutt milli landa.

Hagnýt skref til alþjóðlegrar fylgni

Hér er forgangsraðað aðgerðaáætlun fyrir vefsvæði sem þurfa að taka á PIPL samhliða GDPR:

• Gerðu úttekt á umferð frá Kína: Skoðaðu greiningargögn til að skilja hversu stórt hlutfall gesta kemur frá Kína. Ef það er óverulegt er áhættan minni, en ekki engin.
• Kortlagðu vafrakökur þínar gagnvart flokkum PIPL: Ákveddu hvaða vafrakökur vinna persónuupplýsingar samkvæmt skilgreiningu PIPL og hvort einhverjar þeirra ná til viðkvæmra persónuupplýsinga.
• Innleiddur landfræðilega miðað samþykki: Notaðu CMP sem getur sýnt ólíkar samþykkisupplifanir eftir staðsetningu gesta, með viðeigandi tungumáli og lagagrundvelli fyrir hverja regluheild.
• Uppfærðu persónuverndarstefnu þína: Bættu við kafla sem fjallar sérstaklega um réttindi samkvæmt PIPL og vinnslu persónuupplýsinga fyrir kínverska notendur.
• Farðu yfir gagnaflutning yfir landamæri: Skjalfestu hvernig persónuupplýsingar kínverskra notenda eru fluttar og unnar á alþjóðavísu og tryggðu að þú hafir gilt úrræði fyrir slíkan flutning.

Mikilvæg athugasemd: Fylgni við PIPL fyrir vefsvæði sem beinast að Kína getur verið flókin og regluleg leiðbeining er enn í mótun. Þessi grein veitir almenna yfirsýn, en stofnanir með verulega starfsemi eða notendahópa í Kína ættu að leita lögfræðilegrar ráðgjafar sem sérsniðin er að þeirra aðstæðum.

FlexyConsent styður landfræðilega miðaðar samþykkisupplifanir með svæðisbundnum reglum, sem gerir þér kleift að taka á GDPR, PIPL, CCPA og öðrum persónuverndarlögum frá einni vettvangslausn. Ókeypis áskriftin inniheldur landfræðigreiningu og stillingar fyrir samþykki á mörgum svæðum.