შესაბამისობა6 ივნისი, 2026 | FlexyConsent

ჩინეთის PIPL და ქუქი-ფაილების თანხმობა: რას უნდა იცნობდნენ გლობალური ვებსაიტები

ჩინეთის პერსონალური ინფორმაციის დაცვის კანონის გაცნობა

ჩინეთის პერსონალური ინფორმაციის დაცვის კანონი (PIPL), რომელიც 2021 წლის 1 ნოემბერს ამოქმედდა, ევროპას გარეთ ერთ-ერთი ყველაზე მნიშვნელოვანი მონაცემთა კონფიდენციალუ��ობის რეგულაციაა. გლობალური ვებსაიტებისთვის, განსაკუთრებით მათთვის, რომლებსაც ჰყავთ ჩინელი ვიზიტორები ან აქვთ ოპერაციები ჩინეთში, PIPL ქმნის თანხმობის ვალდებულებებს, რომლებიც დამოუკიდებლად არსებობს — და ზოგჯერ ეწინააღმდეგება — GDPR-ის მოთხოვნებს.

PIPL არეგულირებს ჩინეთის ტერიტორიაზე მყოფი ფიზიკური პირების პერსონალური ინფორმაციის დამუშავებას. მისი ტერიტორიული მოქმედების არეალი ფართოა: ის ვრცელდება ნებისმიერ ორგანიზაციაზე, რომელიც ამუშავებს ჩინეთში მყოფი ადამიანების პერსონალურ ინფორმაციას, მიუხედავად იმისა, სად არის თავად ორგანიზაცია რეგისტრირებული. თუ თქვენი ვებსაიტი ხელმისაწვდ��მია ჩინელი მომხმარებლებისთვის და თქვენ მათგან ნებისმიერ პერსონალურ მონაცემს აგროვებთ, PIPL თქვენთვის აქტუალურია.

PIPL და GDPR: ძირითადი განსხვავებები, რომლებიც მნიშვნელოვანია

PIPL-ს ხშირად „ჩინეთის GDPR-ს“ უწოდებენ, მაგრამ ეს შედარება ფარავს მნიშვნელოვან განსხვავებებს, რომლებიც გავლენას ახდენს იმაზე, თუ როგორ ახორციელებთ თანხმობას:

თანხმობა როგორც ძირითადი სამართლებრივი საფუძველი: GDPR მონაცემთა დამუშავებისთვის ექვს სამართლებრივ საფუძველს გვთავაზობს, მათ შორის ლეგიტიმურ ინტერესს. PIPL უფრო მეტად თანხმობაზეა ორიენტირებული. მიუხედავად იმისა, რომ ის აღიარებს სხვა სამართლებრივ საფუძვლებსაც (კონტრაქტის შესრულების აუცილებლობა, სამართლებრივი ვალდებულება, საჯარო ინტერესი), ლეგიტიმური ინტერესის ფარგლები ბევრად ვიწროა და კომერციული მონაცემთა უმეტესობის დამუშავებისთვის თანხმობაა მოსალოდნელი ნაგულისხმევი საფუძველი.
ცალკე თანხმობა სენსიტიური მონაცემებისთვის: PIPL მოითხოვს ცალკე, გამოკვეთილ თანხმობას სენსიტიური პერსონალური ინფორმაციის დამუშავებისთვის, რომელშიც შედის ბიომეტრიული მონაცემები, ფინანსური ინფორმაცია, მდებარეობის თვალთვალი და 14 წლამდე არასრულწლოვანთა მონაცემები. ქუქი-ფაილებზე დაფუძნებული ქცევითი თვალთვალი შეიძლება ამ კატეგორიაში მოხვდეს.
სავალდებულო მონაცემთა ლოკალიზაცია: კრიტიკული საინფორმაციო ინფრასტრუქტურის ოპერატორებმა და ორგანიზაციებმა, რომლებიც ამუშავებენ პერსონალურ ინფორმაციას მოცულობით, რომელიც აღემატება Cyberspace Administration of China (CAC)-ის მიერ დადგენილ ზღვარს, მონაცემები ჩინეთის ტერიტორიაზე უნდა შეინახონ. ეს გავლენას ახდენს იმაზე, სად შეიძლება დამუშავდეს თქვენი ანალიტიკი��ა და ქუქი-ფაილების მონაცემები.
საზღვარგარეთ გადაცემის შეზღუდვები: პერსონალური ინფორმაციის ჩინეთის ფარგლებს გარეთ გადაცემა მოითხოვს სამ მექანიზმიდან ერთს: CAC-ის უსაფრთხოების შეფასების გავლას, სერტიფიკაციის მიღებას აღიარებული ორგანოსგან ან CAC-ის მიერ გამოქვეყნებულ სტანდარტულ საკონტრაქტო პირობებზე ხელმოწერას. ეს უფრო შეზღუდულია, ვიდრე GDPR-ის გადაცემის მექანიზმები.
ინდივიდუალური უფლებები „ჩინური სპეციფიკით“: PIPL ანიჭებს მონაცემთა სუბიექტებს GDPR-ს მსგავს უფლებებს (წვდომა, გასწორება, წაშლა, პორ��აბელურობა), მაგრამ ამატებს უფლებას, უარი თქვან ავტომატიზებულ გადაწყვეტილებებზე და უფლებას, მოითხოვონ ახსნა ავტომატიზებული დამუშავების წესების შესახებ.

რას ნიშნავს PIPL ქუქი-ფაილებისა და თვალთვალისთვის

PIPL კონკრეტულად არ ახსენებს „ქუქი-ფაილებს“ ისე, როგორც ამას აკეთებს ევროკავშირის ePrivacy დირექტივა. თუმცა, კანონის ფართო განსაზღვრება პერსონალური ინფორმაციის შესახებ — ნებისმიერი ინფორმაცია, რომელიც დაკავშირებულია იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან — მოიცავს ქუქი-ფაილებზე დაფუძნებული თ��ალთვალის უმეტესობას:

ანალიტიკური ქუქი-ფაილები, რომლებიც გვერდებზე მომხმარებლის ქცევას აკვირდებიან, PIPL-ის განსაზღვრებით პერსონალურ ინფორმაციას აგროვებენ, თუნდაც მომხმარებელი სისტემაში ავტორიზებული არ იყოს.
რეკლამური ქუქი-ფაილები და საიტებს შორის თვალთვალის პიქსელები აშკარად ექცევა მოქმედების არეალში, რადგან ისინი ქმნიან პროფილებს მოწყობილობის იდენტიფიკატორებთან მიბმით.
სესიის ქუქი-ფაილები საბაზისო ფუნქციონალობისთვის (კალათა, ავტორიზაციის სტატუსი) ზოგადად დასაშვებია კო��ტრაქტის შესრულების აუცილებლობის საფუძველზე, GDPR-ის მსგავსად.
მესამე მხარის ქუქი-ფაილები, რომლებიც მონაცემებს უზიარებენ გარე მხარეებს, იწვევს დამატებით PIPL-ის მოთხოვნებს მესამე მხარისთვის გამჟღავნების და, შესაძლოა, საზღვარგარეთ გადაცემის წესების კუთხით.

PIPL-ის აღსრულება: რეალური შედეგები

განსხვავებით ზოგიერთი კონფიდენციალურობის კანონისგან, რომელიც ძირითადად ქაღალდზე არსებობს, PIPL-ის აღსრულება აქტიური და მზარდია. Cyberspace Administration of China, შინაგან საქმეთა სამინისტროსთან და სხვა უწყებებთან ერთად, იღებს კონ��რეტულ ზომებს:

ჩინეთის მსხვილმა აპლიკაციების მაღაზიებმა აპები ამოიღეს ზედმეტი მონაცემთა შეგროვებისა და სათანადო თანხმობის არქონის გამო. ასობით აპი ამოღებულია აღსრულების კამპანიების ფარგლებში.
კომპანიები დაჯარიმდნენ იმაზე მეტი პერსონალური ინფორმაციის შეგროვებისთვის, ვიდრე მათი დეკლარირებული მიზნისთვის იყო აუცილებელი.
CAC-მა საჯარო გაფრთხილებები გამოუცხადა კომპანიებს, რომელთა კონფიდენციალურობის პოლიტიკა სათანადოდ არ აღწერდა მონაცემთა დამუშავების საქმიანობას.
მძიმე შემთხვევებში, PIPL საშუ��ლებას იძლევა დაკისრდეს ჯარიმები 50 მილიონ RMB-მდე (დაახლოებით 7 მილიონი აშშ დოლარი) ან წინა წლის შემოსავლის 5%-მდე, ასევე ბიზნესის ოპერაციების შესაძლო შეჩერებით.

საერთაშორისო კომპანიებისთვის რისკი როგორც რეგულატორულია, ისე კომერციული. შეუსაბამობამ შეიძლება გამოიწვიოს აპის ამოღება ჩინეთის აპლიკაციების მაღაზიებიდან, სერვისების დაბლოკვა და რეპუტაციული ზიანი ერთ მილიარდზე მეტი ინტერნეტ-მომხმარებლის ბაზარზე.

ჩინელი ვიზიტორების გეო-ტარგეტინგი

თუ თქვენი ვებსაიტი ემსახურება გლობალურ აუდიტორიას, რომელშ��ც შედიან ჩინელი მომხმარებლებიც, გჭირდებათ გეო-ტარგეტირებული თანხმობის სტრატეგია. ეს ნიშნავს ვიზიტორის მდებარეობის დადგენას ჩინეთში ყოფნისას და ისეთი თანხმობის მექანიზმების ჩვენებას, რომლებიც აკმაყოფილებს PIPL-ის მოთხოვნებს:

IP-ზე დაფუძნებული დადგენა: გამოიყენეთ IP გეოლოკაცია ჩინეთის მატერიკზე მყოფი ვიზიტორების იდენტიფიცირებისთვის. ეს იგივე მიდგომაა, რომელიც გამოიყენება GDPR-ისთვის EEA-ს ვიზიტორების გეო-ტარგეტინგში.
ენის მიხედვით სიგნალები: თუ მომხმარებლის ბრაუზერის ენა დაყენებულია ჩინურა�� (zh-CN ან zh-TW), ეს შეიძლება იყოს მეორადი სიგნალი, თუმცა არ უნდა იყოს ერთადერთი განმსაზღვრელი ფაქტორი.
თანხმობის ბანერის შინაარსი: ჩინელ მომხმარებლებს ნაჩვენები თანხმობის შეტყობინება უნდა იყოს გამარტივებულ ჩინურ ენაზე, მკაფიოდ აღწერდეს მონაცემთა შეგროვების მიზნებს, ასახელებდეს მონაცემთა კონტროლერს და უზრუნველყოფდეს რეალურ მექანიზმს არაესენციური დამუშავების უარყოფისთვის.
ცალკე თანხმობა სენსიტიური დამუშავებისთვის: თუ იყენებთ ქუქი-ფაილებს ქცევითი პროფილირებისთვის ან მდებარეობის თვალთვალისთვის, ჩინელმა მომხმარებლებმა უნდა იხილონ ცალკე, უფრო დეტალური თანხმობის მოთხოვნა ამ კატეგორიებისთვის.

GDPR და PIPL ერთიან CMP-ში

გლობალური ვებსაიტების უმეტესობას ერთდროულად რამდენიმე კონფიდენციალურობის რეჟიმთან შესაბამისობა სჭირდება. გამოწვევა არის სწორი თანხმობის გამოცდილების მიწოდება სწორ მომხმარებელზე, ცალკეული სისტემების შენარჩუნების გარეშე. ერთიანი მიდგომა ასე მუშაობს:

რეგიონის დადგენა როგორც საფუძველი

CMP-ს ჯერ უნდა განსაზღვროს ვიზიტორის მდებარეობა. ამის საფუძველზე ის იყენებს შესაბამის თანხმობის წესებს:

EEA/ბრიტანეთის ვიზიტორები: TCF 2.3 თანხმობის ბანერი Consent Mode V2-ით, ოპტ-ინ მოდელი, GDPR-ის ყველა მოთხოვნა.
ჩინელი ვიზიტორები: PIPL-თან შესაბამისი თანხმობის შეტყობინება გამარტივებულ ჩინურ ენაზე, ოპტ-ინი არაესენციური დამუშავებისთვის, საზღვარგარეთ გადაცემის მკაფიო გამჟღავნება, თუ მონაცემები ჩინეთს ტოვებს.
აშშ-ის ვიზიტორები: შტატების სპეციფიკური წესები (CCPA/CPRA კალიფორნიისთვის, კოლორადოს, კონექტიკუტის, ვირჯინიის და სხვ. შტატების კანონები), როგორც წესი, ოპტ-აუტ მოდელები.
სხვა რეგიონ��ბი: ნაგულისხმევი ქცევა გამომცემლის რისკის ტოლერანტობისა და მოქმედი ადგილობრივი კანონების მიხედვით.

თანხმობის შენახვის თავისებურებები

PIPL-ის მონაცემთა ლოკალიზაციის მოთხოვნები ნიშნავს, რომ ჩინელი მომხმარებლების თანხმობის ჩანაწერები შესაძლოა ჩინეთში მდებარე სერვერებზე უნდა ინახებოდეს, თუ თქვენი მონაცემთა დამუშავების მოცულობა CAC-ის ზღვარს აღემატება. უმეტეს საერთაშორისო ვებსაიტისთვის, რომლებსაც მხოლოდ შემთხვევითი ჩინური ტრაფიკი აქვთ, ამ ზღვრის გადაჭარბება ნაკლებად სავარაუდოა, თუმცა ჩინეთის ბ��ზარზე ორიენტირებულმა მაღალი ტრაფიკის საიტებმა უნდა გაიარონ კონსულტაცია ადგილობრივ იურიდიულ მრჩეველთან.

საზღვარგარეთ გადაცემის დოკუმენტირება

როდესაც ჩინელი მომხმარებელი თანხმობას აძლევს ქუქი-ფაილებს, რომლებიც მონაცემებს ჩინეთის ფარგლებს გარეთ მდებარე სერვერებზე აგზავნიან (რაც პრაქტიკულად ყველა დასავლური ანალიტიკისა და სარეკლამო პლატფორმისთვის ასეა), CMP-მ ეს თანხმობა უნდა დააფიქსიროს როგორც საზღვარგარეთ გადაცემის დასაბუთების ნაწილი. თანხმობის შეტყობინებაში მკაფიოდ უნდა იყოს მითითებული, რომ მონაცემები საერთაშორისო დონეზე გადაიცემა.

პრაქტიკული ნაბიჯები გლობალური შესაბამისობისთვის

აქ მოცემულია პრიორიტეტული სამოქმედო გეგმა ვებსაიტებისთვის, რომლებსაც PIPL-ის გათვალისწინება GDPR-თან ერთად სჭირდებათ:

გაანალიზეთ თქვენი ჩინური ტრაფიკი: შეამოწმეთ ანალიტიკა, რათა გაიგოთ, თქვენი ვიზიტორების რა პროცენტი მოდის ჩინეთიდან. თუ ეს უმნიშვნელოა, თქვენი რისკი დაბალია, მაგრამ ნულოვანი არა.
დაამთხვიეთ თქვენი ქუქი-ფაილები PIPL-ის კატეგორიებს: განსაზღვრეთ, რომელი ქუქი-ფაილები ამუშავებს პერსონალურ ინფორმაციას PIPL-ის განსაზღვრებით და არის თუ არა რომელიმე მათგანი სენსიტიურ პერსონალურ ინფორმაციასთან დაკავშირებული.
გაიტანეთ გეო-ტარგეტირებული თანხმობა: გამოიყენეთ CMP, რომელსაც შეუძლია სხვადასხვა თანხმობის გამოცდილების ჩვენება ვიზიტორის მდებარეობის მიხედვით, თითოეული რეგიონისთვის შესაბამისი ენისა და სამართლებრივი საფუძვლით.
განაახლეთ თქვენი კონფიდენციალურობის პოლიტიკა: დაამატეთ სექცია, რომელიც სპეციალურად ეხება PIPL-ის ფარგლებში არსებულ უფლებებს და თქვენს მონაცემთა დამუშავების პ��აქტიკას ჩინელი მომხმარებლებისთვის.
გადახედეთ საზღვარგარეთ გადაცემებს: დაადასტურეთ, როგორ გადაიცემა და მუშავდება ჩინელი მომხმარებლების პერსონალური ინფორმაცია საერთაშორისო დონეზე და დარწმუნდით, რომ გაქვთ მოქმედი გადაცემის მექანიზმი.

მნიშვნელოვანი შენიშვნა: PIPL-თან შესაბამისობა ჩინეთის ბაზარზე ორიენტირებული ვებსაიტებისთვის შეიძლება რთული იყოს, ხოლო რეგულატორული მითითებები კვლავ ვითარდება. ეს სტატია ზოგად მიმოხილვას იძლევა, თუმცა ორგანიზაციებმა, რომლებსაც აქვთ მნიშვნელოვანი ოპერაციები ან მომხმარებელთა ბაზა ჩინეთში, უნდა მიიღონ იურიდიული კონსულტაცია, რომელიც მათ კონკრეტულ სიტუაციას შეესაბამება.

FlexyConsent უზრუნველყოფს გეო-ტარგეტირებულ თანხმობის გამოცდილებებს რეგიონ-სპეციფიკური წესებით, რაც გაძლევთ საშუალებას ერთი პლატფორმიდან მართოთ GDPR, PIPL, CCPA და სხვა კონფიდენციალურობის კანონები. უფასო გეგმა მოიცავს გეო-დადგენას და მრავალრეგიონულ თანხმობის კონფიგურაციას.