Қытайдың Жеке ақпаратты қорғау туралы заңын түсіну

2021 жылғы 1 қарашадан бастап күшіне енген Қытайдың Жеке ақпаратты қорғау туралы заңы (PIPL) Еуропадан тыс ең маңызды дербес деректерді қорғау регламенттерінің бірі болып саналады. Әсіресе Қытайдан келетін келушілері немесе Қытайда операциялары бар жаһандық веб‑сайттар үшін PIPL GDPR талаптарынан тәуелсіз – әрі кейде олармен қайшылыққа түсетін – келісім алу міндеттемелерін белгілейді.

PIPL Қытай аумағ��ндағы жеке тұлғалардың жеке ақпаратын өңдеуді реттейді. Оның аумақтық қолданылу аясы кең: ол Қытайда орналасқан адамдардың жеке ақпаратын өңдейтін кез келген ұйымға, ұйымның өзі қай елде орналасқанына қарамастан, қолданылады. Егер сіздің веб‑сайтыңызға қытайлық пайдаланушылар кіре алса және сіз олардан қандай да бір жеке деректер жинасаңыз, PIPL сізге қатысты.

PIPL мен GDPR: маңызды айырмашылықтар

PIPL жиі «Қытайдың GDPR‑ы» деп аталғанымен, мұндай салыстыру келісімді қалай іске асыратыныңызға әсер ететін бірқатар маңызды айырмашылықтарды бүркемелейді:

• Негізгі құқықтық негіз ретінде келісім: GDPR деректерді өңдеудің алты құқықтық негізін ұсынады, оның ішінде заңды мүдде де бар. PIPL келісімге көбірек сүйенеді. Ол өзге де құқықтық негіздерді (шарттық қажеттілік, заңдық міндет, қоғамдық мүдде) мойындағанымен, заңды мүдде аясы әлдеқайда тар, ал коммерциялық деректерді өңдеудің көпшілігі үшін әдеттегі, күтілетін негіз – келісім.
• Сезімтал деректерге бөлек келісім: PIPL сезімтал жеке ақпаратты өңдеу үшін бөлек, айқын келісімді талап етеді. Бұған биометриялық деректер, қаржылық ақпарат, орналасқан жерді бақылау, сондай‑ақ 14 жасқа дейінгі кәмелетке толмағандардың деректері жатады. Cookie‑ге негізделген мінез‑құлықтық қадағалау осы санатқа түсуі мүмкін.
• Міндетті деректерді локализациялау: Сындарлы ақпараттық инфрақұрылым операторлары және Қытайдың Киберкеңістікті басқару басқармасы (CAC) белгілеген шектен жоғары көлемде же��е ақпаратты өңдейтін ұйымдар деректерді Қытай аумағында сақтауға міндетті. Бұл сіздің аналитика және cookie деректеріңіз қай жерде өңделе алатынына әсер етеді.
• Шекарадан тыс беруге шектеулер: Жеке ақпаратты Қытайдан тыс жерге беру үш тетік­тің біріне сүйенуді талап етеді: CAC қауіпсіздік бағалауынан өту, уәкілетті органнан сертификат алу немесе CAC жариялаған стандартты шарттық ережелерді қолдану. Бұл GDPR‑дағы деректерді беру тетіктеріне қарағанда қатаңырақ.
• «Қытайлық ерекшеліктері» бар жеке құқықтар: PIPL деректер субъектілеріне GDPR‑ға ұқсас құқықтар береді (қол жеткізу, түзету, жою, тасымалдау), бірақ сонымен қатар автоматтандырылған шешім қабылдаудан бас тарту құқығын және автоматтандырылған өңдеу ережелерін түсіндіруді талап ету құқығын қосады.

PIPL cookie файлдары мен қадағалауға қалай әсер етеді

PIPL ЕО‑ның ePrivacy директивасындағыдай «cookie» терминін тікелей атамайды. Алайда заңдағы жеке ақпараттың кең анықтамасы – анықталған немесе анықталатын жеке тұлғаға қатысты кез келген ақпарат – cookie‑ге негізделген қадағалаудың басым бөлігін қамтиды:

• Аналитикалық cookie файлдары, олар пайдаланушының беттер арасындағы әрекетін бақылайды, пайдаланушы жүйеге кірмеген болса да, PIPL анықтамасы бойынша жеке ақпаратты жинайды.
• Жарнамалық cookie файлдары және кросс‑сайт трекинг пикселдері айқын түрде реттеу аясына кіреді, өйткені олар құрылғы идентификаторларына байланған профильдер жасайды.
• Сеанстық cookie файлдары (сауда себеті, логин күйі сияқты) негізгі функционалдылық үшін шарттық қажеттілік негізінде, GDPR‑дағыдай, әдетте рұқсат етіледі.
• Үшінші тарап cookie файлдары, олар деректерді сыртқы тараптармен бөліскенде, үшінші тарапқа ашып көрсетуге және, мүмкін, шекарадан тыс беру ережелеріне қатысты қосымша PIPL талаптарын туындатады.

PIPL‑ды қолдану: нақты салдар

Тек қағаз жүзінде ғана бар кейбір құпиялылық заңдарынан айырмашылығы, PIPL белсенді және күшейіп келе жатқан түрде қолданылады. Қытайдың Киберкеңістікті басқару басқармасы, Қоғамдық қауіпсіздік министрлігі және басқа да органдар нақты шаралар қабылдауда:

• Қытайдағы ірі қолданба дүкендері шамадан тыс деректер жинағаны және тиісті келісім алмағаны үшін қолданбаларды алып тастады. Қолданбаларды жаппай тексеру науқандары барысында жүздеген қолданба тізімнен шығарылды.
• Компаниялар мәлімделген мақсатынан тыс жеке ақпарат жинағаны үшін айыппұлдарға ұшырады.
• CAC деректерді өңдеу қызметтерін жеткілікті сипаттамаған құпиялылық саясаттары бар компанияларға жария ескертулер жасады.
• Ауыр жағдайларда PIPL өткен жылғы табыстың 5%-ына дейін немесе 50 миллион юаньға (шамамен 7 миллион АҚШ доллары) дейін айыппұл салуға, сондай‑ақ бизнес қызметін тоқтата тұруға мүмкіндік береді.

Халықаралық компаниялар үшін тәуекел әрі реттеушілік, әрі коммерциялық сипатта. Талаптарды сақтамау Қытай қолданба дүкендерінен қосымшаның алынып тасталуына, сервистердің бұғатталуына және бір миллиардта�� астам интернет пайдаланушысы бар нарықта беделге нұқсан келуіне әкелуі мүмкін.

Қытайлық келушілерге гео‑нысаналы тәсіл

Егер сіздің веб‑сайтыңызға Қытайдан келушілерді қоса алғанда, жаһандық аудитория кірсе, сізге гео‑нысаналы келісім стратегиясы қажет. Бұл келушінің Қытайда орналасқанын анықтап, PIPL талаптарына сай келісім механизмдерін көрсету дегенді білдіреді:

• IP‑ге негізделген анықтау: Негізгі Қытай аумағынан келетін келушілерді анықтау үшін IP геолокацияны пайдаланыңыз. Бұл EEA келушілеріне арналған GDPR гео‑нысаналы тәсілімен бірдей әдіс.
• Тілдік сигналдар: Егер пайдаланушы браузерінің тілі қытай тіліне (zh-CN немесе zh-TW) орнатылған болса, бұл қосымша сигнал бола алады, бірақ жалғыз анықтаушы фактор болмауы тиіс.
• Келісім баннерінің мазмұны: Қытайлық пайдаланушыларға көрсетілетін келісім хабарламасы жеңілдетілген қытай тілінде болуы, деректерді жинау мақсаттарын айқын көрсетуі, деректер контроллерін анықтауы және маңызды емес өңдеуден шынайы түрде бас тарту мүмкіндігін ұсынуы керек.
• Сезімтал өңдеу үшін бөлек келісім: Егер сіз cookie файлдарын мінез‑құлықтық профайлдау немесе орналасқан жерді қадағалау үшін қолдансаңыз, қытайлық пайдаланушылар бұл санаттар бойынша бөлек, неғұрлым егжей‑тегжейлі келісім сұрауын көруі тиіс.

Бір CMP арқылы GDPR мен PIPL талаптарын орындау

Көптеген жаһандық веб‑сайттар бір уақытта бірнеше құпиялылық режимдерін сақтауы керек. Негізгі қиындық – бөлек жүйелерді ұстамай‑ақ, әрбір пайдаланушыға тиісті келісім тәжірибесін ұсыну. Біріктірілген тәсіл былай жұмыс істейді:

Негіз ретінде өңірді анықтау

CMP алдымен келушінің орналасқан жерін анықтауы тиіс. Соған қарай тиісті келісім ережелері қолданылады:

• EEA/UK келушілері: TCF 2.3 келісім баннері, Consent Mode V2, opt‑in моделі, барлық GDPR талаптары.
• Қытайлық келушілер: PIPL талаптарына сай, жеңілдетілген қытай тіліндегі келісім хабарламасы, маңызды емес өңдеу үшін opt‑in, деректер Қытайдан тыс жерге берілсе, шекарадан тыс беруді айқын ашып көрсету.
• АҚШ келушілері: Штатқа тән ережелер (Калифорния үшін CCPA/CPRA, Колорадо, Коннектикут, Вирджиния және т.б. штат заңдары), әдетте opt‑out модельдері.
• Басқа өңірлер: Басылым иесінің тәуекелге дайындығына және қолданылатын жергілікті заңдарға негізделген әдепкі мінез��құлық.

Келісімді сақтау мәселелері

PIPL‑дың деректерді локализациялау талаптары қытайлық пайдаланушыларға қатысты келісім жазбаларын, егер сіздің деректерді өңдеу көлеміңіз CAC белгілеген шектерден асып кетсе, Қытай аумағындағы серверлерде сақтауды талап етуі мүмкін. Қытайдан тек кездейсоқ трафик алатын көпшілік халықаралық веб‑сайттар үшін бұл шекке жету екіталай, бірақ Қытай нарығын нысанаға алған жоғары трафикті сайттар жергілікті заңгерлермен кеңесуі тиіс.

Шекарадан тыс беруді құжаттау

Қытайлық пайдаланушы деректерді Қытайдан тыс серверлерге жіберетін cookie файлдарына келісім берген кезде (бұл Батыстың дерлік барлық аналитика және жарнама платформаларына тән), CMP бұл келісімді шекарадан тыс беруді негіздеу��ің бір бөлігі ретінде құжаттауы керек. Келісім хабарламасында деректердің халықаралық деңгейде берілетіні айқын көрсетілуі тиіс.

Жаһандық сәйкестік үшін практикалық қадамдар

Міне, PIPL мен GDPR талаптарын қатар орындауы қажет веб‑сайттар үшін басымдық берілген іс‑қимыл жоспары:

• Қытайдан келетін трафикті талдаңыз: Аналитика құралдары арқылы келушілеріңіздің қанша пайызы Қытайдан келетінін тексеріңіз. Егер үлесі өте аз болса, тәуекеліңіз төменірек, бірақ нөлге тең емес.
• Cookie файлдарыңызды PIPL санаттарына сәйкестендіріңіз: Қай cookie файлдары PIPL анықтамасы бойынша жеке ақпаратты өңдейтінін және олардың қайсысы сезімтал жеке ақпаратты қамтуы мүмкін екенін айқындаңыз.
• Гео‑нысаналы келісімді ен��ізіңіз: Келушінің орналасқан жеріне қарай әртүрлі келісім тәжірибесін, тиісті тіл мен құқықтық негізді көрсете алатын CMP қолданыңыз.
• Құпиялылық саясатыңызды жаңартыңыз: PIPL бойынша құқықтарды және қытайлық пайдаланушыларға қатысты деректерді өңдеу тәжірибеңізді арнайы сипаттайтын бөлім қосыңыз.
• Шекарадан тыс беруді қайта қараңыз: Қытайлық пайдаланушылардың жеке ақпараты қалай берілетінін және халықаралық деңгейде қалай өңделетінін құжаттаңыз және жарамды беру тетігі бар екеніне көз жеткізіңіз.

Маңызды ескерту: Қытай нарығын нысанаға алған веб‑сайттар үшін PIPL талаптарына сәйкестік күрделі болуы мүмкін, әрі реттеушілік түсіндірмелер әлі де дамып келеді. Бұл мақала жалпы шолу б��реді, ал Қытайда елеулі операциялары немесе пайдаланушы базасы бар ұйымдар өз жағдайына тән заңгерлік кеңес алуы тиіс.

FlexyConsent аймаққа тән ережелері бар гео‑нысаналы келісім тәжірибелерін қолдайды, бұл сізге GDPR, PIPL, CCPA және басқа да құпиялылық заңдарын бір платформа арқылы басқаруға мүмкіндік береді. Тегін тарифке гео‑анықтау және көпөңірлі келісім конфигурациясы кіреді.