Kinijos Asmens informacijos apsaugos įstatymo supratimas

Kinijos Asmens informacijos apsaugos įstatymas (PIPL), įsigaliojęs 2021 m. lapkričio 1 d., yra vienas reikšmingiausių duomenų privatumo reglamentų už Europos ribų. Pasaulinėms svetainėms, ypač toms, kurios turi lankytojų iš Kinijos arba vykdo veiklą Kinijoje, PIPL nustato sutikimo pareigas, kurios egzistuoja nepriklausomai nuo GDPR reikalavimų ir kartais su jais konfliktuoja.

PIPL reglamentuoja Kinijoje esančių asmenų asmens informacijos tvarkymą. Jo teritorinė taikymo sritis yra plati: jis taikomas bet kuriai organizacijai, kuri tvarko Kinijoje esančių asmenų asmens informaciją, nepriklausomai nuo to, kur pati organizacija yra įsikūrusi. Jei jūsų svetainė yra pasiekiama Kinijos naudotojams ir jūs iš jų renkate bet kokius asmens duomenis, PIPL jums yra aktualus.

PIPL ir GDPR: esminiai skirtumai

Nors PIPL dažnai vadinamas „Kinijos GDPR“, toks palyginimas užgožia svarbius skirtumus, kurie daro įtaką tam, kaip įgyvendinate sutikimą:

• Sutikimas kaip pagrindinis teisinis pagrindas: GDPR numato šešis duomenų tvarkymo teisinius pagrindus, įskaitant teisėtą interesą. PIPL yra labiau orientuotas į sutikimą. Nors jis pripažįsta ir kitus teisinius pagrindus (sutarties būtinumą, teisinę prievolę, viešąjį interesą), teisėto intereso taikymo sritis yra daug siauresnė, o sutikimas yra tikėtinas numatytasis pagrindas daugumai komercinio duomenų tvarkymo atvejų.
• Atskiras sutikimas dėl jautrių duomenų: PIPL reikalauja atskiro, aiškaus sutikimo tvarkyti jautrią asmens informaciją, prie kurios priskiriami biometriniai duomenys, finansinė informacija, buvimo vietos sekimas ir jaunesnių nei 14 metų nepilnamečių duomenys. Elgsenos sekimas slapukais gali patekti į šią kategoriją.
• Privaloma duomenų lokalizacija: Kritinės informacinės infrastruktūros operatoriai ir organizacijos, tvarkančios asmens informaciją virš apimties ribos, kurią nustato Kinijos kibernetinės erdvės administracija (CAC), privalo duomenis saugoti Kinijoje. Tai daro įtaką tam, kur gali būti tvarkomi jūsų analitikos ir slapukų duomenys.
• Asmens informacijos perdavimo į užsienį apribojimai: Asmens informacijos perdavimas už Kinijos ribų reikalauja vieno iš trijų mechanizmų: CAC saugumo vertinimo, sertifikavimo pripažintoje institucijoje arba standartinių sutarčių sąlygų, kurias paskelbė CAC, sudarymo. Tai yra labiau ribojanti sistema nei GDPR numatyti perdavimo mechanizmai.
• Asmenų teisės su „kinietiškomis ypatybėmis“: PIPL suteikia duomenų subjektams teises, panašias į numatytas GDPR (prieiga, taisymas, ištrynimas, perkeliamumas), tačiau papildomai numato teisę atsisakyti automatizuoto sprendimų priėmimo ir teisę reikalauti paaiškinimo dėl automatizuoto tvarkymo taisyklių.

Ką PIPL reiškia slapukams ir sekimui

PIPL konkrečiai nemini „slapukų“ taip, kaip tai daro ES ePrivacy direktyva. Tačiau plati įstatymo asmens informacijos sąvoka – bet kokia informacija, susijusi su identifikuotu ar identifikuojamu fiziniu asmeniu – apima daugumą slapukais pagrįsto sekimo:

• Analitiniai slapukai, kurie seka naudotojo elgseną skirtinguose puslapiuose, pagal PIPL apibrėžimą renka asmens informaciją net ir tada, kai naudotojas nėra prisijungęs.
• Reklaminiai slapukai ir tarp svetainių veikiantys sekimo pikseliai akivaizdžiai patenka į taikymo sritį, nes jie kuria profilius, susietus su įrenginių identifikatoriais.
• Sesijos slapukai, būtini pagrindinėms funkcijoms (pirkinių krepšeliams, prisijungimo būsenai), paprastai yra leidžiami remiantis sutarties būtinybe, panašiai kaip pagal GDPR.
• Trečiųjų šalių slapukai, kurie dalijasi duomenimis su išorinėmis šalimis, sukelia papildomus PIPL reikalavimus dėl trečiųjų šalių atskleidimo ir galimai dėl asmens informacijos perdavimo į užsienį taisyklių.

PIPL vykdymas: realios pasekmės

Skirtingai nuo kai kurių privatumo įstatymų, kurie daugiausia egzistuoja „popieriuje“, PIPL aktyviai ir vis griežčiau taikomas. Kinijos kibernetinės erdvės administracija kartu su Viešojo saugumo ministerija ir kitomis institucijomis ėmėsi konkrečių veiksmų:

• Pagrindinės programėlių parduotuvės Kinijoje pašalino programėles dėl perteklinio duomenų rinkimo ir nesugebėjimo gauti tinkamo sutikimo. Per vykdymo kampanijas iš sąrašų buvo išbraukta šimtai programėlių.
• Įmonėms buvo skirtos baudos už tai, kad jos rinko asmens informaciją, viršijančią tai, kas buvo būtina deklaruotam tikslui.
• CAC paskelbė viešus įspėjimus įmonėms, kurių privatumo politikos nepakankamai aiškiai aprašė duomenų tvarkymo veiklas.
• Labai rimtais atvejais PIPL leidžia skirti iki 50 mln. RMB (maždaug 7 mln. JAV dolerių) arba 5 % ankstesnių metų pajamų dydžio baudas, taip pat galimą verslo veiklos sustabdymą.

Tarptautinėms įmonėms rizika yra ir reguliacinė, ir komercinė. Nesilaikymas gali lemti programėlių pašalinimą iš Kinijos programėlių parduotuvių, paslaugų blokavimą ir reputacijos žalą rinkoje, kurioje yra daugiau nei milijardas interneto naudotojų.

Kinijos lankytojų geotaikymas

Jei jūsų svetainė aptarnauja pasaulinę auditoriją, į kurią įeina ir naudotojai iš Kinijos, jums reikia geotaikymo pagrindu veikiančios sutikimo strategijos. Tai reiškia, kad turite nustatyti, kada lankytojas yra Kinijoje, ir pateikti sutikimo mechanizmus, atitinkančius PIPL reikalavimus:

• IP pagrįstas nustatymas: Naudokite IP geolokaciją lankytojams iš žemyninės Kinijos identifikuoti. Tai tas pats metodas, kuris naudojamas GDPR geotaikymui EEE lankytojams.
• Kalbos signalai: Jei naudotojo naršyklės kalba nustatyta kaip kinų (zh-CN arba zh-TW), tai gali būti antrinis signalas, nors jis neturėtų būti vienintelis kriterijus.
• Sutikimo juostos turinys: Kinijos naudotojams rodoma sutikimo informacija turėtų būti pateikta supaprastintąja kinų kalba, aiškiai nurodyti duomenų rinkimo tikslus, duomenų valdytoją ir suteikti realią galimybę atsisakyti nebūtino duomenų tvarkymo.
• Atskiras sutikimas dėl jautraus tvarkymo: Jei naudojate slapukus elgsenos profiliavimui ar buvimo vietos sekimui, Kinijos naudotojai turėtų matyti atskirą, detalesnį sutikimo prašymą šioms kategorijoms.

GDPR ir PIPL valdymas su viena CMP

Dauguma pasaulinių svetainių turi vienu metu laikytis kelių privatumo režimų. Iššūkis – pateikti tinkamą sutikimo patirtį tinkamam naudotojui, neprižiūrint atskirų sistemų. Štai kaip veikia vieningas požiūris:

Regiono nustatymas kaip pagrindas

Pirmiausia CMP turi nustatyti lankytojo buvimo vietą. Remiantis tuo, taikomos atitinkamos sutikimo taisyklės:

• EEE ir JK lankytojai: TCF 2.3 sutikimo juosta su Consent Mode V2, pasirinkimo (opt-in) modelis, visi GDPR reikalavimai.
• Kinijos lankytojai: PIPL atitinkanti sutikimo informacija supaprastintąja kinų kalba, pasirinkimo (opt-in) modelis nebūtiniam tvarkymui, aiškus asmens informacijos perdavimo į užsienį atskleidimas, jei duomenys palieka Kiniją.
• JAV lankytojai: Valstijų lygmens taisyklės (CCPA/CPRA Kalifornijai, valstijų įstatymai Koloradui, Konektikutui, Virdžinijai ir kt.), paprastai atsisakymo (opt-out) modeliai.
• Kiti regionai: Numatytoji elgsena, paremta leidėjo rizikos tolerancija ir taikytinais vietos įstatymais.

Sutikimo saugojimo aspektai

PIPL duomenų lokalizacijos reikalavimai reiškia, kad Kinijos naudotojų sutikimo įrašus gali tekti saugoti serveriuose Kinijoje, jei jūsų duomenų tvarkymo apimtys viršija CAC nustatytas ribas. Daugumai tarptautinių svetainių, kurios Kinijos srautą gauna tik atsitiktinai, ši riba greičiausiai nebus pasiekta, tačiau didelio srauto svetainės, tikslingai orientuotos į Kiniją, turėtų pasitarti su vietiniais teisininkais.

Asmens informacijos perdavimo į užsienį dokumentavimas

Kai Kinijos naudotojas sutinka su slapukais, kurie siunčia duomenis į serverius už Kinijos ribų (o taip yra praktiškai su visomis Vakarų analitikos ir reklamos platformomis), CMP turėtų dokumentuoti šį sutikimą kaip dalį asmens informacijos perdavimo į užsienį pagrindimo. Sutikimo informacijoje turėtų būti aiškiai nurodyta, kad duomenys bus perduodami tarptautiniu mastu.

Praktiniai žingsniai pasaulinei atitikčiai užtikrinti

Štai prioritetinis veiksmų planas svetainėms, kurios turi atsižvelgti į PIPL kartu su GDPR:

• Įvertinkite savo srautą iš Kinijos: Patikrinkite analitikos duomenis ir supraskite, kokia jūsų lankytojų dalis yra iš Kinijos. Jei ji nereikšminga, rizika mažesnė, bet ne nulinė.
• Susiekite slapukus su PIPL kategorijomis: Nustatykite, kurie slapukai tvarko asmens informaciją pagal PIPL apibrėžimą ir ar kurie nors iš jų apima jautrią asmens informaciją.
• Įdiekite geotaikomu sutikimu pagrįstą sprendimą: Naudokite CMP, galinčią pateikti skirtingas sutikimo patirtis pagal lankytojo buvimo vietą, su tinkama kalba ir teisiniu pagrindu kiekvienam regionui.
• Atnaujinkite privatumo politiką: Pridėkite skyrių, kuriame konkrečiai aptariamos PIPL numatytos teisės ir jūsų duomenų tvarkymo praktika Kinijos naudotojams.
• Peržiūrėkite asmens informacijos perdavimą į užsienį: Dokumentuokite, kaip Kinijos naudotojų asmens informacija perduodama ir tvarkoma tarptautiniu mastu, ir įsitikinkite, kad turite galiojantį perdavimo mechanizmą.

Svarbi pastaba: PIPL laikymasis svetainėms, kurios orientuojasi į Kiniją, gali būti sudėtingas, o reguliacinės gairės vis dar vystosi. Šis straipsnis pateikia bendrą apžvalgą, tačiau organizacijos, turinčios reikšmingą veiklą ar naudotojų bazę Kinijoje, turėtų kreiptis dėl konkrečiai jų situacijai pritaikytos teisinės konsultacijos.

FlexyConsent palaiko geotaikomu sutikimu pagrįstas patirtis su regionui būdingomis taisyklėmis, leidžiančias iš vienos platformos spręsti GDPR, PIPL, CCPA ir kitų privatumo įstatymų reikalavimus. Nemokamas planas apima geonustatymą ir kelių regionų sutikimo konfigūravimą.