Ķīnas Personas informācijas aizsardzības likuma izpratne

Ķīnas Personas informācijas aizsardzības likums (PIPL), kas stājās spēkā 2021. gada 1. novembrī, ir viens no nozīmīgākajiem datu privātuma regulējumiem ārpus Eiropas. Globālajām vietnēm, īpaši tām, kurām ir Ķīnas apmeklētāji vai darbība Ķīnā, PIPL rada piekrišanas pienākumus, kas pastāv neatkarīgi no GDPR prasībām un dažkārt ar tām konfliktē.

PIPL regulē Ķīnā esošu fizisku personu personas informācijas apstrādi. Tā teritoriālais tvērums ir plašs: tas attiecas uz jebkuru organizāciju, kas apstrādā Ķīnā esošu personu personas informāciju, neatkarīgi no tā, kur pati organizācija atrodas. Ja jūsu vietne ir pieejama Ķīnas lietotājiem un jūs no viņiem ievācat jebkādus personas datus, PIPL uz jums attiecas.

PIPL un GDPR: būtiskākās atšķirības

Lai gan PIPL bieži dēvē par “Ķīnas GDPR”, šis salīdzinājums aizēno svarīgas atšķirības, kas ietekmē piekrišanas ieviešanu:

• Piekrišana kā primārais tiesiskais pamats: GDPR paredz sešus datu apstrādes tiesiskos pamatus, tostarp leģitīmās intereses. PIPL ir daudz vairāk orientēts uz piekrišanu. Lai gan tas atzīst arī citus pamatus (līguma izpilde, tiesisks pienākums, sabiedrības intereses), leģitīmo interešu tvērums ir daudz šaurāks, un piekrišana ir sagaidāmais noklusējuma pamats lielākajai daļai komerciālās datu apstrādes.
• Atsevišķa piekrišana sensitīviem datiem: PIPL prasa atsevišķu, skaidru piekrišanu sensitīvas personas informācijas apstrādei, pie kuras pieskaitāmi biometriskie dati, finanšu informācija, atrašanās vietas izsekošana un nepilngadīgo līdz 14 gadu vecumam dati. Uz sīkdatnēm balstīta uzvedības izsekošana var ietilpt šajā kategorijā.
• Obligāta datu lokalizācija: Kritiskās informācijas infrastruktūras operatoriem un organizācijām, kas apstrādā personas informāciju virs Ķīnas Kibertelpas pārvaldes (CAC) noteiktā apjoma sliekšņa, dati ir jāuzglabā Ķīnā. Tas ietekmē, kur drīkst apstrādāt jūsu analītikas un sīkdatņu datus.
• Pārrobežu pārsūtīšanas ierobežojumi: Personas informācijas pārsūtīšanai ārpus Ķīnas ir nepieciešams viens no trim mehānismiem: CAC drošības novērtējuma iziešana, sertifikācija atzītā institūcijā vai standarta līguma klauzulu noslēgšana, ko publicējusi CAC. Tas ir ierobežojošāk nekā GDPR datu pārsūtīšanas mehānismi.
• Indivīdu tiesības ar “ķīniešu specifiku”: PIPL piešķir datu subjektiem tiesības, kas ir līdzīgas GDPR (piekļuve, labošana, dzēšana, pārnesamība), bet papildus paredz tiesības atteikties no automatizētas lēmumu pieņemšanas un tiesības pieprasīt automatizētās apstrādes noteikumu skaidrojumu.

Ko PIPL nozīmē sīkdatnēm un izsekošanai

PIPL tieši nemin “sīkdatnes” tādā veidā, kā to dara ES e-Privātuma direktīva. Tomēr likuma plašā personas informācijas definīcija — jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu — aptver lielāko daļu uz sīkdatnēm balstītas izsekošanas:

• Analītikas sīkdatnes, kas seko lietotāja uzvedībai lapās, PIPL izpratnē ievāc personas informāciju, pat ja lietotājs nav pieteicies kontā.
• Reklāmas sīkdatnes un starpvietņu izsekošanas pikseļi acīmredzami ietilpst tvērumā, jo tie veido profilus, kas saistīti ar ierīces identifikatoriem.
• Sesijas sīkdatnes pamatfunkcionalitātei (iepirkumu grozi, pieteikšanās statuss) parasti ir pieļaujamas, balstoties uz līguma izpildes nepieciešamību, līdzīgi kā GDPR.
• Trešo pušu sīkdatnes, kas kopīgo datus ar ārējiem partneriem, iedarbina papildu PIPL prasības par trešo pušu atklāšanu un, iespējams, pārrobežu pārsūtīšanas noteikumus.

PIPL izpilde: reālas sekas

Atšķirībā no dažiem privātuma likumiem, kas pastāv galvenokārt “uz papīra”, PIPL izpilde ir aktīva un pieņemas spēkā. Ķīnas Kibertelpas pārvalde kopā ar Sabiedriskās drošības ministriju un citām iestādēm ir veikusi konkrētas darbības:

• Galvenās lietotņu izplatīšanas platformas Ķīnā ir izņēmušas lietotnes pārmērīgas datu vākšanas un pienācīgas piekrišanas neiegūšanas dēļ. Kampaņās no sarakstiem ir dzēstas simtiem lietotņu.
• Uzņēmumiem ir piemēroti naudas sodi par personas informācijas vākšanu apjomā, kas pārsniedza nepieciešamo deklarētajam mērķim.
• CAC ir izdevusi publiskus brīdinājumus uzņēmumiem, kuru privātuma politikas nepietiekami aprakstīja datu apstrādes darbības.
• Smagos gadījumos PIPL paredz sodus līdz 50 miljoniem RMB (aptuveni 7 miljoniem USD) vai 5% no iepriekšējā gada ieņēmumiem, kā arī iespējamu uzņēmējdarbības apturēšanu.

Starptautiskiem uzņēmumiem risks ir gan regulatīvs, gan komerciāls. Neatbilstība var novest pie lietotņu izņemšanas no Ķīnas lietotņu veikaliem, pakalpojumu bloķēšanas un reputācijas zaudēšanas tirgū ar vairāk nekā vienu miljardu interneta lietotāju.

Ķīnas apmeklētāju ģeomērķēšana

Ja jūsu vietne apkalpo globālu auditoriju, kurā ietilpst arī Ķīnas lietotāji, jums ir nepieciešama ģeomērķēta piekrišanas stratēģija. Tas nozīmē noteikt, kad apmeklētājs atrodas Ķīnā, un parādīt piekrišanas mehānismus, kas atbilst PIPL prasībām:

• IP balstīta noteikšana: Izmantojiet IP ģeolokāciju, lai identificētu apmeklētājus no kontinentālās Ķīnas. Šī ir tā pati pieeja, ko izmanto GDPR ģeomērķēšanai EEA apmeklētājiem.
• Valodas signāli: Ja lietotāja pārlūkprogrammas valoda ir iestatīta uz ķīniešu (zh-CN vai zh-TW), tas var kalpot kā sekundārs signāls, lai gan tam nevajadzētu būt vienīgajam kritērijam.
• Piekrišanas banera saturs: Paziņojumam par piekrišanu, kas tiek rādīts Ķīnas lietotājiem, jābūt vienkāršotajā ķīniešu valodā, skaidri jānorāda datu vākšanas mērķi, jāidentificē datu pārzinis un jānodrošina reāla iespēja atteikties no nebūtiskas apstrādes.
• Atsevišķa piekrišana sensitīvai apstrādei: Ja izmantojat sīkdatnes uzvedības profilēšanai vai atrašanās vietas izsekošanai, Ķīnas lietotājiem jāredz atsevišķs, detalizētāks piekrišanas pieprasījums šīm kategorijām.

GDPR un PIPL pārvaldīšana ar vienu CMP

Lielākajai daļai globālo vietņu vienlaikus jāievēro vairāki privātuma režīmi. Izaicinājums ir nodrošināt pareizo piekrišanas pieredzi pareizajam lietotājam, neuzturēt atsevišķas sistēmas. Lūk, kā darbojas vienota pieeja:

Reģiona noteikšana kā pamats

CMP vispirms ir jānosaka apmeklētāja atrašanās vieta. Pamatojoties uz to, tiek piemēroti atbilstošie piekrišanas noteikumi:

• EEA/Apvienotās Karalistes apmeklētāji: TCF 2.3 piekrišanas baneris ar Consent Mode V2, piekrišanas (opt-in) modelis, visas GDPR prasības.
• Ķīnas apmeklētāji: PIPL atbilstošs piekrišanas paziņojums vienkāršotajā ķīniešu valodā, piekrišana (opt-in) nebūtiskai apstrādei, skaidra pārrobežu pārsūtīšanas atklāšana, ja dati tiek pārsūtīti ārpus Ķīnas.
• ASV apmeklētāji: Konkrētu štatu noteikumi (CCPA/CPRA Kalifornijai, štatu likumi Kolorādo, Konektikutai, Virdžīnijai u.c.), parasti atteikšanās (opt-out) modeļi.
• Citi reģioni: Noklusējuma uzvedība, balstoties uz izdevēja riska toleranci un piemērojamiem vietējiem likumiem.

Piekrišanas uzglabāšanas apsvērumi

PIPL datu lokalizācijas prasības nozīmē, ka Ķīnas lietotāju piekrišanas ieraksti var būt jāuzglabā serveros Ķīnā, ja jūsu datu apstrādes apjomi pārsniedz CAC noteiktos sliekšņus. Lielākajai daļai starptautisko vietņu ar gadījuma Ķīnas trafiku šis slieksnis, visticamāk, netiks sasniegts, taču augstas noslodzes vietnēm, kas mērķē uz Ķīnu, būtu jākonsultējas ar vietējiem juridiskajiem padomdevējiem.

Pārrobežu pārsūtīšanas dokumentēšana

Ja Ķīnas lietotājs piekrīt sīkdatnēm, kas sūta datus uz serveriem ārpus Ķīnas (kas faktiski attiecas uz gandrīz visām Rietumu analītikas un reklāmas platformām), CMP būtu jāfiksē šī piekrišana kā daļa no pārrobežu pārsūtīšanas pamatojuma. Piekrišanas paziņojumā skaidri jānorāda, ka dati tiks pārsūtīti starptautiski.

Praktiski soļi globālai atbilstībai

Šeit ir prioritārs rīcības plāns vietnēm, kurām PIPL jārisina paralēli GDPR:

• Auditējiet savu Ķīnas trafiku: Pārbaudiet analītikas datus, lai saprastu, kāds procents apmeklētāju nāk no Ķīnas. Ja tas ir niecīgs, risks ir zemāks, bet ne nulle.
• Kartējiet savas sīkdatnes PIPL kategorijām: Nosakiet, kuras sīkdatnes apstrādā personas informāciju PIPL izpratnē un vai kāda no tām ietver sensitīvu personas informāciju.
• Ieviest ģeomērķētu piekrišanu: Izmantojiet CMP, kas spēj parādīt atšķirīgas piekrišanas pieredzes atkarībā no apmeklētāja atrašanās vietas, ar atbilstošu valodu un tiesisko pamatu katram reģionam.
• Atjauniniet savu privātuma politiku: Pievienojiet sadaļu, kas īpaši attiecas uz PIPL tiesībām un jūsu datu apstrādes praksi Ķīnas lietotājiem.
• Pārskatiet pārrobežu pārsūtīšanu: Dokumentējiet, kā Ķīnas lietotāju personas informācija tiek pārsūtīta un apstrādāta starptautiski, un pārliecinieties, ka jums ir derīgs pārsūtīšanas mehānisms.

Svarīga piezīme: PIPL ievērošana vietnēm, kas mērķē uz Ķīnu, var būt sarežģīta, un regulatīvie norādījumi joprojām attīstās. Šis raksts sniedz vispārēju pārskatu, taču organizācijām ar nozīmīgu darbību vai lietotāju bāzi Ķīnā būtu jāmeklē juridiskas konsultācijas, kas pielāgotas viņu konkrētajai situācijai.

FlexyConsent atbalsta ģeomērķētas piekrišanas pieredzes ar reģionam specifiskiem noteikumiem, ļaujot vienā platformā risināt GDPR, PIPL, CCPA un citu privātuma likumu prasības. Bezmaksas plānā ietilpst ģeonoteikšana un vairāku reģionu piekrišanas konfigurācija.