Panduan Pematuhan Persetujuan Kuki PDPA Sri Lanka: Akta No. 9 tahun 2022 Berkuat Kuasa untuk Penerbit pada 2026

Sri Lanka menghabiskan lebih satu dekad dalam saluran perundangan sebelum Akta Perlindungan Data Peribadinya akhirnya digubal sebagai Akta No. 9 tahun 2022, yang diperakui oleh Speaker pada 19 March 2022. Akta ini mengambil seni bina luas yang telah menjadi standard global sejak GDPR — had tujuan, asas yang sah, hak subjek data, akauntabiliti, kawalan pemindahan rentas sempadan, pemberitahuan pelanggaran, dan pengawal selia bebas dengan kuasa penalti pentadbiran — tetapi menanamnya dalam rejim yang disesuaikan dengan realiti komersial dan perlembagaan Asia Selatan. Akta ini mula berkuat kuasa secara berperingkat dari 17 March 2023, dengan kewajipan substantif mencetuskan 18 bulan kemudian dan peruntukan penguatkuasaan secara beransur-ansur melalui 2025 dan ke dalam 2026. Bagi penerbit dan mana-mana entiti lain yang memproses data peribadi individu di Sri Lanka, implikasinya adalah langsung: postur persetujuan kuki yang memuaskan patchwork peraturan sektoral sebelumnya tidak lagi mencukupi, dan postur yang memuaskan GDPR akan memuaskan PDPA hanya jika integrasi dikonfigurasi untuk titik-titik khusus di mana dua rejim berbeza.

Apa yang sebenarnya dikehendaki oleh PDPA Sri Lanka

PDPA terpakai kepada pemprosesan data peribadi subjek data yang berada di Sri Lanka, tanpa mengira di mana pengawal atau pemproses berada, dan kepada pengawal dan pemproses yang ditubuhkan di Sri Lanka tanpa mengira di mana subjek data berada. Jangkauan ekstrateritorial mencerminkan Artikel 3 GDPR dan bermakna bahawa penerbit tanpa pejabat Sri Lanka tetapi dengan pembaca, pemasangan apl, atau pelanggan berbayar Sri Lanka berada dalam skop tersebut. Data peribadi ditakrifkan secara luas sebagai mana-mana maklumat yang berkaitan dengan orang hidup semula jadi yang dikenal pasti atau boleh dikenal pasti, dengan data kategori khas termasuk data biometrik, genetik, kewangan, kesihatan, kaum, etnik, kepercayaan agama, pendapat politik, dan rekod jenayah yang dikendalikan di bawah peraturan yang lebih ketat.

Akta ini menetapkan tujuh prinsip perlindungan data teras, enam asas yang sah untuk pemprosesan, set standard hak subjek data — akses, rektifikasi, pemadaman, sekatan, bantahan, dan kemudahalihan data di mana boleh dilaksanakan secara teknikal — dan pengawal selia, Pihak Berkuasa Perlindungan Data Sri Lanka, dengan kuasa untuk mengeluarkan arahan, mengenakan penalti pentadbiran sehingga LKR 10 juta bagi setiap pelanggaran, dan merujuk perkara serius untuk pendakwaan jenayah.

Bagaimana PDPA menangani persetujuan kuki secara khusus

PDPA tidak mengandungi peruntukan gaya ePrivacy yang berasingan mengenai kuki, seperti cara Arahan ePrivacy EU. Sebaliknya, ia melipat pemprosesan kuki ke dalam rangka kerja persetujuan gaya GDPR umum: sebarang pemprosesan data peribadi yang bergantung kepada persetujuan sebagai asas undang-undangnya mesti diperoleh berdasarkan tindakan afirmatif yang jelas di mana subjek data menandakan persetujuan, diberikan secara bebas, khusus, bermaklumat, dan tidak samar-samar. DPA telah menunjukkan, selaras dengan trend global, bahawa kotak yang ditanda sebelumnya, bahasa penyemakan imbas berterusan, dan sepanduk persetujuan tergabung bukan merupakan bentuk persetujuan yang sah di bawah Akta.

Kesan praktikal adalah postur yang sama yang dikekalkan oleh penerbit yang beroperasi di EEA: kuki dan mana-mana teknologi penyimpanan dan akses analogi yang tidak diperlukan secara ketat untuk menyampaikan perkhidmatan tidak boleh ditetapkan sebelum pengguna secara aktif bersetuju dengannya. Kuki yang diperlukan secara ketat — pengecam sesi, kandungan troli, token keselamatan, kuki pengimbangan beban — boleh ditetapkan tanpa persetujuan kerana ia termasuk dalam asas kepentingan sah yang dikaitkan dengan perkhidmatan yang diminta secara aktif oleh pengguna. Segala-galanya lain, termasuk analitik, pengiklanan, pemperibadian, ujian A/B, ulangan sesi, dan mana-mana tag pihak ketiga, memerlukan persetujuan terlebih dahulu.

Bagaimana PDPA berbeza daripada GDPR

Tiga perbezaan penting untuk lapisan integrasi. Pertama, katalog asas sah PDPA merangkumi asas kepentingan awam dan kewajipan undang-undang yang sangat serupa dengan Artikel 6 GDPR tetapi tidak merangkumi asas kepentingan sah yang berdiri sendiri dalam bentuk yang digunakan oleh penerbit Eropah untuk pemprosesan pengukuran iklan. Setara PDPA adalah lebih sempit, memerlukan ujian pengimbangan yang didokumentasikan yang difailkan bersama rekod pemprosesan pengawal dan disediakan kepada DPA atas permintaan. Kedua, peraturan pemindahan rentas sempadan PDPA memerlukan DPA menentukan bidang kuasa destinasi, dan pemindahan ke bidang kuasa yang tidak ditentukan memerlukan sama ada persetujuan eksplisit, perlindungan kontraktual yang diluluskan oleh DPA, atau salah satu pengecualian sempit. Ketiga, garis masa pemberitahuan pelanggaran PDPA adalah lebih pendek untuk pelanggaran berisiko tinggi dan lebih panjang untuk pelanggaran berisiko rendah daripada peraturan GDPR 72 jam tetap — pengawal mesti memberitahu tanpa kelewatan yang tidak wajar dan, di mana boleh dilaksanakan, dalam tetingkap yang panduan DPA telah diperketatkan sepanjang tempoh permulaan berperingkat.

Apa rupa sepanduk kuki yang mematuhi PDPA

Keperluan teknikal bertemu dengan apa yang setiap CMP moden sudah menghasilkan, tetapi pelabelan dan log persetujuan mesti mencerminkan kekhususan Sri Lanka. Sepanduk lapisan pertama mesti membentangkan kepada pengguna pilihan sebenar — terima, tolak, urus — di mana pilihan tolak sekurang-kurangnya semenyata pilihan terima. Persetujuan tergabung dilarang, jadi lapisan kedua mesti membenarkan pilihan masuk per kategori yang merangkumi sekurang-kurangnya analitik, pengiklanan, dan sebarang pemprosesan yang bergantung pada pemindahan rentas sempadan. Kategori mesti ditetapkan secara lalai kepada mati; sepanduk tidak boleh memuatkan tag sehingga pengguna secara aktif menghidupkannya.

Notis privasi yang dipaparkan dari sepanduk mesti mengenal pasti pengawal, kategori data peribadi yang dikumpulkan, asas sah untuk setiap tujuan pemprosesan, tempoh penyimpanan data, kategori penerima termasuk mana-mana sub-pemproses yang beroperasi dari luar Sri Lanka, hak subjek data di bawah PDPA, dan butiran hubungan DPA untuk aduan. Notis yang memenuhi standard Artikel 13 GDPR akan bertindih secara ketara, tetapi baris hubungan DPA dan bidang kuasa pemindahan rentas sempadan mesti ditambah secara eksplisit.

Corak integrasi yang lulus semakan DPA

Pelaksanaan rujukan mempunyai empat bahagian yang bergerak. Yang pertama adalah CMP yang menyokong pilihan masuk per kategori, lalai-mati dan mendedahkan pilihan pengguna melalui rentetan persetujuan berstruktur yang boleh disimpan oleh penerbit dalam log persetujuan. Yang kedua adalah lapisan pemuatan tag — biasanya pengurus tag sisi pelayan atau pintu skrip natif CMP — yang menguatkuasakan keadaan persetujuan dengan ketat sebelum membenarkan sebarang kuki tidak penting ditetapkan. Yang ketiga adalah log persetujuan, sisi pelayan, yang merekodkan untuk setiap peristiwa persetujuan pilihan pengguna per kategori, cap masa, versi sepanduk persetujuan, alamat IP (dipendekkan atau dihash jika pengawal telah memutuskan ini memuaskan analisis minimisasi datanya), dan kategori yang diberikan berbanding yang ditolak. Yang keempat adalah laluan penarikan balik yang sekurang-kurangnya semudah geran asal — pautan buka semula sepanduk berterusan dalam pengaki adalah corak yang DPA secara tersirat telah mengesahkan dengan merujuk kepada amalan terbaik antarabangsa.

Postur pengesahan dan audit untuk 2026

Penempatan Sri Lanka yang boleh dipertahankan pada 2026 mesti lulus empat pemeriksaan. Pertama, sesi pelayar yang bersih yang dihidangkan dari alamat IP Sri Lanka mesti menghasilkan sifar kuki tidak penting sebelum sepanduk telah diambil tindakan. Kedua, laluan tolak-semua mesti menghasilkan postur yang sama dengan sesi tiada tindakan — tiada tag analitik, tiada tag pengiklanan, tiada skrip ulangan sesi, hanya set yang diperlukan secara ketat. Ketiga, aliran terima-semua mesti menghasilkan tag yang telah disetujui oleh pengguna dan log persetujuan mesti mengandungi rekod yang sepadan. Keempat, aliran penarikan balik mesti segera menghentikan kebakaran tag selanjutnya, tamat tempoh kuki yang ditetapkan semasa sesi yang disetujui, dan mencetuskan sebarang isyarat pemadaman atau penarikan diri hiliran yang dikehendaki oleh rakan kongsi penerima.

Keperluan jejak audit adalah di mana PDPA paling berbeza pada 2026. DPA telah mengeluarkan panduan yang menunjukkan bahawa pengawal harus dapat menghasilkan, atas permintaan, rekod persetujuan khusus yang membenarkan sebarang aktiviti pemprosesan tertentu. Ini bermakna log persetujuan mesti boleh ditanya mengikut pengecam pengguna atau pengecam sesi, dikekalkan untuk tempoh yang telah didokumentasikan oleh pengawal dalam jadual pengekalan, dan boleh dieksport dalam format berstruktur. CMP yang dikonfigurasi dengan betul dengan log sisi pelayan, dipasangkan dengan lapisan pemuatan tag yang menguatkuasakan keadaan persetujuan dan notis privasi yang menamakan setiap destinasi pemindahan rentas sempadan, adalah yang mengubah PDPA Sri Lanka daripada yang tidak diketahui secara kawal selia kepada bahagian yang boleh dipertahankan dalam postur persetujuan global penerbit.

← Blog Baca Semua →