Inzicht in China's Personal Information Protection Law

China's Personal Information Protection Law (PIPL), die op 1 november 2021 in werking is getreden, is een van de meest ingrijpende privacyregels buiten Europa. Voor wereldwijde websites, met name die met Chinese bezoekers of activiteiten in China, creëert PIPL toestemmingsverplichtingen die onafhankelijk bestaan van — en soms in conflict zijn met — de GDPR-vereisten.

PIPL regelt de verwerking van persoonsgegevens van individuen binnen China. De territoriale reikwijdte is breed: de wet is van toepassing op elke organisatie die persoonsgegevens verwerkt van personen die zich in China bevinden, ongeacht waar de organisatie zelf is gevestigd. Als je website toegankelijk is voor Chinese gebruikers en je enige persoonsgegevens van hen verzamelt, is PIPL op jou van toepassing.

PIPL vs. GDPR: belangrijke verschillen die ertoe doen

Hoewel PIPL vaak "China's GDPR" wordt genoemd, verdoezelt die vergelijking belangrijke verschillen die invloed hebben op hoe je toestemming implementeert:

• Toestemming als primaire rechtsgrond: GDPR biedt zes rechtsgronden voor verwerking, waaronder gerechtvaardigd belang. PIPL is meer consent‑gericht. Hoewel de wet ook andere rechtsgronden erkent (noodzakelijk voor een overeenkomst, wettelijke verplichting, openbaar belang), is de reikwijdte van gerechtvaardigd belang veel smaller en is toestemming de verwachte standaard voor de meeste commerciële gegevensverwerkingen.
• Afzonderlijke toestemming voor gevoelige gegevens: PIPL vereist afzonderlijke, expliciete toestemming voor de verwerking van gevoelige persoonsgegevens, waaronder biometrische gegevens, financiële informatie, locatiegegevens en gegevens van minderjarigen onder de 14 jaar. Op cookies gebaseerde gedragsprofilering kan onder deze categorie vallen.
• Verplichte gegevenslokalisatie: Beheerders van kritieke informatie‑infrastructuur en organisaties die persoonsgegevens verwerken boven een drempelvolume dat is vastgesteld door de Cyberspace Administration of China (CAC) moeten gegevens binnen China opslaan. Dit heeft gevolgen voor waar je analytics‑ en cookiedata mogen worden verwerkt.
• Beperkingen op grensoverschrijdende doorgifte: Het doorgeven van persoonsgegevens buiten China vereist een van drie mechanismen: het doorstaan van een CAC‑veiligheidsbeoordeling, het verkrijgen van certificering van een erkende instantie, of het sluiten van standaardcontractbepalingen die door de CAC zijn gepubliceerd. Dit is restrictiever dan de overdrachtsmechanismen onder GDPR.
• Individuele rechten met Chinese kenmerken: PIPL kent betrokkenen rechten toe die vergelijkbaar zijn met GDPR (inzage, rectificatie, verwijdering, overdraagbaarheid), maar voegt het recht toe om geautomatiseerde besluitvorming te weigeren en het recht om uitleg te vragen over de regels voor geautomatiseerde verwerking.

Wat PIPL betekent voor cookies en tracking

PIPL noemt "cookies" niet expliciet zoals de Europese ePrivacy‑richtlijn dat doet. De brede definitie van persoonsgegevens in de wet — alle informatie die verband houdt met een geïdentificeerde of identificeerbare natuurlijke persoon — omvat echter de meeste vormen van tracking via cookies:

• Analytische cookies die gebruikersgedrag over pagina's heen volgen, verzamelen persoonsgegevens onder de PIPL‑definitie, zelfs als de gebruiker niet is ingelogd.
• Advertentiecookies en cross‑site trackingpixels vallen duidelijk binnen de reikwijdte, omdat zij profielen opbouwen die zijn gekoppeld aan apparaat‑ID's.
• Sessie‑cookies voor basisfunctionaliteit (winkelwagentjes, loginstatus) zijn over het algemeen toegestaan op basis van de noodzaak voor de uitvoering van een overeenkomst, vergelijkbaar met GDPR.
• Cookies van derden die gegevens delen met externe partijen, activeren aanvullende PIPL‑vereisten rond openbaarmaking aan derden en mogelijk regels voor grensoverschrijdende doorgifte.

PIPL‑handhaving: echte consequenties

In tegenstelling tot sommige privacywetten die vooral op papier bestaan, is de handhaving van PIPL actief en oplopend. De Cyberspace Administration of China, samen met het Ministerie van Openbare Veiligheid en andere instanties, heeft concrete maatregelen genomen:

• Grote appstores in China hebben apps verwijderd wegens buitensporige gegevensverzameling en het niet verkrijgen van de juiste toestemming. Honderden apps zijn in handhavingscampagnes uit de lijst gehaald.
• Bedrijven zijn beboet voor het verzamelen van persoonsgegevens die verder gingen dan nodig was voor het opgegeven doel.
• De CAC heeft openbare waarschuwingen uitgevaardigd aan bedrijven waarvan het privacybeleid de verwerkingsactiviteiten niet voldoende beschreef.
• In ernstige gevallen staat PIPL boetes toe tot 50 miljoen RMB (ongeveer 7 miljoen USD) of 5% van de omzet van het voorgaande jaar, plus mogelijke opschorting van bedrijfsactiviteiten.

Voor internationale bedrijven is het risico zowel regulatoir als commercieel. Niet‑naleving kan leiden tot verwijdering van apps uit Chinese appstores, blokkering van diensten en reputatieschade in een markt met meer dan een miljard internetgebruikers.

Geo‑targeting van Chinese bezoekers

Als je website een wereldwijd publiek bedient dat ook Chinese gebruikers omvat, heb je een geo‑gerichte toestemmingsstrategie nodig. Dit betekent dat je detecteert wanneer een bezoeker zich in China bevindt en toestemmingsmechanismen toont die voldoen aan de PIPL‑vereisten:

• IP‑gebaseerde detectie: Gebruik IP‑geolocatie om bezoekers uit vasteland China te identificeren. Dit is dezelfde aanpak die wordt gebruikt voor GDPR‑geo‑targeting van bezoekers uit de EER.
• Taalgebaseerde signalen: Als de browsertaal van een gebruiker is ingesteld op Chinees (zh‑CN of zh‑TW), kan dit dienen als secundair signaal, al mag het niet de enige factor zijn.
• Inhoud van de toestemmingsbanner: De toestemmingsmelding die aan Chinese gebruikers wordt getoond, moet in vereenvoudigd Chinees zijn, duidelijk de doeleinden van gegevensverzameling vermelden, de verwerkingsverantwoordelijke identificeren en een echte mogelijkheid bieden om niet‑essentiële verwerking te weigeren.
• Afzonderlijke toestemming voor gevoelige verwerkingen: Als je cookies gebruikt voor gedragsprofilering of locatiebepaling, moeten Chinese gebruikers een afzonderlijke, meer gedetailleerde toestemmingsprompt voor deze categorieën te zien krijgen.

GDPR en PIPL afhandelen met één CMP

De meeste wereldwijde websites moeten gelijktijdig voldoen aan meerdere privacyregimes. De uitdaging is om de juiste toestemmingservaring aan de juiste gebruiker te tonen zonder afzonderlijke systemen te hoeven onderhouden. Zo werkt een geïntegreerde aanpak:

Regiodetectie als fundament

De CMP moet eerst de locatie van de bezoeker bepalen. Op basis daarvan past hij de juiste toestemmingsregels toe:

• Bezoekers uit de EER/VK: TCF 2.3‑toestemmingsbanner met Consent Mode V2, opt‑in‑model, alle GDPR‑vereisten.
• Chinese bezoekers: PIPL‑conforme toestemmingsmelding in vereenvoudigd Chinees, opt‑in voor niet‑essentiële verwerking, duidelijke informatie over grensoverschrijdende doorgiften als gegevens China verlaten.
• Bezoekers uit de VS: Staatsspecifieke regels (CCPA/CPRA voor Californië, staatswetten voor Colorado, Connecticut, Virginia, enz.), doorgaans opt‑out‑modellen.
• Andere regio's: Standaardgedrag op basis van het risicoprofiel van de uitgever en de toepasselijke lokale wetgeving.

Overwegingen rond opslag van toestemming

De vereisten voor gegevenslokalisatie onder PIPL betekenen dat toestemmingsrecords voor Chinese gebruikers mogelijk op servers binnen China moeten worden opgeslagen als je verwerkingsvolumes de door de CAC vastgestelde drempels overschrijden. Voor de meeste internationale websites met incidenteel Chinees verkeer zal deze drempel waarschijnlijk niet worden gehaald, maar sites met veel verkeer die zich op China richten, moeten lokaal juridisch advies inwinnen.

Documentatie van grensoverschrijdende doorgifte

Wanneer een Chinese gebruiker instemt met cookies die gegevens naar servers buiten China sturen (wat geldt voor vrijwel alle westerse analytics‑ en advertentieplatformen), moet de CMP deze toestemming documenteren als onderdeel van de rechtvaardiging voor de grensoverschrijdende doorgifte. De toestemmingsmelding moet expliciet vermelden dat gegevens internationaal zullen worden doorgegeven.

Praktische stappen voor wereldwijde naleving

Hier is een geprioriteerd actieplan voor websites die PIPL naast GDPR moeten adresseren:

• Analyseer je Chinese verkeer: Controleer je analytics om te begrijpen welk percentage van je bezoekers uit China komt. Als dit verwaarloosbaar is, is je risico lager maar niet nul.
• Breng je cookies in kaart volgens PIPL‑categorieën: Bepaal welke cookies persoonsgegevens verwerken onder de PIPL‑definitie en of er gevoelige persoonsgegevens bij betrokken zijn.
• Implementeer geo‑gerichte toestemming: Gebruik een CMP die verschillende toestemmingservaringen kan tonen op basis van de locatie van de bezoeker, met passende taal en rechtsgrond per regio.
• Werk je privacybeleid bij: Voeg een specifiek onderdeel toe over PIPL‑rechten en je gegevensverwerkingspraktijken voor Chinese gebruikers.
• Beoordeel grensoverschrijdende doorgiften: Documenteer hoe persoonsgegevens van Chinese gebruikers internationaal worden doorgegeven en verwerkt, en zorg dat je een geldig overdrachtsmechanisme hebt.

Belangrijke opmerking: Naleving van PIPL voor websites die zich op China richten kan complex zijn, en de regulatoire richtsnoeren blijven zich ontwikkelen. Dit artikel biedt een algemeen overzicht, maar organisaties met aanzienlijke activiteiten of gebruikersbases in China moeten juridisch advies inwinnen dat is toegesneden op hun specifieke situatie.

FlexyConsent ondersteunt geo‑gerichte toestemmingservaringen met regiospecifieke regels, zodat je GDPR, PIPL, CCPA en andere privacywetten vanuit één platform kunt afdekken. Het gratis abonnement omvat geodetectie en configuratie van toestemming voor meerdere regio's.