Forstå Kinas lov om beskyttelse av personopplysninger

Kinas Personal Information Protection Law (PIPL), som trådte i kraft 1. november 2021, er en av de mest betydningsfulle personvernlovene utenfor Europa. For globale nettsteder, spesielt de med kinesiske besøkende eller virksomhet i Kina, skaper PIPL samtykkekrav som eksisterer uavhengig av – og noen ganger er i konflikt med – GDPR-krav.

PIPL regulerer behandlingen av personopplysninger om enkeltpersoner i Kina. Lovens territorielle virkeområde er vidtrekkende: den gjelder for enhver virksomhet som behandler personopplysninger om personer som befinner seg i Kina, uavhengig av hvor virksomheten selv er basert. Hvis nettstedet ditt er tilgjengelig for kinesiske brukere og du samler inn personopplysninger fra dem, er PIPL relevant for deg.

PIPL vs. GDPR: Viktige forskjeller som betyr noe

Selv om PIPL ofte kalles «Kinas GDPR», skjuler sammenligningen viktige forskjeller som påvirker hvordan du implementerer samtykke:

• Samtykke som primært rettsgrunnlag: GDPR tilbyr seks rettsgrunnlag for behandling, inkludert berettiget interesse. PIPL er mer samtykkesentrert. Selv om loven anerkjenner andre rettsgrunnlag (avtalenødvendighet, rettslig forpliktelse, allmenn interesse), er rekkevidden til berettiget interesse langt snevrere, og samtykke er forventet standard for de fleste kommersielle behandlinger av personopplysninger.
• Separat samtykke for sensitive data: PIPL krever separat, uttrykkelig samtykke for behandling av sensitive personopplysninger, som omfatter biometriske data, finansielle opplysninger, posisjonssporing og data om mindreårige under 14 år. Atferdssporing basert på informasjonskapsler kan falle inn under denne kategorien.
• Obligatorisk datalokalisering: Operatører av kritisk informasjonsinfrastruktur og virksomheter som behandler personopplysninger over et volumterskel fastsatt av Cyberspace Administration of China (CAC), må lagre data i Kina. Dette påvirker hvor analyse- og informasjonskapseldata kan behandles.
• Begrensninger på grensekryssende overføringer: Overføring av personopplysninger ut av Kina krever én av tre mekanismer: bestått sikkerhetsvurdering fra CAC, sertifisering fra et anerkjent organ, eller inngåelse av standardkontraktklausuler publisert av CAC. Dette er mer restriktivt enn GDPRs overføringsmekanismer.
• Individuelle rettigheter med kinesiske særtrekk: PIPL gir registrerte rettigheter som ligner GDPR (innsyn, retting, sletting, dataportabilitet), men legger til retten til å nekte automatiserte avgjørelser og retten til å be om forklaring på regler for automatisert behandling.

Hva PIPL betyr for informasjonskapsler og sporing

PIPL nevner ikke spesifikt «informasjonskapsler» slik EUs ePrivacy-direktiv gjør. Men lovens brede definisjon av personopplysninger – enhver informasjon knyttet til en identifisert eller identifiserbar fysisk person – omfatter det meste av sporing basert på informasjonskapsler:

• Analyse-informasjonskapsler som sporer brukeradferd på tvers av sider, samler inn personopplysninger etter PIPLs definisjon, selv om brukeren ikke er innlogget.
• Annonskapsler og sporingspiksler på tvers av nettsteder faller klart innenfor virkeområdet, ettersom de bygger profiler knyttet til enhetsidentifikatorer.
• Sesjonskapsler for grunnleggende funksjonalitet (handlekurver, innloggingsstatus) er vanligvis tillatt under rettsgrunnlaget avtalenødvendighet, på samme måte som under GDPR.
• Tredjeparts informasjonskapsler som deler data med eksterne parter, utløser ytterligere PIPL-krav om tredjepartsinformasjon og potensielt regler for grensekryssende overføringer.

PIPL-håndheving: Reelle konsekvenser

I motsetning til enkelte personvernlovgivninger som primært eksisterer på papiret, har håndhevingen av PIPL vært aktiv og trappes opp. Cyberspace Administration of China, sammen med Public Security-departementet og andre etater, har iverksatt konkrete tiltak:

• Store app-butikker i Kina har fjernet apper for overdreven datainnsamling og manglende innhenting av gyldig samtykke. Hundrevis av apper har blitt fjernet i tilsynskampanjer.
• Selskaper har blitt bøtelagt for å samle inn personopplysninger utover det som var nødvendig for det oppgitte formålet.
• CAC har gitt offentlige advarsler til selskaper hvis personvernerklæringer ikke tilstrekkelig beskrev behandlingsaktivitetene.
• I alvorlige tilfeller åpner PIPL for bøter på opptil 50 millioner RMB (omtrent 7 millioner USD) eller 5 % av foregående års omsetning, sammen med mulig suspensjon av virksomheten.

For internasjonale selskaper er risikoen både regulatorisk og kommersiell. Manglende etterlevelse kan føre til at apper fjernes fra kinesiske app-butikker, blokkering av tjenester og omdømmeskade i et marked med over én milliard internettbrukere.

Geo-målretting av kinesiske besøkende

Hvis nettstedet ditt betjener et globalt publikum som inkluderer kinesiske brukere, trenger du en geo-målrettet samtykkestrategi. Dette betyr å oppdage når en besøkende befinner seg i Kina og presentere samtykkemekanismer som oppfyller PIPL-kravene:

• IP-basert deteksjon: Bruk IP-geolokasjon for å identifisere besøkende fra fastlands-Kina. Dette er samme tilnærming som brukes for GDPR-geo-målretting av besøkende i EØS.
• Språkbaserte signaler: Hvis brukerens nettleserspråk er satt til kinesisk (zh-CN eller zh-TW), kan dette fungere som et sekundært signal, men bør ikke være eneste avgjørende faktor.
• Innhold i samtykkebanneret: Samtykkemeldingen som vises til kinesiske brukere, bør være på forenklet kinesisk, tydelig angi formålene med datainnsamlingen, identifisere behandlingsansvarlig og gi en reell mulighet til å avslå ikke-essensiell behandling.
• Separat samtykke for sensitiv behandling: Hvis du bruker informasjonskapsler til atferdsprofilering eller posisjonssporing, bør kinesiske brukere få et separat, mer detaljert samtykkespørsmål for disse kategoriene.

Håndtering av GDPR og PIPL med én CMP

De fleste globale nettsteder må etterleve flere personvernregimer samtidig. Utfordringen er å presentere riktig samtykkeopplevelse til riktig bruker uten å måtte vedlikeholde separate systemer. Slik fungerer en enhetlig tilnærming:

Regiondeteksjon som grunnlag

CMP-en må først fastslå hvor den besøkende befinner seg. Basert på dette anvender den de relevante samtykkereglene:

• Besøkende fra EØS/Storbritannia: TCF 2.3-samtykkebanner med Consent Mode V2, opt-in-modell, alle GDPR-krav.
• Kinesiske besøkende: PIPL-kompatibel samtykkemelding på forenklet kinesisk, opt-in for ikke-essensiell behandling, tydelig informasjon om grensekryssende overføringer hvis data forlater Kina.
• Besøkende fra USA: Delstatsspesifikke regler (CCPA/CPRA for California, delstatslover for Colorado, Connecticut, Virginia osv.), vanligvis opt-out-modeller.
• Andre regioner: Standardatferd basert på utgiverens risikotoleranse og gjeldende lokale lover.

Hensyn ved lagring av samtykke

PIPLs krav til datalokalisering innebærer at samtykkelogger for kinesiske brukere kan måtte lagres på servere i Kina hvis behandlingsvolumene dine overstiger tersklene satt av CAC. For de fleste internasjonale nettsteder med tilfeldig kinesisk trafikk er det lite sannsynlig at denne terskelen nås, men nettsteder med høy trafikk som retter seg mot Kina, bør rådføre seg med lokal juridisk ekspertise.

Dokumentasjon av grensekryssende overføringer

Når en kinesisk bruker samtykker til informasjonskapsler som sender data til servere utenfor Kina (noe som gjelder praktisk talt alle vestlige analyse- og annonseplattformer), bør CMP-en dokumentere dette samtykket som en del av begrunnelsen for grensekryssende overføring. Samtykkemeldingen bør eksplisitt nevne at data vil bli overført internasjonalt.

Praktiske steg for global etterlevelse

Her er en prioritert handlingsplan for nettsteder som må forholde seg til PIPL i tillegg til GDPR:

• Analyser kinesisk trafikk: Sjekk analyseverktøyene dine for å forstå hvor stor andel av besøkende som kommer fra Kina. Hvis andelen er neglisjerbar, er risikoen lavere, men ikke null.
• Kartlegg informasjonskapsler mot PIPL-kategorier: Fastslå hvilke informasjonskapsler som behandler personopplysninger etter PIPLs definisjon, og om noen involverer sensitive personopplysninger.
• Implementer geo-målrettet samtykke: Bruk en CMP som kan presentere ulike samtykkeopplevelser basert på brukerens lokasjon, med passende språk og rettsgrunnlag for hver region.
• Oppdater personvernerklæringen: Legg til en egen del som spesifikt omtaler PIPL-rettigheter og dine behandlingsaktiviteter for kinesiske brukere.
• Gå gjennom grensekryssende overføringer: Dokumenter hvordan personopplysninger om kinesiske brukere overføres og behandles internasjonalt, og sørg for at du har en gyldig overføringsmekanisme.

Viktig merknad: Etterlevelse av PIPL for nettsteder som retter seg mot Kina kan være komplekst, og regulatorisk veiledning er fortsatt i utvikling. Denne artikkelen gir en generell oversikt, men organisasjoner med betydelig virksomhet eller brukerbase i Kina bør innhente juridisk rådgivning tilpasset sin situasjon.

FlexyConsent støtter geo-målrettede samtykkeopplevelser med regionspesifikke regler, slik at du kan håndtere GDPR, PIPL, CCPA og andre personvernlovgivninger fra én plattform. Gratisplanen inkluderer geodeteksjon og konfigurasjon av samtykke for flere regioner.