Zrozumieć chińską ustawę o ochronie danych osobowych (PIPL)

Chińska ustawa o ochronie danych osobowych (Personal Information Protection Law – PIPL), która weszła w życie 1 listopada 2021 r., jest jednym z najważniejszych regulacji dotyczących prywatności danych poza Europą. Dla globalnych serwisów internetowych, szczególnie tych z chińskimi użytkownikami lub operacjami w Chinach, PIPL tworzy obowiązki w zakresie zgody, które istnieją niezależnie od wymogów GDPR — a czasem z nimi kolidują.

PIPL reguluje przetwarzanie danych osobowych osób fizycznych znajdujących się na terytorium Chin. Jej zakres terytorialny jest szeroki: ma zastosowanie do każdej organizacji, która przetwarza dane osobowe osób przebywających w Chinach, niezależnie od miejsca siedziby organizacji. Jeśli Twoja strona jest dostępna dla użytkowników z Chin i zbierasz od nich jakiekolwiek dane osobowe, PIPL ma do Ciebie zastosowanie.

PIPL a GDPR: kluczowe różnice, które mają znaczenie

Choć PIPL bywa nazywana „chińskim GDPR”, takie porównanie zaciera istotne różnice, które wpływają na sposób wdrażania zgody:

• Zgoda jako podstawowa podstawa prawna: GDPR przewiduje sześć podstaw prawnych przetwarzania, w tym uzasadniony interes. PIPL jest znacznie bardziej zorientowana na zgodę. Choć uznaje inne podstawy prawne (konieczność wykonania umowy, obowiązek prawny, interes publiczny), zakres uzasadnionego interesu jest znacznie węższy, a zgoda jest oczekiwanym domyślnym mechanizmem dla większości komercyjnego przetwarzania danych.
• Oddzielna zgoda na dane wrażliwe: PIPL wymaga oddzielnej, wyraźnej zgody na przetwarzanie wrażliwych danych osobowych, do których zalicza się m.in. dane biometryczne, informacje finansowe, śledzenie lokalizacji oraz dane małoletnich poniżej 14 roku życia. Oparte na plikach cookie śledzenie behawioralne może podpadać pod tę kategorię.
• Obowiązkowa lokalizacja danych: Operatorzy kluczowej infrastruktury informacyjnej oraz organizacje przetwarzające dane osobowe powyżej progu ilościowego ustalonego przez Cyberspace Administration of China (CAC) muszą przechowywać dane na terytorium Chin. Wpływa to na to, gdzie mogą być przetwarzane dane analityczne i dane z plików cookie.
• Ograniczenia transferów transgranicznych: Przekazywanie danych osobowych poza Chiny wymaga jednego z trzech mechanizmów: pozytywnego wyniku oceny bezpieczeństwa CAC, uzyskania certyfikacji od uznanej jednostki lub zawarcia standardowych klauzul umownych opublikowanych przez CAC. Jest to bardziej restrykcyjne niż mechanizmy transferu w GDPR.
• Prawa jednostek „z chińską specyfiką”: PIPL przyznaje osobom, których dane dotyczą, prawa podobne do GDPR (dostęp, sprostowanie, usunięcie, przenoszalność), ale dodaje m.in. prawo do odmowy zautomatyzowanego podejmowania decyzji oraz prawo do żądania wyjaśnienia zasad zautomatyzowanego przetwarzania.

Co PIPL oznacza dla plików cookie i śledzenia

PIPL nie wspomina wprost o „plikach cookie” w taki sposób, jak czyni to unijna dyrektywa ePrivacy. Jednak szeroka definicja danych osobowych — wszelkie informacje związane z zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną — obejmuje większość form śledzenia opartego na plikach cookie:

• Pliki cookie analityczne, które śledzą zachowanie użytkownika na stronach, zbierają dane osobowe w rozumieniu PIPL, nawet jeśli użytkownik nie jest zalogowany.
• Pliki cookie reklamowe i piksele śledz��ce między witrynami wyraźnie mieszczą się w zakresie regulacji, ponieważ budują profile powiązane z identyfikatorami urządzeń.
• Pliki cookie sesyjne służące podstawowej funkcjonalności (koszyki zakupowe, stan logowania) są co do zasady dopuszczalne na podstawie konieczności wykonania umowy, podobnie jak w GDPR.
• Pliki cookie stron trzecich, które udostępniają dane podmiotom zewnętrznym, uruchamiają dodatkowe wymogi PIPL dotyczące ujawniania informacji stronom trzecim, a potencjalnie także zasady transferu transgranicznego.

Egzekwowanie PIPL: realne konsekwencje

W przeciwieństwie do niektórych przepisów o prywatności, które istnieją głównie na papierze, PIPL jest aktywnie egzekwowana, a działania organów się nasilają. Cyberspace Administration of China, wraz z Ministerstwem Bezpieczeństwa Publicznego i innymi agencjami, podejmuje konkretne kroki:

• Największe sklepy z aplikacjami w Chinach usuwały aplikacje za nadmierne gromadzenie danych i brak właściwej zgody. W ramach kampanii egzekucyjnych usunięto setki aplikacji.
• Firmy były karane za zbieranie danych osobowych wykraczających poza to, co było konieczne do realizacji deklarowanego celu.
• CAC wydawał publiczne ostrzeżenia firmom, których polityki prywatności nie opisywały w wystarczającym stopniu działań związanych z przetwarzaniem danych.
• W poważnych przypadkach PIPL przewiduje kary do 50 milionów RMB (około 7 milionów USD) lub 5% przychodu z poprzedniego roku, a także możliwość zawieszenia działalności.

Dla firm międzynarodowych ryzyko ma zarówno wymiar regulacyjny, jak i biznesowy. Brak zgodności może prowadzić do usunięcia aplikacji z chińskich sklepów, zablokowania usług oraz szkód reputacyjnych na rynku liczącym ponad miliard użytkowników internetu.

Geo‑targetowanie użytkowników z Chin

Jeśli Twoja strona obsługuje globalną publiczność, w tym użytkowników z Chin, potrzebujesz strategii zgody opartej na geolokalizacji. Oznacza to wykrywanie, kiedy odwiedzający znajduje się w Chinach, i prezentowanie mechanizmów zgody spełniających wymogi PIPL:

• Wykrywanie na podstawie adresu IP: Użyj geolokalizacji IP, aby identyfikować odwiedzających z Chin kontynentalnych. To ten sam mechanizm, który stosuje się do geo‑targetowania GDPR dla odwiedzających z EOG.
• Sygnały językowe: Jeśli język przeglądarki użytkownika jest ustawiony na chiński (zh-CN lub zh-TW), może to stanowić sygnał pomocniczy, choć nie powinien być jedynym kryterium.
• Treść banera zgody: Komunikat o zgodzie wyświetlany użytkownikom z Chin powinien być w języku chińskim uproszczonym, jasno określać cele zbierania danych, identyfikować administratora danych oraz zapewniać realny mechanizm odmowy przetwarzania nie‑niezbędnego.
• Oddzielna zgoda na przetwarzanie wrażliwe: Jeśli używasz plików cookie do profilowania behawioralnego lub śledzenia lokalizacji, użytkownicy z Chin powinni zobaczyć oddzielny, bardziej szczegółowy komunikat zgody dla tych kategorii.

Obsługa GDPR i PIPL za pomocą jednego CMP

Większość globalnych serwisów musi jednocześnie spełniać wymogi wielu reżimów ochrony prywatności. Wyzwanie polega na tym, by prezentować właściwe doświadczenie zgody właściwemu użytkownikowi, bez utrzymywania oddzielnych systemów. Oto jak działa zintegrowane podejście:

Wykrywanie regionu jako podstawa

CMP musi najpierw ustalić lokalizację odwiedzającego. Na tej podstawie stosuje odpowiednie zasady zgody:

• Odwiedzający z EOG/Wielkiej Brytanii: Baner zgody TCF 2.3 z Consent Mode V2, model opt‑in, pełny zestaw wymogów GDPR.
• Odwiedzający z Chin: Komunikat zgody zgodny z PIPL w języku chińskim uproszczonym, opt‑in dla przetwarzania nie‑niezbędnego, jasne ujawnienie transferów transgranicznych, jeśli dane opuszczają Chiny.
• Odwiedzający z USA: Zasady specyficzne dla stanów (CCPA/CPRA dla Kalifornii, przepisy stanowe Kolorado, Connecticut, Wirginii itd.), zazwyczaj modele opt‑out.
• Inne regiony: Domyślne zachowanie oparte na akceptowalnym poziomie ryzyka wydawcy i mających zastosowanie przepisach lokalnych.

Kwestie przechowywania zgód

Wymogi lokalizacji danych w PIPL oznaczają, że rejestry zgód użytkowników z Chin mogą wymagać przechowywania na serwerach zlokalizowanych w Chinach, jeśli wolumen przetwarzanych danych przekracza progi wyznaczone przez CAC. Dla większości międzynarodowych serwisów z incydentalnym ruchem z Chin przekroczenie tego progu jest mało prawdopodobne, jednak serwisy o dużym ruchu, aktywnie kierujące ofertę na rynek chiński, powinny skonsultować się z lokalnymi doradcami prawnymi.

Dokumentowanie transferów transgranicznych

Gdy użytkownik z Chin wyraża zgodę na pliki cookie, które wysyłają dane na serwery poza Chiny (co dotyczy praktycznie wszystkich zachodnich platform analitycznych i reklamowych), CMP powinien udokumentować tę zgodę jako część uzasadnienia transferu transgranicznego. Komunikat zgody powinien wprost wskazywać, że dane będą przekazywane międzynarodowo.

Praktyczne kroki do globalnej zgodności

Oto priorytetowy plan działania dla serwisów, które muszą uwzględnić PIPL obok GDPR:

• Przeanalizuj ruch z Chin: Sprawdź w narzędziach analitycznych, jaki odsetek odwiedzających pochodzi z Chin. Jeśli jest znikomy, Twoje ryzyko jest niższe, ale nie zerowe.
• Przypisz swoje pliki cookie do kategorii PIPL: Ustal, które pliki cookie przetwarzają dane osobowe w rozumieniu PIPL i czy jakiekolwiek z nich obejmują wrażliwe dane osobowe.
• Wdroż geo‑targetowaną zgodę: Użyj CMP, który potrafi prezentować różne doświadczenia zgody w zależności od lokalizacji odwiedzającego, z odpowiednim językiem i podstawą prawną dla każdego regionu.
• Zaktualizuj politykę prywatności: Dodaj sekcję poświęconą wprost prawom wynikającym z PIPL oraz Twoim praktykom przetwarzania danych użytkowników z Chin.
• Przejrzyj transfery transgraniczne: Udokumentuj, w jaki sposób dane osobowe użytkowników z Chin są przekazywane i przetwarzane za granicą, oraz upewnij się, że dysponujesz ważnym mechanizmem transferu.

Ważna uwaga: Zapewnienie zgodności z PIPL dla serwisów kierujących ofertę do Chin może być złożone, a wytyczne regulacyjne wciąż się rozwijają. Ten artykuł stanowi ogólny przegląd, natomiast organizacje z istotnymi operacjami lub bazą użytkowników w Chinach powinny zasięgnąć porady prawnej dostosowanej do ich konkretnej sytuacji.

FlexyConsent obsługuje doświadczenia zgody oparte na geolokalizacji z zasadami specyficznymi dla regionów, umożliwiając obsługę GDPR, PIPL, CCPA i innych przepisów o prywatności z jednej platformy. Darmowy plan obejmuje geodetekcję i konfigurację zgody dla wielu regionów.