Înțelegerea Legii privind Protecția Informațiilor Personale din China

Legea privind Protecția Informațiilor Personale din China (PIPL), care a intrat în vigoare la 1 noiembrie 2021, este una dintre cele mai importante reglementări privind confidențialitatea datelor din afara Europei. Pentru site-urile globale, în special cele cu vizitatori chinezi sau operațiuni în China, PIPL creează obligații de consimțământ care există independent de — și uneori intră în conflict cu — cerințele GDPR.

PIPL reglementează prelucrarea informațiilor personale ale persoanelor din China. Domeniul său teritorial de aplicare este larg: se aplică oricărei organizații care prelucrează informații personale ale persoanelor aflate în China, indiferent unde este stabilită organizația. Dacă site-ul tău este accesibil utilizatorilor chinezi și colectezi orice date personale de la aceștia, PIPL este relevant pentru tine.

PIPL vs. GDPR: diferențe esențiale care contează

Deși PIPL este adesea numită „GDPR-ul Chinei”, această comparație ascunde diferențe importante care afectează modul în care implementezi consimțământul:

• Consimțământul ca principal temei juridic: GDPR oferă șase temeiuri legale pentru prelucrare, inclusiv interesul legitim. PIPL este mai centrată pe consimțământ. Deși recunoaște și alte temeiuri legale (necesitatea contractuală, obligația legală, interesul public), sfera interesului legitim este mult mai restrânsă, iar consimțământul este considerat implicit temeiul de bază pentru majoritatea prelucrărilor de date comerciale.
• Consimțământ separat pentru date sensibile: PIPL impune consimțământ separat, explicit pentru prelucrarea informațiilor personale sensibile, care includ date biometrice, informații financiare, urmărirea locației și datele minorilor sub 14 ani. Urmărirea comportamentală bazată pe cookie-uri poate intra în această categorie.
• Localizare obligatorie a datelor: Operatorii de infrastructuri informatice critice și organizațiile care prelucrează informații personale peste un prag de volum stabilit de Administrația Spațiului Cibernetic din China (CAC) trebuie să stocheze datele în China. Acest lucru afectează locul în care pot fi prelucrate datele tale de analiză și cookie.
• Restricții privind transferurile transfrontaliere: Transferul informațiilor personale în afara Chinei necesită unul dintre trei mecanisme: trecerea unei evaluări de securitate CAC, obținerea unei certificări de la un organism recunoscut sau încheierea unor clauze contractuale standard publicate de CAC. Acest regim este mai restrictiv decât mecanismele de transfer din GDPR.
• Drepturi individuale cu specific chinezesc: PIPL acordă persoanelor vizate drepturi similare cu GDPR (acces, rectificare, ștergere, portabilitate), dar adaugă dreptul de a refuza luarea deciziilor automatizate și dreptul de a solicita explicații privind regulile de prelucrare automatizată.

Ce înseamnă PIPL pentru cookie-uri și tracking

PIPL nu menționează în mod specific „cookie-urile” așa cum o face Directiva ePrivacy a UE. Totuși, definiția largă a informațiilor personale din lege — orice informație legată de o persoană fizică identificată sau identificabilă — acoperă majoritatea formelor de tracking bazat pe cookie-uri:

• Cookie-uri de analiză care urmăresc comportamentul utilizatorilor între pagini colectează informații personale în sensul PIPL, chiar dacă utilizatorul nu este autentificat.
• Cookie-uri de publicitate și pixeli de tracking cross-site intră clar în domeniul de aplicare, deoarece construiesc profiluri legate de identificatori de dispozitiv.
• Cookie-uri de sesiune pentru funcționalități de bază (coșuri de cumpărături, stare de autentificare) sunt, în general, permise în baza necesității contractuale, similar cu GDPR.
• Cookie-uri terță parte care partajează date cu părți externe declanșează cerințe suplimentare PIPL privind dezvăluirea către terți și, potențial, regulile privind transferurile transfrontaliere.

Aplicarea PIPL: consecințe reale

Spre deosebire de unele legi privind confidențialitatea care există mai ales pe hârtie, aplicarea PIPL este activă și în creștere. Administrația Spațiului Cibernetic din China, împreună cu Ministerul Securității Publice și alte agenții, a luat măsuri concrete:

• Principalele magazine de aplicații din China au eliminat aplicații pentru colectare excesivă de date și neobținerea consimțământului corespunzător. Sute de aplicații au fost delistate în cadrul campaniilor de aplicare.
• Companiile au fost amendate pentru colectarea de informații personale dincolo de ceea ce era necesar pentru scopul declarat.
• CAC a emis avertismente publice companiilor ale căror politici de confidențialitate nu descriau în mod adecvat activitățile de prelucrare a datelor.
• În cazuri grave, PIPL permite amenzi de până la 50 de milioane RMB (aproximativ 7 milioane USD) sau 5% din veniturile anului precedent, împreună cu posibila suspendare a activităților comerciale.

Pentru companiile internaționale, riscul este atât de natură reglementară, cât și comercială. Nerespectarea poate duce la eliminarea aplicațiilor din magazinele de aplicații chineze, blocarea serviciilor și prejudicii de reputație într-o piață cu peste un miliard de utilizatori de internet.

Geo-targetarea vizitatorilor chinezi

Dacă site-ul tău deservește un public global care include utilizatori chinezi, ai nevoie de o strategie de consimțământ geo-targetată. Aceasta înseamnă detectarea momentului în care un vizitator se află în China și afișarea unor mecanisme de consimțământ care respectă cerințele PIPL:

• Detecție pe bază de IP: Folosește geolocalizarea IP pentru a identifica vizitatorii din China continentală. Aceasta este aceeași abordare utilizată pentru geo-targetarea GDPR a vizitatorilor din SEE.
• Semnale bazate pe limbă: Dacă limba browserului unui utilizator este setată pe chineză (zh-CN sau zh-TW), acest lucru poate servi ca semnal secundar, deși nu ar trebui să fie singurul criteriu.
• Conținutul bannerului de consimțământ: Notificarea de consimțământ afișată utilizatorilor chinezi ar trebui să fie în chineză simplificată, să precizeze clar scopurile colectării datelor, să identifice operatorul de date și să ofere un mecanism real de refuz al prelucrărilor neesențiale.
• Consimțământ separat pentru prelucrări sensibile: Dacă folosești cookie-uri pentru profilare comportamentală sau urmărirea locației, utilizatorii chinezi ar trebui să vadă un prompt de consimțământ separat, mai granular, pentru aceste categorii.

Gestionarea GDPR și PIPL cu un singur CMP

Majoritatea site-urilor globale trebuie să respecte simultan mai multe regimuri de confidențialitate. Provocarea constă în a prezenta experiența de consimțământ potrivită utilizatorului potrivit, fără a menține sisteme separate. Iată cum funcționează o abordare unificată:

Detecția regiunii ca fundație

CMP-ul trebuie mai întâi să determine locația vizitatorului. Pe baza acesteia, aplică regulile de consimțământ corespunzătoare:

• Vizitatori din SEE/UK: Banner de consimțământ TCF 2.3 cu Consent Mode V2, model de opt-in, toate cerințele GDPR.
• Vizitatori chinezi: Notificare de consimțământ conformă PIPL, în chineză simplificată, opt-in pentru prelucrările neesențiale, dezvăluire clară a transferurilor transfrontaliere dacă datele părăsesc China.
• Vizitatori din SUA: Reguli specifice fiecărui stat (CCPA/CPRA pentru California, legi statale pentru Colorado, Connecticut, Virginia etc.), de obicei modele de tip opt-out.
• Alte regiuni: Comportament implicit bazat pe apetitul de risc al publisherului și pe legile locale aplicabile.

Considerații privind stocarea consimțământului

Cerințele de localizare a datelor din PIPL înseamnă că înregistrările de consimțământ pentru utilizatorii chinezi ar putea fi necesar să fie stocate pe servere din China dacă volumele tale de prelucrare a datelor depășesc pragurile CAC. Pentru majoritatea site-urilor internaționale cu trafic chinez incidental, este puțin probabil ca acest prag să fie atins, însă site-urile cu trafic ridicat care vizează China ar trebui să consulte consilieri juridici locali.

Documentarea transferurilor transfrontaliere

Atunci când un utilizator chinez își dă consimțământul pentru cookie-uri care trimit date către servere din afara Chinei (ceea ce este cazul pentru practic toate platformele occidentale de analiză și publicitate), CMP-ul ar trebui să documenteze acest consimțământ ca parte a justificării transferului transfrontalier. Notificarea de consimțământ ar trebui să menționeze explicit că datele vor fi transferate internațional.

Pași practici pentru conformitate globală

Iată un plan de acțiune prioritizat pentru site-urile care trebuie să abordeze PIPL alături de GDPR:

• Auditează-ți traficul din China: Verifică-ți datele de analiză pentru a înțelege ce procent din vizitatori provin din China. Dacă este neglijabil, riscul tău este mai mic, dar nu zero.
• Mapează-ți cookie-urile pe categoriile PIPL: Determină care cookie-uri prelucrează informații personale în sensul PIPL și dacă vreuna implică informații personale sensibile.
• Implementează consimțământ geo-targetat: Folosește un CMP care poate afișa experiențe de consimțământ diferite în funcție de locația vizitatorului, cu limbaj și temei juridic adecvate pentru fiecare regiune.
• Actualizează-ți politica de confidențialitate: Adaugă o secțiune care abordează în mod specific drepturile PIPL și practicile tale de prelucrare a datelor pentru utilizatorii chinezi.
• Revizuiește transferurile transfrontaliere: Documentează modul în care informațiile personale ale utilizatorilor chinezi sunt transferate și prelucrate internațional și asigură-te că ai un mecanism de transfer valid.

Notă importantă: Conformitatea cu PIPL pentru site-urile care vizează China poate fi complexă, iar ghidurile de reglementare sunt încă în evoluție. Acest articol oferă o prezentare generală, însă organizațiile cu operațiuni sau baze de utilizatori semnificative în China ar trebui să solicite consultanță juridică specifică situației lor.

FlexyConsent acceptă experiențe de consimțământ geo-targetate cu reguli specifice fiecărei regiuni, permițându-ți să abordezi GDPR, PIPL, CCPA și alte legi privind confidențialitatea dintr-o singură platformă. Planul gratuit include geodetecție și configurare de consimțământ pentru mai multe regiuni.