Понимание Закона Китая о защите персональной информации

Закон Китая о защите персональной информации (PIPL), вступивший в силу 1 ноября 2021 года, является одним из самых значимых нормативных актов о конфиденциальности данных за пределами Европы. Для глобальных сайтов, особенно тех, что имеют китайских посетителей или деятельность в Китае, PIPL создаёт обязательства по согласию, существующие независимо от — а иногда и противоречащие — требованиям GDPR.

PIPL регулирует обработку персональной информации лиц, находящихся в Китае. Его территориальный охват широк: он применяется к любой организации, которая обрабатывает персональную информацию людей, находящихся в Китае, независимо от того, где базируется сама организация. Если ваш сайт доступен китайским пользователям и вы собираете у них какие-либо персональные данные, PIPL имеет к вам отношение.

PIPL против GDPR: ключевые различия, которые имеют значение

Хотя PIPL часто называют «китайским GDPR», это сравнение скрывает важные различия, влияющие на то, как вы реализуете согласие:

• Согласие как основное правовое основание: GDPR предлагает шесть правовых оснований для обработки, включая законный интерес. PIPL более ориентирован на согласие. Хотя он признаёт другие правовые основания (договорная необходимость, юридическое обязательство, общественный интерес), сфера законного интереса гораздо уже, и согласие является ожидаемым значением по умолчанию для большинства коммерческой обработки данных.
• Отдельное согласие для чувствительных данных: PIPL требует отдельного, явного согласия на обработку чувствительной персональной информации, которая включает биометрические данные, финансовую информацию, отслеживание местоположения и данные несовершеннолетних до 14 лет. Поведенческое отслеживание на основе cookie может подпадать под эту категорию.
• Обязательная локализация данных: Операторы критической информационной инфраструктуры и организации, обрабатывающие персональную информацию выше порога объёма, установленного Администрацией киберпространства Китая (CAC), должны хранить данные в Китае. Это влияет на то, где могут обрабатываться ваши аналитические и cookie-данные.
• Ограничения на трансграничную передачу: Передача персональной информации за пределы Китая требует одного из трёх механизмов: прохождения оценки безопасности CAC, получения сертификации от признанного органа или заключения стандартных договорных положений, опубликованных CAC. Это более ограничительно, чем механизмы передачи GDPR.
• Индивидуальные права с китайской спецификой: PIPL предоставляет субъектам данных права, аналогичные GDPR (доступ, исправление, удаление, переносимость), но добавляет право отказаться от автоматизированного принятия решений и право запросить объяснение правил автоматизированной обработки.

Что PIPL означает для cookie и отслеживания

PIPL конкретно не упоминает «cookie» так, как это делает Директива ЕС ePrivacy. Однако широкое определение персональной информации в законе — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу — охватывает большую часть отслеживания на основе cookie:

• Аналитические cookie, которые отслеживают поведение пользователя на страницах, собирают персональную информацию по определению PIPL, даже если пользователь не вошёл в систему.
• Рекламные cookie и пиксели межсайтового отслеживания явно попадают в сферу действия, поскольку они строят профили, привязанные к идентификаторам устройств.
• Сеансовые cookie для базовой функциональности (корзины покупок, состояние входа) обычно допустимы на основании договорной необходимости, аналогично GDPR.
• Сторонние cookie, которые делятся данными с внешними сторонами, активируют дополнительные требования PIPL в отношении раскрытия третьим сторонам и потенциально правил трансграничной передачи.

Правоприменение PIPL: реальные последствия

В отличие от некоторых законов о конфиденциальности, существующих преимущественно на бумаге, правоприменение PIPL было активным и нарастающим. Администрация киберпространства Китая вместе с Министерством общественной безопасности и другими ведомствами предприняла конкретные действия:

• Крупные магазины приложений в Китае удалили приложения за чрезмерный сбор данных и неполучение надлежащего согласия. Сотни приложений были удалены в ходе кампаний правоприменения.
• Компании были оштрафованы за сбор персональной информации сверх того, что было необходимо для их заявленной цели.
• CAC выпустила публичные предупреждения компаниям, чьи политики конфиденциальности неадекватно описывали действия по обработке данных.
• В серьёзных случаях PIPL допускает штрафы до 50 миллионов юаней (примерно 7 миллионов долларов США) или 5% от выручки предыдущего года, наряду с потенциальной приостановкой деловой деятельности.

Для международных компаний риск является как регуляторным, так и коммерческим. Несоответствие может привести к удалению приложения из китайских магазинов приложений, блокировке услуг и репутационному ущербу на рынке с более чем миллиардом интернет-пользователей.

Гео-таргетинг китайских посетителей

Если ваш сайт обслуживает глобальную аудиторию, включающую китайских пользователей, вам нужна гео-таргетированная стратегия согласия. Это означает обнаружение, когда посетитель находится в Китае, и представление механизмов согласия, удовлетворяющих требованиям PIPL:

• Обнаружение на основе IP: Используйте IP-геолокацию для идентификации посетителей из материкового Китая. Это тот же подход, что используется для гео-таргетинга GDPR посетителей ЕЭЗ.
• Сигналы на основе языка: Если язык браузера пользователя установлен на китайский (zh-CN или zh-TW), это может служить вторичным сигналом, хотя не должно быть единственным определяющим фактором.
• Содержание баннера согласия: Уведомление о согласии, показываемое китайским пользователям, должно быть на упрощённом китайском, чётко указывать цели сбора данных, идентифицировать контролёра данных и предоставлять подлинный механизм отказа от несущественной обработки.
• Отдельное согласие для чувствительной обработки: Если вы используете cookie для поведенческого профилирования или отслеживания местоположения, китайские пользователи должны видеть отдельный, более детальный запрос согласия для этих категорий.

Обработка GDPR и PIPL с одной CMP

Большинству глобальных сайтов необходимо одновременно соблюдать несколько режимов конфиденциальности. Задача — представить правильный опыт согласия правильному пользователю без поддержки отдельных систем. Вот как работает унифицированный подход:

Определение региона как основа

CMP должна сначала определить местоположение посетителя. На основе этого она применяет соответствующие правила согласия:

• Посетители ЕЭЗ/Великобритании: Баннер согласия TCF 2.3 с Consent Mode V2, модель согласия (opt-in), все требования GDPR.
• Китайские посетители: Соответствующее PIPL уведомление о согласии на упрощённом китайском, opt-in для несущественной обработки, чёткое раскрытие трансграничных передач, если данные покидают Китай.
• Посетители США: Правила конкретных штатов (CCPA/CPRA для Калифорнии, законы штатов для Колорадо, Коннектикута, Вирджинии и т. д.), обычно модели отказа (opt-out).
• Другие регионы: Поведение по умолчанию на основе толерантности издателя к риску и применимых местных законов.

Соображения по хранению согласия

Требования PIPL по локализации данных означают, что записи согласия для китайских пользователей могут нуждаться в хранении на серверах в Китае, если ваши объёмы обработки данных превышают пороги CAC. Для большинства международных сайтов со случайным китайским трафиком этот порог вряд ли будет достигнут, но сайтам с высоким трафиком, нацеленным на Китай, следует проконсультироваться с местным юридическим советником.

Документирование трансграничной передачи

Когда китайский пользователь соглашается на cookie, которые отправляют данные на серверы за пределами Китая (что характерно практически для всех западных аналитических и рекламных платформ), CMP должна документировать это согласие как часть обоснования трансграничной передачи. Уведомление о согласии должно явно упоминать, что данные будут переданы на международном уровне.

Практические шаги для глобального соответствия

Вот приоритизированный план действий для сайтов, которым необходимо учитывать PIPL наряду с GDPR:

• Проведите аудит вашего китайского трафика: Проверьте свою аналитику, чтобы понять, какой процент ваших посетителей приходит из Китая. Если он незначителен, ваш риск ниже, но не нулевой.
• Сопоставьте ваши cookie с категориями PIPL: Определите, какие cookie обрабатывают персональную информацию по определению PIPL и затрагивают ли какие-либо из них чувствительную персональную информацию.
• Внедрите гео-таргетированное согласие: Используйте CMP, которая может представлять различный опыт согласия на основе местоположения посетителя, с соответствующим языком и правовым основанием для каждого региона.
• Обновите вашу политику конфиденциальности: Добавьте раздел, конкретно касающийся прав по PIPL и ваших практик обработки данных для китайских пользователей.
• Пересмотрите трансграничные передачи: Документируйте, как персональная информация китайских пользователей передаётся и обрабатывается на международном уровне, и убедитесь, что у вас есть действительный механизм передачи.

Важное замечание: Соответствие PIPL для сайтов, нацеленных на Китай, может быть сложным, а регуляторные рекомендации всё ещё развиваются. Эта статья даёт общий обзор, но организациям со значительными китайскими операциями или пользовательскими базами следует обращаться за юридической консультацией, специфичной для их ситуации.

FlexyConsent поддерживает гео-таргетированный опыт согласия с региональными правилами, позволяя вам учитывать GDPR, PIPL, CCPA и другие законы о конфиденциальности с единой платформы. Бесплатный план включает гео-определение и настройку согласия для нескольких регионов.