Pochopenie čínskeho zákona o ochrane osobných informácií

Čínsky zákon o ochrane osobných informácií (PIPL), ktorý nadobudol účinnosť 1. novembra 2021, je jednou z najvýznamnejších regulácií ochrany súkromia mimo Európy. Pre globálne webové stránky, najmä tie s čínskymi návštevníkmi alebo s prevádzkou v Číne, PIPL vytvára povinnosti týkajúce sa súhlasu, ktoré existujú nezávisle od požiadaviek GDPR – a niekedy sú s nimi v konflikte.

PIPL upravuje spracúvanie osobných informácií jednotlivcov v Číne. Jeho územná pôsobnosť je široká: vzťahuje sa na akúkoľvek organizáciu, ktorá spracúva osobné informácie osôb nachádzajúcich sa v Číne, bez ohľadu na to, kde samotná organizácia sídli. Ak je vaša webová stránka prístupná čínskym používateľom a zbierate od nich akékoľvek osobné údaje, PIPL je pre vás relevantný.

PIPL vs. GDPR: kľúčové rozdiely, na ktorých záleží

Hoci sa PIPL často označuje ako „čínsky GDPR���, toto prirovnanie zakrýva dôležité rozdiely, ktoré ovplyvňujú, ako implementujete súhlas:

• Súhlas ako primárny právny základ: GDPR ponúka šesť právnych základov spracúvania, vrátane oprávneného záujmu. PIPL je viac orientovaný na súhlas. Hoci uznáva aj iné právne základy (nevyhnutnosť na plnenie zmluvy, zákonná povinnosť, verejný záujem), rozsah oprávneného záujmu je oveľa užší a súhlas je očakávaným predvoleným základom pre väčšinu komerčného spracúvania údajov.
• Oddelený súhlas pre citlivé údaje: PIPL vyžaduje samostatný, výslovný súhlas na spracúvanie citlivých osobných informácií, medzi ktoré patria biometrické údaje, finančné informácie, sledovanie polohy a údaje o maloletých mladších ako 14 rokov. Sledovanie správania pomocou cookies môže spadať do tejto kategórie.
• Povinná lokalizácia údajov: Prevádzkovatelia kritickej informačnej infraštruktúry a organizácie, ktoré spracúvajú osobné informácie nad objemový limit stanovený Cyberspace Administration of China (CAC), musia údaje uchovávať v Číne. To ovplyvňuje, kde môžu byť spracúvané vaše analytické a cookie údaje.
• Obmedzenia cezhraničného prenosu: Prenos osobných informácií mimo Číny vyžaduje jeden z troch mechanizmov: úspešné absolvovanie bezpečnostného posúdenia CAC, získanie certifikácie od uznaného orgánu alebo uzavretie štandardných zmluvných doložiek zverejnených CAC. Je to prísnejšie než mechanizmy prenosu podľa GDPR.
• Práva jednotlivcov s čínskymi špecifikami: PIPL priznáva dotknutým osobám práva podobné GDPR (prístup, oprava, vymazanie, prenosnosť), ale pridáva právo odmietnuť automatizované rozhodovanie a právo požadovať vysvetlenie pravidiel automatizovaného spracúvania.

Čo PIPL znamená pre cookies a sledovanie

PIPL konkrétne nespomína „cookies“ tak, ako to robí európska smernica ePrivacy. Avšak široká definícia osobných informácií – akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby – zahŕňa väčšinu sledovania založeného na cookies:

• Analytické cookies, ktoré sledujú správanie používateľa naprieč stránkami, zhromažďujú osobné informácie podľa definície PIPL, aj keď používateľ nie je prihlásený.
• Reklamné cookies a cross-site tracking pixely zjavne spadajú do pôsobnosti, keďže vytvárajú profily viazané na identifikátory zariadenia.
• Relačné cookies pre základnú funkcionalitu (nákupné košíky, stav prihlásenia) sú vo všeobecnosti prípustné na základe nevyhnutnosti na plnenie zmluvy, podobne ako pri GDPR.
• Cookies tretích strán, ktoré zdieľajú údaje s externými subjektmi, spúšťajú dodatočné požiadavky PIPL týkajúce sa zverejnenia tretím stranám a potenciálne aj pravidlá cezhraničného prenosu.

Vymáhanie PIPL: reálne dôsledky

Na rozdiel od niektorých zákonov o súkromí, ktoré existujú prevažne len na papieri, vymáhanie PIPL je aktívne a stupňujúce sa. Cyberspace Administration of China spolu s Ministerstvom verejnej bezpečnosti a ďalšími orgánmi podnikli konkrétne kroky:

• Hlavné app story v Číne odstránili aplikácie pre nadmerné zhromažďovanie údajov a nevyžiadanie riadneho súhlasu. V rámci vymáhacích kampaní boli zoznamy stoviek aplikácií zrušené.
• Spoločnosti boli pokutované za zhromažďovanie osobných informácií nad rámec toho, čo bolo nevyhnutné na deklarovaný účel.
• CAC vydal verejné varovania spoločnostiam, ktorých zásady ochrany osobných údajov nedostatočne opisovali spracovateľské činnosti.
• V závažných prípadoch umožňuje PIPL pokuty až do výšky 50 miliónov RMB (približne 7 miliónov USD) alebo 5 % z príjmov za predchádzajúci rok, spolu s možným pozastavením podnikateľskej činnosti.

Pre medzinárodné spoločnosti je riziko regulačné aj komerčné. Nedodržiavanie môže viesť k odstráneniu aplikácií z čínskych app storov, blokovaniu služieb a poškodeniu reputácie na trhu s viac ako jednou miliardou používateľov internetu.

Geo‑cielenie čínskych návštevníkov

Ak vaša webová stránka obsluhuje globálne publikum, ktoré zahŕňa čínskych používateľov, potrebujete geo‑cielenú stratégiu súhlasu. To znamená zistiť, kedy sa návštevník nachádza v Číne, a zobraziť mechanizmy súhlasu, ktoré spĺňajú požiadavky PIPL:

• Detekcia na základe IP: Použite IP geolokáciu na identifikáciu návštevníkov z pevninskej Číny. Ide o rovnaký prístup, aký sa používa pri geo‑cielení GDPR pre návštevníkov z EHP.
• Signály založené na jazyku: Ak je jazyk prehliadača používateľa nastavený na čínštinu (zh-CN alebo zh-TW), môže to slúžiť ako sekundárny signál, hoci by nemal byť jediným určujúcim faktorom.
• Obsah banneru so súhlasom: Oznámenie o súhlase zobrazené čínskym používateľom by malo byť v zjednodušenej čínštine, jasne uvádzať účely zhromažďovania ��dajov, identifikovať prevádzkovateľa a poskytnúť skutočný mechanizmus na odmietnutie nespracovania, ktoré nie je nevyhnutné.
• Samostatný súhlas pre citlivé spracúvanie: Ak používate cookies na profilovanie správania alebo sledovanie polohy, čínski používatelia by mali vidieť samostatnú, podrobnejšiu výzvu na súhlas pre tieto kategórie.

Riešenie GDPR a PIPL pomocou jedného CMP

Väčšina globálnych webových stránok musí súčasne dodržiavať viaceré režimy ochrany súkromia. Výzvou je poskytnúť správny zážitok so súhlasom správnemu používateľovi bez potreby udržiavať oddelené systémy. Tu je, ako funguje jednotný prístup:

Detekcia regiónu ako základ

CMP musí najprv určiť polohu návštevníka. Na základe toho uplatní príslušné pravidlá súhlasu:

• Návštevníci z EHP/UK: banner súhlasu TCF 2.3 s Consent Mode V2, model opt‑in, všetky požiadavky GDPR.
• Čínski návštevníci: oznámenie o súhlase v súlade s PIPL v zjednodušenej čínštine, opt‑in pre nespracúvanie, ktoré nie je nevyhnutné, jasné zverejnenie cezhraničných prenosov, ak údaje opúšťajú Čínu.
• Návštevníci z USA: pravidlá špecifické pre jednotlivé štáty (CCPA/CPRA pre Kaliforniu, štátne zákony pre Colorado, Connecticut, Virgíniu atď.), typicky model opt‑out.
• Iné regióny: predvolené správanie na základe tolerancie rizika vydavateľa a príslušných miestnych zákonov.

Ukladanie záznamov o súhlase

Požiadavky PIPL na lokalizáciu údajov znamenajú, že záznamy o súhlase čínskych používateľov možno bude potrebné ukladať na serveroch v Číne, ak objem vášho spracúvania údajov prekročí limity CAC. Pre väčšinu medzinárodných webových stránok s náhodnou čínskou návštevnosťou je nepravdepodobné, že tento limit dosiahnu, ale weby s vysokou návštevnosťou zamerané na Čínu by sa mali poradiť s miestnym právnym poradcom.

Dokumentácia cezhraničných prenosov

Keď čínsky používateľ udelí súhlas s cookies, ktoré odosielajú údaje na servery mimo Číny (čo je prípad prakticky všetkých západných analytických a reklamných platforiem), CMP by mal tento súhlas zdokumentovať ako súčasť odôvodnenia cezhraničného prenosu. Oznámenie o súhlase by malo výslovne uvádzať, že údaje budú prenášané medzinárodne.

Praktické kroky pre globálne dodržiavanie

Tu je prioritizovaný akčný plán pre webové stránky, ktoré musia riešiť PIPL popri GDPR:

• Auditujte svoju čínsku návštevnosť: Skontrolujte svoje analytiky, aby ste zistili, aké percento vašich návštevníkov pochádza z Číny. Ak je zanedbateľné, vaše riziko je nižšie, ale nie nulové.
• Zmapujte svoje cookies na kategórie PIPL: Určite, ktoré cookies spracúvajú osobné informácie podľa definície PIPL a či sa niektoré týkajú citlivých osobných informácií.
• Implementujte geo‑cielený súhlas: Použite CMP, ktorý dokáže zobraziť rôzne zážitky so súhlasom na základe polohy návštevníka, s vhodným jazykom a právnym základom pre každý región.
• Aktualizujte svoje zásady ochrany osobných údajov: Pridajte sekciu, ktorá sa špecificky venuje právam podľa PIPL a vašim postupom spracúvania údajov pre čínskych používateľov.
• Preskúmajte cezhraničné prenosy: Zdokumentujte, ako sú osobné informácie čínskych používateľov prenášané a spracúvané medzinárodne, a uistite sa, že máte platný mechanizmus prenosu.

Dôležitá poznámka: Dodržiavanie PIPL pre webové stránky zamerané na Čínu môže byť zložité a regulačné usmernenia sa stále vyvíjajú. Tento článok poskytuje všeobecný prehľad, ale organizácie s významnými operáciami alebo používateľskou základňou v Číne by mali vyhľadať právne poradenstvo špecifické pre ich situáciu.

FlexyConsent podporuje geo‑cielené zážitky so súhlasom s pravidlami špecifickými pre jednotlivé regióny, čo vám umožňuje riešiť GDPR, PIPL, CCPA a ďalšie zákony o ochrane súkromia z jednej platformy. Bezplatný plán zahŕňa geo‑detekciu a konfiguráciu súhlasu pre viacero regiónov.