Razumevanje kitajskega Zakona o varstvu osebnih podatkov

Kitajski Zakon o varstvu osebnih podatkov (PIPL), ki je začel veljati 1. novembra 2021, je ena najpomembnejših ureditev na področju varstva podatkov zunaj Evrope. Za globalne spletne strani, zlasti tiste z obiskovalci iz Kitajske ali poslovanjem na Kitajskem, PIPL uvaja obveznosti glede soglasja, ki obstajajo neodvisno od zahtev GDPR — in so z njimi včasih tudi v nasprotju.

PIPL ureja obdelavo osebnih podatkov posameznikov na Kitajskem. Njegov teritorialni obseg je širok: velja za vsako organizacijo, ki obdeluje osebne podatke oseb, ki se nahajajo na Kitajskem, ne glede na to, kje ima organizacija sedež. Če je vaša spletna stran dostopna kitajskim uporabnikom in od njih zbirate kakršne koli osebne podatke, je PIPL za vas relevanten.

PIPL v primerjavi z GDPR: ključne razlike

PIPL pogosto imenujejo »kitajski GDPR«, vendar takšna primerjava prikriva pomembne razlike, ki vplivajo na to, kako izvajate soglasje:

• Soglasje kot primarna pravna podlaga: GDPR ponuja šest pravnih podlag za obdelavo, vključno z zakonitim interesom. PIPL je bistveno bolj osredotočen na soglasje. Čeprav priznava tudi druge pravne podlage (izvajanje pogodbe, zakonska obveznost, javni interes), je področje zakonitega interesa precej ožje, soglasje pa je pričakovana privzeta podlaga za večino komercialnih obdelav podatkov.
• Ločeno soglasje za občutljive podatke: PIPL zahteva ločeno, izrecno soglasje za obdelavo občutljivih osebnih podatkov, kamor sodijo biometrični podatki, finančni podatki, sledenje lokaciji in podatki mladoletnikov, mlajših od 14 let. Sledenje vedenju z uporabo piškotkov lahko spada v to kategorijo.
• Obvezna lokalizacija podatkov: Operaterji kritične informacijske infrastrukture in organizacije, ki obdelujejo osebne podatke nad pragom, ki ga določi kitajski Urad za kibernetski prostor (CAC), morajo podatke hraniti na Kitajskem. To vpliva na to, kje se lahko obdelujejo vaši analitični in piškotkovni podatki.
• Omejitve čezmejnega prenosa: Za prenos osebnih podatkov izven Kitajske je potreben eden od treh mehanizmov: uspešno opravljen varnostni pregled CAC, pridobitev certifikacije priznanega organa ali sklenitev standardnih pogodbenih klavzul, ki jih objavi CAC. To je strožji režim kot mehanizmi prenosa po GDPR.
• Posameznikove pravice s kitajskimi posebnostmi: PIPL posameznikom priznava pravice, podobne tistim iz GDPR (dostop, popravek, izbris, prenosljivost), hkrati pa dodaja pravico do zavrnitve avtomatiziranega odločanja in pravico zahtevati pojasnilo pravil avtomatizirane obdelave.

Kaj PIPL pomeni za piškotke in sledenje

PIPL ne omenja izrecno »piškotkov« na način, kot to počne evropska direktiva o zasebnosti in elektronskih komunikacijah (ePrivacy). Vendar široka definicija osebnih podatkov — kateri koli podatki, povezani z določenim ali določljivim posameznikom — zajema večino sledenja s piškotki:

• Analitični piškotki, ki spremljajo vedenje uporabnikov med stranmi, zbirajo osebne podatke v smislu PIPL, tudi če uporabnik ni prijavljen.
• Oglaševalski piškotki in sledilni piksli med spletnimi mesti so očitno zajeti v obsegu, saj gradijo profile, vezane na identifikatorje naprav.
• Sejni piškotki za osnovno delovanje (nakupovalne košarice, stanje prijave) so praviloma dopustni na podlagi izvajanja pogodbe, podobno kot pri GDPR.
• Piškotki tretjih oseb, ki podatke delijo z zunanjimi subjekti, spro��ijo dodatne zahteve PIPL glede razkritja tretjim osebam in potencialno tudi pravila o čezmejnem prenosu.

Uveljavljanje PIPL: resnične posledice

Za razliko od nekaterih zakonov o zasebnosti, ki obstajajo predvsem na papirju, je uveljavljanje PIPL aktivno in vse strožje. Urad za kibernetski prostor Kitajske (CAC) skupaj z Ministrstvom za javno varnost in drugimi organi sprejema konkretne ukrepe:

• Večje trgovine z aplikacijami na Kitajskem so odstranile aplikacije zaradi pretiranega zbiranja podatkov in neustreznega pridobivanja soglasja. V sklopu nadzornih akcij so bile z liste odstranjene stotine aplikacij.
• Podjetja so bila oglobljena, ker so zbirala osebne podatke, ki so presegali tisto, kar je bilo potrebno za navedeni namen.
• CAC je izdal javna opozorila podjetjem, katerih politike zasebnosti niso ustrezno opisovale dejavnosti obdelave podatkov.
• V hujših primerih PIPL omogoča globe do 50 milijonov RMB (približno 7 milijonov USD) ali 5 % prihodkov preteklega leta, poleg morebitne začasne ustavitve poslovanja.

Za mednarodna podjetja je tveganje tako regulativno kot poslovno. Neskladnost lahko privede do odstranitve aplikacij iz kitajskih trgovin, blokade storitev in škode ugledu na trgu z več kot milijardo uporabnikov interneta.

Geo-targeting kitajskih obiskovalcev

Če vaša spletna stran dosega globalno občinstvo, ki vključuje tudi kitajske uporabnike, potrebujete strategijo geo-targetinga za soglasje. To pomeni zaznavanje, kdaj se obiskovalec nahaja na Kitajskem, in prikazovanje mehanizmov soglasja, ki izpolnjujejo zahteve PIPL:

• Zaznavanje na podlagi IP: Uporabite IP geolokacijo za prepoznavanje obiskovalcev iz celinske Kitajske. Gre za enak pristop, kot se uporablja za geo-targeting obiskovalcev iz EGP v okviru GDPR.
• Jezikovni signali: Če je jezik brskalnika uporabnika nastavljen na kitajščino (zh-CN ali zh-TW), je to lahko sekundarni signal, vendar ne bi smel biti edini kriterij.
• Vsebina pasice za soglasje: Obvestilo o soglasju, prikazano kitajskim uporabnikom, mora biti v poenostavljeni kitajščini, jasno navesti namene zbiranja podatkov, identificirati upravljavca podatkov in zagotoviti resničen mehanizem za zavrnitev neobvezne obdelave.
• Ločeno soglasje za občutljivo obdelavo: Če uporabljate piškotke za vedenjsko profiliranje ali sledenje lokaciji, morajo kitajski uporabniki videti ločeno, bolj podrobno zahtevo za soglasje za te kategorije.

Upravljanje GDPR in PIPL z enim CMP

Večina globalnih spletnih strani se mora hkrati usklajevati z več režimi varstva zasebnosti. Izziv je predstaviti pravo izkušnjo soglasja pravemu uporabniku, ne da bi morali vzdrževati ločene sisteme. Tako deluje enoten pristop:

Prepoznavanje regije kot temelj

CMP mora najprej določiti lokacijo obiskovalca. Na tej podlagi uporabi ustrezna pravila za soglasje:

• Obiskovalci iz EGP/UK: pasica za soglasje TCF 2.3 s Consent Mode V2, model opt-in in vse zahteve GDPR.
• Kitajski obiskovalci: obvestilo o soglasju, skladno s PIPL, v poenostavljeni kitajščini, opt-in za neobvezno obdelavo ter jasno razkritje čezmejnih prenosov, če podatki zapustijo Kitajsko.
• Obiskovalci iz ZDA: pravila, specifična za posamezne zvezne države (CCPA/CPRA za Kalifornijo, zakoni zveznih držav Colorado, Connecticut, Virginia itd.), običajno modeli opt-out.
• Druge regije: privzeto vedenje glede na toleranco tveganja izdajatelja in veljavno lokalno zakonodajo.

Vidiki hrambe soglasij

Zahteve PIPL glede lokalizacije podatkov pomenijo, da bo morda treba evidence soglasij kitajskih uporabnikov hraniti na strežnikih znotraj Kitajske, če obseg vaše obdelave podatkov preseže pragove CAC. Za večino mednarodnih spletnih strani z občasnim prometom iz Kitajske je malo verjetno, da bi dosegli te pragove, vendar bi morale spletne strani z visokim prometom, usmerjene na kitajski trg, pridobiti nasvet lokalnih pravnih strokovnjakov.

Dokumentiranje čezmejnih prenosov

Ko kitajski uporabnik soglaša s piškotki, ki pošiljajo podatke na strežnike zunaj Kitajske (kar velja praktično za vse zahodne analitične in oglaševalske platforme), bi moral CMP to soglasje dokumentirati kot del utemeljitve čezmejnega prenosa. Obvestilo o soglasju bi moralo izrecno omeniti, da bodo podatki preneseni v tujino.

Praktični koraki za globalno skladnost

Spodaj je prednostni akcijski načrt za spletne strani, ki morajo obravnavati PIPL vzporedno z GDPR:

• Preglejte svoj promet iz Kitajske: V analitiki preverite, kolikšen delež vaših obiskovalcev prihaja s Kitajske. Če je delež zanemarljiv, je vaše tveganje manjše, vendar ne nično.
• Preslikajte svoje piškotke na kategorije PIPL: Ugotovite, kateri piškotki obdelujejo osebne podatke v smislu PIPL in ali kateri od njih vključujejo obdelavo občutljivih osebnih podatkov.
• Uvedite geo-targetirano soglasje: Uporabite CMP, ki lahko na podlagi lokacije obiskovalca prikaže različne izkušnje soglasja, z ustreznim jezikom in pravno podlago za vsako regijo.
• Posodobite svojo politiko zasebnosti: Dodajte razdelek, ki posebej obravnava pravice po PIPL in vaše prakse obdelave podatkov za kitajske uporabnike.
• Preglejte čezmejne prenose: Dokumentirajte, kako se osebni podatki kitajskih uporabnikov prenašajo in obdelujejo v tujini, ter zagotovite, da imate veljaven mehanizem prenosa.

Pomembno obvestilo: Skladnost s PIPL za spletne strani, usmerjene na Kitajsko, je lahko zapletena, regulativna navodila pa se še razvijajo. Ta članek ponuja splošen pregled, organizacije z obsežnejšim poslovanjem ali uporabniško bazo na Kitajskem pa bi morale poiskati pravni nasvet, prilagojen njihovi konkretni situaciji.

FlexyConsent podpira geo-targetirane izkušnje soglasja s pravili, specifičnimi za posamezne regije, kar vam omogoča, da z ene same platforme obravnavate GDPR, PIPL, CCPA in druge zakone o zasebnosti. Brezplačni paket vključuje geo-detekcijo in konfiguracijo soglasij za več regij.