Kuptimi i Ligjit të Kinës për Mbrojtjen e Informacionit Personal

Ligji i Kinës për Mbrojtjen e Informacionit Personal (PIPL), i cili hyri në fuqi më 1 nëntor 2021, është një nga rregulloret më me peshë për privatësinë e të dhënave jashtë Evropës. Për uebsajtet globale, veçanërisht ato me vizitorë kinezë ose me operacione në Kinë, PIPL krijon detyrime për pëlqim që ekzistojnë në mënyrë të pavarur nga — dhe ndonjëherë bien ndesh me — kërkesat e GDPR.

PIPL rregullon përpunimin e informacionit personal të individëve brenda Kinës. Fusha e tij territoriale është e gjerë: zbatohet për çdo organizatë që përpunon informacion personal të personave të vendosur në Kinë, pavarësisht se ku është e bazuar vetë organizata. Nëse uebsajti juaj është i aksesueshëm nga përdorues kinezë dhe ju mblidhni ndonjë të dhënë personale prej tyre, PIPL është i rëndësishëm për ju.

PIPL kundrejt GDPR: Dallimet Kryesore që Kanë Rëndësi

Edhe pse PIPL shpesh quhet "GDPR i Kinës", kjo krahasim fsheh dallime të rëndësishme që ndikojnë në mënyrën se si ju zbatoni pëlqimin:

• Pëlqimi si baza kryesore ligjore: GDPR ofron gjashtë baza ligjore për përpunim, përfshirë interesin legjitim. PIPL është më shumë i përqendruar te pëlqimi. Edhe pse njeh baza të tjera ligjore (domosdoshmëri kontraktuale, detyrim ligjor, interes publik), fusha e interesit legjitim është shumë më e ngushtë, dhe pëlqimi është pritshmëria e zakonshme për shumicën e përpunimeve tregtare të të dhënave.
• Pëlqim i veçantë për të dhënat sensitive: PIPL kërkon pëlqim të veçantë, të qartë për përpunimin e informacionit personal sensitiv, që përfshin të dhëna biometrike, informacion financiar, gjurmim të vendndodhjes dhe të dhëna të të miturve nën 14 vjeç. Gjurmimi i sjelljes përmes cookie-ve mund të bjerë në këtë kategori.
• Detyrim për lokalizimin e të dhënave: Operatorët e infrastrukturës kritike të informacionit dhe organizatat që përpunojnë informacion personal mbi një prag vëllimi të përcaktuar nga Cyberspace Administration of China (CAC) duhet t’i ruajnë të dhënat brenda Kinës. Kjo ndikon se ku mund të përpunohen të dhënat tuaja të analizës dhe cookie-ve.
• Kufizime për transferimet ndërkufitare: Transferimi i informacionit personal jashtë Kinës kërkon një nga tre mekanizmat: kalimin e një vlerësimi sigurie nga CAC, marrjen e një certifikimi nga një organ i njohur, ose lidhjen e klauzolave standarde kontraktuale të publikuara nga CAC. Kjo është më kufizuese se mekanizmat e transferimit të GDPR.
• Të drejta individuale me karakteristika kineze: PIPL u jep subjekteve të të dhënave të drejta të ngjashme me GDPR (akses, korrigjim, fshirje, portabilitet), por shton të drejtën për të refuzuar vendimmarrjen e automatizuar dhe të drejtën për të kërkuar shpjegim të rregullave të përpunimit të automatizuar.

Çfarë Nënkupton PIPL për Cookie-t dhe Gjurmimin

PIPL nuk i përmend në mënyrë specifike "cookie-t" ashtu siç bën Direktiva ePrivacisë e BE-së. Megjithatë, përkufizimi i gjerë i ligjit për informacionin personal — çdo informacion i lidhur me një person fizik të identifikuar ose të identifikueshëm — përfshin shumicën e gjurmimit të bazuar në cookie:

• Cookie-t e analizës që gjurmojnë sjelljen e përdoruesit nëpër faqe mbledhin informacion personal sipas përkufizimit të PIPL, edhe nëse përdoruesi nuk është i kyçur.
• Cookie-t e reklamimit dhe pixel-et e gjurmimit ndër-sajte bien qartësisht në fushë, pasi ato ndërtojnë profile të lidhura me identifikues të pajisjes.
• Cookie-t e sesionit për funksionalitet bazë (shporta blerjesh, gjendja e kyçjes) në përgjithësi lejohen mbi bazën e domosdoshmërisë kontraktuale, ngjashëm me GDPR.
• Cookie-t e palëve të treta që ndajnë të dhëna me palë të jashtme nxisin kërkesa shtesë të PIPL rreth zbulimit ndaj palëve të treta dhe potencialisht rregullat për transferimet ndërkufitare.

Zbatimi i PIPL: Pasoja Reale

Ndryshe nga disa ligje të privatësisë që ekzistojnë kryesisht në letër, zbatimi i PIPL ka qenë aktiv dhe në rritje. Cyberspace Administration of China, së bashku me Ministrinë e Sigurisë Publike dhe agjenci të tjera, ka ndërmarrë veprime konkrete:

• Dyqanet kryesore të aplikacioneve në Kinë kanë hequr aplikacione për mbledhje të tepruar të të dhënave dhe mungesë të marrjes së pëlqimit të duhur. Qindra aplikacione janë çregjistruar në fushata zbatimi.
• Kompanitë janë gjobitur për mbledhje informacioni personal përtej asaj që ishte e nevojshme për qëllimin e deklaruar.
• CAC ka lëshuar paralajmërime publike për kompanitë politikat e privatësisë të të cilave nuk përshkruanin në mënyrë adekuate aktivitetet e përpunimit të të dhënave.
• Në raste të rënda, PIPL lejon gjoba deri në 50 milionë RMB (rreth 7 milionë USD) ose 5% të të ardhurave të vitit të kaluar, së bashku me pezullimin e mundshëm të operacioneve të biznesit.

Për kompanitë ndërkombëtare, rreziku është si rregullator ashtu edhe komercial. Mospërputhja mund të çojë në heqjen e aplikacionit nga dyqanet kineze të aplikacioneve, bllokimin e shërbimeve dhe dëmtim të reputacionit në një treg me mbi një miliard përdorues interneti.

Geo-Targetimi i Vizitorëve Kinezë

Nëse uebsajti juaj i shërben një audience globale që përfshin përdorues kinezë, ju nevojitet një strategji pëlqimi e bazuar në geo-targetim. Kjo do të thotë të zbuloni kur një vizitor ndodhet në Kinë dhe t’i paraqisni mekanizma pëlqimi që plotësojnë kërkesat e PIPL:

• Zbulimi bazuar në IP: Përdorni gjeolokalizimin IP për të identifikuar vizitorët nga Kina kontinentale. Ky është i njëjti qasje që përdoret për geo-targetimin e GDPR për vizitorët e EEA.
• Sinjale të bazuara në gjuhë: Nëse gjuha e shfletuesit të përdoruesit është vendosur në kinezçe (zh-CN ose zh-TW), kjo mund të shërbejë si sinjal dytësor, megjithëse nuk duhet të jetë përcaktuesi i vetëm.
• Përmbajtja e banderolës së pëlqimit: Njoftimi i pëlqimit i shfaqur përdoruesve kinezë duhet t�� jetë në kinezçe të thjeshtuar, të deklarojë qartë qëllimet e mbledhjes së të dhënave, të identifikojë kontrolluesin e të dhënave dhe të ofrojë një mekanizëm real për të refuzuar përpunimin jo thelbësor.
• Pëlqim i veçantë për përpunim sensitiv: Nëse përdorni cookie për profilizim të sjelljes ose gjurmim të vendndodhjes, përdoruesit kinezë duhet të shohin një kërkesë pëlqimi të veçantë, më të detajuar për këto kategori.

Menaxhimi i GDPR dhe PIPL me një CMP të Vetme

Shumica e uebsajteve globale duhet të përputhen njëkohësisht me disa regjime privatësie. Sfida është t’i paraqitet përvojë e duhur pëlqimi përdoruesit të duhur pa mirëmbajtur sisteme të ndara. Ja si funksionon një qasje e unifikuar:

Zbulimi i Rajonit si Bazë

CMP duhet së pari të përcaktojë vendndodhjen e vizitorit. Bazuar në këtë, ai zbaton rregullat përkatëse të pëlqimit:

• Vizitorët nga EEA/MB: banderolë pëlqimi TCF 2.3 me Consent Mode V2, model opt-in, të gjitha kërkesat e GDPR.
• Vizitorët kinezë: njoftim pëlqimi në përputhje me PIPL në kinezçe të thjeshtuar, opt-in për përpunimin jo thelbësor, zbulim i qartë i transferimeve ndërkufitare nëse të dhënat largohen nga Kina.
• Vizitorët nga SHBA: rregulla specifike për shtetet (CCPA/CPRA për Kaliforninë, ligjet shtetërore për Koloradon, Konektikatin, Virxhinian, etj.), zakonisht modele opt-out.
• Rajone të tjera: sjellje e paracaktuar bazuar në tolerancën e rrezikut të botuesit dhe ligjet vendore të zbatueshme.

Konsiderata për Ruajtjen e Pëlqimit

Kërkesat e PIPL për lokalizimin e të dhënave nënkuptojnë që regjistrat e pëlqimit për përdoruesit kinezë mund të duhet të ruhen në serverë brenda Kinës nëse vëllimet tuaja të përpunimit të të dhënave tejkalojnë pragjet e CAC. Për shumicën e uebsajteve ndërkombëtare me trafik të rastësishëm nga Kina, ka pak gjasa që ky prag të arrihet, por faqet me trafik të lartë që synojnë Kinën duhet të konsultohen me këshilltarë ligjorë vendas.

Dokumentimi i Transferimeve Ndërkufitare

Kur një përdorues kinez jep pëlqim për cookie që dërgojnë të dhëna në serverë jashtë Kinës (që është rasti për pothuajse të gjitha platformat perëndimore të analizës dhe reklamimit), CMP duhet ta dokumentojë këtë pëlqim si pjesë e arsyetimit për transferimin ndërkufitar. Njoftimi i pëlqimit duhet të përmendë qartë që të dhënat do të transferohen ndërkombëtarisht.

Hapat Praktikë për Përputhshmëri Globale

Ja një plan veprimi i prioritarizuar për uebsajtet që duhet të trajtojnë PIPL krahas GDPR:

• Auditoni trafikun tuaj nga Kina: Kontrolloni analizat tuaja për të kuptuar se çfarë përqindje e vizitorëve tuaj vjen nga Kina. Nëse është e papërfillshme, rreziku juaj është më i ulët, por jo zero.
• Hartoni cookie-t sipas kategorive të PIPL: Përcaktoni cilat cookie përpunojnë informacion personal sipas përkufizimit të PIPL dhe nëse ndonjë përfshin informacion personal sensitiv.
• Zbatoni pëlqim të bazuar në geo-targetim: Përdorni një CMP që mund të paraqesë përvoja të ndryshme pëlqimi bazuar në vendndodhjen e vizitorit, me gjuhë dhe bazë ligjore të përshtatshme për çdo rajon.
• Përditësoni politikën tuaj të privatësisë: Shtoni një seksion që trajton në mënyrë specifike të drejtat sipas PIPL dhe praktikat tuaja të përpunimit të të dhënave për përdoruesit kinezë.
• Rishikoni transferimet ndërkufitare: Dokumentoni se si informacioni personal i përdoruesve kinezë transferohet dhe përpunohet ndërkombëtarisht dhe sigurohuni që keni një mekanizëm të vlefshëm transferimi.

Shënim i rëndësishëm: Përputhshmëria me PIPL për uebsajtet që synojnë Kinën mund të jetë komplekse, dhe udhëzimet rregullatore janë ende në zhvillim. Ky artikull ofron një përmbledhje të përgjithshme, por organizatat me operacione ose baza përdoruesish të rëndësishme në Kinë duhet të kërkojnë këshillim ligjor specifik për situatën e tyre.

FlexyConsent mbështet përvoja pëlqimi të bazuara në geo-targetim me rregulla specifike për rajone, duke ju lejuar të trajtoni GDPR, PIPL, CCPA dhe ligje të tjera privatësie nga një platformë e vetme. Plani falas përfshin zbulimin gjeografik dhe konfigurimin e pëlqimit për shumë rajone.