Разумевање кинеског Закона о заштити личних информација

Кинески Закон о заштити личних информација (PIPL), који је ступио на снагу 1. новембра 2021, један је од најзначајнијих прописа о приватности података ван Европе. За глобалне веб-сајтове, посебно оне са кинеским посетиоцима или пословањем у Кини, PIPL уводи обавезе у вези са сагласношћу које постоје независно од — и понекад су у сукобу са — захтевима GDPR-а.

PIPL уређује обраду личних информација појединаца у Кини. Његов територијални опсег је широк: примењује се на сваку организацију која обрађује личне информације особа које се налазе у Кини, без обзира на то где је организација регистрована. Ако је ваш сајт доступан кинеским корисницима и прикупљате било какве личне податке од њих, PIPL је релевантан за вас.

PIPL наспрам GDPR-а: кључне разлике које су битне

Иако се PIPL често назива „кинески GDPR“, такво поређење прикрива важне разлике које утичу на то како спроводите сагласност:

• Сагласност као примарни правни основ: GDPR нуди шест правних основа за обраду, укључујући легитимни интерес. PIPL је знатно више усмерен на сагласност. Иако признаје и друге правне основе (уговорна нужност, законска обавеза, јавни интерес), обим легитимног интереса је знатно ужи, а сагласност је очекивани подразумевани основ за већину комерцијалне обраде података.
• Посебна сагласност за осетљиве податке: PIPL захтева посебну, изричиту сагласност за обраду осетљивих личних информација, што укључује биометријске податке, финансијске информације, праћење локације и податке малолетника млађих од 14 година. Праћење понашања путем колачића може потпасти у ову категорију.
• Обавезна локализација података: Оператери критичне информационе инфраструктуре и организације које обрађују личне информације изнад прага обима који одређује Цyберспаце Администратион оф Цхина (CAC) морају да складиште податке унутар Кине. Ово утиче на то где се могу обрађивати ваши аналитички и подаци из колачића.
• Ограничења прекограничног преноса: Пренос личних информација ван Кине захтева један од три механизма: пролазак CAC безбедносне процене, добијање сертификације од признатог тела или закључење стандардних уговорних клаузула које објављује CAC. Ово је рестриктивније од механизама преноса у GDPR-у.
• Појединачна права са „кинеским карактеристикама“: PIPL даје лицима на која се подаци односе права слична GDPR-у (приступ, исправка, брисање, преносивост), али додаје и право да одбију аутоматизовано доношење одлука и право да захтевају објашњење правила аутоматизоване обраде.

Шта PIPL значи за колачиће и праћење

PIPL не помиње изричито „колачиће“ на начин на који то чини ЕУ еПривацy директива. Међутим, широка дефиниција личних информација у закону — било која информација која се односи на идентификовано или идентификовљиво физичко лице — обухвата већину праћења заснованог на колачићима:

• Аналитички колачићи који прате понашање корисника на више страница прикупљају личне информације према PIPL дефиницији, чак и ако корисник није пријављен.
• Оглашивачки колачићи и пиксели за праћење на више сајтова очигледно потпадају под опсег, јер граде профиле повезане са идентификаторима уређаја.
• Секциони (сессион) колачићи за основну функционалност (корпа за куповину, стање пријаве) углавном су дозвољени на основу уговорне нужности, слично као код GDPR-а.
• Колачићи трећих страна који деле податке са спољним странама покрећу додатне PIPL захтеве у вези са откривањем трећим странама и потенцијално правилима о прекограничном преносу.

Спровођење PIPL-а: стварне последице

За разлику од неких закона о приватности који постоје претежно „на папиру“, спровођење PIPL-а је активно и у порасту. Цyберспаце Администратион оф Цхина, заједно са Министарством јавне безбедности и другим агенцијама, предузела је конкретне мере:

• Главне продавнице апликација у Кини уклониле су апликације због прекомерног прикупљања података и необезбеђивања одговарајуће сагласности. Стотине апликација су уклоњене у оквиру акција спровођења.
• Компаније су кажњаване због прикупљања личних информација изван онога што је било неопходно за наведену сврху.
• CAC је издавао јавна упозорења компанијама чије политике приватности нису адекватно описивале активности обраде података.
• У тежим случајевима, PIPL дозвољава казне до 50 милиона RMB (отприлике 7 милиона USD) или 5% прихода из претходне године, уз могућност обуставе пословања.

За међународне компаније, ризик је и регулаторни и комерцијални. Неусклађеност може довести до уклањања апликација из кинеских продавница, блокирања услуга и нарушавања репутације на тржишту са више од милијарду интернет корисника.

Гео��таргетинг кинеских посетилаца

Ако ваш сајт опслужује глобалну публику која укључује кинеске кориснике, потребна вам је гео‑таргетирана стратегија сагласности. То значи откривање када се посетилац налази у Кини и приказивање механизама сагласности који испуњавају PIPL захтеве:

• Детекција заснована на IP адреси: Користите IP геолокацију да идентификујете посетиоце из континенталне Кине. Ово је исти приступ који се користи за GDPR гео‑таргетинг посетилаца из EEA.
• Сигнали засновани на језику: Ако је језик прегледача корисника подешен на кинески (zh-CN или zh-TW), то може служити као секундарни сигнал, иако не би требало да буде једини критеријум.
• Садржај банера за сагласност: Обавештење о сагласности приказано кинеским корисницима треба да буде на поједностављеном кинеском, да јасно наведе сврхе прикупљања података, идентификује руковаоца подацима и обезбеди стваран механизам за одбијање неесенцијалне обраде.
• Посебна сагласност за осетљиву обраду: Ако користите колачиће за профилисање понашања или праћење локације, кинески корисници треба да виде посебан, грануларнији захтев за сагласност за ове категорије.

Управљање GDPR-ом и PIPL-ом уз један CMP

Већина глобалних сајтова мора истовремено да се усклади са више режима приватности. Изазов је приказати одговарајуће искуство сагласности правом кориснику, без одржавања одвојених система. Овако функционише обједињени приступ:

Детекција региона као основа

CMP најпре мора да утврди локацију посетиоца. На основу тога примењује одговарајућа правила сагласности:

• Посетиоци из EEA/UK: TCF 2.3 банер за сагласност са Цонсент Моде V2, опт‑ин модел, сви GDPR захтеви.
• Кинески посетиоци: Обавештење о сагласности усклађено са PIPL-ом на поједностављеном кинеском, опт‑ин за неесенцијалну обраду, јасно откривање прекограничних преноса ако подаци напуштају Кину.
• Посетиоци из САД: Правила специфична за савезне државе (CCPA/CPRA за Калифорнију, државни закони за Колорадо, Конектикат, Вирџинију итд.), обично опт‑оут модели.
• Остали региони: Подразумевано понашање засновано на толеранцији ризика издавача и применљивим локалним законима.

Разматрања у вези са складиштењем сагласности

Захтеви PIPL-а за локализацију података значе да записи о сагласности кинеских корисника можда морају да се складиште на серверима у Кини ако обим ваше обраде података премаши прагове које поставља CAC. За већину међународних сајтова са спорадичним кинеским саобраћајем, мало је вероватно да ће се ови прагови достићи, али сајтови са великим обимом саобраћаја који циљају Кину треба да се консултују са локалним правним саветницима.

Документовање прекограничних преноса

Када кинески корисник пристане на колачиће који шаљу податке на сервере ван Кине (што је случај за практично све западне аналитичке и оглашивачке платформе), CMP би требало да документује ову сагласност као део оправдања за прекогранични пренос. Обавештење о сагласности треба изричито да помене да ће подаци бити међународно преношени.

Практични кораци за глобалну усклађеност

Ево приоритетног акционог плана за сајтове који морају да обраде PIPL заједно са GDPR-ом:

• Анализирајте свој кинески саобраћај: Проверите своје аналитичке податке да бисте разумели колики проценат посетилаца долази из Кине. Ако је занемарљив, ваш ризик је мањи, али не и нула.
• Мапирајте своје колачиће на PIPL категорије: Утврдите који колачићи обрађују личне информације према PIPL дефиницији и да ли неки обухватају осетљиве личне информације.
• Имплементирајте гео‑таргетирану сагласност: Користите CMP који може да прикаже различита искуства сагласности на основу локације посетиоца, са одговарајућим језиком и правним основом за сваки регион.
• Ажурирајте своју политику приватности: Додајте одељак који се посебно бави PIPL правима и вашом обрадом података за кинеске кориснике.
• Прегледајте прекограничне преносе: Документујте како се личне информације кинеских корисника преносе и обрађују међународно и обезбедите да имате важећи механизам преноса.

Важна напомена: Усклађеност са PIPL-ом за сајтове који циљају Кину може бити сложена, а регулаторне смернице се и даље развијају. Овај чланак пружа општи преглед, али организације са значајним пословањем или корисничком базом у Кини треба да потраже правни савет прилагођен њиховој конкретној ситуацији.

FlexyConsent подржава гео‑таргетирана искуства сагласности са правилима специфичним за регион, што вам омогућава да са једне платформе адресирате GDPR, PIPL, CCPA и друге законе о приватности. Бесплатан план укључује гео‑детекцију и конфигурацију сагласности за више региона.