Att förstå Kinas lag om skydd av personuppgifter

Kinas lag om skydd av personuppgifter (PIPL), som trädde i kraft den 1 november 2021, är en av de mest betydelsefulla dataskyddsregleringarna utanför Europa. För globala webbplatser, särskilt de med kinesiska besökare eller verksamhet i Kina, skapar PIPL samtyckeskrav som existerar oberoende av – och ibland står i konflikt med – GDPR-kraven.

PIPL reglerar behandling av personuppgifter om individer i Kina. Dess territoriella räckvidd är bred: den gäller för alla organisationer som behandlar personuppgifter om personer som befinner sig i Kina, oavsett var organisationen själv är baserad. Om din webbplats är tillgänglig för kinesiska användare och du samlar in någon form av personuppgifter från dem, är PIPL relevant för dig.

PIPL vs. GDPR: Viktiga skillnader som spelar roll

Även om PIPL ofta kallas ”Kinas GDPR” döljer jämförelsen viktiga skillnader som påverkar hur du implementerar samtycke:

• Samtycke som prim��r rättslig grund: GDPR erbjuder sex rättsliga grunder för behandling, inklusive berättigat intresse. PIPL är mer samtyckescentrerad. Även om den erkänner andra rättsliga grunder (avtalsnödvändighet, rättslig förpliktelse, allmänintresse) är utrymmet för berättigat intresse betydligt snävare, och samtycke är den förväntade utgångspunkten för de flesta kommersiella behandlingar av personuppgifter.
• Särskilt samtycke för känsliga uppgifter: PIPL kräver särskilt, uttryckligt samtycke för behandling av känsliga personuppgifter, vilket inkluderar biometriska data, finansiell information, platsdata och uppgifter om minderåriga under 14 år. Cookie-baserad beteendespårning kan falla inom denna kategori.
• Obligatorisk datalokalisering: Operatörer av kritisk informationsinfrastruktur och organisationer som behandlar personuppgifter över en volymtröskel som fastställs av Cyberspace Administration of China (CAC) måste lagra data inom Kina. Detta påverkar var din analys- och cookie-data får behandlas.
• Begränsningar för gränsöverskridande överföringar: Överföring av personuppgifter utanför Kina kräver en av tre mekanismer: att klara en säkerhetsbedömning av CAC, erhålla certifiering från ett erkänt organ eller ingå standardavtalsklausuler som publicerats av CAC. Detta är mer restriktivt än GDPR:s överföringsmekanismer.
• Individens rättigheter med kinesiska särdrag: PIPL ger registrerade rättigheter som liknar GDPR (tillgång, rättelse, radering, dataportabilitet), men lägger till rätten att vägra automatiserat beslutsfattande och rätten att begära förklaring av reglerna för automatiserad behandling.

Vad PIPL innebär för cookies och spårning

PIPL nämner inte specifikt ”cookies” på samma sätt som EU:s ePrivacy-direktiv gör. Men lagens breda definition av personuppgifter – all information som rör en identifierad eller identifierbar fysisk person – omfattar de flesta former av cookie-baserad spårning:

• Analyscookies som spårar användarbeteende över sidor samlar in personuppgifter enligt PIPL:s definition, även om användaren inte är inloggad.
• Annonscookies och spårningspixlar över flera webbplatser faller tydligt inom räckvidden, eftersom de bygger profiler kopplade till enhetsidentifierare.
• Sessionscookies för grundläggande funktionalitet (varukorgar, inloggningsstatus) är i allmänhet tillåtna med stöd av avtalsnödvändighet, liknande GDPR.
• Tredjepartscookies som delar data med externa parter utlöser ytterligare PIPL-krav kring tredjepartsinformation och potentiellt reglerna för gränsöverskridande överföringar.

PIPL-tillsyn: Verkliga konsekvenser

Till skillnad från vissa integritetslagar som främst existerar på pappret har tillsynen enligt PIPL varit aktiv och trappats upp. Cyberspace Administration of China, tillsammans med Public Security-ministeriet och andra myndigheter, har vidtagit konkreta åtgärder:

• Stora appbutiker i Kina har tagit bort appar på grund av överdriven datainsamling och bristande inhämtande av korrekt samtycke. Hundratals appar har avlistats i tillsynskampanjer.
• Företag har bötfällts för att ha samlat in personuppgifter utöver vad som var nödvändigt för det angivna syftet.
• CAC har utfärdat offentliga varningar till företag vars integritetspolicyer inte tillräckligt beskrev behandlingsaktiviteterna.
• I allvarliga fall tillåter PIPL böter på upp till 50 miljoner RMB (cirka 7 miljoner USD) eller 5 % av föregående års omsättning, tillsammans med möjlig avstängning av verksamheten.

För internationella företag är risken både regulatorisk och kommersiell. Bristande efterlevnad kan leda till att appar tas bort från kinesiska appbutiker, att tjänster blockeras och till skadat anseende på en marknad med över en miljard internetanvändare.

Geo-targeting av kinesiska besökare

Om din webbplats betjänar en global publik som inkluderar kinesiska användare behöver du en geo-targetad samtyckesstrategi. Detta innebär att upptäcka när en besökare befinner sig i Kina och visa samtyckesmekanismer som uppfyller PIPL-kraven:

• IP-baserad detektering: Använd IP-geolokalisering för att identifiera besökare från det kinesiska fastlandet. Detta är samma metod som används för GDPR-geo-targeting av besökare i EES.
• Språksignaler: Om en användares webbläsarspråk är inställt på kinesiska (zh-CN eller zh-TW) kan detta fungera som en sekundär signal, men bör inte vara den enda avgörande faktorn.
• Innehåll i samtyckesbannern: Samtyckesmeddelandet som visas för kinesiska användare ska vara på förenklad kinesiska, tydligt ange syftena med datainsamlingen, identifiera personuppgiftsansvarig och erbjuda en verklig möjlighet att neka icke-nödvändig behandling.
• Särskilt samtycke för känslig behandling: Om du använder cookies för beteendeprofilering eller platsdata ska kinesiska användare få ett separat, mer detaljerat samtyckesflöde för dessa kategorier.

Att hantera GDPR och PIPL med en enda CMP

De flesta globala webbplatser behöver följa flera integritetsregimer samtidigt. Utmaningen är att presentera rätt samtyckesupplevelse för rätt användare utan att behöva underhålla separata system. Så här fungerar ett enhetligt angreppssätt:

Regionsdetektering som grund

CMP:n måste först fastställa besökarens plats. Baserat på detta tillämpas lämpliga samtyckesregler:

• Besökare från EES/Storbritannien: TCF 2.3-samtyckesbanner med Consent Mode V2, opt-in-modell, alla GDPR-krav.
• Kinesiska besökare: PIPL-kompatibelt samtyckesmeddelande på förenklad kinesiska, opt-in för icke-nödvändig behandling, tydlig information om gränsöverskridande överföringar om data lämnar Kina.
• Besökare från USA: Delstatsspecifika regler (CCPA/CPRA för Kalifornien, delstatslagar för Colorado, Connecticut, Virginia osv.), vanligtvis opt-out-modeller.
• Andra regioner: Standardbeteende baserat på utgivarens risktolerans och tillämplig lokal lagstiftning.

Överväganden kring lagring av samtycke

PIPL:s krav på datalokalisering innebär att samtyckesloggar för kinesiska användare kan behöva lagras på servrar inom Kina om dina databehandlingsvolymer överstiger CAC:s tröskelvärden. För de flesta internationella webbplatser med sporadisk kinesisk trafik är det osannolikt att denna tröskel nås, men webbplatser med hög trafik som riktar sig till Kina bör rådgöra med lokal juridisk expertis.

Dokumentation av gränsöverskridande överföringar

När en kinesisk användare samtycker till cookies som skickar data till servrar utanför Kina (vilket gäller för praktiskt taget alla västerländska analys- och annonsplattformar) bör CMP:n dokumentera detta samtycke som en del av underlaget för gränsöverskridande överföring. Samtyckesmeddelandet bör uttryckligen nämna att data kommer att överföras internationellt.

Praktiska steg för global efterlevnad

Här är en prioriterad handlingsplan för webbplatser som behöver hantera PIPL parallellt med GDPR:

• Granska din kinesiska trafik: Kontrollera din webbstatistik för att förstå hur stor andel av dina besökare som kommer från Kina. Om den är försumbar är din risk lägre men inte noll.
• Kartlägg dina cookies mot PIPL-kategorier: Avgör vilka cookies som behandlar personuppgifter enligt PIPL:s definition och om någon av dem omfattar känsliga personuppgifter.
• Implementera geo-targetat samtycke: Använd en CMP som kan visa olika samtyckesupplevelser baserat på besökarens plats, med lämpligt språk och rättslig grund för varje region.
• Uppdatera din integritetspolicy: Lägg till ett avsnitt som specifikt behandlar rättigheter enligt PIPL och dina behandlingsrutiner för kinesiska användare.
• Se över gränsöverskridande överföringar: Dokumentera hur personuppgifter om kinesiska användare överförs och behandlas internationellt, och säkerställ att du har en giltig överföringsmekanism.

Viktigt meddelande: Efterlevnad av PIPL för webbplatser som riktar sig till Kina kan vara komplext, och den regulatoriska vägledningen utvecklas fortfarande. Denna artikel ger en allmän översikt, men organisationer med betydande verksamhet eller användarbas i Kina bör söka juridisk rådgivning anpassad till sin situation.

FlexyConsent stöder geo-targetade samtyckesupplevelser med regionsspecifika regler, vilket gör att du kan hantera GDPR, PIPL, CCPA och andra integritetslagar från en enda plattform. Gratisplanen inkluderar geodetektering och konfiguration av samtycke för flera regioner.