Kuelewa Sheria ya Ulinzi wa Taarifa Binafsi ya China

Sheria ya Ulinzi wa Taarifa Binafsi ya China (PIPL), ambayo ilianza kutumika tarehe 1 Novemba 2021, ni mojawapo ya kanuni muhimu zaidi za faragha ya data nje ya Ulaya. Kwa tovuti za kimataifa, hasa zile zenye wageni wa Kichina au shughuli nchini China, PIPL inaweka wajibu wa kupata idhini ambao upo kando na — na wakati mwingine unakinzana na — matakwa ya GDPR.

PIPL inadhibiti uchakataji wa taarifa binafsi za watu walio ndani ya China. Wigo wake wa kieneo ni mpana: inatumika kwa shirika lolote linalochakata taarifa binafsi za watu walioko China, bila kujali shirika lenyewe lipo wapi. Ikiwa tovuti yako inapatikana kwa watumiaji wa China na unakusanya data yoyote binafsi kutoka kwao, PIPL inakuhusu.

PIPL dhidi ya GDPR: Tofauti Muhimu Zinazojali

Ingawa PIPL mara nyingi huitwa "GDPR ya China," mlinganisho huo unaficha tofauti muhimu zinazoathiri jinsi unavyotekeleza idhini:

• Idhini kama msingi mkuu wa kisheria: GDPR inatoa misingi sita ya kisheria ya uchakataji, ikijumuisha maslahi halali. PIPL inategemea zaidi idhini. Ingawa inatambua misingi mingine ya kisheria (ulazima wa kimkataba, wajibu wa kisheria, maslahi ya umma), upeo wa maslahi halali ni finyu zaidi, na idhini ndiyo inatarajiwa kuwa chaguo msingi kwa uchakataji mwingi wa kibiashara wa data.
• Idhini tofauti kwa data nyeti: PIPL inahitaji idhini tofauti, iliyo wazi kwa uchakataji wa taarifa binafsi nyeti, ikijumuisha data ya kibayometria, taarifa za kifedha, ufuatiliaji wa eneo, na data ya watoto walio chini ya miaka 14. Ufuatiliaji wa kitabia unaotegemea vidakuzi unaweza kuangukia katika kundi hili.
• Uwekaji wa data ndani ya nchi kwa lazima: Waendeshaji wa miundombinu muhimu ya taarifa na mashirika yanayochakata taarifa binafsi juu ya kizingiti cha ujazo kinachowekwa na Cyberspace Administration of China (CAC) lazima yahifadhi data ndani ya China. Hili linaathiri mahali data zako za uchanganuzi na vidakuzi zinaweza kuchakatwa.
• Vikwazo vya uhamishaji wa mipakani: Kuhamisha taarifa binafsi nje ya China kunahitaji mojawapo ya taratibu tatu: kupitisha tathmini ya usalama ya CAC, kupata cheti kutoka kwa chombo kinachotambulika, au kuingia katika vifungu vya kimkataba vya kawaida vilivyochapishwa na CAC. Hili ni kali zaidi kuliko taratibu za uhamishaji za GDPR.
• Haki za mtu binafsi zenye "sifa za Kichina": PIPL inawapa wahusika wa data haki zinazofanana na za GDPR (upatikanaji, marekebisho, ufutaji, uhamishikaji), lakini inaongeza haki ya kukataa maamuzi ya kiotomatiki na haki ya kuomba maelezo ya kanuni za uchakataji wa kiotomatiki.

PIPL Inamaanisha Nini kwa Vidakuzi na Ufuatiliaji

PIPL haitaji "vidakuzi" moja kwa moja kama ilivyo katika Maelekezo ya ePrivacy ya EU. Hata hivyo, ufafanuzi mpana wa sheria kuhusu taarifa binafsi — taarifa yoyote inayohusiana na mtu wa asili aliyeainishwa au anayeweza kuainishwa — unajumuisha karibu ufuatiliaji wote unaotegemea vidakuzi:

• Vidakuzi vya uchanganuzi vinavyofuatilia tabia ya mtumiaji katika kurasa mbalimbali hukusanya taarifa binafsi chini ya ufafanuzi wa PIPL, hata kama mtumiaji hajaingia kwenye akaunti.
• Vidakuzi vya matangazo na pikseli za ufuatiliaji wa tovuti mbalimbali bila shaka viko ndani ya wigo, kwa kuwa vinajenga wasifu unaohusishwa na vitambulishi vya kifaa.
• Vidakuzi vya kipindi (session cookies) kwa utendakazi wa msingi (mikataba ya ununuzi, hali ya kuingia) kwa ujumla vinakubalika chini ya msingi wa ulazima wa kimkataba, sawa na GDPR.
• Vidakuzi vya wahusika wengine vinavyoshiriki data na wahusika wa nje vinachochea matakwa ya ziada ya PIPL kuhusu ufichuaji kwa wahusika wengine na huenda vikahusisha pia kanuni za uhamishaji wa mipakani.

Utekelezaji wa PIPL: Matokeo Halisi

Tofauti na baadhi ya sheria za faragha ambazo zipo zaidi kwenye karatasi, utekelezaji wa PIPL umekuwa hai na unaongezeka. Cyberspace Administration of China, pamoja na Wizara ya Usalama wa Umma na mashirika mengine, imechukua hatua madhubuti:

• Maduka makuu ya programu nchini China yameondoa programu kwa ukusanyaji kupita kiasi wa data na kushindwa kupata idhini ipasayo. Mamia ya programu zimeondolewa katika kampeni za utekelezaji.
• Makampuni yamepigwa faini kwa kukusanya taarifa binafsi zaidi ya kile kilichohitajika kwa madhumuni yao yaliyotangazwa.
• CAC imetoa onyo la wazi kwa makampuni ambayo sera zao za faragha hazikueleza vya kutosha shughuli za uchakataji wa data.
• Katika kesi nzito, PIPL inaruhusu faini ya hadi RMB milioni 50 (takribani USD milioni 7) au 5% ya mapato ya mwaka uliotangulia, pamoja na uwezekano wa kusimamishwa kwa shughuli za biashara.

Kwa makampuni ya kimataifa, hatari ni ya kisheria na kibiashara. Kutozingatia kunaleta uwezekano wa kuondolewa kwa programu katika maduka ya programu ya China, kuzuiwa kwa huduma, na uharibifu wa sifa katika soko lenye zaidi ya watumiaji bilioni moja wa mtandao.

Kulenga Kijiografia Wageni wa China

Ikiwa tovuti yako inahudumia hadhira ya kimataifa inayojumuisha watumiaji wa China, unahitaji mkakati wa idhini unaolenga kijiografia. Hii inamaanisha kugundua wakati mgeni yuko China na kuwasilisha mifumo ya idhini inayokidhi matakwa ya PIPL:

• Utambuzi kwa msingi wa IP: Tumia geolocation ya IP kubaini wageni kutoka China bara. Huu ni mtazamo uleule unaotumika kwa kulenga kijiografia kwa GDPR kwa wageni wa EEA.
• Viashiria vya lugha: Ikiwa lugha ya kivinjari cha mtumiaji imewekwa kuwa Kichina (zh-CN au zh-TW), hii inaweza kuwa kiashiria cha ziada, ingawa haipaswi kuwa kigezo pekee.
• Maudhui ya bango la idhini: Taarifa ya idhini inayoonyeshwa kwa watumiaji wa China inapaswa kuwa kwa Kichina Kilichorahisishwa, ieleze kwa uwazi madhumuni ya ukusanyaji wa data, itambulishe mdhibiti wa data, na itoe njia halisi ya kukataa uchakataji usio wa lazima.
• Idhini tofauti kwa uchakataji nyeti: Ikiwa unatumia vidakuzi kwa ajili ya uundaji wa wasifu wa kitabia au ufuatiliaji wa eneo, watumiaji wa China wanapaswa kuonyeshwa ombi tofauti, la kina zaidi la idhini kwa makundi haya.

Kushughulikia GDPR na PIPL kwa CMP Moja

Tovuti nyingi za kimataifa zinahitaji kuzingatia mifumo mingi ya faragha kwa wakati mmoja. Changamoto ni kuwasilisha uzoefu sahihi wa idhini kwa mtumiaji sahihi bila kudumisha mifumo tofauti. Hivi ndivyo mbinu iliyounganishwa inavyofanya kazi:

Utambuzi wa Kanda kama Msingi

CMP lazima kwanza ibaini eneo la mgeni. Kulingana na hili, inatumia kanuni zinazofaa za idhini:

• Wageni wa EEA/UK: Bango la idhini la TCF 2.3 lenye Consent Mode V2, mfano wa kuchagua kujiunga (opt-in), na matakwa yote ya GDPR.
• Wageni wa China: Taarifa ya idhini inayokidhi PIPL kwa Kichina Kilichorahisishwa, kuchagua kujiunga (opt-in) kwa uchakataji usio wa lazima, ufichuaji wa wazi wa uhamishaji wa mipakani ikiwa data inaondoka China.
• Wageni wa Marekani: Kanuni maalum za kila jimbo (CCPA/CPRA kwa California, sheria za majimbo kama Colorado, Connecticut, Virginia, n.k.), kwa kawaida mifumo ya kuchagua kujiondoa (opt-out).
• Kanda nyingine: Tabia chaguo-msingi kulingana na kiwango cha hatari kinachokubalika kwa mchapishaji na sheria za ndani zinazotumika.

Masuala ya Hifadhi ya Idhini

Mahitaji ya uwekaji data ndani ya nchi ya PIPL yanamaanisha kuwa rekodi za idhini za watumiaji wa China huenda zikahitaji kuhifadhiwa kwenye seva zilizo ndani ya China ikiwa ujazo wa uchakataji wa data zako unazidi vizingiti vya CAC. Kwa tovuti nyingi za kimataifa zenye trafiki ya Kichina ya bahati nasibu, ni nadra kufikia kizingiti hiki, lakini tovuti zenye trafiki kubwa zinazolenga China zinapaswa kushauriana na wanasheria wa ndani.

Uandikishaji wa Uhamishaji wa Mipakani

Wakati mtumiaji wa China anapokubali vidakuzi vinavyotuma data kwenye seva zilizo nje ya China (ambayo ndiyo hali kwa karibu majukwaa yote ya Magharibi ya uchanganuzi na matangazo), CMP inapaswa kurekodi idhini hii kama sehemu ya uhalalishaji wa uhamishaji wa mipakani. Taarifa ya idhini inapaswa kutaja wazi kwamba data itahamishwa kimataifa.

Hatua za Vitendo kwa Uzingatiaji wa Kimataifa

Hapa kuna mpango wa hatua uliopewa kipaumbele kwa tovuti zinazohitaji kushughulikia PIPL sambamba na GDPR:

• Fanya ukaguzi wa trafiki yako ya Kichina: Kagua takwimu zako za uchanganuzi ili kuelewa ni asilimia gani ya wageni wako wanatoka China. Ikiwa ni ndogo sana, hatari yako ni ndogo lakini si sifuri.
• Panga vidakuzi vyako kulingana na makundi ya PIPL: Bainisha ni vidakuzi vipi vinavyoshughulikia taarifa binafsi chini ya ufafanuzi wa PIPL na kama kuna vinavyohusisha taarifa binafsi nyeti.
• Tekeleza idhini inayolenga kijiografia: Tumia CMP inayoweza kuwasilisha uzoefu tofauti wa idhini kulingana na eneo la mgeni, ikiwa na lugha na msingi wa kisheria unaofaa kwa kila kanda.
• Sasisha sera yako ya faragha: Ongeza sehemu inayozungumzia mahsusi haki za PIPL na mbinu zako za uchakataji data kwa watumiaji wa China.
• Kagua uhamishaji wa mipakani: Andika jinsi taarifa binafsi za watumiaji wa China zinavyohamishwa na kuchakatwa kimataifa, na uhakikishe una utaratibu halali wa uhamishaji.

Tanbihi muhimu: Uzingatiaji wa PIPL kwa tovuti zinazolenga China unaweza kuwa mgumu, na mwongozo wa kisheria bado unaendelea kubadilika. Makala hii inatoa muhtasari wa jumla, lakini mashirika yenye shughuli au idadi kubwa ya watumiaji wa Kichina yanapaswa kutafuta ushauri wa kisheria mahsusi kwa hali yao.

FlexyConsent inawezesha uzoefu wa idhini unaolenga kijiografia wenye kanuni maalum za kila kanda, hivyo kukuwezesha kushughulikia GDPR, PIPL, CCPA, na sheria nyingine za faragha kutoka kwenye jukwaa moja. Mpango wa bure unajumuisha utambuzi wa kijiografia na usanidi wa idhini kwa maeneo mengi.