PIPL ของจีนและความยินยอมเรื่องคุกกี้: สิ่งที่เว็บไซต์ระดับโลกต้องรู้
ทำความเข้าใจพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของจีน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของจีน (PIPL) ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 พฤศจิกายน 2021 เป็นหนึ่งในกฎระเบียบความเป็นส่วนตัวของข้อมูลที่สำคัญที่สุดนอกยุโรป สำหรับเว็บไซต์ระดับโลก โดยเฉพาะเว็บไซต์ที่มีผู้เยี่ยมชมชาวจีนหรือมีการดำเนินงานในจีน PIPL สร้างภาระผูกพันเรื่องความยินยอมที่มีอยู่อย่างอิสระจากและบางครั้งขัดแย้งกับข้อกำหนดของ GDPR
PIPL ควบคุมการประมวลผลข้อมูลส่วนบุคคลของบุคคลภายในจีน ขอบเขตเชิงพื้นที่ของกฎหมายนี้กว้างมาก: ใช้บังคับกับองค์กรใดๆ ที่ประมวลผลข้อมูลส่วนบุคคลของผู้ที่อยู่ในจีน ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ใด หากเว็บไซต์ของคุณเข้าถึงได้โดยผู้ใช้ชาวจีนและคุณเก็บรวบรวมข้อมูลส่วนบุคคลจากพวกเขา PIPL จะเกี่ยวข้องกับคุณ
PIPL เทียบกับ GDPR: ความแตกต่างสำคัญที่คุณควรรู้
แม้ว่า PIPL มักถูกเรียกว่า "GDPR ของจีน" แต่การเปรียบเทียบนี้บดบังความแตกต่างที่สำคัญซึ่งส่งผลต่อวิธีที่คุณดำเนินการเรื่องความยินยอม:
- ความยินยอมเป็นฐานทางกฎหมายหลัก: GDPR มีฐานทางกฎหมายหกประการสำหรับการประมวลผล รวมถึงผลประโยชน์ที่ชอบด้วยกฎหมาย PIPL เน้นเรื่องความยินยอมมากกว่า แม้จะยอมรับฐานทางกฎหมายอื่น (ความจำเป็นตามสัญญา ภาระผูกพันทางกฎหมาย ผลประโยชน์สาธารณะ) ขอบเขตของผลประโยชน์ที่ชอบด้วยกฎหมายแคบกว่ามาก และความยินยอมเป็นค่าเริ่มต้นที่คาดหวังสำหรับการประมวลผลข้อมูลเชิงพาณิชย์ส่วนใหญ่
- ความยินยอมแยกต่างหากสำหรับข้อมูลที่ละเอียดอ่อน: PIPL กำหนดให้ต้องมีความยินยอมแยกต่างหากและชัดเจนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน ซึ่งรวมถึงข้อมูลชีวมิติ ข้อมูลทางการเงิน การติดตามตำแหน่ง และข้อมูลของผู้เยาว์อายุต่ำกว่า 14 ปี การติดตามพฤติกรรมผ่านคุกกี้อาจอยู่ในหมวดหมู่นี้
- การจัดเก็บข้อมูลภายในประเทศภาคบังคับ: ผู้ให้บริการโครงสร้างพื้นฐานข้อมูลที่สำคัญและองค์กรที่ประมวลผลข้อมูลส่วนบุคคลเกินเกณฑ์ปริมาณที่กำหนดโดยสำนักงานบริหารไซเบอร์สเปซของจีน (CAC) ต้องจัดเก็บข้อมูลภายในจีน สิ่งนี้ส่งผลต่อสถานที่ที่สามารถประมวลผลข้อมูลวิเคราะห์และข้อมูลคุกกี้ของคุณได้
- ข้อจำกัดการถ่ายโอนข้ามพรมแดน: การถ่ายโอนข้อมูลส่วนบุคคลนอกประเทศจีนต้องใช้กลไกหนึ่งในสามอย่าง: ผ่านการประเมินความปลอดภัยของ CAC รับการรับรองจากหน่วยงานที่ได้รับการยอมรับ หรือทำข้อสัญญามาตรฐานที่เผยแพร่โดย CAC ซึ่งเข้มงวดกว่ากลไกการถ่ายโอนของ GDPR
- สิทธิส่วนบุคคลที่มีลักษณะเฉพาะของจีน: PIPL ให้สิทธิแก่เจ้าของข้อมูลคล้ายกับ GDPR (การเข้าถึง การแก้ไข การลบ การพกพา) แต่เพิ่มสิทธิในการปฏิเสธการตัดสินใจอัตโนมัติและสิทธิในการขอคำอธิบายกฎการประมวลผลอัตโนมัติ
PIPL หมายถึงอะไรสำหรับคุกกี้และการติดตาม
PIPL ไม่ได้กล่าวถึง "คุกกี้" โดยเฉพาะในแบบที่ ePrivacy Directive ของสหภาพยุโรปกล่าว อย่างไรก็ตาม คำจำกัดความที่กว้างของกฎหมายเกี่ยวกับข้อมูลส่วนบุคคล ซึ่งหมายถึงข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลที่ระบุตัวตนได้หรืออาจระบุตัวตนได้ ครอบคลุมการติดตามผ่านคุกกี้ส่วนใหญ่:
- คุกกี้วิเคราะห์ที่ติดตามพฤติกรรมผู้ใช้ข้ามหน้าเว็บเก็บรวบรวมข้อมูลส่วนบุคคลตามคำจำกัดความของ PIPL แม้ว่าผู้ใช้จะไม่ได้ล็อกอิน
- คุกกี้โฆษณาและพิกเซลติดตามข้ามเว็บไซต์อยู่ในขอบเขตอย่างชัดเจน เนื่องจากสร้างโปรไฟล์ที่ผูกกับตัวระบุอุปกรณ์
- คุกกี้เซสชันสำหรับฟังก์ชันพื้นฐาน (ตะกร้าสินค้า สถานะการล็อกอิน) โดยทั่วไปได้รับอนุญาตภายใต้ฐานความจำเป็นตามสัญญา คล้ายกับ GDPR
- คุกกี้ของบุคคลที่สามที่แชร์ข้อมูลกับบุคคลภายนอกทำให้เกิดข้อกำหนดเพิ่มเติมของ PIPL เกี่ยวกับการเปิดเผยข้อมูลต่อบุคคลที่สามและอาจรวมถึงกฎการถ่ายโอนข้ามพรมแดน
การบังคับใช้ PIPL: ผลกระทบที่แท้จริง
ต่างจากกฎหมายความเป็นส่วนตัวบางฉบับที่มีอยู่เพียงบนกระดาษ การบังคับใช้ PIPL มีความเข้มข้นและทวีความรุนแรงขึ้น สำนักงานบริหารไซเบอร์สเปซของจีน ร่วมกับกระทรวงความมั่นคงสาธารณะและหน่วยงานอื่นๆ ได้ดำเนินการอย่างเป็นรูปธรรม:
- แอปสโตร์หลักในจีนได้ลบแอปเนื่องจากการเก็บรวบรวมข้อมูลมากเกินไปและไม่สามารถขอความยินยอมอย่างถูกต้อง แอปหลายร้อยตัวถูกถอดออกในแคมเปญบังคับใช้กฎหมาย
- บริษัทต่างๆ ถูกปรับเนื่องจากเก็บรวบรวมข้อมูลส่วนบุคคลเกินกว่าที่จำเป็นสำหรับวัตถุประสงค์ที่ระบุไว้
- CAC ได้ออกคำเตือนสาธารณะต่อบริษัทที่นโยบายความเป็นส่วนตัวไม่ได้อธิบายกิจกรรมการประมวลผลข้อมูลอย่างเพียงพอ
- ในกรณีร้ายแรง PIPL อนุญาตให้ปรับสูงสุด 50 ล้านหยวน (ประมาณ 7 ล้านดอลลาร์สหรัฐ) หรือ 5% ของรายได้ปีก่อนหน้า พร้อมกับการระงับการดำเนินธุรกิจ
สำหรับบริษัทระหว่างประเทศ ความเสี่ยงมีทั้งด้านกฎระเบียบและเชิงพาณิชย์ การไม่ปฏิบัติตามอาจนำไปสู่การลบแอปจากแอปสโตร์ในจีน การบล็อกบริการ และความเสียหายต่อชื่อเสียงในตลาดที่มีผู้ใช้อินเทอร์เน็ตมากกว่าหนึ่งพันล้านคน
การกำหนดเป้าหมายตามภูมิศาสตร์สำหรับผู้เยี่ยมชมชาวจีน
หากเว็บไซต์ของคุณให้บริการผู้ชมทั่วโลกที่รวมถึงผู้ใช้ชาวจีน คุณต้องมีกลยุทธ์ความยินยอมที่กำหนดเป้าหมายตามภูมิศาสตร์ ซึ่งหมายถึงการตรวจจับเมื่อผู้เยี่ยมชมอยู่ในจีนและนำเสนอกลไกความยินยอมที่ตรงตามข้อกำหนดของ PIPL:
- การตรวจจับตาม IP: ใช้การระบุตำแหน่งทางภูมิศาสตร์ด้วย IP เพื่อระบุผู้เยี่ยมชมจากจีนแผ่นดินใหญ่ นี่เป็นวิธีเดียวกับที่ใช้สำหรับการกำหนดเป้าหมายตามภูมิศาสตร์ของ GDPR สำหรับผู้เยี่ยมชมจาก EEA
- สัญญาณตามภาษา: หากภาษาเบราว์เซอร์ของผู้ใช้ตั้งค่าเป็นภาษาจีน (zh-CN หรือ zh-TW) สิ่งนี้สามารถทำหน้าที่เป็นสัญญาณรอง แม้ว่าไม่ควรเป็นตัวกำหนดเพียงอย่างเดียว
- เนื้อหาแบนเนอร์ความยินยอม: ประกาศความยินยอมที่แสดงต่อผู้ใช้ชาวจีนควรเป็นภาษาจีนตัวย่อ ระบุวัตถุประสงค์ของการเก็บรวบรวมข้อมูลอย่างชัดเจน ระบุผู้ควบคุมข้อมูล และจัดให้มีกลไกที่แท้จริงในการปฏิเสธการประมวลผลที่ไม่จำเป็น
- ความยินยอมแยกต่างหากสำหรับการประมวลผลที่ละเอียดอ่อน: หากคุณใช้คุกกี้สำหรับการสร้างโปรไฟล์พฤติกรรมหรือการติดตามตำแหน่ง ผู้ใช้ชาวจีนควรเห็นข้อความขอความยินยอมที่แยกต่างหากและละเอียดกว่าสำหรับหมวดหมู่เหล่านี้
การจัดการ GDPR และ PIPL ด้วย CMP เดียว
เว็บไซต์ระดับโลกส่วนใหญ่ต้องปฏิบัติตามกฎระเบียบความเป็นส่วนตัวหลายระบอบพร้อมกัน ความท้าทายคือการนำเสนอประสบการณ์ความยินยอมที่เหมาะสมแก่ผู้ใช้ที่เหมาะสมโดยไม่ต้องรักษาระบบแยกต่างหาก นี่คือวิธีที่แนวทางรวมทำงาน:
การตรวจจับภูมิภาคเป็นรากฐาน
CMP ต้องกำหนดตำแหน่งของผู้เยี่ยมชมก่อน จากนั้นจึงใช้กฎความยินยอมที่เหมาะสม:
- ผู้เยี่ยมชมจาก EEA/UK: แบนเนอร์ความยินยอม TCF 2.3 พร้อม Consent Mode V2 รูปแบบ opt-in ข้อกำหนด GDPR ทั้งหมด
- ผู้เยี่ยมชมชาวจีน: ประกาศความยินยอมที่สอดคล้องกับ PIPL เป็นภาษาจีนตัวย่อ opt-in สำหรับการประมวลผลที่ไม่จำเป็น การเปิดเผยการถ่ายโอนข้ามพรมแดนอย่างชัดเจนหากข้อมูลออกจากจีน
- ผู้เยี่ยมชมจากสหรัฐฯ: กฎเฉพาะรัฐ (CCPA/CPRA สำหรับแคลิฟอร์เนีย กฎหมายของรัฐสำหรับโคโลราโด คอนเนตทิคัต เวอร์จิเนีย ฯลฯ) โดยทั่วไปเป็นรูปแบบ opt-out
- ภูมิภาคอื่นๆ: พฤติกรรมเริ่มต้นตามความเสี่ยงที่ผู้เผยแพร่ยอมรับได้และกฎหมายท้องถิ่นที่บังคับใช้
ข้อควรพิจารณาในการจัดเก็บความยินยอม
ข้อกำหนดการจัดเก็บข้อมูลภายในประเทศของ PIPL หมายความว่าบันทึกความยินยอมสำหรับผู้ใช้ชาวจีนอาจต้องจัดเก็บบนเซิร์ฟเวอร์ภายในจีนหากปริมาณการประมวลผลข้อมูลของคุณเกินเกณฑ์ของ CAC สำหรับเว็บไซต์ระหว่างประเทศส่วนใหญ่ที่มีทราฟฟิกจากจีนเป็นครั้งคราว เกณฑ์นี้ไม่น่าจะถึง แต่เว็บไซต์ที่มีทราฟฟิกสูงที่กำหนดเป้าหมายจีนควรปรึกษาที่ปรึกษากฎหมายท้องถิ่น
เอกสารการถ่ายโอนข้ามพรมแดน
เมื่อผู้ใช้ชาวจีนยินยอมให้ใช้คุกกี้ที่ส่งข้อมูลไปยังเซิร์ฟเวอร์นอกจีน (ซึ่งเป็นกรณีของแพลตฟอร์มวิเคราะห์และโฆษณาตะวันตกแทบทั้งหมด) CMP ควรบันทึกความยินยอมนี้เป็นส่วนหนึ่งของเหตุผลการถ่ายโอนข้ามพรมแดน ประกาศความยินยอมควรระบุอย่างชัดเจนว่าข้อมูลจะถูกถ่ายโอนระหว่างประเทศ
ขั้นตอนปฏิบัติสำหรับการปฏิบัติตามกฎระเบียบระดับโลก
นี่คือแผนปฏิบัติการที่จัดลำดับความสำคัญสำหรับเว็บไซต์ที่ต้องจัดการ PIPL ควบคู่กับ GDPR:
- ตรวจสอบทราฟฟิกจากจีนของคุณ: ตรวจสอบข้อมูลวิเคราะห์ของคุณเพื่อทำความเข้าใจว่าผู้เยี่ยมชมกี่เปอร์เซ็นต์มาจากจีน หากน้อยมาก ความเสี่ยงของคุณจะต่ำกว่าแต่ไม่เป็นศูนย์
- จัดหมวดหมู่คุกกี้ของคุณตามประเภท PIPL: กำหนดว่าคุกกี้ใดประมวลผลข้อมูลส่วนบุคคลตามคำจำกัดความของ PIPL และมีคุกกี้ใดที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ละเอียดอ่อนหรือไม่
- ดำเนินการความยินยอมที่กำหนดเป้าหมายตามภูมิศาสตร์: ใช้ CMP ที่สามารถนำเสนอประสบการณ์ความยินยอมที่แตกต่างกันตามตำแหน่งของผู้เยี่ยมชม พร้อมภาษาและฐานทางกฎหมายที่เหมาะสมสำหรับแต่ละภูมิภาค
- อัปเดตนโยบายความเป็นส่วนตัวของคุณ: เพิ่มส่วนที่กล่าวถึงสิทธิ PIPL โดยเฉพาะและแนวปฏิบัติการประมวลผลข้อมูลของคุณสำหรับผู้ใช้ชาวจีน
- ตรวจสอบการถ่ายโอนข้ามพรมแดน: บันทึกวิธีที่ข้อมูลส่วนบุคคลของผู้ใช้ชาวจีนถูกถ่ายโอนและประมวลผลในระดับสากล และให้แน่ใจว่าคุณมีกลไกการถ่ายโอนที่ถูกต้อง
หมายเหตุสำคัญ: การปฏิบัติตาม PIPL สำหรับเว็บไซต์ที่กำหนดเป้าหมายจีนอาจซับซ้อน และแนวทางด้านกฎระเบียบยังคงมีการพัฒนา บทความนี้ให้ภาพรวมทั่วไป แต่องค์กรที่มีการดำเนินงานในจีนอย่างมีนัยสำคัญหรือมีฐานผู้ใช้จำนวนมากควรขอคำปรึกษาทางกฎหมายเฉพาะสำหรับสถานการณ์ของตน
FlexyConsent รองรับประสบการณ์ความยินยอมที่กำหนดเป้าหมายตามภูมิศาสตร์พร้อมกฎเฉพาะภูมิภาค ช่วยให้คุณจัดการ GDPR, PIPL, CCPA และกฎหมายความเป็นส่วนตัวอื่นๆ จากแพลตฟอร์มเดียว แผนฟรีรวมถึงการตรวจจับตามภูมิศาสตร์และการกำหนดค่าความยินยอมหลายภูมิภาค