Çin'in Kişisel Bilgi Koruma Kanunu'nu Anlamak

1 Kasım 2021'de yürürlüğe giren Çin'in Kişisel Bilgi Koruma Kanunu (PIPL), Avrupa dışındaki en önemli veri gizliliği düzenlemelerinden biridir. Küresel web siteleri için, özellikle Çinli ziyaretçileri olan veya Çin'de faaliyet gösteren siteler için PIPL, GDPR gereksinimlerinden bağımsız olarak var olan ve bazen bunlarla çelişen onay yükümlülükleri oluşturur.

PIPL, Çin'deki bireylerin kişisel bilgilerinin işlenmesini düzenler. Bölgesel kapsamı geniştir: organizasyonun kendisinin nerede bulunduğuna bakılmaksızın, Çin'de bulunan kişilerin kişisel bilgilerini işleyen herhangi bir kuruluş için geçerlidir. Web siteniz Çinli kullanıcılar tarafından erişilebiliyorsa ve onlardan herhangi bir kişisel veri topluyorsanız, PIPL sizinle ilgilidir.

PIPL ve GDPR: Önemli Temel Farklar

PIPL sıklıkla "Çin'in GDPR'si" olarak adlandırılsa da bu karşılaştırma, onayı nasıl uyguladığınızı etkileyen önemli farklılıkları gizler:

• Birincil yasal dayanak olarak onay: GDPR, meşru menfaat dahil olmak üzere işleme için altı yasal dayanak sunar. PIPL daha fazla onay odaklıdır. Diğer yasal dayanakları tanısa da (sözleşmesel zorunluluk, yasal yükümlülük, kamu yararı), meşru menfaatin kapsamı çok daha dardır ve onay, çoğu ticari veri işleme için beklenen varsayılandır.
• Hassas veriler için ayrı onay: PIPL, biyometrik veriler, finansal bilgiler, konum takibi ve 14 yaşın altındaki çocukların verileri dahil olmak üzere hassas kişisel bilgilerin işlenmesi için ayrı, açık onay gerektirir. Çerez tabanlı davranışsal takip bu kategoriye girebilir.
• Zorunlu veri yerelleştirme: Kritik bilgi altyapısı operatörleri ve Çin Siber Uzay İdaresi (CAC) tarafından belirlenen hacim eşiğinin üzerinde kişisel bilgi işleyen kuruluşlar, verileri Çin'de depolamak zorundadır. Bu, analiz ve çerez verilerinizin nerede işlenebileceğini etkiler.
• Sınır ötesi transfer kısıtlamaları: Kişisel bilgilerin Çin dışına aktarılması üç mekanizmadan birini gerektirir: CAC güvenlik değerlendirmesini geçmek, tanınmış bir kuruluştan sertifika almak veya CAC tarafından yayınlanan standart sözleşme maddelerine girmek. Bu, GDPR'nin transfer mekanizmalarından daha kısıtlayıcıdır.
• Çin'e özgü bireysel haklar: PIPL, veri sahiplerine GDPR'ye benzer haklar tanır (erişim, düzeltme, silme, taşınabilirlik), ancak otomatik karar almayı reddetme hakkı ve otomatik işleme kurallarının açıklanmasını talep etme hakkını ekler.

PIPL'nin Çerezler ve Takip İçin Anlamı

PIPL, AB'nin ePrivacy Direktifi'nin yaptığı şekilde "çerezlerden" özellikle bahsetmez. Ancak kanunun kişisel bilgi tanımı — tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilgili herhangi bir bilgi — çerez tabanlı takibin çoğunu kapsar:

• Analiz çerezleri sayfalar arası kullanıcı davranışını izleyerek, kullanıcı oturum açmamış olsa bile PIPL'nin tanımına göre kişisel bilgi toplar.
• Reklam çerezleri ve siteler arası takip pikselleri, cihaz tanımlayıcılarına bağlı profiller oluşturdukları için açıkça kapsam dahilindedir.
• Oturum çerezleri temel işlevsellik için (alışveriş sepetleri, oturum durumu) genellikle GDPR'ye benzer şekilde sözleşmesel zorunluluk temelinde izin verilir.
• Üçüncü taraf çerezleri harici taraflarla veri paylaşarak üçüncü taraf ifşası ve potansiyel olarak sınır ötesi transfer kuralları etrafında ek PIPL gereksinimleri tetikler.

PIPL Uygulaması: Gerçek Sonuçlar

Esas olarak kağıt üzerinde var olan bazı gizlilik yasalarının aksine, PIPL uygulaması aktif ve tırmanmaktadır. Çin Siber Uzay İdaresi, Kamu Güvenliği Bakanlığı ve diğer kurumlarla birlikte somut adımlar atmıştır:

• Çin'deki büyük uygulama mağazaları, aşırı veri toplama ve uygun onay alamama nedeniyle uygulamaları kaldırmıştır. Yüzlerce uygulama uygulama kampanyalarında listeden çıkarılmıştır.
• Şirketler, belirtilen amaçları için gerekli olanın ötesinde kişisel bilgi topladıkları için para cezasına çarptırılmıştır.
• CAC, gizlilik politikaları veri işleme faaliyetlerini yeterince açıklamayan şirketlere kamuya açık uyarılar vermiştir.
• Ciddi vakalarda PIPL, 50 milyon RMB'ye (yaklaşık 7 milyon ABD doları) veya bir önceki yılın gelirinin %5'ine kadar para cezasının yanı sıra ticari faaliyetlerin askıya alınmasına izin verir.

Uluslararası şirketler için risk hem düzenleyici hem de ticaridir. Uyumsuzluk, Çin uygulama mağazalarından uygulama kaldırılmasına, hizmetlerin engellenmesine ve bir milyardan fazla internet kullanıcısının bulunduğu bir pazarda itibar kaybına yol açabilir.

Çinli Ziyaretçileri Coğrafi Hedefleme

Web siteniz Çinli kullanıcıları da içeren küresel bir kitleye hizmet veriyorsa, coğrafi hedeflemeli bir onay stratejisine ihtiyacınız vardır. Bu, bir ziyaretçinin Çin'de bulunduğunu tespit etmek ve PIPL gereksinimlerini karşılayan onay mekanizmaları sunmak anlamına gelir:

• IP tabanlı tespit: Çin anakarasından gelen ziyaretçileri belirlemek için IP coğrafi konumlandırma kullanın. Bu, AEA ziyaretçilerinin GDPR coğrafi hedeflemesi için kullanılan yaklaşımın aynısıdır.
• Dil tabanlı sinyaller: Bir kullanıcının tarayıcı dili Çince (zh-CN veya zh-TW) olarak ayarlanmışsa, bu ikincil bir sinyal olarak hizmet edebilir, ancak tek belirleyici olmamalıdır.
• Onay banner içeriği: Çinli kullanıcılara gösterilen onay bildirimi Basitleştirilmiş Çince olmalı, veri toplama amaçlarını açıkça belirtmeli, veri sorumlusunu tanımlamalı ve zorunlu olmayan işlemeyi reddetmek için gerçek bir mekanizma sağlamalıdır.
• Hassas işleme için ayrı onay: Davranışsal profilleme veya konum takibi için çerezler kullanıyorsanız, Çinli kullanıcılar bu kategoriler için ayrı, daha ayrıntılı bir onay istemi görmelidir.

Tek Bir CMP ile GDPR ve PIPL'yi Yönetmek

Çoğu küresel web sitesinin aynı anda birden fazla gizlilik rejimine uyması gerekir. Zorluk, ayrı sistemler sürdürmeden doğru kullanıcıya doğru onay deneyimini sunmaktır. Birleşik bir yaklaşım şu şekilde çalışır:

Temel Olarak Bölge Tespiti

CMP önce ziyaretçinin konumunu belirlemelidir. Buna dayanarak uygun onay kurallarını uygular:

• AEA/UK ziyaretçileri: Consent Mode V2 ile TCF 2.3 onay banner'ı, opt-in modeli, tüm GDPR gereksinimleri.
• Çinli ziyaretçiler: Basitleştirilmiş Çince'de PIPL uyumlu onay bildirimi, zorunlu olmayan işleme için opt-in, veriler Çin'den çıkıyorsa sınır ötesi transferlerin açık ifşası.
• ABD ziyaretçileri: Eyalete özgü kurallar (Kaliforniya için CCPA/CPRA, Colorado, Connecticut, Virginia vb. için eyalet yasaları), genellikle opt-out modelleri.
• Diğer bölgeler: Yayıncının risk toleransına ve geçerli yerel yasalara dayalı varsayılan davranış.

Onay Depolama Hususları

PIPL'nin veri yerelleştirme gereksinimleri, veri işleme hacimleriniz CAC'ın eşiklerini aşıyorsa Çinli kullanıcılar için onay kayıtlarının Çin'deki sunucularda depolanması gerekebileceği anlamına gelir. Tesadüfi Çin trafiği olan çoğu uluslararası web sitesi için bu eşiğe ulaşılması pek olası değildir, ancak Çin'i hedefleyen yüksek trafikli siteler yerel hukuk danışmanına başvurmalıdır.

Sınır Ötesi Transfer Belgeleri

Çinli bir kullanıcı Çin dışındaki sunuculara veri gönderen çerezlere onay verdiğinde (bu, neredeyse tüm Batılı analiz ve reklam platformları için geçerlidir), CMP bu onayı sınır ötesi transfer gerekçesinin bir parçası olarak belgelemelidir. Onay bildirimi, verilerin uluslararası olarak aktarılacağını açıkça belirtmelidir.

Küresel Uyumluluk İçin Pratik Adımlar

İşte GDPR'nin yanında PIPL'yi ele alması gereken web siteleri için önceliklendirilmiş bir eylem planı:

• Çin trafiğinizi denetleyin: Ziyaretçilerinizin yüzde kaçının Çin'den geldiğini anlamak için analizlerinizi kontrol edin. İhmal edilebilir düzeydeyse riskiniz daha düşüktür ancak sıfır değildir.
• Çerezlerinizi PIPL kategorilerine eşleyin: Hangi çerezlerin PIPL'nin tanımına göre kişisel bilgi işlediğini ve herhangi birinin hassas kişisel bilgi içerip içermediğini belirleyin.
• Coğrafi hedeflemeli onay uygulayın: Ziyaretçi konumuna göre farklı onay deneyimleri sunabilen, her bölge için uygun dil ve yasal dayanak içeren bir CMP kullanın.
• Gizlilik politikanızı güncelleyin: Çinli kullanıcılar için PIPL haklarını ve veri işleme uygulamalarınızı özellikle ele alan bir bölüm ekleyin.
• Sınır ötesi transferleri gözden geçirin: Çinli kullanıcıların kişisel bilgilerinin uluslararası olarak nasıl aktarıldığını ve işlendiğini belgeleyin ve geçerli bir transfer mekanizmanız olduğundan emin olun.

Önemli not: Çin'i hedefleyen web siteleri için PIPL uyumluluğu karmaşık olabilir ve düzenleyici rehberlik hala gelişmektedir. Bu makale genel bir bakış sunmaktadır, ancak önemli Çin operasyonları veya kullanıcı tabanları olan kuruluşlar kendi durumlarına özgü hukuki danışmanlık almalıdır.

FlexyConsent, bölgeye özgü kurallarla coğrafi hedeflemeli onay deneyimlerini destekleyerek GDPR, PIPL, CCPA ve diğer gizlilik yasalarını tek bir platformdan yönetmenize olanak tanır. Ücretsiz plan, coğrafi tespit ve çok bölgeli onay yapılandırmasını içerir.