Що таке APPI?

APPI — це основний закон Японії про захист даних, який забезпечується Комісією із захисту персональної інформації (PPC). Він застосовується до будь-якого бізнесу, який обробляє персональну інформацію осіб у Японії, незалежно від місцезнаходження бізнесу.

Поправки 2022 року ввели концепцію «персонально ідентифікованої інформації» — даних, які самі по собі не є персональною інформацією, але можуть ідентифікувати осіб у поєднанні з іншими даними. Ця категорія охоплює багато типів файлів cookie та ідентифікаторів відстеження.

Як APPI ставиться до файлів cookie

За первісним APPI файли cookie не регулювалися явно, оскільки не вважалися «персональною інформацією», якщо вони не могли безпосередньо ідентифікувати особу. Поправки 2022 року суттєво змінили цю ситуацію.

Тепер файли cookie підлягають перевірці, коли вони передаються третім сторонам, які можуть пов'язати їх з персональною інформацією. Зокрема, якщо ви передаєте дані файлів cookie третій стороні (наприклад, рекламній мережі або постачальнику аналітики), яка може співставити їх з ідентифікованими особами, ви повинні отримати згоду користувача перед такою передачею.

Це означає, що хоча APPI не вимагає загальної згоди на файли cookie, як GDPR, згода є обов'язковою для обміну файлами cookie з третіми сторонами у багатьох типових рекламних та аналітичних сценаріях.

Основні зобов'язання для операторів веб-сайтів

• Надання даних третім сторонам: Отримайте явну згоду перед передачею даних файлів cookie третім сторонам, які можуть пов'язати їх з персональною інформацією.
• Розкриття політики конфіденційності: Чітко розкривайте, які файли cookie ви використовуєте, їхні цілі та які треті сторони отримують дані.
• Транскордонні передачі: Якщо дані файлів cookie надсилаються на сервери за межами Японії, інформуйте користувачів про стандарти захисту даних країни призначення або отримайте явну згоду.
• Повідомлення про витік даних: Повідомляйте PPC про витоки, що стосуються персональних даних (включаючи дані, пов'язані з файлами cookie), у встановлені терміни.
• Права осіб: Відповідайте на запити користувачів щодо розкриття, виправлення або видалення їхніх персональних даних, включаючи дані, отримані з файлів cookie.

APPI проти GDPR: Основні відмінності

Хоча обидва закони спрямовані на захист персональних даних, вони відрізняються за обсягом та підходом:

• Обсяг згоди: GDPR вимагає згоди майже на всі необов'язкові файли cookie. APPI зосереджує вимоги згоди на обміні даними з третіми сторонами, а не на розміщенні файлів cookie як такому.
• Правові підстави: GDPR пропонує шість правових підстав для обробки. APPI спирається переважно на згоду та законну ділову мету, з меншою кількістю формальних категорій.
• Штрафи: Штрафи за GDPR можуть сягати 4% світового доходу. Штрафи за APPI історично були нижчими, але поправки 2022 року збільшили максимальні штрафи до ¥100 million (приблизно $700,000) для корпорацій.
• Екстериторіальне застосування: Обидва закони застосовуються до іноземних підприємств, які обробляють дані резидентів, але механізми примусового виконання суттєво відрізняються.

Впровадження згоди на файли cookie відповідно до APPI

Щоб дотримуватися APPI, зберігаючи хороший користувацький досвід, виконайте такі кроки:

1. Проведіть аудит файлів cookie: Визначте, які файли cookie збирають дані, що передаються третім сторонам, особливо рекламним мережам та аналітичним платформам.
2. Класифікуйте за ризиком: Відокремте файли cookie, що залишаються першою стороною, від тих, що беруть участь у передачі даних третім сторонам. Лише останні потребують явної згоди за APPI.
3. Розгорніть банер згоди: Використовуйте CMP, що підтримує потоки згоди, специфічні для APPI. Банер повинен чітко пояснювати обмін даними з третіми сторонами японською мовою.
4. Поважайте вибір користувачів: Блокуйте скрипти файлів cookie третіх сторін, доки не буде отримано згоду. Функціональні файли cookie першої сторони можуть завантажуватися без згоди згідно з APPI.
5. Документуйте все: Ведіть записи про збір згоди, реєстр файлів cookie та угоди про обробку даних з третіми сторонами.

Транскордонна передача даних відповідно до APPI

APPI має конкретні правила щодо передачі персональних даних за межі Японії. Якщо ваші дані файлів cookie надходять на сервери в інших країнах — що є звичайним для глобальних аналітичних та рекламних платформ — ви повинні:

• Отримати явну згоду особи на транскордонну передачу.
• Підтвердити, що країна-одержувач має стандарти захисту даних, визнані PPC як еквівалентні японським.
• Забезпечити, щоб організація-одержувач впровадила заходи захисту даних, що відповідають стандартам APPI, через договірні або інші засоби.

Наразі PPC визнає ЄС та Великобританію як такі, що мають належний захист даних. Для інших юрисдикцій вам, як правило, знадобиться згода користувача або договірні гарантії.

Найкращі практики для відповідності вимогам японського ринку

• Локалізуйте інтерфейс згоди: Представляйте інформацію про згоду на файли cookie японською мовою. Банери з машинним перекладом можуть створювати прогалини у відповідності, якщо юридичні терміни неточні.
• Поєднуйте APPI з GDPR: Якщо ви обслуговуєте як японських, так і європейських користувачів, налаштуйте свій CMP для застосування правил GDPR у ЄС та правил APPI в Японії. Єдиний рівень згоди зменшує витрати на розробку.
• Відстежуйте рекомендації PPC: PPC регулярно публікує оновлені настанови та документи з питань і відповідей. Стежте за тенденціями правозастосування та новими тлумаченнями.
• Плануйте майбутні зміни: Японія переглядає APPI кожні три роки. Наступний перегляд очікується у 2025–2026 роках і може запровадити суворіші правила щодо файлів cookie.

Висновок

APPI може не вимагати згоди на кожен файл cookie, але його правила щодо обміну даними з третіми сторонами та транскордонних передач створюють реальні зобов'язання для будь-якого веб-сайту, що використовує рекламні або аналітичні файли cookie з японськими відвідувачами. Добре налаштований CMP, який розрізняє файли cookie першої та третьої сторони та пропонує чіткі, локалізовані варіанти згоди, є найбільш практичним шляхом до відповідності вимогам.