Розуміння Закону Китаю про захист персональної інформації

Закон Китаю про захист персональної інформації (PIPL), який набув чинності 1 листопада 2021 року, є одним з найважливіших нормативних актів про конфіденційність даних за межами Європи. Для глобальних веб-сайтів, зокрема тих, що мають китайських відвідувачів або ведуть діяльність у Китаї, PIPL створює зобов'язання щодо згоди, які існують незалежно від вимог GDPR і іноді суперечать їм.

PIPL регулює обробку персональної інформації осіб у Китаї. Його територіальна сфера дії широка: він застосовується до будь-якої організації, яка обробляє персональну інформацію осіб, що перебувають у Китаї, незалежно від того, де знаходиться сама організація. Якщо ваш веб-сайт доступний для китайських користувачів і ви збираєте від них будь-які персональні дані, PIPL стосується вас.

PIPL проти GDPR: ключові відмінності, які мають значення

Хоча PIPL часто називають "китайським GDPR", це порівняння приховує важливі відмінності, які впливають на те, як ви реалізуєте згоду:

• Згода як основна правова підстава: GDPR пропонує шість правових підстав для обробки, включаючи законний інтерес. PIPL більш орієнтований на згоду. Хоча він визнає інші правові підстави (договірна необхідність, юридичне зобов'язання, суспільний інтерес), сфера законного інтересу значно вужча, і згода є очікуваним стандартом для більшості комерційної обробки даних.
• Окрема згода для чутливих даних: PIPL вимагає окремої, явної згоди на обробку чутливої персональної інформації, яка включає біометричні дані, фінансову інформацію, відстеження місцезнаходження та дані неповнолітніх до 14 років. Відстеження поведінки на основі файлів cookie може потрапляти до цієї категорії.
• Обов'язкова локалізація даних: Оператори критичної інформаційної інфраструктури та організації, що обробляють персональну інформацію вище порогу обсягу, встановленого Адміністрацією кіберпростору Китаю (CAC), повинні зберігати дані в межах Китаю. Це впливає на те, де можуть оброблятися ваші аналітичні та cookie-дані.
• Обмеження на транскордонну передачу: Передача персональної інформації за межі Китаю вимагає одного з трьох механізмів: проходження оцінки безпеки CAC, отримання сертифікації від визнаного органу або укладання стандартних договірних положень, опублікованих CAC. Це більш обмежувально, ніж механізми передачі GDPR.
• Індивідуальні права з китайською специфікою: PIPL надає суб'єктам даних права, подібні до GDPR (доступ, виправлення, видалення, переносимість), але додає право відмовитися від автоматизованого прийняття рішень та право вимагати пояснення правил автоматизованої обробки.

Що PIPL означає для файлів cookie та відстеження

PIPL не згадує "файли cookie" конкретно так, як це робить Директива ePrivacy ЄС. Однак широке визначення персональної інформації в законі — будь-яка інформація, пов'язана з ідентифікованою або такою, що може бути ідентифікована, фізичною особою — охоплює більшість відстеження на основі файлів cookie:

• Аналітичні файли cookie, які відстежують поведінку користувачів на різних сторінках, збирають персональну інформацію відповідно до визначення PIPL, навіть якщо користувач не увійшов у систему.
• Рекламні файли cookie та міжсайтові пікселі відстеження чітко потрапляють у сферу дії, оскільки вони створюють профілі, прив'язані до ідентифікаторів пристроїв.
• Сесійні файли cookie для базової функціональності (кошики покупок, стан сесії) зазвичай дозволені на підставі договірної необхідності, подібно до GDPR.
• Сторонні файли cookie, які діляться даними із зовнішніми сторонами, створюють додаткові вимоги PIPL щодо розкриття інформації третім сторонам і потенційно правила транскордонної передачі.

Застосування PIPL: реальні наслідки

На відміну від деяких законів про конфіденційність, які існують переважно на папері, застосування PIPL було активним і наростаючим. Адміністрація кіберпростору Китаю разом з Міністерством громадської безпеки та іншими відомствами вжила конкретних заходів:

• Великі магазини додатків у Китаї видалили додатки за надмірний збір даних та неотримання належної згоди. Сотні додатків було вилучено зі списків у ході правозастосовних кампаній.
• Компанії були оштрафовані за збір персональної інформації понад те, що було необхідно для їхньої заявленої мети.
• CAC видала публічні попередження компаніям, чиї політики конфіденційності недостатньо описували діяльність з обробки даних.
• У серйозних випадках PIPL дозволяє штрафи до 50 мільйонів юанів (приблизно 7 мільйонів доларів США) або 5% доходу за попередній рік, а також потенційне призупинення бізнес-операцій.

Для міжнародних компаній ризик є як регуляторним, так і комерційним. Невідповідність може призвести до видалення додатків з китайських магазинів додатків, блокування сервісів та репутаційних збитків на ринку з понад мільярдом інтернет-користувачів.

Геотаргетинг китайських відвідувачів

Якщо ваш веб-сайт обслуговує глобальну аудиторію, яка включає китайських користувачів, вам потрібна стратегія згоди з геотаргетингом. Це означає виявлення, коли відвідувач знаходиться в Китаї, та представлення механізмів згоди, що відповідають вимогам PIPL:

• Виявлення на основі IP: Використовуйте IP-геолокацію для ідентифікації відвідувачів з материкового Китаю. Це той самий підхід, який використовується для геотаргетингу GDPR для відвідувачів з ЄЕЗ.
• Мовні сигнали: Якщо мова браузера користувача встановлена на китайську (zh-CN або zh-TW), це може слугувати вторинним сигналом, хоча не повинно бути єдиним визначальним фактором.
• Вміст банера згоди: Повідомлення про згоду, яке показується китайським користувачам, має бути спрощеною китайською мовою, чітко вказувати цілі збору даних, ідентифікувати контролера даних та надавати реальний механізм відмови від необов'язкової обробки.
• Окрема згода для чутливої обробки: Якщо ви використовуєте файли cookie для поведінкового профілювання або відстеження місцезнаходження, китайські користувачі повинні бачити окремий, більш детальний запит на згоду для цих категорій.

Управління GDPR та PIPL за допомогою однієї CMP

Більшість глобальних веб-сайтів повинні одночасно відповідати кільком режимам конфіденційності. Завдання полягає в тому, щоб надати правильний досвід згоди правильному користувачу без підтримки окремих систем. Ось як працює єдиний підхід:

Визначення регіону як основа

CMP повинна спочатку визначити місцезнаходження відвідувача. На основі цього вона застосовує відповідні правила згоди:

• Відвідувачі з ЄЕЗ/Великобританії: Банер згоди TCF 2.3 з Consent Mode V2, модель opt-in, усі вимоги GDPR.
• Китайські відвідувачі: Повідомлення про згоду, що відповідає PIPL, спрощеною китайською мовою, opt-in для необов'язкової обробки, чітке розкриття транскордонних передач, якщо дані залишають Китай.
• Відвідувачі зі США: Правила, специфічні для штатів (CCPA/CPRA для Каліфорнії, закони штатів для Колорадо, Коннектикуту, Вірджинії тощо), зазвичай моделі opt-out.
• Інші регіони: Поведінка за замовчуванням на основі толерантності видавця до ризику та застосовних місцевих законів.

Питання зберігання згоди

Вимоги PIPL щодо локалізації даних означають, що записи про згоду для китайських користувачів, можливо, потрібно зберігати на серверах у Китаї, якщо обсяги обробки даних перевищують пороги CAC. Для більшості міжнародних веб-сайтів з випадковим китайським трафіком цей поріг навряд чи буде досягнутий, але сайти з великим трафіком, орієнтовані на Китай, повинні проконсультуватися з місцевим юрисконсультом.

Документація транскордонної передачі

Коли китайський користувач дає згоду на файли cookie, які надсилають дані на сервери за межами Китаю (що стосується практично всіх західних аналітичних та рекламних платформ), CMP повинна задокументувати цю згоду як частину обґрунтування транскордонної передачі. Повідомлення про згоду повинно чітко зазначати, що дані будуть передаватися на міжнародному рівні.

Практичні кроки для глобальної відповідності

Ось пріоритетний план дій для веб-сайтів, яким потрібно вирішувати питання PIPL поряд з GDPR:

• Проведіть аудит китайського трафіку: Перевірте свою аналітику, щоб зрозуміти, який відсоток ваших відвідувачів приходить з Китаю. Якщо він незначний, ваш ризик нижчий, але не нульовий.
• Класифікуйте свої файли cookie за категоріями PIPL: Визначте, які файли cookie обробляють персональну інформацію відповідно до визначення PIPL та чи містять деякі з них чутливу персональну інформацію.
• Впровадьте згоду з геотаргетингом: Використовуйте CMP, яка може надавати різні досвіди згоди залежно від місцезнаходження відвідувача, з відповідною мовою та правовою підставою для кожного регіону.
• Оновіть свою політику конфіденційності: Додайте розділ, який спеціально стосується прав PIPL та ваших практик обробки даних для китайських користувачів.
• Перегляньте транскордонні передачі: Задокументуйте, як персональна інформація китайських користувачів передається та обробляється на міжнародному рівні, і переконайтеся, що у вас є дійсний механізм передачі.

Важлива примітка: Відповідність PIPL для веб-сайтів, орієнтованих на Китай, може бути складною, а нормативні рекомендації все ще розвиваються. Ця стаття надає загальний огляд, але організації зі значними операціями в Китаї або великою базою користувачів повинні звернутися за юридичною консультацією, специфічною для їхньої ситуації.

FlexyConsent підтримує досвід згоди з геотаргетингом та правилами, специфічними для регіонів, що дозволяє вам керувати GDPR, PIPL, CCPA та іншими законами про конфіденційність з єдиної платформи. Безкоштовний план включає геодетекцію та конфігурацію згоди для кількох регіонів.