چین کے ذاتی معلومات کے تحفظ کے قانون کو سمجھنا

چین کا ذاتی معلومات کا تحفظ قانون (PIPL) جو یکم نومبر 2021 کو نافذ ہوا، یورپ سے باہر ڈیٹا پرائیویسی کے سب سے اہم ضوابط میں سے ایک ہے۔ عالمی ویب سائٹس کے لیے، خاص طور پر وہ جن کے چینی زائرین ہیں یا جو چین میں کام کرتی ہیں، PIPL رضامندی کی ذمہ داریاں پیدا کرتا ہے جو GDPR کی ضروریات سے آزادانہ طور پر موجود ہیں اور بعض اوقات ان سے متصادم ہوتی ہیں۔

PIPL چین کے اندر افراد کی ذاتی معلومات کی پروسیسنگ کو کنٹرول کرتا ہے۔ اس کی علاقائی حدود وسیع ہیں: یہ کسی بھی تنظیم پر لاگو ہوتا ہے جو چین میں موجود لوگوں کی ذاتی معلومات پر کارروائی کرتی ہے، چاہے تنظیم خود کہیں بھی واقع ہو۔ اگر آپ کی ویب سائٹ چینی صارفین کے لیے قابل رسائی ہے اور آپ ان سے کوئی ذاتی ڈیٹا اکٹھا کرتے ہیں تو PIPL آپ سے متعلق ہے۔

PIPL بمقابلہ GDPR: اہم فرق جو اہمیت رکھتے ہیں

اگرچہ PIPL کو اکثر "چین کا GDPR" کہا جاتا ہے، لیکن یہ موازنہ اہم فرقوں کو چھپاتا ہے جو اس بات پر اثر ڈالتے ہیں کہ آپ رضامندی کو کیسے نافذ کرتے ہیں:

• بنیادی قانونی بنیاد کے طور پر رضامندی: GDPR پروسیسنگ کے لیے چھ قانونی بنیادیں فراہم کرتا ہے، بشمول جائز مفاد۔ PIPL زیادہ رضامندی پر مرکوز ہے۔ اگرچہ یہ دوسری قانونی بنیادوں کو تسلیم کرتا ہے (معاہداتی ضرورت، قانونی ذمہ داری، عوامی مفاد)، جائز مفاد کا دائرہ بہت تنگ ہے، اور رضامندی زیادہ تر تجارتی ڈیٹا پروسیسنگ کے لیے متوقع ڈیفالٹ ہے۔
• حساس ڈیٹا کے لیے الگ رضامندی: PIPL حساس ذاتی معلومات کی پروسیسنگ کے لیے الگ، واضح رضامندی کا تقاضا کرتا ہے، جس میں بایومیٹرک ڈیٹا، مالی معلومات، مقام کی ٹریکنگ، اور 14 سال سے کم عمر کے نابالغوں کا ڈیٹا شامل ہے۔ کوکی پر مبنی رویے کی ٹریکنگ اس زمرے میں آ سکتی ہے۔
• لازمی ڈیٹا لوکلائزیشن: اہم معلوماتی انفراسٹرکچر آپریٹرز اور چین کی سائبر اسپیس ایڈمنسٹریشن (CAC) کی مقرر کردہ حجم کی حد سے زیادہ ذاتی معلومات پر کارروائی کرنے والی تنظیموں کو ڈیٹا چین کے اندر ذخیرہ کرنا ہوگا۔ اس سے اس بات پر اثر پڑتا ہے کہ آپ کے تجزیاتی اور کوکی ڈیٹا کو کہاں پروسیس کیا جا سکتا ہے۔
• سرحد پار منتقلی کی پابندیاں: ذاتی معلومات کو چین سے باہر منتقل کرنے کے لیے تین طریقوں میں سے ایک کی ضرورت ہے: CAC سکیورٹی اسیسمنٹ پاس کرنا، کسی تسلیم شدہ ادارے سے سرٹیفیکیشن حاصل کرنا، یا CAC کی شائع کردہ معیاری معاہداتی شقوں میں داخل ہونا۔ یہ GDPR کے منتقلی کے طریقوں سے زیادہ پابندی والا ہے۔
• چینی خصوصیات کے ساتھ انفرادی حقوق: PIPL ڈیٹا کے مالکان کو GDPR جیسے حقوق دیتا ہے (رسائی، تصحیح، حذف، پورٹیبلٹی)، لیکن خودکار فیصلہ سازی سے انکار کا حق اور خودکار پروسیسنگ قواعد کی وضاحت کی درخواست کا حق شامل کرتا ہے۔

PIPL کا کوکیز اور ٹریکنگ کے لیے کیا مطلب ہے

PIPL خاص طور پر "کوکیز" کا ذکر اس طرح نہیں کرتا جس طرح EU کی ePrivacy Directive کرتی ہے۔ تاہم، قانون کی ذاتی معلومات کی وسیع تعریف — کسی شناخت شدہ یا قابل شناخت فطری شخص سے متعلق کوئی بھی معلومات — زیادہ تر کوکی پر مبنی ٹریکنگ کو شامل کرتی ہے:

• تجزیاتی کوکیز جو صفحات پر صارف کے رویے کو ٹریک کرتی ہیں PIPL کی تعریف کے تحت ذاتی معلومات اکٹھی کرتی ہیں، چاہے صارف لاگ ان نہ ہو۔
• اشتہاری کوکیز اور کراس سائٹ ٹریکنگ پکسلز واضح طور پر دائرے میں آتے ہیں، کیونکہ وہ ڈیوائس شناخت کاروں سے منسلک پروفائلز بناتے ہیں۔
• سیشن کوکیز بنیادی فعالیت کے لیے (شاپنگ کارٹس، لاگ ان حالت) عام طور پر معاہداتی ضرورت کی بنیاد پر اجازت دی جاتی ہے، GDPR کی طرح۔
• تیسرے فریق کی کوکیز جو بیرونی فریقین کے ساتھ ڈیٹا شیئر کرتی ہیں تیسرے فریق کے انکشاف اور ممکنہ طور پر سرحد پار منتقلی کے قواعد کے گرد اضافی PIPL ضروریات کو متحرک کرتی ہیں۔

PIPL نفاذ: حقیقی نتائج

کچھ پرائیویسی قوانین کے برعکس جو بنیادی طور پر کاغذ پر موجود ہیں، PIPL کا نفاذ فعال اور بڑھتا ہوا رہا ہے۔ چین کی سائبر اسپیس ایڈمنسٹریشن نے وزارت پبلک سیکیورٹی اور دیگر ایجنسیوں کے ساتھ مل کر ٹھوس اقدامات کیے ہیں:

• چین میں بڑے ایپ اسٹورز نے ضرورت سے زیادہ ڈیٹا اکٹھا کرنے اور مناسب رضامندی حاصل نہ کرنے کی وجہ سے ایپس کو ہٹا دیا ہے۔ نفاذ مہمات میں سینکڑوں ایپس کو فہرست سے ہٹایا گیا ہے۔
• کمپنیوں پر اپنے بیان کردہ مقصد کے لیے ضروری سے زیادہ ذاتی معلومات اکٹھا کرنے پر جرمانے عائد کیے گئے ہیں۔
• CAC نے ان کمپنیوں کو عوامی انتباہات جاری کیے ہیں جن کی پرائیویسی پالیسیوں نے ڈیٹا پروسیسنگ کی سرگرمیوں کو مناسب طور پر بیان نہیں کیا۔
• سنگین صورتوں میں PIPL 50 ملین RMB (تقریباً 7 ملین امریکی ڈالر) یا پچھلے سال کی آمدنی کا 5% تک جرمانے کی اجازت دیتا ہے، نیز کاروباری کارروائیوں کی ممکنہ معطلی۔

بین الاقوامی کمپنیوں کے لیے خطرہ ریگولیٹری اور تجارتی دونوں ہے۔ عدم تعمیل چینی ایپ اسٹورز سے ایپ ہٹانے، سروسز کی بلاکنگ، اور ایک ارب سے زیادہ انٹرنیٹ صارفین کی مارکیٹ میں ساکھ کو نقصان پہنچا سکتی ہے۔

چینی زائرین کی جیو ٹارگٹنگ

اگر آپ کی ویب سائٹ ایک عالمی سامعین کو خدمات فراہم کرتی ہے جس میں چینی صارفین شامل ہیں، تو آپ کو جیو ٹارگٹڈ رضامندی کی حکمت عملی کی ضرورت ہے۔ اس کا مطلب ہے جب کوئی زائر چین میں ہو تو اس کا پتہ لگانا اور PIPL کی ضروریات کو پورا کرنے والے رضامندی کے طریقے پیش کرنا:

• IP پر مبنی تشخیص: چین کی سرزمین سے آنے والے زائرین کی شناخت کے لیے IP جیو لوکیشن استعمال کریں۔ یہ وہی طریقہ ہے جو EEA زائرین کی GDPR جیو ٹارگٹنگ کے لیے استعمال ہوتا ہے۔
• زبان پر مبنی اشارے: اگر صارف کی براؤزر زبان چینی (zh-CN یا zh-TW) پر سیٹ ہے، تو یہ ثانوی اشارے کے طور پر کام کر سکتا ہے، حالانکہ یہ واحد فیصلہ کن نہیں ہونا چاہیے۔
• رضامندی بینر کا مواد: چینی صارفین کو دکھایا جانے والا رضامندی نوٹس آسان چینی میں ہونا چاہیے، ڈیٹا اکٹھا کرنے کے مقاصد واضح طور پر بیان کرنا چاہیے، ڈیٹا کنٹرولر کی شناخت کرنی چاہیے، اور غیر ضروری پروسیسنگ سے انکار کرنے کا حقیقی طریقہ فراہم کرنا چاہیے۔
• حساس پروسیسنگ کے لیے الگ رضامندی: اگر آپ رویے کی پروفائلنگ یا مقام کی ٹریکنگ کے لیے کوکیز استعمال کرتے ہیں، تو چینی صارفین کو ان زمروں کے لیے ایک الگ، زیادہ تفصیلی رضامندی کا اشارہ دیکھنا چاہیے۔

ایک CMP کے ساتھ GDPR اور PIPL کا انتظام

زیادہ تر عالمی ویب سائٹس کو بیک وقت متعدد پرائیویسی نظاموں کی تعمیل کرنی ہوتی ہے۔ چیلنج یہ ہے کہ الگ نظام برقرار رکھے بغیر صحیح صارف کو صحیح رضامندی کا تجربہ پیش کیا جائے۔ ایک متحد نقطہ نظر اس طرح کام کرتا ہے:

بنیاد کے طور پر علاقے کی تشخیص

CMP کو پہلے زائر کا مقام طے کرنا ہوگا۔ اس کی بنیاد پر، یہ مناسب رضامندی کے قواعد لاگو کرتا ہے:

• EEA/UK زائرین: Consent Mode V2 کے ساتھ TCF 2.3 رضامندی بینر، opt-in ماڈل، تمام GDPR ضروریات۔
• چینی زائرین: آسان چینی میں PIPL کے مطابق رضامندی نوٹس، غیر ضروری پروسیسنگ کے لیے opt-in، اگر ڈیٹا چین سے باہر جاتا ہے تو سرحد پار منتقلی کا واضح انکشاف۔
• امریکی زائرین: ریاست سے مخصوص قواعد (کیلیفورنیا کے لیے CCPA/CPRA، کولوراڈو، کنیکٹیکٹ، ورجینیا وغیرہ کے لیے ریاستی قوانین)، عام طور پر opt-out ماڈلز۔
• دیگر خطے: پبلشر کی خطرے کی برداشت اور قابل اطلاق مقامی قوانین پر مبنی ڈیفالٹ رویہ۔

رضامندی کے ذخیرے کے تحفظات

PIPL کی ڈیٹا لوکلائزیشن ضروریات کا مطلب ہے کہ چینی صارفین کے رضامندی کے ریکارڈز کو چین کے اندر سرورز پر ذخیرہ کرنے کی ضرورت ہو سکتی ہے اگر آپ کے ڈیٹا پروسیسنگ کے حجم CAC کی حدود سے تجاوز کریں۔ زیادہ تر بین الاقوامی ویب سائٹس کے لیے جن میں چین سے اتفاقی ٹریفک ہے، اس حد تک پہنچنے کا امکان نہیں ہے، لیکن چین کو نشانہ بنانے والی زیادہ ٹریفک والی سائٹس کو مقامی قانونی مشیر سے مشورہ کرنا چاہیے۔

سرحد پار منتقلی کی دستاویزات

جب کوئی چینی صارف ان کوکیز کے لیے رضامندی دیتا ہے جو چین سے باہر سرورز کو ڈیٹا بھیجتی ہیں (جو تقریباً تمام مغربی تجزیاتی اور اشتہاری پلیٹ فارمز کا معاملہ ہے)، CMP کو اس رضامندی کو سرحد پار منتقلی کے جواز کے حصے کے طور پر دستاویز کرنا چاہیے۔ رضامندی نوٹس میں واضح طور پر ذکر ہونا چاہیے کہ ڈیٹا بین الاقوامی طور پر منتقل کیا جائے گا۔

عالمی تعمیل کے لیے عملی اقدامات

یہاں ان ویب سائٹس کے لیے ترجیحی عمل کا منصوبہ ہے جنہیں GDPR کے ساتھ PIPL کو حل کرنے کی ضرورت ہے:

• اپنے چینی ٹریفک کا آڈٹ کریں: یہ سمجھنے کے لیے اپنے تجزیات چیک کریں کہ آپ کے زائرین کا کتنا فیصد چین سے آتا ہے۔ اگر یہ نہ ہونے کے برابر ہے تو آپ کا خطرہ کم ہے لیکن صفر نہیں ہے۔
• اپنی کوکیز کو PIPL زمروں سے میپ کریں: اس بات کا تعین کریں کہ کون سی کوکیز PIPL کی تعریف کے تحت ذاتی معلومات پر کارروائی کرتی ہیں اور کیا کوئی حساس ذاتی معلومات شامل ہے۔
• جیو ٹارگٹڈ رضامندی نافذ کریں: ایسی CMP استعمال کریں جو زائر کے مقام کی بنیاد پر مختلف رضامندی کے تجربات پیش کر سکے، ہر خطے کے لیے مناسب زبان اور قانونی بنیاد کے ساتھ۔
• اپنی پرائیویسی پالیسی اپ ڈیٹ کریں: خاص طور پر PIPL حقوق اور چینی صارفین کے لیے آپ کے ڈیٹا پروسیسنگ طریقوں کو حل کرنے والا سیکشن شامل کریں۔
• سرحد پار منتقلی کا جائزہ لیں: دستاویز کریں کہ چینی صارفین کی ذاتی معلومات بین الاقوامی طور پر کیسے منتقل اور پروسیس ہوتی ہے، اور یقینی بنائیں کہ آپ کے پاس ایک درست منتقلی کا طریقہ ہے۔

اہم نوٹ: چین کو نشانہ بنانے والی ویب سائٹس کے لیے PIPL کی تعمیل پیچیدہ ہو سکتی ہے، اور ریگولیٹری رہنمائی ابھی بھی ارتقا پذیر ہے۔ یہ مضمون ایک عمومی جائزہ فراہم کرتا ہے، لیکن چین میں اہم آپریشنز یا صارفین کی بنیاد رکھنے والی تنظیموں کو اپنی صورتحال کے لیے مخصوص قانونی مشورہ لینا چاہیے۔

FlexyConsent خطے سے مخصوص قواعد کے ساتھ جیو ٹارگٹڈ رضامندی کے تجربات کی حمایت کرتا ہے، جو آپ کو ایک واحد پلیٹ فارم سے GDPR، PIPL، CCPA اور دیگر پرائیویسی قوانین کا انتظام کرنے کی اجازت دیتا ہے۔ مفت پلان میں جیو ڈیٹیکشن اور ملٹی ریجن رضامندی کنفیگریشن شامل ہے۔