Xitoyning Shaxsiy ma'lumotlarni himoya qilish to'g'risidagi qonunini tushunish

Xitoyning Shaxsiy ma'lumotlarni himoya qilish to'g'risidagi qonuni (PIPL), 2021-yil 1-noyabrda kuchga kirgan bo'lib, Yevropadan tashqaridagi eng muhim ma'lumotlar maxfiyligi tartibga solishlaridan biridir. Global veb-saytlar uchun, ayniqsa Xitoylik tashrif buyuruvchilari bor yoki Xitoyda faoliyat yuritadiganlar uchun, PIPL GDPR talablaridan mustaqil ravishda mavjud bo'lgan va ba'zan ularga zid bo'lgan rozilik majburiyatlarini yaratadi.

PIPL Xitoydagi jismoniy shaxslarning shaxsiy ma'lumotlarini qayta ishlashni tartibga soladi. Uning hududiy ko'lami keng: u tashkilotning o'zi qayerda joylashganidan qat'i nazar, Xitoyda joylashgan shaxslarning shaxsiy ma'lumotlarini qayta ishlaydigan har qanday tashkilotga tegishli. Agar veb-saytingiz Xitoylik foydalanuvchilar tomonidan foydalanish mumkin bo'lsa va siz ulardan biron-bir shaxsiy ma'lumotlarni to'plasangiz, PIPL sizga tegishli.

PIPL va GDPR: Muhim asosiy farqlar

PIPL ko'pincha "Xitoyning GDPR-i" deb atalsa-da, bu taqqoslash rozilikni qanday amalga oshirishingizga ta'sir qiladigan muhim farqlarni yashiradi:

• Asosiy huquqiy asos sifatida rozilik: GDPR qonuniy manfaat, shu jumladan qayta ishlash uchun oltita huquqiy asosni taqdim etadi. PIPL ko'proq rozilikka yo'naltirilgan. Boshqa huquqiy asoslarni tan olsa-da (shartnomaviy zarurat, qonuniy majburiyat, jamoat manfaati), qonuniy manfaat ko'lami ancha torroq va rozilik ko'pchilik tijorat ma'lumotlarini qayta ishlash uchun kutilgan standart hisoblanadi.
• Maxfiy ma'lumotlar uchun alohida rozilik: PIPL biometrik ma'lumotlar, moliyaviy ma'lumotlar, joylashuvni kuzatish va 14 yoshdan kichik voyaga yetmaganlar ma'lumotlari, shu jumladan maxfiy shaxsiy ma'lumotlarni qayta ishlash uchun alohida, aniq rozilik talab qiladi. Cookie-ga asoslangan xatti-harakatlarni kuzatish bu toifaga kirishi mumkin.
• Majburiy ma'lumotlar lokalizatsiyasi: Muhim axborot infratuzilma operatorlari va Xitoy Kibermakon boshqarmasi (CAC) tomonidan belgilangan hajm chegarasidan yuqori shaxsiy ma'lumotlarni qayta ishlaydigan tashkilotlar ma'lumotlarni Xitoy ichida saqlashlari kerak. Bu sizning tahlil va cookie ma'lumotlaringiz qayerda qayta ishlanishi mumkinligiga ta'sir qiladi.
• Chegara oshiri transfert cheklovlari: Shaxsiy ma'lumotlarni Xitoydan tashqariga o'tkazish uchta mexanizmdan birini talab qiladi: CAC xavfsizlik baholashidan o'tish, tan olingan organ tomonidan sertifikatlash yoki CAC tomonidan nashr etilgan standart shartnomaviy bandlarga kirish. Bu GDPR ning transfer mexanizmlaridan ko'ra cheklovliroq.
• Xitoy xususiyatlariga ega individual huquqlar: PIPL ma'lumotlar sub'ektlariga GDPR-ga o'xshash huquqlarni beradi (kirish, tuzatish, o'chirish, portativlik), lekin avtomatlashtirilgan qaror qabul qilishni rad etish huquqi va avtomatlashtirilgan qayta ishlash qoidalarini tushuntirish so'rash huquqini qo'shadi.

PIPL cookie-lar va kuzatish uchun nimani anglatadi

PIPL "cookie-lar" haqida EU ning ePrivacy Direktivasi kabi maxsus ravishda eslatmaydi. Biroq, qonunning shaxsiy ma'lumotlarning keng ta'rifi — aniqlangan yoki aniqlanishi mumkin bo'lgan jismoniy shaxs bilan bog'liq har qanday ma'lumot — cookie-ga asoslangan kuzatishning ko'p qismini qamrab oladi:

• Tahliliy cookie-lar sahifalar bo'ylab foydalanuvchi xatti-harakatlarini kuzatib, foydalanuvchi tizimga kirmagan bo'lsa ham PIPL ta'rifiga ko'ra shaxsiy ma'lumotlarni to'playdi.
• Reklama cookie-lari va saytlararo kuzatuv piksellari qurilma identifikatorlariga bog'langan profillar yaratganligi sababli aniq ko'lam ichiga kiradi.
• Sessiya cookie-lari asosiy funksionallik uchun (xarid savatchalari, kirish holati) odatda GDPR-ga o'xshash shartnomaviy zarurat asosida ruxsat etiladi.
• Uchinchi tomon cookie-lari tashqi tomonlar bilan ma'lumotlarni almashish orqali uchinchi tomon oshkor qilish va potentsial chegara oshiri transfer qoidalari atrofida qo'shimcha PIPL talablarini keltirib chiqaradi.

PIPL ijrosi: Haqiqiy oqibatlar

Asosan qog'ozda mavjud bo'lgan ba'zi maxfiylik qonunlaridan farqli o'laroq, PIPL ijrosi faol va kuchayib bormoqda. Xitoy Kibermakon boshqarmasi Jamoat xavfsizligi vazirligi va boshqa idoralar bilan birgalikda aniq choralar ko'rdi:

• Xitoydagi yirik ilova do'konlari haddan tashqari ma'lumot to'plash va tegishli rozilik ololmaslik sababli ilovalarni olib tashladi. Ijro kampaniyalarida yuzlab ilovalar ro'yxatdan chiqarildi.
• Kompaniyalar o'zlarining belgilangan maqsadlari uchun zarur bo'lganidan ortiq shaxsiy ma'lumot to'plaganliklari uchun jarimaga tortildi.
• CAC maxfiylik siyosatlari ma'lumotlarni qayta ishlash faoliyatini etarli darajada tavsiflamagan kompaniyalarga ommaviy ogohlantirishlar berdi.
• Og'ir holatlarda PIPL 50 million RMB (taxminan 7 million AQSh dollari) yoki oldingi yil daromadining 5% gacha jarima, shuningdek biznes operatsiyalarini to'xtatib qo'yish imkonini beradi.

Xalqaro kompaniyalar uchun xavf ham tartibga solish, ham tijorat xarakteriga ega. Nomuvofiqlik Xitoy ilova do'konlaridan ilovalarni olib tashlash, xizmatlarni bloklash va bir milliarddan ortiq internet foydalanuvchilari bozorida obro'-e'tiborga putur yetkazishga olib kelishi mumkin.

Xitoylik tashrif buyuruvchilarni geotargetlash

Agar veb-saytingiz Xitoylik foydalanuvchilarni ham o'z ichiga olgan global auditoriyaga xizmat ko'rsatsa, sizga geotargetlangan rozilik strategiyasi kerak. Bu tashrif buyuruvchi Xitoyda joylashganligini aniqlash va PIPL talablariga javob beradigan rozilik mexanizmlarini taqdim etishni anglatadi:

• IP-ga asoslangan aniqlash: Xitoy materigidan kelgan tashrif buyuruvchilarni aniqlash uchun IP geolokatsiyadan foydalaning. Bu EEA tashrif buyuruvchilari uchun GDPR geotargetlash uchun ishlatiladigan yondashuv bilan bir xil.
• Tilga asoslangan signallar: Agar foydalanuvchining brauzer tili xitoycha (zh-CN yoki zh-TW) ga o'rnatilgan bo'lsa, bu ikkinchi darajali signal sifatida xizmat qilishi mumkin, garchi bu yagona belgilovchi bo'lmasligi kerak.
• Rozilik banner tarkibi: Xitoylik foydalanuvchilarga ko'rsatiladigan rozilik bildirishi soddalashtirilgan xitoy tilida bo'lishi, ma'lumotlar to'plash maqsadlarini aniq ko'rsatishi, ma'lumotlar nazoratchilarini aniqlashi va zarur bo'lmagan qayta ishlashni rad etish uchun haqiqiy mexanizm taqdim etishi kerak.
• Maxfiy qayta ishlash uchun alohida rozilik: Agar siz xatti-harakatlar profilini tuzish yoki joylashuvni kuzatish uchun cookie-lardan foydalansangiz, Xitoylik foydalanuvchilar ushbu toifalar uchun alohida, batafsilroq rozilik so'rovini ko'rishlari kerak.

Bitta CMP bilan GDPR va PIPL-ni boshqarish

Ko'pgina global veb-saytlar bir vaqtning o'zida bir nechta maxfiylik rejimlariga muvofiq bo'lishi kerak. Muammo shundaki, alohida tizimlarni saqlamasdan to'g'ri foydalanuvchiga to'g'ri rozilik tajribasini taqdim etishdir. Yagona yondashuv quyidagicha ishlaydi:

Asos sifatida mintaqani aniqlash

CMP avval tashrif buyuruvchining joylashuvini aniqlashi kerak. Bunga asoslanib, tegishli rozilik qoidalarini qo'llaydi:

• EEA/UK tashrif buyuruvchilari: Consent Mode V2 bilan TCF 2.3 rozilik banneri, opt-in modeli, barcha GDPR talablari.
• Xitoylik tashrif buyuruvchilar: Soddalashtirilgan xitoy tilida PIPL-ga mos rozilik bildirishi, zarur bo'lmagan qayta ishlash uchun opt-in, agar ma'lumotlar Xitoydan chiqsa chegara oshiri transferlarning aniq oshkor qilinishi.
• AQSh tashrif buyuruvchilari: Shtatga xos qoidalar (Kaliforniya uchun CCPA/CPRA, Kolorado, Konnektikut, Virjiniya va boshqalar uchun shtat qonunlari), odatda opt-out modellari.
• Boshqa mintaqalar: Nashriyotchining xavf bardoshliligi va amaldagi mahalliy qonunlarga asoslangan standart xatti-harakat.

Rozilikni saqlash masalalari

PIPL ning ma'lumotlarni lokalizatsiya qilish talablari shuni anglatadiki, agar ma'lumotlaringizni qayta ishlash hajmlari CAC chegaralaridan oshsa, Xitoylik foydalanuvchilar uchun rozilik yozuvlarini Xitoydagi serverlarda saqlash kerak bo'lishi mumkin. Xitoydan tasodifiy trafik keladigan ko'pgina xalqaro veb-saytlar uchun bu chegaraga yetish ehtimoli kam, ammo Xitoyni maqsad qilgan yuqori trafikli saytlar mahalliy huquqiy maslahatchi bilan maslahatlashishlari kerak.

Chegara oshiri transfer hujjatlari

Xitoylik foydalanuvchi Xitoydan tashqaridagi serverlarga ma'lumot yuboradigan cookie-larga rozilik berganda (bu deyarli barcha G'arbiy tahlil va reklama platformalari uchun amal qiladi), CMP bu rozilikni chegara oshiri transfer asoslanishining bir qismi sifatida hujjatlashtirishi kerak. Rozilik bildirishi ma'lumotlar xalqaro miqyosda uzatilishini aniq ko'rsatishi kerak.

Global muvofiqlik uchun amaliy qadamlar

GDPR bilan bir qatorda PIPL-ni hal qilishi kerak bo'lgan veb-saytlar uchun ustuvor harakat rejasi:

• Xitoy trafikingizni tekshiring: Tashrif buyuruvchilaringizning necha foizi Xitoydan kelishini tushunish uchun tahlillaringizni tekshiring. Agar u ahamiyatsiz bo'lsa, xavfingiz pastroq, lekin nolga teng emas.
• Cookie-laringizni PIPL toifalariga moslashtiring: Qaysi cookie-lar PIPL ta'rifiga ko'ra shaxsiy ma'lumotlarni qayta ishlashini va birortasi maxfiy shaxsiy ma'lumotlarni o'z ichiga olishini aniqlang.
• Geotargetlangan rozilikni amalga oshiring: Har bir mintaqa uchun tegishli til va huquqiy asos bilan tashrif buyuruvchi joylashuviga qarab turli rozilik tajribalarini taqdim eta oladigan CMP-dan foydalaning.
• Maxfiylik siyosatingizni yangilang: Xitoylik foydalanuvchilar uchun PIPL huquqlari va ma'lumotlarni qayta ishlash amaliyotlaringizni maxsus ko'rib chiqadigan bo'limni qo'shing.
• Chegara oshiri transferlarni ko'rib chiqing: Xitoylik foydalanuvchilarning shaxsiy ma'lumotlari xalqaro miqyosda qanday uzatilishi va qayta ishlanishini hujjatlashtiring va sizda haqiqiy transfer mexanizmi borligiga ishonch hosil qiling.

Muhim eslatma: Xitoyni maqsad qilgan veb-saytlar uchun PIPL muvofiqlik murakkab bo'lishi mumkin va tartibga solish ko'rsatmalari hali ham rivojlanmoqda. Ushbu maqola umumiy ko'rinishni taqdim etadi, ammo Xitoyda muhim operatsiyalari yoki foydalanuvchi bazasi bo'lgan tashkilotlar o'z vaziyatlariga xos huquqiy maslahat olishlari kerak.

FlexyConsent mintaqaga xos qoidalar bilan geotargetlangan rozilik tajribalarini qo'llab-quvvatlaydi, bu sizga yagona platformadan GDPR, PIPL, CCPA va boshqa maxfiylik qonunlarini boshqarish imkonini beradi. Bepul reja geodeteksiya va ko'p mintaqali rozilik konfiguratsiyasini o'z ichiga oladi.