Luật Bảo vệ Dữ liệu Cá nhân Ai Cập 151 năm 2020 Hướng dẫn Tuân thủ Đồng ý Cookie: Sổ tay 2026 cho Nhà xuất bản

Luật Bảo vệ Dữ liệu Cá nhân Ai Cập số 151 năm 2020 — thường được gọi là PDPL Ai Cập — được ban hành vào ngày 15 tháng 7 năm 2020 và có hiệu lực vào ngày 14 tháng 10 năm 2020. Trong hầu hết thời gian kể từ đó, việc thiếu các quy định thực thi có nghĩa là Luật vẫn là tuyên bố về nguyên tắc hơn là một chế độ có thể thực thi. Điều đó đã thay đổi khi Trung tâm Bảo vệ Dữ liệu Cá nhân — cơ quan quản lý được thành lập theo Luật, trực thuộc Bộ Truyền thông và Công nghệ Thông tin — công bố khung vận hành, yêu cầu cấp phép và các quy định thực thi mà Luật để lại để ban hành. Đến năm 2026, chế độ vận hành đầy đủ, hệ thống cấp phép cho người kiểm soát dữ liệu và người xử lý dữ liệu đang hoạt động, và các nhà xuất bản hoạt động tại Ai Cập hoặc nhắm đến Ai Cập phải tuân theo tiêu chuẩn đồng ý trong nước gần với GDPR hơn bất kỳ mô hình khu vực cũ nào. Hệ quả đối với sự đồng ý cookie rất rõ ràng: một biểu ngữ hoạt động ở Ai Cập theo chế độ cũ hiện không đủ, và một biểu ngữ đáp ứng GDPR sẽ đáp ứng PDPL chỉ khi tích hợp tính đến các điểm mà hai khung phân kỳ.

PDPL Ai Cập thực sự yêu cầu gì

Luật áp dụng cho việc xử lý dữ liệu cá nhân của cư dân Ai Cập bất kể người kiểm soát hoặc người xử lý được thành lập ở đâu, và đối với người kiểm soát và người xử lý được thành lập tại Ai Cập bất kể chủ thể dữ liệu ở đâu. Phạm vi ngoài lãnh thổ đó phản ánh Điều 3 GDPR và có nghĩa là một nhà xuất bản có trụ sở bên ngoài Ai Cập nhưng có độc giả Ai Cập, cài đặt ứng dụng hoặc khách hàng trả phí nằm chắc chắn trong phạm vi. Dữ liệu cá nhân được định nghĩa rộng rãi là bất kỳ dữ liệu nào liên quan đến một cá nhân tự nhiên đã được xác định hoặc có thể xác định, với dữ liệu cá nhân nhạy cảm — bao gồm sức khỏe, sinh trắc học, di truyền, sức khỏe tâm thần, tài chính, tín ngưỡng tôn giáo, quan điểm chính trị và dữ liệu kết án hình sự — phải tuân theo ngưỡng đồng ý cao hơn và các biện pháp bảo vệ bổ sung.

Luật thiết lập các căn cứ pháp lý để xử lý, bộ quyền tiêu chuẩn của chủ thể dữ liệu — tiếp cận, sửa chữa, xóa, hạn chế, phản đối và di chuyển — khung trách nhiệm người kiểm soát-người xử lý, nghĩa vụ thông báo vi phạm, kiểm soát chuyển dữ liệu xuyên biên giới và chế độ xử phạt hành chính với các mức phạt từ EGP 100.000 cho các vi phạm nhỏ đến EGP 5 triệu cho các vi phạm nghiêm trọng hoặc lặp lại. Các biện pháp xử phạt hình sự áp dụng cho các danh mục nghiêm trọng nhất, bao gồm chuyển dữ liệu xuyên biên giới không có giấy phép và xử lý dữ liệu nhạy cảm không được phép.

Cách PDPL xử lý sự đồng ý cookie cụ thể

Không giống như Chỉ thị ePrivacy của EU, PDPL không có điều khoản riêng về cookie. Cookie và các công nghệ lưu trữ và truy cập tương tự nằm trong khung đồng ý chung: bất kỳ hoạt động xử lý dữ liệu cá nhân nào dựa vào sự đồng ý làm căn cứ pháp lý phải được lấy dựa trên biểu hiện rõ ràng, tự nguyện, cụ thể và được ghi lại về sự đồng ý của chủ thể dữ liệu. Trung tâm Bảo vệ Dữ liệu Cá nhân, trong hướng dẫn được ban hành trong quá trình triển khai từng bước các quy định, đã xác nhận rằng các hộp được đánh dấu trước, sự đồng ý ngầm được suy ra từ việc tiếp tục duyệt và các biểu ngữ đồng ý gộp không đáp ứng tiêu chuẩn của Luật. Điều đó đưa Ai Cập hoàn toàn vào dòng chảy toàn cầu và có nghĩa là lập trường thực tế mà các nhà xuất bản đã duy trì cho EEA là điểm khởi đầu đúng đắn cho lưu lượng truy cập từ Ai Cập.

Tác động thực tế là cookie và bất kỳ công nghệ tương tự nào không thực sự cần thiết để cung cấp dịch vụ không được thiết lập trước khi người dùng đã đồng ý một cách tích cực. Cookie thực sự cần thiết — mã định danh phiên, nội dung giỏ hàng, mã thông báo bảo mật, cookie cân bằng tải — có thể được thiết lập mà không cần đồng ý dựa trên cơ sở người dùng đã yêu cầu dịch vụ một cách tích cực. Mọi thứ khác — phân tích, quảng cáo, cá nhân hóa, thử nghiệm A/B, phát lại phiên và bất kỳ thẻ bên thứ ba nào — đều yêu cầu sự đồng ý trước.

Cách PDPL khác với GDPR trong thực tế

Ba điểm khác biệt quan trọng ở lớp tích hợp. Thứ nhất, PDPL yêu cầu sự đồng ý để xử lý dữ liệu cá nhân nhạy cảm phải được lấy bằng văn bản hoặc thông qua tương đương điện tử được ghi lại mà người kiểm soát có thể trình bày theo yêu cầu — tiêu chuẩn chứng minh cao hơn so với yêu cầu đồng ý rõ ràng của GDPR. Thứ hai, PDPL áp đặt chế độ cấp phép: người kiểm soát và người xử lý phải đăng ký với Trung tâm Bảo vệ Dữ liệu Cá nhân, và các danh mục xử lý nhất định — bao gồm chuyển dữ liệu xuyên biên giới và tiếp thị trực tiếp — yêu cầu giấy phép vận hành riêng. Thứ ba, các quy tắc chuyển dữ liệu xuyên biên giới của PDPL yêu cầu quyết định đầy đủ của Trung tâm, biện pháp bảo vệ hợp đồng được phê duyệt hoặc sự đồng ý rõ ràng của chủ thể dữ liệu; các chuyển khoản đến các khu vực pháp lý không có quyết định hoặc biện pháp bảo vệ bị hạn chế bất kể lập trường tuân thủ của người nhận.

Biểu ngữ cookie tuân thủ theo PDPL trông như thế nào

Các yêu cầu kỹ thuật hội tụ với những gì mọi CMP hiện đại đã tạo ra, nhưng nhãn, tài liệu và nhật ký đồng ý phải phản ánh các đặc thù của Ai Cập. Biểu ngữ lớp đầu tiên phải đưa ra cho người dùng một lựa chọn thực sự — chấp nhận, từ chối, quản lý — trong đó tùy chọn từ chối ít nhất cũng nổi bật như tùy chọn chấp nhận. Đồng ý gộp bị cấm, vì vậy lớp thứ hai phải cho phép đăng ký từng danh mục bao gồm ít nhất phân tích, quảng cáo và bất kỳ hoạt động xử lý phụ thuộc vào chuyển dữ liệu xuyên biên giới nào. Các danh mục phải mặc định là tắt; biểu ngữ không được tải thẻ cho đến khi người dùng đã bật chúng một cách tích cực.

Thông báo quyền riêng tư được hiển thị từ biểu ngữ phải xác định người kiểm soát, số giấy phép PDPL của người kiểm soát nếu có, các danh mục dữ liệu cá nhân được thu thập, căn cứ pháp lý cho từng mục đích xử lý, thời gian lưu giữ dữ liệu, các danh mục người nhận bao gồm bất kỳ người xử lý phụ nào đặt bên ngoài Ai Cập, quyền của chủ thể dữ liệu theo Luật và thông tin liên hệ của Trung tâm Bảo vệ Dữ liệu Cá nhân để khiếu nại. Thông báo đáp ứng tiêu chuẩn Điều 13 GDPR sẽ chồng chéo đáng kể, nhưng dòng giấy phép Ai Cập và liên hệ Trung tâm phải được thêm vào một cách rõ ràng.

Mẫu tích hợp vượt qua đánh giá của Trung tâm Bảo vệ Dữ liệu Cá nhân

Triển khai tham chiếu có bốn phần chuyển động. Phần đầu tiên là CMP hỗ trợ đăng ký từng danh mục, mặc định tắt và hiển thị lựa chọn của người dùng qua một chuỗi đồng ý có cấu trúc mà nhà xuất bản có thể lưu trữ. Phần thứ hai là lớp tải thẻ — trình quản lý thẻ phía máy chủ hoặc cổng CMP gốc — thực thi nghiêm ngặt trạng thái đồng ý trước khi thiết lập bất kỳ cookie không cần thiết nào. Phần thứ ba là nhật ký đồng ý, được lưu trữ phía máy chủ, ghi lại cho mỗi sự kiện đồng ý lựa chọn của người dùng theo danh mục, dấu thời gian, phiên bản biểu ngữ và mã định danh IP bị cắt bớt hoặc được mã hóa băm để người kiểm soát có thể cung cấp bản ghi theo yêu cầu của Trung tâm. Phần thứ tư là đường dẫn rút lui ít nhất cũng dễ dàng như việc cấp ban đầu — thường là liên kết mở lại biểu ngữ liên tục ở chân trang.

Xác thực, cấp phép và lập trường kiểm toán cho năm 2026

Một triển khai Ai Cập có thể bảo vệ vào năm 2026 phải vượt qua bốn kiểm tra kỹ thuật. Đầu tiên, một phiên trình duyệt sạch được phục vụ từ địa chỉ IP Ai Cập phải tạo ra không có cookie không cần thiết nào trước khi biểu ngữ được thực hiện. Thứ hai, đường dẫn từ chối tất cả phải dẫn đến cùng lập trường như một phiên không có hành động — không có thẻ phân tích, không có thẻ quảng cáo, không có script phát lại phiên. Thứ ba, luồng chấp nhận tất cả chỉ phải tạo ra các thẻ mà người dùng đã đồng ý và nhật ký đồng ý phải chứa một bản ghi khớp. Thứ tư, luồng rút lui phải ngay lập tức dừng các lần kích hoạt thẻ tiếp theo, hết hạn các cookie được thiết lập trong phiên được đồng ý và kích hoạt bất kỳ tín hiệu xóa hoặc từ chối tham gia nào mà các đối tác nhận yêu cầu.

Ngoài các kiểm tra kỹ thuật, cấp phép và lập trường kiểm toán là điều làm cho một triển khai có thể bảo vệ được. Những người kiểm soát xử lý dữ liệu cá nhân của cư dân Ai Cập vượt quá các ngưỡng được đặt ra bởi các quy định thực thi phải đăng ký với Trung tâm Bảo vệ Dữ liệu Cá nhân, và hồ sơ đăng ký — cùng với nhật ký đồng ý, thông báo quyền riêng tư, kết quả đánh giá tác động bảo vệ dữ liệu cho việc xử lý có rủi ro cao hơn và bất kỳ ủy quyền chuyển dữ liệu xuyên biên giới nào — tạo thành tài liệu mà Trung tâm có thể yêu cầu trong quá trình xem xét tuân thủ. CMP được cấu hình đúng cách với nhật ký phía máy chủ, lớp tải thẻ thực thi trạng thái đồng ý, thông báo quyền riêng tư đặt tên từng điểm đến chuyển dữ liệu xuyên biên giới và hồ sơ cấp phép trong tệp là điều biến PDPL Ai Cập từ một ẩn số pháp lý thành một phần có thể bảo vệ trong lập trường đồng ý khu vực MENA của nhà xuất bản.

← Blog Đọc tất cả →