Hiểu về Luật Bảo vệ Thông tin Cá nhân của Trung Quốc

Luật Bảo vệ Thông tin Cá nhân của Trung Quốc (PIPL), có hiệu lực từ ngày 1 tháng 11 năm 2021, là một trong những quy định bảo mật dữ liệu quan trọng nhất ngoài châu Âu. Đối với các trang web toàn cầu, đặc biệt là những trang có khách truy cập từ Trung Quốc hoặc hoạt động tại Trung Quốc, PIPL tạo ra các nghĩa vụ đồng ý tồn tại độc lập với và đôi khi mâu thuẫn với các yêu cầu của GDPR.

PIPL điều chỉnh việc xử lý thông tin cá nhân của các cá nhân trong Trung Quốc. Phạm vi lãnh thổ của nó rộng: nó áp dụng cho bất kỳ tổ chức nào xử lý thông tin cá nhân của người ở Trung Quốc, bất kể tổ chức đó đặt trụ sở ở đâu. Nếu trang web của bạn có thể truy cập được bởi người dùng Trung Quốc và bạn thu thập bất kỳ dữ liệu cá nhân nào từ họ, PIPL có liên quan đến bạn.

PIPL so với GDPR: Những khác biệt quan trọng

Mặc dù PIPL thường được gọi là "GDPR của Trung Quốc", sự so sánh này che khuất những khác biệt quan trọng ảnh hưởng đến cách bạn triển khai sự đồng ý:

• Sự đồng ý là cơ sở pháp lý chính: GDPR cung cấp sáu cơ sở pháp lý cho việc xử lý, bao gồm lợi ích hợp pháp. PIPL tập trung nhiều hơn vào sự đồng ý. Mặc dù nó thừa nhận các cơ sở pháp lý khác (cần thiết theo hợp đồng, nghĩa vụ pháp lý, lợi ích công cộng), phạm vi của lợi ích hợp pháp hẹp hơn nhiều, và sự đồng ý là mặc định được kỳ vọng cho hầu hết việc xử lý dữ liệu thương mại.
• Sự đồng ý riêng cho dữ liệu nhạy cảm: PIPL yêu cầu sự đồng ý riêng biệt, rõ ràng cho việc xử lý thông tin cá nhân nhạy cảm, bao gồm dữ liệu sinh trắc học, thông tin tài chính, theo dõi vị trí và dữ liệu của trẻ vị thành niên dưới 14 tuổi. Theo dõi hành vi dựa trên cookie có thể thuộc danh mục này.
• Bản địa hóa dữ liệu bắt buộc: Các nhà khai thác cơ sở hạ tầng thông tin quan trọng và các tổ chức xử lý thông tin cá nhân vượt quá ngưỡng khối lượng do Cục Quản lý Không gian mạng Trung Quốc (CAC) quy định phải lưu trữ dữ liệu trong Trung Quốc. Điều này ảnh hưởng đến nơi dữ liệu phân tích và cookie của bạn có thể được xử lý.
• Hạn chế chuyển giao xuyên biên giới: Việc chuyển thông tin cá nhân ra ngoài Trung Quốc yêu cầu một trong ba cơ chế: vượt qua đánh giá bảo mật của CAC, được chứng nhận bởi một tổ chức được công nhận, hoặc ký kết các điều khoản hợp đồng tiêu chuẩn do CAC công bố. Điều này hạn chế hơn so với các cơ chế chuyển giao của GDPR.
• Quyền cá nhân với đặc trưng Trung Quốc: PIPL trao cho chủ thể dữ liệu các quyền tương tự GDPR (truy cập, chỉnh sửa, xóa, khả năng chuyển đổi), nhưng bổ sung quyền từ chối ra quyết định tự động và quyền yêu cầu giải thích các quy tắc xử lý tự động.

PIPL có ý nghĩa gì đối với cookie và theo dõi

PIPL không đề cập cụ thể đến "cookie" theo cách mà Chỉ thị ePrivacy của EU làm. Tuy nhiên, định nghĩa rộng của luật về thông tin cá nhân — bất kỳ thông tin nào liên quan đến một người tự nhiên đã được hoặc có thể được xác định — bao gồm hầu hết việc theo dõi dựa trên cookie:

• Cookie phân tích theo dõi hành vi người dùng qua các trang thu thập thông tin cá nhân theo định nghĩa của PIPL, ngay cả khi người dùng chưa đăng nhập.
• Cookie quảng cáo và pixel theo dõi liên trang web rõ ràng thuộc phạm vi, vì chúng xây dựng hồ sơ gắn với mã nhận dạng thiết bị.
• Cookie phiên cho chức năng cơ bản (giỏ hàng, trạng thái đăng nhập) thường được cho phép trên cơ sở cần thiết theo hợp đồng, tương tự GDPR.
• Cookie của bên thứ ba chia sẻ dữ liệu với các bên bên ngoài kích hoạt các yêu cầu PIPL bổ sung về tiết lộ bên thứ ba và có thể là các quy tắc chuyển giao xuyên biên giới.

Thực thi PIPL: Hậu quả thực tế

Không giống như một số luật bảo mật chủ yếu tồn tại trên giấy, việc thực thi PIPL đã hoạt động tích cực và ngày càng mạnh mẽ. Cục Quản lý Không gian mạng Trung Quốc, cùng với Bộ Công an và các cơ quan khác, đã thực hiện các hành động cụ thể:

• Các cửa hàng ứng dụng lớn ở Trung Quốc đã gỡ bỏ ứng dụng vì thu thập dữ liệu quá mức và không nhận được sự đồng ý phù hợp. Hàng trăm ứng dụng đã bị xóa khỏi danh sách trong các chiến dịch thực thi.
• Các công ty đã bị phạt vì thu thập thông tin cá nhân vượt quá mức cần thiết cho mục đích đã nêu của họ.
• CAC đã đưa ra cảnh báo công khai đối với các công ty có chính sách bảo mật không mô tả đầy đủ các hoạt động xử lý dữ liệu.
• Trong các trường hợp nghiêm trọng, PIPL cho phép phạt lên đến 50 triệu RMB (khoảng 7 triệu USD) hoặc 5% doanh thu năm trước, cùng với việc đình chỉ hoạt động kinh doanh.

Đối với các công ty quốc tế, rủi ro là cả về quy định và thương mại. Việc không tuân thủ có thể dẫn đến việc gỡ ứng dụng khỏi cửa hàng ứng dụng Trung Quốc, chặn dịch vụ và thiệt hại danh tiếng trong thị trường có hơn một tỷ người dùng internet.

Nhắm mục tiêu địa lý đối với khách truy cập Trung Quốc

Nếu trang web của bạn phục vụ đối tượng toàn cầu bao gồm người dùng Trung Quốc, bạn cần một chiến lược đồng ý nhắm mục tiêu địa lý. Điều này có nghĩa là phát hiện khi khách truy cập ở Trung Quốc và trình bày các cơ chế đồng ý đáp ứng yêu cầu PIPL:

• Phát hiện dựa trên IP: Sử dụng định vị địa lý IP để xác định khách truy cập từ Trung Quốc đại lục. Đây là cách tiếp cận tương tự được sử dụng cho nhắm mục tiêu địa lý GDPR đối với khách truy cập EEA.
• Tín hiệu dựa trên ngôn ngữ: Nếu ngôn ngữ trình duyệt của người dùng được đặt thành tiếng Trung (zh-CN hoặc zh-TW), điều này có thể đóng vai trò là tín hiệu phụ, mặc dù không nên là yếu tố quyết định duy nhất.
• Nội dung banner đồng ý: Thông báo đồng ý hiển thị cho người dùng Trung Quốc nên bằng tiếng Trung giản thể, nêu rõ mục đích thu thập dữ liệu, xác định bên kiểm soát dữ liệu và cung cấp cơ chế thực sự để từ chối xử lý không cần thiết.
• Sự đồng ý riêng cho xử lý nhạy cảm: Nếu bạn sử dụng cookie cho lập hồ sơ hành vi hoặc theo dõi vị trí, người dùng Trung Quốc nên thấy một lời nhắc đồng ý riêng biệt, chi tiết hơn cho các danh mục này.

Quản lý GDPR và PIPL với một CMP

Hầu hết các trang web toàn cầu cần tuân thủ nhiều chế độ bảo mật đồng thời. Thách thức là trình bày trải nghiệm đồng ý phù hợp cho đúng người dùng mà không cần duy trì các hệ thống riêng biệt. Đây là cách tiếp cận thống nhất hoạt động:

Phát hiện khu vực là nền tảng

CMP trước tiên phải xác định vị trí của khách truy cập. Dựa trên điều này, nó áp dụng các quy tắc đồng ý phù hợp:

• Khách truy cập EEA/UK: Banner đồng ý TCF 2.3 với Consent Mode V2, mô hình opt-in, tất cả yêu cầu GDPR.
• Khách truy cập Trung Quốc: Thông báo đồng ý tuân thủ PIPL bằng tiếng Trung giản thể, opt-in cho xử lý không cần thiết, tiết lộ rõ ràng về chuyển giao xuyên biên giới nếu dữ liệu rời khỏi Trung Quốc.
• Khách truy cập Hoa Kỳ: Quy tắc theo từng tiểu bang (CCPA/CPRA cho California, luật tiểu bang cho Colorado, Connecticut, Virginia, v.v.), thường là mô hình opt-out.
• Các khu vực khác: Hành vi mặc định dựa trên mức chấp nhận rủi ro của nhà xuất bản và luật địa phương áp dụng.

Cân nhắc về lưu trữ sự đồng ý

Yêu cầu bản địa hóa dữ liệu của PIPL có nghĩa là hồ sơ đồng ý cho người dùng Trung Quốc có thể cần được lưu trữ trên các máy chủ trong Trung Quốc nếu khối lượng xử lý dữ liệu của bạn vượt quá ngưỡng của CAC. Đối với hầu hết các trang web quốc tế có lưu lượng truy cập từ Trung Quốc ngẫu nhiên, ngưỡng này khó có thể đạt được, nhưng các trang web có lưu lượng truy cập cao nhắm mục tiêu Trung Quốc nên tham khảo ý kiến tư vấn pháp lý địa phương.

Tài liệu chuyển giao xuyên biên giới

Khi người dùng Trung Quốc đồng ý với cookie gửi dữ liệu đến máy chủ ngoài Trung Quốc (đây là trường hợp của hầu như tất cả các nền tảng phân tích và quảng cáo phương Tây), CMP nên ghi lại sự đồng ý này như một phần của lý do chuyển giao xuyên biên giới. Thông báo đồng ý nên đề cập rõ ràng rằng dữ liệu sẽ được chuyển giao quốc tế.

Các bước thực tế cho tuân thủ toàn cầu

Đây là kế hoạch hành động ưu tiên cho các trang web cần giải quyết PIPL cùng với GDPR:

• Kiểm tra lưu lượng truy cập từ Trung Quốc: Kiểm tra phân tích của bạn để hiểu bao nhiêu phần trăm khách truy cập đến từ Trung Quốc. Nếu không đáng kể, rủi ro của bạn thấp hơn nhưng không bằng không.
• Phân loại cookie theo danh mục PIPL: Xác định cookie nào xử lý thông tin cá nhân theo định nghĩa của PIPL và liệu có cookie nào liên quan đến thông tin cá nhân nhạy cảm hay không.
• Triển khai đồng ý nhắm mục tiêu địa lý: Sử dụng CMP có thể cung cấp các trải nghiệm đồng ý khác nhau dựa trên vị trí khách truy cập, với ngôn ngữ và cơ sở pháp lý phù hợp cho từng khu vực.
• Cập nhật chính sách bảo mật: Thêm phần đặc biệt đề cập đến quyền PIPL và các thực tiễn xử lý dữ liệu của bạn cho người dùng Trung Quốc.
• Xem xét chuyển giao xuyên biên giới: Ghi lại cách thông tin cá nhân của người dùng Trung Quốc được chuyển giao và xử lý quốc tế, và đảm bảo bạn có cơ chế chuyển giao hợp lệ.

Lưu ý quan trọng: Tuân thủ PIPL cho các trang web nhắm mục tiêu Trung Quốc có thể phức tạp, và hướng dẫn quy định vẫn đang phát triển. Bài viết này cung cấp tổng quan chung, nhưng các tổ chức có hoạt động đáng kể tại Trung Quốc hoặc cơ sở người dùng lớn nên tìm kiếm tư vấn pháp lý cụ thể cho tình huống của họ.

FlexyConsent hỗ trợ trải nghiệm đồng ý nhắm mục tiêu địa lý với các quy tắc theo khu vực, cho phép bạn quản lý GDPR, PIPL, CCPA và các luật bảo mật khác từ một nền tảng duy nhất. Gói miễn phí bao gồm phát hiện địa lý và cấu hình đồng ý đa khu vực.