Hướng Dẫn Tuân Thủ Cookie Consent theo PDPA Sri Lanka: Đạo Luật Số 9 năm 2022 Có Hiệu Lực cho Nhà Xuất Bản năm 2026

Sri Lanka đã trải qua hơn một thập kỷ trong quy trình lập pháp trước khi Đạo luật Bảo vệ Dữ liệu Cá nhân của nước này cuối cùng được ban hành với tư cách là Đạo luật số 9 năm 2022, được Chủ tịch Quốc hội chứng nhận vào ngày 19 March 2022. Đạo luật áp dụng kiến trúc rộng đã trở thành tiêu chuẩn toàn cầu kể từ GDPR — giới hạn mục đích, cơ sở pháp lý, quyền của chủ thể dữ liệu, trách nhiệm giải trình, kiểm soát chuyển giao xuyên biên giới, thông báo vi phạm và cơ quan quản lý độc lập với quyền xử phạt hành chính — nhưng nhúng chúng vào một chế độ được điều chỉnh phù hợp với thực tế thương mại và hiến pháp của Nam Á. Đạo luật có hiệu lực theo từng giai đoạn kể từ ngày 17 March 2023, với các nghĩa vụ thực chất được kích hoạt 18 tháng sau đó và các điều khoản thực thi được đưa vào dần dần trong suốt năm 2025 và đến năm 2026. Đối với các nhà xuất bản và bất kỳ thực thể nào khác xử lý dữ liệu cá nhân của các cá nhân tại Sri Lanka, hệ quả là trực tiếp: một lập trường đồng ý cookie thỏa mãn bộ quy tắc lẻ tẻ của các ngành trước đây không còn đủ nữa, và một lập trường thỏa mãn GDPR sẽ thỏa mãn PDPA chỉ khi tích hợp được cấu hình cho các điểm cụ thể mà hai chế độ khác nhau.

PDPA của Sri Lanka thực sự yêu cầu gì

PDPA áp dụng cho việc xử lý dữ liệu cá nhân của các chủ thể dữ liệu có mặt tại Sri Lanka, bất kể người kiểm soát hoặc người xử lý ở đâu, và đối với các người kiểm soát và người xử lý được thành lập tại Sri Lanka bất kể các chủ thể dữ liệu ở đâu. Phạm vi lãnh thổ ngoài phản ánh GDPR Điều 3 và có nghĩa là một nhà xuất bản không có văn phòng tại Sri Lanka nhưng có độc giả, cài đặt ứng dụng hoặc khách hàng trả tiền tại Sri Lanka rõ ràng nằm trong phạm vi. Dữ liệu cá nhân được định nghĩa rộng là bất kỳ thông tin nào liên quan đến một người tự nhiên còn sống được xác định hoặc có thể xác định, với dữ liệu danh mục đặc biệt bao gồm sinh trắc học, di truyền, tài chính, sức khỏe, chủng tộc, dân tộc, tín ngưỡng tôn giáo, quan điểm chính trị và dữ liệu hồ sơ tội phạm được xử lý theo các quy tắc chặt chẽ hơn.

Đạo luật thiết lập bảy nguyên tắc bảo vệ dữ liệu cốt lõi, sáu cơ sở pháp lý để xử lý, bộ quyền tiêu chuẩn của chủ thể dữ liệu — truy cập, chỉnh sửa, xóa, hạn chế, phản đối và di chuyển dữ liệu khi có thể thực hiện được về mặt kỹ thuật — và một cơ quan quản lý, Data Protection Authority of Sri Lanka, với quyền ban hành chỉ thị, áp đặt hình phạt hành chính lên đến LKR 10 triệu mỗi vi phạm và chuyển các vụ việc nghiêm trọng để truy tố hình sự.

PDPA xử lý sự đồng ý cookie cụ thể như thế nào

PDPA không chứa một điều khoản kiểu ePrivacy riêng biệt về cookie theo cách Chỉ thị ePrivacy của EU làm. Thay vào đó, nó đưa việc xử lý cookie vào khung đồng ý kiểu GDPR chung: bất kỳ việc xử lý dữ liệu cá nhân nào dựa vào sự đồng ý làm cơ sở pháp lý phải được thu thập trên cơ sở một hành động khẳng định rõ ràng mà chủ thể dữ liệu biểu thị sự đồng ý, được trao tự do, cụ thể, được thông báo và rõ ràng. DPA đã nhất quán chỉ ra, phù hợp với xu hướng toàn cầu, rằng các ô đã đánh dấu trước, ngôn ngữ tiếp tục duyệt web và các banner đồng ý gói không phải là các hình thức đồng ý hợp lệ theo Đạo luật.

Tác động thực tế là lập trường tương tự mà các nhà xuất bản hoạt động trong EEA đã duy trì: cookie và bất kỳ công nghệ lưu trữ và truy cập tương tự nào không hoàn toàn cần thiết để cung cấp dịch vụ không được đặt trước khi người dùng chủ động đồng ý với chúng. Cookie hoàn toàn cần thiết — định danh phiên, nội dung giỏ hàng, mã thông báo bảo mật, cookie cân bằng tải — có thể được đặt mà không cần đồng ý vì chúng thuộc cơ sở lợi ích hợp pháp gắn liền với dịch vụ mà người dùng đã chủ động yêu cầu. Mọi thứ khác, bao gồm phân tích, quảng cáo, cá nhân hóa, thử nghiệm A/B, phát lại phiên và bất kỳ thẻ bên thứ ba nào, đều yêu cầu sự đồng ý trước.

PDPA khác GDPR như thế nào

Ba điểm khác biệt quan trọng đối với lớp tích hợp. Thứ nhất, danh mục cơ sở pháp lý của PDPA bao gồm cơ sở lợi ích công cộng và nghĩa vụ pháp lý phù hợp gần với GDPR Điều 6 nhưng không bao gồm cơ sở độc lập của lợi ích hợp pháp ở dạng mà các nhà xuất bản châu Âu dựa vào để xử lý đo lường quảng cáo. Tương đương của PDPA hẹp hơn, yêu cầu một bài kiểm tra cân bằng được ghi chép được nộp cùng với hồ sơ xử lý của người kiểm soát và cung cấp cho DPA theo yêu cầu. Thứ hai, các quy tắc chuyển giao xuyên biên giới của PDPA yêu cầu DPA chỉ định các quyền tài phán đích, và các chuyển giao đến các quyền tài phán không được chỉ định yêu cầu hoặc là sự đồng ý rõ ràng, biện pháp bảo vệ hợp đồng được DPA phê duyệt hoặc một trong các ngoại lệ hẹp. Thứ ba, mốc thời gian thông báo vi phạm của PDPA ngắn hơn đối với các vi phạm rủi ro cao và dài hơn đối với các vi phạm rủi ro thấp so với quy tắc GDPR 72 giờ cố định — người kiểm soát phải thông báo mà không chậm trễ không cần thiết và, khi có thể, trong một cửa sổ mà hướng dẫn của DPA đã thắt chặt hơn trong giai đoạn có hiệu lực theo từng bước.

Banner cookie tuân thủ PDPA trông như thế nào

Các yêu cầu kỹ thuật hội tụ với những gì mỗi CMP hiện đại đã tạo ra, nhưng nhãn và nhật ký đồng ý phải phản ánh các chi tiết cụ thể của Sri Lanka. Banner lớp đầu tiên phải trình bày cho người dùng một lựa chọn thực sự — chấp nhận, từ chối, quản lý — trong đó tùy chọn từ chối ít nhất phải nổi bật như tùy chọn chấp nhận. Đồng ý gói bị cấm, vì vậy lớp thứ hai phải cho phép opt-in theo từng danh mục bao gồm ít nhất phân tích, quảng cáo và bất kỳ quá trình xử lý nào phụ thuộc vào chuyển giao xuyên biên giới. Các danh mục phải được đặt mặc định là tắt; banner không được tải các thẻ cho đến khi người dùng đã bật chúng một cách chủ động.

Thông báo quyền riêng tư được hiển thị từ banner phải xác định người kiểm soát, các danh mục dữ liệu cá nhân được thu thập, cơ sở pháp lý cho mỗi mục đích xử lý, thời gian lưu giữ dữ liệu, các danh mục người nhận bao gồm bất kỳ người xử lý phụ nào hoạt động bên ngoài Sri Lanka, các quyền của chủ thể dữ liệu theo PDPA và thông tin liên hệ của DPA để khiếu nại. Một thông báo đáp ứng tiêu chuẩn Điều 13 của GDPR sẽ có sự chồng lấp đáng kể, nhưng các dòng liên hệ DPA và quyền tài phán chuyển giao xuyên biên giới phải được thêm vào một cách rõ ràng.

Mẫu tích hợp vượt qua đánh giá DPA

Triển khai tham chiếu có bốn thành phần chuyển động. Đầu tiên là một CMP hỗ trợ opt-in theo từng danh mục, mặc định tắt và hiển thị lựa chọn của người dùng qua một chuỗi đồng ý có cấu trúc mà nhà xuất bản có thể lưu trữ trong nhật ký đồng ý. Thứ hai là lớp tải thẻ — thường là một trình quản lý thẻ phía máy chủ hoặc cổng script gốc CMP — thực thi nghiêm ngặt trạng thái đồng ý trước khi cho phép bất kỳ cookie không cần thiết nào được đặt. Thứ ba là nhật ký đồng ý phía máy chủ, ghi lại cho mỗi sự kiện đồng ý lựa chọn của người dùng theo từng danh mục, dấu thời gian, phiên bản banner đồng ý, địa chỉ IP (được cắt bớt hoặc băm nếu người kiểm soát đã quyết định điều này thỏa mãn phân tích tối thiểu hóa dữ liệu của họ) và các danh mục được cấp so với bị từ chối. Thứ tư là đường dẫn rút lại ít nhất dễ dàng như việc cấp ban đầu — một liên kết mở lại banner liên tục ở chân trang là mẫu mà DPA đã ngầm chứng thực bằng cách tham chiếu thực tiễn tốt nhất quốc tế.

Lập trường xác nhận và kiểm toán cho năm 2026

Một triển khai Sri Lanka có thể bảo vệ được vào năm 2026 phải vượt qua bốn kiểm tra. Thứ nhất, một phiên trình duyệt sạch được phục vụ từ địa chỉ IP Sri Lanka phải tạo ra không có cookie không cần thiết nào trước khi banner được xử lý. Thứ hai, đường dẫn từ chối tất cả phải dẫn đến lập trường tương tự như một phiên không có hành động — không có thẻ phân tích, không có thẻ quảng cáo, không có script phát lại phiên, chỉ có bộ hoàn toàn cần thiết. Thứ ba, luồng chấp nhận tất cả phải tạo ra các thẻ mà người dùng đã đồng ý và nhật ký đồng ý phải chứa bản ghi tương ứng. Thứ tư, luồng rút lại phải ngay lập tức dừng các lần kích hoạt thẻ tiếp theo, hết hạn các cookie được đặt trong phiên được đồng ý và kích hoạt bất kỳ tín hiệu xóa hoặc opt-out xuôi dòng nào mà các đối tác nhận yêu cầu.

Yêu cầu về dấu vết kiểm toán là nơi PDPA nổi bật nhất vào năm 2026. DPA đã ban hành hướng dẫn chỉ ra rằng người kiểm soát phải có khả năng cung cấp, theo yêu cầu, bản ghi đồng ý cụ thể đã ủy quyền cho bất kỳ hoạt động xử lý nào đã cho. Điều đó có nghĩa là nhật ký đồng ý phải có thể truy vấn được theo định danh người dùng hoặc định danh phiên, được lưu giữ trong một khoảng thời gian mà người kiểm soát đã ghi chép trong lịch lưu giữ của mình và có thể xuất được ở định dạng có cấu trúc. Một CMP được cấu hình đúng cách với nhật ký phía máy chủ, được kết hợp với lớp tải thẻ thực thi trạng thái đồng ý và thông báo quyền riêng tư đặt tên cho mỗi điểm đến chuyển giao xuyên biên giới, là những gì biến PDPA của Sri Lanka từ một điều chưa biết về quy định thành một phần có thể bảo vệ được trong lập trường đồng ý toàn cầu của nhà xuất bản.

← Blog Đọc tất cả →