Hướng dẫn Đồng ý Cookie theo UAE PDPL: Federal Decree-Law 45 of 2021 dành cho Nhà xuất bản
Các Tiểu vương quốc Ả Rập Thống nhất đã thông qua Luật Bảo vệ Dữ liệu Cá nhân vào cuối năm 2021 và đưa vào hiệu lực vào năm tiếp theo. Federal Decree-Law 45 of 2021, được biết đến là PDPL, là đạo luật liên bang về quyền riêng tư toàn diện đầu tiên của đất nước, và nó vay mượn nhiều từ cấu trúc của GDPR trong khi điều chỉnh các điều khoản chính để phù hợp với luật liên bang UAE và các cân nhắc về bản địa hóa dữ liệu của đất nước. Đối với các nhà xuất bản hoạt động ở UAE hoặc nhắm vào lưu lượng truy cập UAE — một thị trường đã mở rộng mạnh mẽ với sự tăng trưởng của thương mại điện tử khu vực, fintech và các doanh nghiệp truyền thông quy mô lớn có trụ sở tại Dubai và Abu Dhabi — PDPL đã biến sự đồng ý cookie từ một kỳ vọng mềm thành nghĩa vụ tuân thủ liên bang. Hướng dẫn này đi qua cách PDPL xử lý việc theo dõi trực tuyến, nơi UAE Data Office đang tập trung thực thi và những hệ quả thực tế là gì đối với thiết kế banner cookie và cấu hình CMP.
Khung Pháp lý của PDPL
PDPL áp dụng cho việc xử lý dữ liệu cá nhân của cư dân UAE, bất kể việc xử lý xảy ra trong hay ngoài UAE, và bất kể bộ điều phối hoặc bộ xử lý được thành lập ở UAE hay hoạt động từ nước ngoài. Phạm vi lãnh thổ do đó có tính ngoài lãnh thổ theo cách tương tự như GDPR — một nhà xuất bản hoạt động từ London hoặc Singapore xử lý dữ liệu về cư dân UAE nằm trong phạm vi. Cơ quan giám sát là UAE Data Office, được thành lập theo cùng một gói lập pháp, đã có lập trường thận trọng nhưng ngày càng tích cực hơn về thực thi.
Các nguyên tắc cốt lõi của PDPL sẽ quen thuộc với bất kỳ ai đã làm việc với GDPR: cơ sở pháp lý, giới hạn mục đích, tối thiểu hóa dữ liệu, độ chính xác, giới hạn lưu trữ, tính toàn vẹn và bảo mật, và trách nhiệm giải trình. Các cơ sở pháp lý theo Article 4 bao gồm sự đồng ý, thực hiện hợp đồng, nghĩa vụ pháp lý, lợi ích quan trọng, lợi ích công cộng và lợi ích hợp pháp, mỗi loại có phạm vi và điều kiện riêng. Đối với theo dõi trực tuyến, các cơ sở liên quan là sự đồng ý và trong các trường hợp hẹp, lợi ích hợp pháp. Các cookie được cài đặt sẵn thu thập dữ liệu cá nhân mà không có sự đồng ý là vi phạm theo cách tương tự như theo GDPR.
Điều gì Được Tính là Dữ liệu Cá nhân theo PDPL
Định nghĩa của PDPL về dữ liệu cá nhân rộng và theo sát GDPR: bất kỳ dữ liệu nào liên quan đến một thể nhân được xác định hoặc có thể xác định, bao gồm các định danh trực tuyến. Cookie nhận dạng liên tục một thiết bị, địa chỉ IP được xử lý cùng với dữ liệu khác, ID quảng cáo và các định danh kiểu dấu vân tay đều nằm trong phạm vi. Hướng dẫn thực thi của UAE Data Office đã xác nhận rằng phân tích được áp dụng cho cookie hành vi và quảng cáo trong EU áp dụng về cơ bản theo cùng một hình thức ở UAE — điều khác biệt là kiến trúc thực thi, không phải tiêu chuẩn thực chất.
PDPL cũng định nghĩa một loại dữ liệu cá nhân nhạy cảm với các yêu cầu xử lý nghiêm ngặt hơn, bao gồm thông tin sức khỏe, dữ liệu di truyền và sinh trắc học, niềm tin tôn giáo, hồ sơ hình sự và các loại tương tự. Cookie thu thập bất kỳ dữ liệu nào trong số này yêu cầu sự đồng ý rõ ràng và các biện pháp bảo vệ bổ sung.
Sự đồng ý Cookie theo PDPL
PDPL không có điều khoản dành riêng cho cookie theo cách mà Chỉ thị ePrivacy của EU có. Thay vào đó, yêu cầu đồng ý xuất phát từ Article 6, quy định tiêu chuẩn chung cho sự đồng ý hợp lệ: phải cụ thể, rõ ràng, được thông tin và tự do đưa ra, và chủ thể dữ liệu phải có thể rút lại sự đồng ý dễ dàng như khi họ đã đưa ra. UAE Data Office đã diễn giải tiêu chuẩn này yêu cầu:
- Một hành động khẳng định rõ ràng trước khi cookie không cần thiết kích hoạt. Tiếp tục duyệt, cuộn hoặc sự đồng ý ngụ ý là không đủ.
- Kiểm soát danh mục chi tiết tách biệt cookie hoàn toàn cần thiết khỏi phân tích và quảng cáo, với khả năng khách truy cập chấp nhận một số và từ chối những cái khác.
- Một cơ chế rút lại rõ ràng có thể truy cập từ bất kỳ trang nào nơi theo dõi đang hoạt động, với việc rút lại có hiệu lực ngay lập tức.
- Tài liệu về quyết định đồng ý đủ để thỏa mãn yêu cầu trách nhiệm giải trình theo Article 5.
Trong thực tế đây là cùng một tiêu chuẩn hoạt động mà một nhà xuất bản sẽ xây dựng cho GDPR. Một banner vượt qua tiêu chí của EDPB Cookie Banner Taskforce sẽ thỏa mãn PDPL; banner nào thất bại với chúng sẽ thất bại dưới sự giám sát PDPL cũng vậy.
Chuyển dữ liệu Xuyên biên giới
Một trong những đặc điểm đặc biệt nhất của PDPL là khung chuyển giao xuyên biên giới của nó. Articles 22 and 23 của PDPL đặt ra các điều kiện theo đó dữ liệu cá nhân có thể được chuyển ra ngoài UAE, được cấu trúc theo các đường song song với — nhưng không phản chiếu hoàn toàn — Chương V của GDPR.
Các chỉ định kiểu tính đầy đủ
PDPL cho phép UAE Data Office chỉ định các quốc gia là cung cấp bảo vệ đầy đủ. Danh sách hiện tại ngắn hơn danh sách của Ủy ban Châu Âu và dự kiến sẽ phát triển. Cho đến khi một quốc gia được chỉ định, các chuyển giao yêu cầu một trong các cơ chế hợp pháp khác.
Các thỏa thuận hợp đồng tiêu chuẩn
PDPL cho phép các chuyển giao được hỗ trợ bởi các biện pháp bảo vệ hợp đồng phù hợp, tương tự về cấu trúc với EU SCCs. Nhiều bộ điều phối UAE hoạt động với các phụ lục hợp đồng tùy chỉnh mà UAE Data Office xem xét theo yêu cầu.
Các ngoại lệ cụ thể
Sự đồng ý rõ ràng, thực hiện hợp đồng và ngoại lệ lợi ích quan trọng có sẵn nhưng được hiểu theo nghĩa hẹp. Việc thường xuyên dựa vào sự đồng ý cho các chuyển giao — điều mà theo GDPR thường được coi là ngoại lệ thay vì có hệ thống — được xử lý tương tự ở đây.
Đối với các nhà xuất bản trực tuyến, tác động thực tế là bản ghi đồng ý cookie bây giờ cũng phải hỗ trợ nghĩa vụ trách nhiệm giải trình chuyển giao. Nếu một khách truy cập ở UAE chấp nhận cookie định tuyến dữ liệu của họ đến nhà cung cấp ad-tech Mỹ, CMP cần có khả năng hiển thị công cụ chuyển giao cho phép luồng đó.
Các Cân nhắc về Lĩnh vực và Khu vực Tự do
Bức tranh quyền riêng tư của UAE có nhiều lớp. PDPL liên bang áp dụng rộng rãi, nhưng một số khu vực tự do — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) và Dubai Healthcare City — có các chế độ bảo vệ dữ liệu riêng của họ có từ trước PDPL. Luật Bảo vệ Dữ liệu DIFC số 5 năm 2020 và Quy định Bảo vệ Dữ liệu ADGM 2021 đều phù hợp với GDPR và áp dụng trong các khu vực tương ứng của họ. Các nhà xuất bản hoạt động trên nhiều khu vực phải hòa giải PDPL liên bang với khung khu vực tự do áp dụng; trong hầu hết các trường hợp các tiêu chuẩn thực chất hội tụ nhưng kênh giám sát khác nhau.
Những gì UAE Data Office đã Phát tín hiệu
UAE Data Office đã có chủ đích trong lập trường thực thi của mình, ưu tiên xây dựng năng lực, tham vấn lĩnh vực và các vụ án nổi bật hơn là chế độ phạt tiền khối lượng lớn. Các tài liệu hướng dẫn công khai đã nhấn mạnh:
Thiết kế banner
UAE Data Office đã phù hợp với các tiêu chí kiểu EDPB về thiết kế banner, coi các nút từ chối bị thiếu, kiểu dáng liên kết lừa dối và các hộp kiểm được đánh dấu sẵn là các lỗi phổ biến cần khắc phục. Kỳ vọng là hội tụ với các tiêu chuẩn châu Âu.
Tính minh bạch xuyên biên giới
UAE Data Office đã phát tín hiệu rằng các chuyển giao quốc tế sẽ là trọng tâm đặc biệt, đặc biệt là nơi dữ liệu cá nhân được định tuyến đến các khu vực pháp lý không có tính đầy đủ được chỉ định. Tài liệu về cơ chế chuyển giao được coi là yêu cầu trách nhiệm giải trình, không phải tùy chọn.
Tiết lộ bằng tiếng Ả Rập
Mặc dù PDPL không bắt buộc tiếng Ả Rập, UAE Data Office đã chỉ ra rằng các tiết lộ nên có sẵn bằng tiếng Ả Rập nơi khán giả chủ yếu nói tiếng Ả Rập, cả vì lý do tiếp cận và mục đích chứng cứ.
Danh sách Kiểm tra Tuân thủ Thực tế
Sáu câu hỏi cụ thể để trả lời cho bất kỳ banner cookie nào phục vụ lưu lượng truy cập UAE.
1. Sự đồng ý khẳng định trước khi theo dõi
Cookie không cần thiết có bị chặn ở cấp độ trình tải script cho đến khi khách truy cập thực hiện hành động khẳng định không? Tải trước banner trên các trình theo dõi đã kích hoạt là vi phạm per se.
2. Danh mục chi tiết
Banner có tách biệt các danh mục cần thiết, phân tích và quảng cáo, với các nút chuyển đổi độc lập không? Chấp nhận tất cả theo gói mà không có chi tiết là một lỗi.
3. Tính khả dụng của tiếng Ả Rập
Banner có phát hiện khách truy cập nói tiếng Ả Rập và trình bày bằng tiếng Ả Rập theo mặc định, với tiếng Anh là lựa chọn có thể chuyển đổi không? UAE Data Office đã gắn cờ rõ ràng về khả năng tiếp cận ngôn ngữ.
4. Quyền truy cập rút lại
Kiểm soát rút lại có liên tục và có thể truy cập từ mọi trang không? Cài đặt nhiều bước được chôn trong một liên kết chân trang không đáp ứng tiêu chuẩn rút lại dễ dàng như khi đưa ra.
5. Tài liệu chuyển giao xuyên biên giới
Đối với mỗi cookie kích hoạt chuyển giao quốc tế, cơ chế chuyển giao (tính đầy đủ, biện pháp bảo vệ hợp đồng, ngoại lệ) có được ghi lại và có thể cung cấp theo yêu cầu không?
6. Ghi nhật ký đồng ý
Hệ thống có ghi lại từng quyết định đồng ý với dấu thời gian, phiên bản banner, lựa chọn và khu vực pháp lý của khách truy cập để nhà xuất bản có thể trả lời yêu cầu điều tra của UAE Data Office bằng bằng chứng không?
Vị trí của PDPL trong Bức tranh Khu vực
UAE PDPL là một trong nhiều khung quyền riêng tư của Vùng Vịnh đã có hiệu lực trong vài năm qua — PDPL của Ả Rập Saudi, Luật Bảo vệ Dữ liệu Cá nhân của Bahrain, Luật Bảo mật Dữ liệu Cá nhân của Qatar và Luật Bảo vệ Dữ liệu Cá nhân của Oman đều hoạt động cùng với nó. Các tiêu chuẩn thực chất trên toàn khu vực đang hội tụ về các nguyên tắc phù hợp với GDPR, với các biến thể quốc gia trong kiến trúc giám sát, cơ chế chuyển giao và miễn trừ theo lĩnh vực. Đối với các nhà xuất bản hoạt động trên khắp Vùng Vịnh, xây dựng một lần theo tiêu chuẩn cao hơn — đồng ý chi tiết, rút lại liên tục, chuyển giao được ghi lại, hỗ trợ ngôn ngữ Ả Rập, ghi nhật ký cấp độ kiểm toán — xử lý tuân thủ khu vực thông qua cùng một cơ sở hạ tầng CMP xử lý tuân thủ châu Âu. UAE là, theo nhiều nghĩa, bellwether khu vực: nơi UAE Data Office di chuyển, các cơ quan quản lý lân cận có xu hướng theo dõi.