斯里兰卡PDPA Cookie同意合规指南:2022年第9号法案对2026年出版商的适用

斯里兰卡历经十余年立法程序,其《个人数据保护法》最终以2022年第9号法案形式颁布,由议长于2022年3月19日认证。该法案沿用了自GDPR以来形成的全球标准架构——目的限制、合法依据、数据主体权利、问责制、跨境传输控制、违规通知及具有行政处罚权的独立监管机构——同时将其嵌入符合南亚商业与宪法现实的制度体系。法案从2023年3月17日起分阶段生效,实质性义务于18个月后触发,执法条款则在2025年至2026年间逐步推进。对于处理斯里兰卡个人数据的出版商及其他主体而言,影响直接:过去依赖零散行业规则的Cookie同意做法已不再充分;符合GDPR的做法若未针对两种制度的分歧点进行专项配置,也无法自动满足PDPA要求。

斯里兰卡PDPA的实际要求

PDPA适用于处理位于斯里兰卡的数据主体个人数据的情形,无论控制者或处理者位于何处;同样适用于设立于斯里兰卡的控制者和处理者,无论数据主体位于何处。这一域外效力与GDPR第3条相仿,意味着在斯里兰卡没有办公室、但拥有斯里兰卡读者、应用安装量或付费用户的出版商也在适用范围内。个人数据被广泛定义为与已识别或可识别自然活体人相关的任何信息,生物特征、遗传、金融、健康、种族、民族、宗教信仰、政治意见及犯罪记录等特殊类别数据受更严格规则约束。

该法案确立了七项核心数据保护原则、六项合法处理依据,以及访问、更正、删除、限制、反对和技术可行时的数据可携带等标准数据主体权利,并设立了斯里兰卡数据保护局作为监管机构,有权发布指令、对每次违规处以最高LKR 1000万的行政处罚,并将严重事项移送刑事追诉。

PDPA如何具体规范Cookie同意

PDPA未像欧盟ePrivacy指令那样设有独立的Cookie条款,而是将Cookie处理纳入GDPR式通用同意框架:任何以同意为合法依据的个人数据处理,均须通过数据主体明确的肯定性行为获得,且该同意须自愿、具体、知情且无歧义。数据保护局已一贯表明,与全球趋势一致,预先勾选框、「继续浏览即视为同意」的表述以及捆绑式同意横幅均不构成该法案下的有效同意。

实际效果与已在欧洲经济区(EEA)运营的出版商保持的做法相同:对于非严格必要的Cookie及类似存储访问技术,在用户主动同意前不得设置。会话标识符、购物车内容、安全令牌、负载均衡Cookie等严格必要Cookie可在无同意情况下设置,因为它们属于用户主动请求服务所必需的合法利益依据。其他所有内容——包括分析、广告、个性化、A/B测试、会话回放及任何第三方标签——均须事先获得同意。

PDPA与GDPR的主要差异

集成层面有三处重要差异。其一,PDPA的合法依据目录包含公共利益和法律义务依据,与GDPR第6条紧密对应,但不包含欧洲出版商用于广告效果衡量处理的独立合法利益依据。PDPA的等效条款更为狭窄,要求提交有据可查的平衡测试,并将其归入控制者的处理记录,在数据保护局请求时予以提供。其二,PDPA的跨境传输规则要求数据保护局指定目标司法管辖区,向未指定司法管辖区的传输须取得明确同意、数据保护局批准的合同保障或符合有限豁免情形。其三,PDPA对高风险违规的通知时限短于72小时的GDPR统一规则,对低风险违规则更长——控制者须无不当延迟地通知,并在可行情况下在数据保护局指引收紧后的窗口期内完成。

符合PDPA的Cookie横幅应具备什么

技术要求与现代CMP已有的产出高度一致,但标签和同意日志须体现斯里兰卡的特殊要求。第一层横幅须向用户呈现真实选择——接受、拒绝、管理——其中拒绝选项的显著程度不低于接受选项。捆绑同意被禁止,因此第二层须允许按类别单独选择加入,至少涵盖分析、广告及任何依赖跨境传输的处理。各类别须默认为关闭状态;横幅在用户主动启用前不得加载标签。

从横幅弹出的隐私声明须注明控制者、所收集个人数据的类别、每项处理目的的合法依据、数据保留期限、包括在斯里兰卡境外运营的分处理者在内的接收方类别、PDPA赋予数据主体的权利,以及数据保护局的投诉联系方式。符合GDPR第13条标准的声明在内容上有较大重叠,但数据保护局联系方式和跨境传输司法管辖区的说明须明确补充。

能通过数据保护局审查的集成模式

参考实施方案包含四个关键部分。第一是支持按类别、默认关闭选择加入的CMP,并通过结构化同意字符串向出版商暴露用户选择,以便持久化至同意日志。第二是标签加载层——通常为服务端标签管理器或CMP原生脚本门控——在允许设置任何非必要Cookie之前严格执行同意状态。第三是服务端同意日志,为每条同意事件记录用户按类别的选择、时间戳、同意横幅版本、IP地址(如控制者认定此举满足数据最小化分析则截断或哈希处理),以及授予与拒绝的类别。第四是撤回路径,其便捷程度不低于最初授权——页脚中持久显示的横幅重新开启链接是数据保护局通过引用国际最佳实践隐性认可的模式。

2026年的验证与审计态势

2026年可防御的斯里兰卡合规部署须通过四项检查。其一,从斯里兰卡IP地址发起的全新浏览器会话,在横幅操作前须产生零个非必要Cookie。其二,全部拒绝路径须与无操作会话保持相同态势——无分析标签、无广告标签、无会话回放脚本,仅保留严格必要集。其三,全部接受流程须产生用户已同意的标签,且同意日志须包含对应记录。其四,撤回流程须立即停止后续标签触发、使同意期间设置的Cookie到期,并触发接收合作伙伴要求的任何下游删除或退出信号。

审计追踪要求是PDPA在2026年最具特色之处。数据保护局已发布指引,表明控制者应能够根据请求提供授权特定处理活动的具体同意记录。这意味着同意日志须可按用户标识符或会话标识符查询、按控制者保留计划中记录的期限保存,并可以结构化格式导出。正确配置的CMP搭配服务端日志、执行同意状态的标签加载层,以及注明每个跨境传输目的地的隐私声明,能够将斯里兰卡PDPA从监管未知转变为出版商全球同意态势中可防御的组成部分。

← 博客 阅读全部 →