x

【中国Cookies合规】中国 - Cookies 和类似技术合规

cioctocdo
25 August 2022
SEO Title
China - Cookies & Similar Technologies Compliance

文章分类

1. 管辖文本


1.1 立法


中国既没有直接制定任何关于 cookie 或类似技术的法律,也没有制定任何电子隐私法律或法规。此外,《中华人民共和国个人信息保护法》(此处仅提供中文版)(“PIPL”)未提供与 Cookie 和类似技术相关的任何要求。因此,Cookie 和类似技术不受中国任何法律法规的具体约束。但是,由于 cookie 和类似技术是收集和处理个人数据和其他业务数据的工具,因此仍然需要遵守中国个人数据保护法律法规。中国也适用于 Cookie 和类似技术的数据隐私法律法规包括:

  • PIPL;
  • 中华人民共和国民法典(“民法典”);
  • 中华人民共和国刑事诉讼法修正案(此处仅提供中文版)(“刑法修正案”);
  • 2016 年网络安全法(此处仅提供中文版;此处提供非官方英文版)(“网络安全法”);
  • 数据安全法(这里只有中文版);和
  • 中华人民共和国电子商务法(“电子商务法”)。

此外,还有国家标准,如:

  • GB/T 35273-2020 信息安全技术个人信息安全规范

但是,有关个人信息保护的国家标准只是推荐性的,而不是强制执行的。

另外,由于《个人信息保护法》是一部新的综合性个人信息保护法,以上所列法律与《个人信息法》相冲突的内容或要求均应受《个人信息法》的约束。

1.2.监管机构指南


国家互联网信息办公室、工业和信息化部、公安部、市场监督管理总局发布《关于开展专项打击APP非法收集、使用个人信息专项行动的公告》此处)(“公告”)阐明应用程序运营商在收集个人信息时所要求的行为。

之后,上述四大监管部门又发布了另一条指引《应用程序违法违规收集使用个人信息行为认定办法》(以下简称《办法》),明确哪些种行为将被视为违反法律法规。

基于上述指导方针,中国成立了一个名为“应用程序个人信息保护工作组的工作组,负责应用程序隐私检查活动

2. 定义

 

Cookie 和类似技术:

中国法律中没有 Cookie 和类似技术的定义。实际上,cookie 是在您访问网站时放置在您的计算机或移动设备上的小型数据文件。 Cookie 被网站所有者广泛使用,以维护其网站的功能、提高运营效率或提供分析信息。

网站所有者设置的 Cookie 称为“第一方 Cookie”。由网站所有者以外的各方设置的 Cookie 称为“第三方 Cookie”。第三方 cookie 允许在网站上或通过网站提供第三方特性或功能(例如广告、交互式内容和分析)。设置这些第三方 cookie 的各方不仅可以在访问相关网站时识别个人计算机,而且在访问某些其他网站时也可以识别该计算机。

“类似技术”可能包括点击流、网络信标、flash cookie、插入的网络链接、软件开发工具包(“SDK”)和其他标识符,使网站运营商能够识别某人何时访问过他们的网站.例如,这些允许运营商监控用户从一个页面到另一个页面的流量模式,通过 cookie 传递或通信,了解用户是否通过第三方网站上显示的在线广告被转移到网站,提高网站性能,或衡量营销活动的成功与否。

同意:

有关更多信息,请参阅下文第 3 节。

个人信息:

指以电子或其他方式记录的与已识别或可识别自然人相关的各种信息,不包括匿名信息(PIPL 第 4 条)。比较这两个概念,我们可以发现 PIPL 下的个人信息将与通用数据保护条例(Regulation (EU) 2016/679)('GDPR')下的个人信息相似。

根据《网络安全法》,“个人信息”是指以电子或者其他形式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。但是,个人信息的概念已经在 PIPL 下发生了变化。

通过 cookie 收集的信息是否属于个人信息,取决于它是否可以用于识别个人。目前,IP地址等信息应被视为个人信息,因为技术正在发展到IP地址与其他信息结合时可用于识别个人的程度。

3. 同意和 Cookie 政策


Cookie 政策

网络安全法

根据《网络安全法》第二十二条的规定,网络产品和服务具有收集用户信息功能的,其提供者应当明确告知用户并征得用户同意。涉及用户个人信息的,提供者还应当遵守《网络安全法》及有关法律、行政法规关于个人信息保护的规定。

《网络安全法》第四十一条规定,网络运营者应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并征得相关方同意。被收集信息的人

PIPL

根据 PIPL 第 17 条,在处理个人信息之前,个人信息处理者(这里的“个人信息处理者”与 GDPR 下的数据处理者不同,更像 GDPR 下的数据控制者)应如实、准确、完整地告知以显着的方式和清晰易懂的语言向个人提供以下信息:

  • 个人信息处理者的姓名和联系方式;
  • 处理个人信息的目的、处理方式、处理的个人信息类别、个人信息保留期限;
  • 个人根据 PIPL 行使个人信息保护权利的方式和程序;和
  • 法律法规要求的其他信息。

Cookie 和类似技术将被视为在中国收集和使用用户信息的手段,并且在大多数情况下会涉及到个人信息。

然而,在实践中,中国实体很少展示他们的 cookie 政策和横幅。

这并不意味着实体违反了《网络安全法》的要求,因为 cookie 政策的内容将在其隐私政策中起草,而实体将让个人同意其隐私政策。

根据《办法》,隐私政策未披露所需信息,或通过第三方代码、链接、插件等方式使用,未告知个人目的、方式、范围发生变化的,可视为该目的、手段、范围和其他所需信息未明确说明。因此,与 cookie 和类似技术相关的隐私规则似乎应该包含在隐私政策中。

同意

如上所述,大多数中国实体使用他们的隐私政策来展示他们如何管理 cookie 和类似技术。他们在其网站、应用程序和移动网站上显示其隐私政策,并要求个人在应用程序的启动页面或其网站的登录页面上同意隐私政策。

根据《网络安全法》和《办法》,中国实体必须让个人同意其隐私政策,并且同意必须是明确和积极的。除同意隐私政策外,《办法》还进一步要求应用运营商允许应用用户使用和拒绝使用 SDK 或其他技术

根据 PIPL 第 14 条和第 15 条,同意标准将发生变化,PIPL 下的同意应明示、明确、可撤回,比以前更高。根据 PIPL,如果组织在其网站或应用程序上有 cookie 横幅,则应在 cookie 横幅上做出明确而明确的选择,例如,未选中的框,或供用户单击或选择的选项。

但是,由于cookies和类似技术一旦打开网站就会处理IP地址等信息,因此会出现一个问题:个人如何查看隐私政策以了解他/她的信息,例如IP地址?在他/她打开网站之前被cookies收集?打开应用程序后,您可以在开始页面阅读并同意隐私政策,但网站上的隐私政策通常会被忽略。

在通过 PIPL 之前,同意似乎被视为数据处理的主要法律依据,包括对 cookie 和类似技术的管理,但可能存在滥用同意的风险。目前,《网络安全法》规定的数据处理只有两个法律依据,“同意”和“履行法律义务”

根据民法典,同意和法律义务仍然是合法的基础。此外,根据《民法典》第1036条,在处理个人数据时,处理数据的组织在下列情况下不承担责任:

  • 处理在同意范围内;
  • 相关个人数据已由个人本人披露或已在公共领域(个人明确反对处理或处理违背其切身利益的情况除外);或者
  • 当处理是合理的并且为了保护公共利益或保护个人的合法利益时。

虽然“将不被追究”一词可能被理解为与“合法”不同,但这些情况仍然为企业提供了一种逃避惩罚的方法。 “在同意范围内”是另一个问题,因为它们仍有待澄清。同意的概念在《网络安全法》中并不具体,当这些问题在未来受到司法审查时,可能需要额外关注同意的要求,以及如何获得个人的同意。

PIPL第13条规定了以下七项个人信息处理的法律依据

  1. 同意;
  2. 处理是签署或履行个人为一方的合同所必需的,或者是根据根据劳动法制定的内部雇佣规章制度和按照劳动合同签订的集体合同实施人力资源管理所必需的。法律;
  3. 处理是履行法律职责或法律义务所必需的;
  4. 处理是应对突发公共卫生事件或在紧急情况下保护自然人的生命、健康和财产安全所必需的;
  5. 为开展新闻报道、舆论监督等公共利益行为,在合理范围内处理个人信息;
  6. 依照本法规定在合理范围内处理个人已经公开的个人信息或者其他合法公开的个人信息;和
  7. 法律、法规规定的其他情形。

因此,如果一个组织已经满足其中一个法律基础,则处理应该是合法的。

如果 cookie 是网站必不可少的,cookie 信息可以解释为履行合同(即使用网站)或履行法律义务(即网络安全义务)所必需的,无需征得同意。但是,大多数 cookie 可能不是使用网站所必需的,但可用于分析、性能改进或社交和广告目的,在这种情况下,必须获得明确(express)、明确(clear)和可撤销的同意。这将挑战中国大多数组织的合规措施,因为目前对 cookie 的同意的普遍做法是不可撤销的,大多数横幅在其网站上都会有以下措辞:“使用我们的网站,即表示您同意我们的隐私政策( cookie 政策)”,但很少提供 cookie 设置供用户选择他们希望使用或不使用的 cookie 类型。因此,对于组织来说,这将是困难的,但并非无法实现,因为欧盟的大多数组织已经这样做了

4. Cookie 和第三方


数据共享

在 PIPL 之前,中国法律没有对强制性数据共享协议或数据处理协议做出任何要求,但在向第三方共享个人信息时需要个人同意。

根据《网络安全法》第四十二条的规定,未经被收集人同意,单位不得向他人提供个人信息,但信息处理方式无法识别特定人且无法识别的除外。无法追溯。

根据《办法》,应用运营商不得在未经用户同意或数据匿名化之前,将通过第三方代码、链接等方式收集的个人信息提供给第三方。在实践中,必须在隐私声明中列出 SDK、SDK 的用途和 SDK 提供者,否则当局将与应用运营商沟通并使其受制于此类要求。

根据 PIPL,如果个人信息处理者(如上所述,更像 GDPR 下的数据控制者)选择委托任何受托方(更像 GDPR 下的处理者)代表其处理个人信息(类似于 GDPR 下的控制者与处理者),组织必须根据 PIPL 第 21 条与受托人联系以签署数据处理协议本协议将明确规定处理目的、时效、处理方式、个人信息类别、数据保护措施、双方的权利义务等,并对受托人的个人信息处理活动进行监督。受托人必须按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;数据处理协议未生效、无效、被撤销或终止的,受托人必须将个人信息退还给个人信息处理者或予以删除。未经个人信息处理者许可,受托人不得委托任何额外的第三方对个人信息进行进一步处理

此外,如果个人信息处理者选择与他人共享个人信息,根据《个人信息保护法》第 23 条的规定,个人应被告知接收者的姓名、联系方式、处理目的、处理方式和个人信息类别,以及独立的此时应征得同意。接收方必须在上述处理目的、处理方式和个人信息类型的范围内处理个人信息。但是,如果网站上有许多第三方 cookie,则这对于第三方 cookie 不实用。在这种情况下,组织可能会重新考虑哪个 cookie 应该对业务有效,哪个不是很有用。此外,似乎必须根据此要求更新 cookie 政策和隐私政策,以提供 PIPL 要求的更多信息。还应该注意的是,对于如何获得关于使用 cookie 的独立同意,没有明确的指导。

联合加工

除了委托处理和数据共享之外,PIPL 还引入了联合处理的概念(这更像是 GDPR 下的联合控制)。如果信息处理者共同决定处理的目的和方式,则关系必须符合PIPL第20条,并应准备共同处理者的安排。

此外,根据PIPL第55条,个人信息保护影响评估('PIPIA')(更像是GDPR下的数据保护影响评估('DPIA'))将由委托处理和数据共享触发在 PIPL 第 56 条所列的案件中与第三方合作。为此,PIPIA 必须包含:

  • 个人信息的处理目的和处理方式是否合法、正当、必要;
  • 对人身权利的影响、安全风险;和
  • 采取的保护措施是否合法、有效、是否与风险程度相适应。
  • PIPIA 报告和处理记录应至少保存三年。

5. Cookie 保留


在 PIPL 之前,根据《网络安全法》第 41 条规定的数据原则,中国​​实体必须遵循合法、正当和必要的原则。

根据 PIPL,cookie 收集的个人信息可能会被保留,而该信息仍然是收集目的所必需的。在实践中,以下保留规则适用于 cookie:

  • 对于必要的 cookie,这是为个人提供通过网站或应用程序提供的服务以及使用其某些功能(例如访问付费内容内容)所必需的,这些信息可以保留到个人选择取消其帐户,而不是不再使用网站或应用程序;和
  • 对于其他 cookie,可以保留信息,直到个人选择退出并清除 cookie

根据 PIPL 第 19 条,个人信息必须在数据处理目的所需的最短期限内存储,但法律法规另有规定的除外。因此,如果此类信息是个人信息,组织应进行评估,以了解他们需要 cookie 信息的时间。

6. 其他


《电子商务法》第十八条规定,电子商务经营者根据消费者的爱好、消费习惯或者其他特征,向消费者提供商品或者服务的搜索结果时,应当向消费者提供不属于消费者的选择权。针对其可识别的特征,尊重和平等保护消费者的合法权益。

值得注意的是,在《网络安全法》和《电子商务法》生效之前,朱诉北京百度网通技术有限公司(此处仅提供中文版本)一案是中国第一个关于cookies的案件。该案件涉及一名个人在家中和工作时在电脑上浏览互联网,并注意到他们浏览的网页上与他们的搜索历史相关的几个广告。该个人认为百度股份有限公司未经其许可收集和使用了其个人信息,因此对百度提出索赔。一审法院站在个人一边。然而,在百度提出上诉后,二审法院对此人作出了不利判决。

二审法院认为,通过cookies收集的信息不应被视为个人信息,因为百度并未通过cookies中包含的信息对个人进行个人识别。此外,百度并未禁止将此类信息用于营销目的,这在个人已同意的隐私政策中明确规定,因此个人的主张被驳回。

7. 处罚


国家对 cookie 和类似技术违规行为的相关规定如下:

行政处罚

PIPL

根据《个人信息处理办法》第六十六条的规定,个人信息处理者违反《个人信息处理办法》或者不履行法律规定义务的,由主管部门责令改正,给予警告,没收违法所得,命令它暂停或终止应用程序或服务。

个人信息处理者拒不改正的,由主管部门对违规的个人信息处理者处以不超过人民币100万元(约合133,850欧元)的罚款,并处以不低于人民币10,000元的罚款(约 1,340 欧元)但不超过 100,000 元(约 13,400 欧元)的直接责任人员和其他直接责任人员。

有前款规定的违法行为,情节严重的,履行个人信息保护职责的部门应当:

  • 责令改正,没收违法所得;
  • 处以低于 5000 万元人民币(约合 670 万欧元)或低于上一年营业额 5% 的罚款;
  • 责令停业或者停业整顿,通知有关主管部门吊销有关营业执照或者吊销营业执照;和
  • 对直接负责的主管人员和其他直接责任人员处以人民币 10 万元(约合 13,400 欧元)至 100 万元(约合 133,850 欧元)的罚款,并可以决定暂停其董事、监事、高级管理人员职务,以及一定期限内相关公司的个人信息保护负责人。
  • 此外,根据《个人信用法》第67条的规定,如有违法行为,应当按照相关法律法规的规定,将不合规的组织和个人记入信用档案。进行宣传。

此外,根据《公安法》第七十一条的规定,违反法律规定,构成违反治安管理行为的,将依法给予治安管理处罚。

网络安全法

在PIPL生效之前,网络安全法将是实施行政处罚的主要法律。网络运营者、网络产品、服务提供者侵犯个人信息依法受到保护的权利的,由主管部门责令改正,可以单独或者一并予以纠正(《中华人民共和国民法通则》第64条)。网络安全法):

  • 给它一个警告;
  • 没收其违法所得;
  • 视情况处以违法所得一倍以上十倍以下的罚款;
  • 无违法所得的,处以人民币100万元以下(约合133850欧元)的罚款,并处以人民币1万元以上(约合1340欧元)以上10万元以下的罚款(约合1300万元人民币)。 13,400 欧元)直接负责的负责人和其他直接责任人;和
  • 情节严重的,主管部门可以责令其暂停相关业务经营,停业整顿,关闭网站,或者吊销相关经营许可证、营业执照。
  • 违反《网络安全法》第四十四条规定,以窃取等非法方式获取个人信息,或者非法向他人出售、提供个人信息,尚不构成犯罪的,向社会公开公安机关应当没收违法所得,并处违法所得一倍以上十倍以下的罚款;如果没有非法收入,将处以不超过 100 万元人民币(约合 133,850 欧元)的罚款(《网络安全法》第 64 条)。

电子商务经营者仅根据消费者的爱好、消费习惯等特征为其提供搜索结果的,由市场监督管理部门责令限期改正,没收违法所得;此外,可处以不低于人民币 50,000 元(约合 6,700 欧元)至不超过人民币 200,000 元(约合 26,800 欧元)的罚款,情节严重的可处以不少于人民币 200,000 元(约合 26,800 欧元)的罚款不超过人民币 500,000 元(约合 66,900 欧元)(电子商务法第 77 条)。

刑事处罚

刑法修正案第十七条修改了《中华人民共和国刑事诉讼法》第253条(此处只有中文),规定可以判处三年以下有期徒刑或者拘役。结合罚款,或单独判处罚款;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金:

  • 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的;
  • 违反国家有关规定,将公民个人信息出售或者提供给他人,在履行职责或者提供服务过程中获得的,在刑法第二百五十三条第一条规定的范围内从重处罚;和
  • 窃取或者以其他方式非法获取公民个人信息的,依照刑法第二百五十三条第一款的规定处罚。
  • 单位犯前款罪的,处罚款;构成犯罪的,依法追究刑事责任。对直接负责的主管人员和其他直接责任人员,分别依照各款处罚。

此外,《刑法》第286条规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理职责,经监管部门责令改正后拒不改正的行为。 ——执行的,处三年以下有期徒刑、拘役或者管制,并处罚金或者单处罚金。网络服务提供者有下列情形之一的,同样适用此类处罚:

  • 散布大量违法信息;
  • 泄露用户信息,造成严重后果的;
  • 情节严重的,丧失犯罪证据;或者
  • 有其他严重情节。
  • 单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照规定判刑。
  • 犯本罪,同时又犯其他罪的,从重定罪处罚。

民事诉讼风险

此外,如果公司或其活动违反了有关 cookie 和类似技术的法律法规的任何要求,影响个人利益,个人可以向公司提起民事诉讼。

根据《个人信息保护法》第六十九条的规定,处理个人信息的人侵害个人权益并造成损害,个人信息处理者不能证明自己没有过错的,应当承担侵权损害赔偿责任。

PIPL第六十九条规定的损害赔偿责任,按照个人遭受的损失或者个人信息处理者获得的利益确定;个人遭受的损失和个人信息处理者获得的利益难以确定的,应当根据实际情况确定赔偿金额。

根据《中华人民共和国知识产权法》第七十条的规定,个人信息处理者违反《中华人民共和国知识产权法》规定处理个人信息,侵害多人权益的,人民检察院、法律规定的消费者权益保护组织、组织(网信办认定的非政府组织等,可以依法向人民法院提起诉讼。

本文:https://cioctocdo.com/china-cookies-similar-technologies-compliance

文章链接
https://cioctocdo.com/china-cookies-similar-technologies-compliance

标签