Undang-Undang Perlindungan Data Peribadi Mesir No. 151 Tahun 2020 — Panduan Pematuhan Persetujuan Kuki: Buku Panduan 2026 untuk Penerbit
Undang-Undang Perlindungan Data Peribadi Mesir No. 151 Tahun 2020 — biasanya dirujuk sebagai PDPL Mesir — telah dikeluarkan pada 15 Julai 2020 dan berkuat kuasa pada 14 Oktober 2020. Bagi sebahagian besar tempoh sejak itu, ketiadaan peraturan pelaksanaan bermakna Undang-Undang ini kekal sebagai pernyataan prinsip dan bukannya rejim yang boleh dikuatkuasakan. Keadaan ini berubah apabila Pusat Perlindungan Data Peribadi — pengawal selia yang ditubuhkan di bawah Undang-Undang, dilampirkan kepada Kementerian Komunikasi dan Teknologi Maklumat — menerbitkan rangka kerja operasional, keperluan pelesenan, dan peraturan pelaksanaan yang Undang-Undang terpaksa menangguhkannya. Menjelang 2026, rejim ini beroperasi sepenuhnya, laluan pelesenan bagi pengawal dan pemproses data aktif, dan penerbit yang beroperasi di atau menyasarkan Mesir tertakluk kepada standard persetujuan domestik yang lebih hampir kepada GDPR daripada model serantau lama mana-mana. Implikasi bagi persetujuan kuki adalah langsung: sepanduk yang berfungsi di Mesir di bawah rejim lama tidak mencukupi sekarang, dan sepanduk yang memenuhi GDPR akan memenuhi PDPL hanya apabila integrasi mengambil kira titik di mana dua rangka kerja tersebut berbeza.
Apa yang sebenarnya diperlukan oleh PDPL Mesir
Undang-Undang terpakai kepada pemprosesan data peribadi penduduk Mesir tanpa mengira di mana pengawal atau pemproses ditubuhkan, dan kepada pengawal dan pemproses yang ditubuhkan di Mesir tanpa mengira di mana subjek data berada. Jangkauan ekstrateritorial ini mencerminkan Artikel 3 GDPR dan bermakna penerbit yang beribu pejabat di luar Mesir tetapi mempunyai pembaca Mesir, pemasangan aplikasi, atau pelanggan yang membayar berada dalam skop. Data peribadi ditakrifkan secara luas sebagai mana-mana data yang berkaitan dengan orang semula jadi yang dikenal pasti atau boleh dikenal pasti, dengan data peribadi sensitif — termasuk data kesihatan, biometrik, genetik, kesihatan mental, kewangan, kepercayaan agama, pendapat politik, dan sabitan jenayah — tertakluk kepada ambang persetujuan yang lebih tinggi dan perlindungan tambahan.
Undang-Undang menetapkan asas yang sah untuk pemprosesan, set hak subjek data yang standard — akses, pembetulan, pemadaman, sekatan, bantahan, dan mudah alih — rangka kerja akauntabiliti pengawal-pemproses, kewajipan pemberitahuan pelanggaran, kawalan pemindahan rentas sempadan, dan rejim penalti pentadbiran dengan denda dari EGP 100,000 untuk pelanggaran kecil hingga EGP 5 juta untuk pelanggaran serius atau berulang. Sanksi jenayah terpakai kepada kategori yang paling serius, termasuk pemindahan rentas sempadan tanpa lesen dan pemprosesan data sensitif tanpa kebenaran.
Bagaimana PDPL menangani persetujuan kuki secara khusus
Tidak seperti Arahan ePrivacy EU, PDPL tidak mengandungi peruntukan berasingan mengenai kuki. Kuki dan teknologi penyimpanan serta akses yang analog termasuk dalam rangka kerja persetujuan umum: mana-mana pemprosesan data peribadi yang bergantung kepada persetujuan sebagai asas sahnya mesti diperoleh berdasarkan ekspresi persetujuan yang jelas, sukarela, spesifik, dan terdokumentasi daripada subjek data. Pusat Perlindungan Data Peribadi, dalam panduannya yang dikeluarkan semasa permulaan berperingkat peraturan, telah mengesahkan bahawa kotak yang ditanda sebelumnya, persetujuan tersirat yang disimpulkan daripada penyemakan imbas berterusan, dan sepanduk persetujuan yang digabungkan tidak memenuhi standard Undang-Undang. Ini membawa Mesir ke dalam penyelarasan penuh dengan trajektori global dan bermakna postur praktikal yang sudah dikekalkan oleh penerbit untuk EEA adalah titik permulaan yang betul untuk trafik Mesir.
Kesan praktikalnya ialah kuki dan mana-mana teknologi yang analog yang tidak semestinya diperlukan untuk menyampaikan perkhidmatan tidak boleh ditetapkan sebelum pengguna secara aktif bersetuju. Kuki yang semestinya diperlukan — pengecam sesi, kandungan troli, token keselamatan, kuki pengimbangan beban — boleh ditetapkan tanpa persetujuan berdasarkan pengguna yang secara aktif meminta perkhidmatan. Semua yang lain — analitik, pengiklanan, pemperibadian, ujian A/B, main semula sesi, dan mana-mana tag pihak ketiga — memerlukan persetujuan terlebih dahulu.
Cara PDPL berbeza daripada GDPR dalam amalan
Tiga perbezaan penting pada lapisan integrasi. Pertama, PDPL memerlukan persetujuan untuk pemprosesan data peribadi sensitif diperoleh secara bertulis atau melalui setara elektronik yang terdokumentasi yang boleh dikemukakan oleh pengawal atas permintaan — standard evidentiari yang lebih tinggi daripada keperluan persetujuan eksplisit GDPR. Kedua, PDPL mengenakan rejim pelesenan: pengawal dan pemproses mesti mendaftar dengan Pusat Perlindungan Data Peribadi, dan kategori pemprosesan tertentu — termasuk pemindahan rentas sempadan dan pemasaran langsung — memerlukan lesen operasional berasingan. Ketiga, peraturan pemindahan rentas sempadan PDPL memerlukan sama ada keputusan kecukupan oleh Pusat, perlindungan kontraktual yang diluluskan, atau persetujuan eksplisit daripada subjek data; pemindahan ke bidang kuasa tanpa penetapan atau perlindungan adalah terhad tanpa mengira postur pematuhan penerima sendiri.
Rupa sepanduk kuki yang mematuhi PDPL
Keperluan teknikal bertemu dengan apa yang sudah dihasilkan oleh setiap CMP moden, tetapi pelabelan, dokumentasi, dan log persetujuan mesti mencerminkan spesifik Mesir. Sepanduk lapisan pertama mesti membentangkan kepada pengguna pilihan sebenar — terima, tolak, urus — di mana pilihan tolak sekurang-kurangnya sama menonjol dengan pilihan terima. Persetujuan yang digabungkan adalah dilarang, jadi lapisan kedua mesti membenarkan opt-in mengikut kategori yang meliputi sekurang-kurangnya analitik, pengiklanan, dan mana-mana pemprosesan yang bergantung kepada pemindahan rentas sempadan. Kategori mesti lalai kepada mati; sepanduk tidak boleh memuatkan tag sehingga pengguna telah menyalakannya secara afirmatif.
Notis privasi yang dipaparkan dari sepanduk mesti mengenal pasti pengawal, nombor lesen PDPL pengawal jika berkenaan, kategori data peribadi yang dikumpul, asas sah untuk setiap tujuan pemprosesan, tempoh pengekalan data, kategori penerima termasuk mana-mana sub-pemproses yang terletak di luar Mesir, hak subjek data di bawah Undang-Undang, dan butiran hubungan Pusat Perlindungan Data Peribadi untuk aduan. Notis yang memenuhi standard Artikel 13 GDPR akan bertindih secara substansial, tetapi baris lesen Mesir dan hubungan Pusat mesti ditambah secara eksplisit.
Corak integrasi yang lulus semakan Pusat Perlindungan Data Peribadi
Pelaksanaan rujukan mempunyai empat bahagian bergerak. Yang pertama ialah CMP yang menyokong opt-in mengikut kategori, lalai mati dan mendedahkan pilihan pengguna melalui rentetan persetujuan berstruktur yang boleh disimpan oleh penerbit. Yang kedua ialah lapisan pemuatan tag — pengurus tag sisi pelayan atau pintu gerbang asli CMP — yang menguatkuasakan keadaan persetujuan dengan ketat sebelum mana-mana kuki tidak penting ditetapkan. Yang ketiga ialah log persetujuan, disimpan di sisi pelayan, yang merekodkan untuk setiap peristiwa persetujuan pilihan pengguna setiap kategori, cap masa, versi sepanduk, dan pengecam IP yang dipendekkan atau di-hash supaya pengawal boleh mengemukakan rekod atas permintaan Pusat. Yang keempat ialah laluan penarikan sekurang-kurangnya semudah pemberian asal — biasanya pautan buka semula sepanduk yang kekal dalam pengaki.
- Tag analitik — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — mesti dimuatkan hanya selepas kategori analitik diberikan. Setiap platform menyokong konfigurasi terbuka-persetujuan yang menghalang sebarang penulisan kuki sebelum pintu gerbang membuka.
- Tag pengiklanan — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, pembida header programatik — mesti disekat secara serupa, dan di mana rakan pengiklanan memindahkan data di luar Mesir, bidang kuasa penerima mesti muncul dalam notis privasi. Pendedahan diproses oleh pembekal perkhidmatan global yang generik tidak mencukupi di bawah panduan Pusat.
- Alat main semula sesi dan peta haba — Hotjar, Microsoft Clarity, FullStory — mesti berada di belakang pintu gerbang yang berasingan dan lebih ketat kerana Pusat telah menyelaraskan dengan pandangan EDPB bahawa pemaparan medan input memerlukan persetujuan yang eksplisit dan terperinci.
- Pendedahan pemindahan rentas sempadan mesti khusus kepada setiap bidang kuasa penerima dan merujuk asas undang-undang bagi pemindahan — perlindungan kontraktual yang diluluskan, penetapan kecukupan, atau persetujuan subjek data yang eksplisit.
Pengesahan, pelesenan, dan postur audit untuk 2026
Penempatan Mesir yang boleh dipertahankan pada 2026 mesti lulus empat pemeriksaan teknikal. Pertama, sesi penyemak imbas yang bersih yang disajikan dari alamat IP Mesir mesti menghasilkan sifar kuki tidak penting sebelum sepanduk diambil tindakan. Kedua, laluan tolak-semua mesti menghasilkan postur yang sama seperti sesi tanpa tindakan — tiada tag analitik, tiada tag pengiklanan, tiada skrip main semula sesi. Ketiga, aliran terima-semua mesti menghasilkan hanya tag yang dipersetujui pengguna, dan log persetujuan mesti mengandungi rekod yang sepadan. Keempat, aliran penarikan mesti serta-merta menghentikan kebakaran tag seterusnya, tamatkan kuki yang ditetapkan semasa sesi yang dipersetujui, dan mencetuskan mana-mana isyarat pemadaman atau opt-keluar yang diperlukan oleh rakan kongsi penerima.
Selain pemeriksaan teknikal, postur pelesenan dan audit adalah apa yang menjadikan penempatan boleh dipertahankan. Pengawal yang memproses data peribadi penduduk Mesir melebihi ambang yang ditetapkan oleh peraturan pelaksanaan mesti berdaftar dengan Pusat Perlindungan Data Peribadi, dan rekod pendaftaran — bersama-sama dengan log persetujuan, notis privasi, keputusan penilaian impak perlindungan data untuk pemprosesan risiko lebih tinggi, dan mana-mana kebenaran pemindahan rentas sempadan — membentuk dokumentasi yang mungkin diminta oleh Pusat semasa semakan pematuhan. CMP yang dikonfigurasi dengan betul dengan log sisi pelayan, lapisan pemuatan tag yang menguatkuasakan keadaan persetujuan, notis privasi yang menamakan setiap destinasi pemindahan rentas sempadan, dan dokumen pelesenan yang tersedia adalah apa yang mengubah PDPL Mesir daripada ketidakpastian kawal selia menjadi bahagian postur persetujuan wilayah MENA penerbit yang boleh dipertahankan.