埃及个人数据保护法第151号(2020年)Cookie同意合规指南:2026年发布商实操手册

埃及《个人数据保护法》第151号(2020年)——通常被称为Egyptian PDPL——于15 July 2020颁布,并于14 October 2020生效。在此后的大多数时间里,由于缺乏执行法规,该法仅作为原则性声明而非可执行制度存在。当个人数据保护中心——根据该法设立、隶属于Ministry of Communications and Information Technology的监管机构——发布其运营框架、许可要求及执行法规后,这一局面发生了改变。到2026年,该制度已全面运行,数据控制者和处理者的许可申请通道已开放,在埃及运营或面向埃及的发布商须遵守一套比任何旧区域模式都更接近GDPR的国内同意标准。对Cookie同意的直接影响是:在旧制度下适用于埃及的横幅如今已不再充分;仅当整合考虑到两个框架差异之处时,满足GDPR的横幅才能满足PDPL。

Egyptian PDPL的实际要求

该法适用于对埃及居民个人数据的处理,无论控制者或处理者在何处设立;同样适用于在埃及设立的控制者和处理者,无论数据主体位于何处。这种域外效力与GDPR第3条相同,意味着总部在埃及境外但拥有埃及读者、应用安装量或付费用户的发布商明确在监管范围内。个人数据被广泛定义为与已识别或可识别自然人相关的任何数据;敏感个人数据——包括健康、生物特征、基因、心理健康、财务、宗教信仰、政治观点及刑事定罪数据——须满足更高的同意门槛并采取额外保护措施。

该法确立了处理的合法依据、数据主体权利标准清单——访问、更正、删除、限制、反对和可携带性——控制者与处理者的问责框架、违规通知义务、跨境传输控制,以及罚款从EGP 100,000(轻微违规)到EGP 500万(严重或重复违规)的行政处罚制度。最严重类别适用刑事制裁,包括未经许可的跨境传输和未经授权处理敏感数据。

PDPL对Cookie同意的具体处理方式

与EU的ePrivacy指令不同,PDPL不包含关于Cookie的单独条款。Cookie及类似的存储和访问技术适用一般同意框架:任何以同意为合法依据处理个人数据的行为,必须基于数据主体明确、自愿、具体且有文件记录的同意表示。个人数据保护中心在分阶段启动法规期间发布的指导意见确认,预勾选框、从继续浏览行为推断的隐性同意以及捆绑同意横幅均不满足该法标准。这使埃及与全球发展方向一致,意味着发布商已为EEA维护的实际合规立场,是埃及流量的正确起点。

实际效果是:对于提供服务非严格必要的Cookie及任何类似技术,在用户主动同意之前不得设置。严格必要的Cookie——会话标识符、购物车内容、安全令牌、负载均衡Cookie——可基于用户主动请求服务而无需同意设置。其他所有内容——分析、广告、个性化、A/B测试、会话录制及任何第三方标签——均需事先同意。

PDPL与GDPR在实践中的差异

在集成层面,三点差异至关重要。第一,PDPL要求对敏感个人数据处理的同意须以书面或控制者可按需提供的有文件记录的电子等效方式获取——这比GDPR的明确同意要求有更高的证据标准。第二,PDPL实行许可制度:控制者和处理者必须向个人数据保护中心登记,某些处理类别——包括跨境传输和直接营销——需要单独的运营许可证。第三,PDPL的跨境传输规则要求中心的充分性认定、经批准的合同保障措施或数据主体的明确同意;未获认定或保障措施的司法管辖区转输受到限制,无论接收方自身的合规状态如何。

PDPL下合规Cookie横幅的样式

技术要求与每个现代CMP已生成的内容趋于一致,但标注、文档和同意日志必须体现埃及特定内容。第一层横幅必须向用户提供真实选择——接受、拒绝、管理——其中拒绝选项至少与接受选项一样显眼。捆绑同意被禁止,因此第二层必须允许至少覆盖分析、广告及任何依赖跨境传输的处理的分类选择加入。各类别必须默认设为关闭;在用户主动开启之前,横幅不得加载标签。

从横幅调出的隐私通知必须标识控制者、控制者的PDPL许可证编号(如适用)、收集的个人数据类别、每项处理目的的合法依据、数据保留期限、接收方类别(包括任何位于埃及境外的次级处理者)、数据主体在该法下的权利,以及个人数据保护中心的投诉联系方式。满足GDPR第13条标准的通知会有很大重叠,但埃及许可证和中心联系方式这两行必须明确添加。

通过个人数据保护中心审查的集成模式

参考实现有四个组成部分。第一是支持分类、默认关闭选择加入的CMP,并通过结构化同意字符串向发布商公开用户选择以便持久化存储。第二是标签加载层——服务器端标签管理器或CMP原生网关——在设置任何非必要Cookie之前严格执行同意状态。第三是服务器端存储的同意日志,记录每次同意事件中用户按类别的选择、时间戳、横幅版本,以及截断或哈希处理的IP标识符,使控制者能按中心要求提供记录。第四是至少与原始授权同样便捷的撤回路径——通常是页脚中的持久横幅重新打开链接。

2026年的验证、许可及审计合规立场

2026年可防御的埃及部署必须通过四项技术检查。第一,从埃及IP地址发起的干净浏览器会话,在横幅被操作之前必须产生零个非必要Cookie。第二,全部拒绝路径必须与无操作会话产生相同结果——无分析标签、无广告标签、无会话录制脚本。第三,全部接受流程必须仅产生用户已同意的标签,且同意日志必须包含相应记录。第四,撤回流程必须立即停止进一步的标签触发,使同意会话中设置的Cookie过期,并触发接收合作伙伴所需的任何下游删除或退出信号。

除技术检查外,许可和审计合规立场是使部署具备可防御性的关键。根据执行法规规定的门槛处理埃及居民个人数据的控制者必须向个人数据保护中心登记,登记记录——连同同意日志、隐私通知、较高风险处理的数据保护影响评估结果,以及任何跨境传输授权——构成中心在合规审查期间可能要求提供的文件。配置正确的CMP(带服务器端日志、强制执行同意状态的标签加载层、点名每个跨境传输目的地的隐私通知,以及存档的许可文件)能将Egyptian PDPL从一个监管未知因素转化为发布商MENA地区同意合规立场中可防御的组成部分。

← 博客 阅读全部 →