在亚洲,充分了解数据隐私框架至关重要。然而,虽然该地区的法律有着相似的内容,但由于隐私合规文化相对较新,而且各司法管辖区的做法各不相同,因此仍然存在差距。在此,专家们将详细介绍菲律宾、泰国和印度尼西亚如何建立其管理个人数据的法律框架。
2012年8月15日,《菲律宾数据隐私法》签署成为法律。这是一部管理菲律宾数据隐私保护的综合性法律。菲律宾国家隐私委员会(NPC)是法律主要授权的负责监督该法的管理和实施的政府机构,于2016年8月24日根据该法的《实施细则和条例》(IRR)成立。
ACCRALAW律师事务所驻马尼拉合伙人
电话: +632 830 8047
电邮l: jmgaba@accralaw.com
《菲律宾数据隐私法》的颁布是为了应对全球范围内更自由的个人数据交换,以及制定数据保护的国际标准,菲律宾是业务流程外包(BPO)服务的全球领导者。
在该法于2012年颁布之前,由于没有对个人数据处理进行集中监管,也没有对数据主体采取全面保护措施,当时大量的个人数据被滥用和误用。从毫无节制地使用和分享联系信息用于最初预期目的以外的目的,到身份盗窃或安全漏洞,这都损害了数据主体受宪法保障的隐私权。
数据隐私制度最早起源于2006年,当时菲律宾贸易和工业部(DTI)发布了第8-2006号行政命令——《个人数据保护指南》。该指南是以欧盟当时的《1995年数据保护指令》(即现行《通用数据保护条例》(GDPR)的前身)为蓝本。因此,该法深深植根于GDPR所倡导的标准和原则。
这部隐私法适用于所有类型的个人信息处理,也适用于私营和政府部门中参与个人信息处理的任何自然人或法人,它涵盖了不在菲律宾境内但有以下行为之一的数据控制人和处理人:(1)使用菲律宾境内的设备;(2)在菲律宾设有办事处、分支机构或代理机构。
除了确定该法适用性的这一检验标准外,如果被处理的个人数据涉及菲律宾公民或菲律宾居民,无论数据主体在哪里,也无论处理在哪里进行,该法也适用于个人信息处理。
例如,该法适用于目前在美国工作的海外菲律宾工人(OFW)的、由菲律宾当地银行处理的个人数据。此外,菲律宾的隐私法也适用于同一海外菲律宾工人的个人数据由位于菲律宾境外的外国银行处理的情况。至于国家隐私委员会如何对上述外国银行执法,则是完全不同的问题。
根据该法,“个人数据处理”被定义为对个人信息执行的任何操作或一组操作(如收集、记录、组织、存储、更新、修改、检索、咨询、使用、整合、屏蔽、删除和销毁)。“个人信息控制人”是指控制个人信息的收集、保存、处理或使用的任何个人或组织(那些按照另一个人或组织的指示履行该等职能的人,或因个人、家庭或家庭事务而履行相同职能的个人除外)。“个人信息处理人”是指个人信息控制人可以向其外包个人数据处理的任何自然人或法人。
下列类型的信息不受该法的管辖:
-
- 与现任或前任政府公务员的职务或职能有关的信息;
- 与个人根据政府合同提供的服务相关的信息;
- 与政府给予个人的任何自由支配的经济利益有关的信息;
- 为新闻、艺术、文学或研究目的而处理的个人信息;
- 履行公共部门职能所需的信息;
- 银行和金融机构遵守《反洗钱法》所需的信息;以及
- 根据外国司法管辖区的法律从外国司法管辖区的居民处收集的个人信息。
该法区分了“个人信息”和“敏感个人信息”,因为对信息的合法处理规定了不同的要求。个人信息是指明显反映个人身份的任何信息,或可以合理和直接确定的任何信息,或与其他信息放在一起时可直接和肯定地确定个人身份的信息。
敏感个人信息是指关于一个人的种族、婚姻状况、年龄以及宗教、哲学或政治信仰的个人信息。它包括健康和教育、任何法庭诉讼、政府机构发布的个人特有信息(例如,社保号码、健康记录、执照和纳税申报表),以及法律或法规明确宣布为机密的信息。
《菲律宾数据隐私法》及其《实施细则和条例》通常要求在有效处理个人数据之前获得数据主体的同意,除非个人数据的处理是在该法及其《实施细则和条例》明确规定的任何条件下进行的。请注意,该法仅承认有效的明示同意,而反对默示同意。该法将默示同意定义为“任何自由给予的具体知情的意思表示……[以及]应以书面、电子或记录方式证明”。
该法全面概述了数据主体对其个人信息的权利,这些权利与GDPR所承认的权利类似。这些权利包括:
(1) 知情权;
(2) 查阅权;
(3) 反对权;
(4) 删除和屏蔽权;
(5) 纠正权;
(6) 投诉权;
(7) 损害赔偿权;
(8) 数据可移植权。
数据控制人和数据处理人必须遵守和尊重数据主体的这些权利,除非个人信息被用于科学和统计研究,并且不对数据主体开展任何活动和作出任何决定,或者收集这些信息是为了调查数据主体的任何刑事、行政或税务责任。
该法概述了个人信息安全的一般原则,以及与个人信息转移有关的责任,就政府内敏感个人信息的安全作出了具体规定,并就数据泄露和报告数据泄露事件的基本准则作出了规定。
与GDPR实施的制度类似,菲律宾隐私法律和法规规定,个人信息控制人在个人数据被泄露的情况下有义务通知泄露的情况。此类泄露通知必须送达受影响的数据主体,并向国家隐私委员会报告。向国家隐私委员会提交的泄露通知必须在个人信息控制人或个人信息处理人知道或有合理理由相信发生了需要通知的个人数据泄露后的72小时内完成。
菲律宾隐私法规要求指定或任命一名数据隐私官(DPO)。然而,并非所有DPO都必须在国家隐私委员会登记。下列情况下,DPO必须在国家隐私委员会登记:(1)如果实体雇用250人或以上;(2)如果实体处理包含至少1000人的敏感个人信息的记录;或者(3)如果实体的个人信息处理工作可能对数据主体的权利和自由构成风险,或者被认为不是偶尔发生。
关于最后一项标准,国家隐私委员会发布了指南,列举了它认为强制性登记要求所涵盖的部门,而不论数据主体的数量或容量,也不论正在处理的个人信息。需要进行强制性登记的关键行业如下:
(1)政府机构;
(2)银行和非银行金融机构;
(3)电信和互联网服务提供商;
(4)BPO公司;
(5)大学、学院和所有其他学校和培训机构;
(6)医院、诊所和其他医疗设施;
(7)保险公司和保险经纪人;
(8)从事直销、网络销售和提供奖励卡和酬宾方案的其他公司;
(9)从事研究的制药公司;以及
(10)为上述任何一个关键行业的个人信息控制人处理个人数据的个人信息处理人。
除DPO外,《实施细则和条例》还特别规定,某些形式的数据处理系统必须在国家隐私委员会登记。
最后,违反该法的行为将被处以强制性监禁和罚款。如果涉及敏感个人信息,处罚幅度更大。当至少100人的个人信息受到影响并被视为大规模时,将受到最高处罚。虽然国家隐私委员会和其他相关部门曾提议对该法进行修改,包括取消监禁处罚,但由于目前的新冠疫情,这些提议均被搁置。
作者:ACCRALAW律师事务所合伙人John Paul M Gaba
22nd Floor, ACCRALAW Tower
2nd Avenue corner, 30th Street
Crescent Park West Bonifacio Global City,
1635 Taguig, Metro Manila, Philippines
电话: +63 2 8830 8000
电邮: accra@accralaw.com
