数据隐私法一览:菲律宾

作者: John Paul M Gaba,ACCRALAW律师事务所
0
129
LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link

菲律宾2012年《数据隐私法》(又称《第10173号共和国法案》,简称DPA)于2012年8月15日签署生效。这是一部规范个人数据隐私保护的综合性法律。国家隐私委员会(NPC)作为负责监督其管理和实施的主要政府机构,于2016年8月颁布了最新实施细则和规定。

DPA的颁布是为应对全球范围内越来越自由的个人数据交换,也是对数据保护国际标准制定努力的响应。作为全球最大的业务流程外包承接国之一,这一法案对菲律宾无疑有着重要意义。

在此之前,菲律宾没有一个针对于个人数据处理的统一监管框架,也没有完整的保护数据主体的措施。当时,个人数据滥用和误用现象泛滥,比如,个人联系方式不经处理即被用于计划外用途,身份窃取或安全漏洞频发,数据主体受宪法保障的隐私权受到侵犯等。

John Paul M Gaba
John Paul M Gaba
合伙人
ACCRALAW律师事务所
马尼拉
电话: +632 88308000
电邮: jmgaba@accralaw.com

早在2006年,菲律宾贸易和工业部(DTI)就发布了关于《个人数据保护指南》的第8号DTI行政命令。这份指南参照了欧盟(EU)1995年的《数据保护指令》——欧盟现行《一般数据保护条例》(GDPR)的前身。因此,DPA深深根植于欧盟GDPR所倡导的标准和原则。

DPA适用于所有类型个人信息的处理过程,以及参与个人信息处理的所有自然人或法人,无论其是私人部门还是政府。符合下列两个条件中任一个条件的非菲律宾数据控制者和处理者也受DPA规范:

  • 使用位于菲律宾境内的设备;或
  • 在菲律宾设立了办事处、分公司或代理机构。

该法律适用于所有菲律宾公民或居民的个人数据,无论数据主体位于何处,也无论数据在何处处理。以在美国工作的菲律宾人为例,如果其个人数据由菲律宾当地银行处理,适用DPA;如果其个人数据由菲律宾境外的外国银行处理,DPA同样适用。至于如何执行法律需另当别论。

DPA将“处理”定义为对个人信息实施的任何一个或一系列操作(包括但不限于,收集、记录、组织、存储、更新、修改、检索、咨询、使用、合并、屏蔽、删除或销毁)。

“个人信息控制者”指控制个人信息的收集、持有、处理或使用的任何个人或组织(受他人或组织指示从事上述活动的个人或组织除外;为个人、家人或家庭事务从事上述活动的个人亦除外)。而“个人信息处理者”指承接个人信息控制者外包的个人数据处理业务的自然人或法人。

下列信息不受DPA的约束:

  • 任何在职或先前公务员与其职位或职能有关的信息;
  • 与个人为履行政府合同提供的服务有关的信息;
  • 与政府给予个人非法定福利有关的信息;
  • 为新闻、艺术、文学或研究目的而处理的个人信息;
  • 公共权力机关行使职能所必需的信息;
  • 银行和金融机构为遵守《反洗钱法》所需的信息;及
  • 根据外国司法管辖区的法律,从外国司法管辖区居民收集的个人信息

DPA对个人信息和敏感个人信息作出了界定,对这两类信息的处理设置了不同的要求。

  • 个人信息是指明显标识了或者能够直接合理识别个人身份的任何信息,或者辅以其他信息可以直接确定个人身份的信息。
  • 敏感个人信息指与下列情况相关的个人信息:种族;婚姻状况;年龄;肤色;宗教、哲学或政治派别;健康;教育;诉讼;政府机构针对个人签发的专属于个人的信息 (例如社会保障号码、健康记录、执照、纳税申报表、政府签发的身份证和/或其号码的副本);以及法律或法规特别声明为保密性质的信息。

法律要求,一般情况下,在处理个人数据之前须获得数据主体的同意,DPA及其实施条例规定的例外情况除外。请注意,本法案仅认可明示同意,并不承认默示同意(该法案对“同意”的定义:“自由给予的、具体的、知情的意愿指示……[并且]应有书面、电子或其他记录方式证明”)。

DPA赋予了数据主体对其个人信息的广泛权利,与欧盟GDPR规定的权利大致相同。这些权利包括:知情权;访问权;反对权;删除权和屏蔽权;纠正权;提出申诉权;损害赔偿权;以及数据可携带权。

数据控制者和数据处理者必须尊重上述权利,不得侵犯这些权利。为科学和统计研究之目的使用个人信息,且不针对数据主体开展任何活动和采取任何决定的情况除外,为调查数据主体的刑事、行政或税务责任而收集个人信息的情况亦除外。

该法规定了个人信息安全的一般原则,以及个人信息传输的责任。法律还对关政府内部的敏感个人信息安全问题,以及数据外泄和数据外泄的报告流程作了具体规定。

与GDPR类似,DPA也要求个人信息控制者在个人数据泄露事件发生时通知数据主体。此类通知须送达受影响的数据主体,并向NPC报告。信息泄露通知必须在“个人信息控制者或个人信息处理者知晓或有理由相信发生了需要通知的个人数据泄露”的72小时内提交给NPC。

DPA要求实体任命一名数据隐私官(DPO)。然而,并非所有DPO都需要向NPC登记。符合以下情况的实体必须在NPC登记DPO:

  • 雇佣人数不低于250人;
  • “处理”的记录中包含至少1,000人的敏感个人信息;以及
  • 个人信息的处理“可能对数据主体的权利和自由构成风险”,或者被视为“非偶然”。

关于最后一项标准,NPC准则要求以下行业的实体,无论数据主体或所处理的个人信息的数量/规模如何,均需要登记DPO:

  • 政府机构
  • 银行和非银行金融机构
  • 电信和互联网服务提供商
  • 业务流程外包公司
  • 高等院校及其他各类学校和培训机构
  • 医院、诊所和其他医疗机构
  • 保险公司和保险经纪人
  • 参与直接营销、社交业务的公司和其他提供奖励卡和忠诚度计划的公司
  • 从事研究的制药公司
  • 为上述行业的个人信息控制者处理个人信息的个人信息处理者。

除DPO外,某些形式的数据处理系统(DPS)必须向NPC注册。随着NPC推出新的注册门户网站,要完成 NPC 的注册要求,必须同时提交DPO和DPS的详细信息。

最后,违反DPA将被处以强制性监禁和罚款,这是为数不多的将监禁作为惩罚的数据隐私立法之一。如果涉及敏感个人信息,则会受到更严重的处罚。

如果涉及100人以上的个人信息,将受到最高处罚。虽然NPC 和其他有关部门曾提议修改DPA,包括废除监禁处罚,但由于新冠肺炎疫情,这一提议被搁置。

ANGARA ABELLO CONCEPCION REGALA & CRUZ LAW OFFICES (ACCRALAW)

22nd to 26th Floors ACCRALAW Tower, Second Avenue corner
30th Street, Crescent Park West, Bonifacio Global City
Taguig, Metro Manila, Philippines
Tel: (632) 88308000
Email: accra@accralaw.com
www.accralaw.com

LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link