数据保护法律的比较：菲律宾

数据是信息时代的石油。尽管社会经济和政治环境复杂多变，但在加强个人数据保护方面，很多亚洲管辖区正在大步迈进。

菲律宾《数据隐私法》适用于各类个人信息的处理和参与处理的任何自然人或法人，无论个人信息由谁控制或处理。

如果个人信息的控制者、处理者并非在菲律宾创立或成立，却使用了位于该国的设备，或在该国设有办事处、分支机构或代理机构，则该法对其域外适用，但该法第4条规定的例外情形除外。

个人信息

个人信息是指，“能够表明个人身份，或持有信息的实体可合理和直接确定个人身份，或者一旦与其他信息结合在一起，将确定无疑地直接识别出个人的任何信息，无论是否以实体形式记录。”

该法还区分了个人信息和敏感个人信息，后者包括：年龄；种族背景；婚姻状况；肤色；所属的宗教、哲学、政治派别；个人健康、教育背景、基因或性生活、所犯的或被指控的罪行；政府颁发的身份证明；健康记录；税务申报。同时，《法院规则》项下的特许保密信息，即在律师-当事人关系持续期间披露的信息，也视为敏感个人信息。

适用原则

该法将“处理”定义为，“对个人信息执行的任何操作或任何一组操作，包括但不限于收集、记录、组织、存储、更新或修改、检索、查询、使用、合并、阻截、擦除或销毁数据。”

在遵守了该法第11条和12条项下要求的情况下，可处理个人信息。根据第11条，处理应本着透明、正当目的、比例原则进行。第12条规定，允许处理的前提为，未为法律所禁止，而且满足至少一项条件，如数据主体同意，履行合同或遵守法定义务所需，等等。

一般而言，不得处理敏感个人信息。例外情形为：数据主体已同意；现行法律法规允许；在保护数据主体或他人的生命、健康所需的情况下，数据主体无法表示同意的；实现公共组织及其社团合法的非商业目的所需；医疗目的所需；法律诉讼中保护自然人或法人合法权利和权益所需；或者，为了确立、行使或捍卫法定请求权，或向政府或公共当局提供时。

最后，2017年8月发布的《国家隐私委员会（NPC）咨询意见》明确了同意的方式。

该意见强调默示或推定同意无效，并引用了欧盟《通用数据保护条例》序言第32条的规定，“缄默、事先勾选的对话框或不作为不构成同意”。

数据主体的权利。根据《数据隐私法》第16条，数据主体享有以下权利：

• 获得个人信息处理通知的权利，包括关于自动做出决定和资料收集机制的存在的通知。
• 此外，这还包括数据主体知晓作为个人数据售卖或披露对象之人、接受处理的个人数据内容的权利；
• 查阅权；
• 对处理表示异议的权利；
• 擦除或阻截的权利；
• 损害赔偿请求权；
• 提起诉讼的权利，但应先穷尽其他救济手段，并满足时效要求；
• 要求纠正的权利；
• 数据可移植性的权利。

数据保护专员。个人信息控制者必须任命数据保护专员负责遵守《数据隐私法》。

登记。《数据隐私法》实施细则规定，如有下列情形之一，个人数据处理系统必须登记：

• 处理至少1,000名个人的敏感个人信息；
• 个人信息控制者或个人信息处理者雇员人数不少于250人；
• 雇员人数少于250人，但处理并非偶尔发生；或
• 雇员人数少于250人，但对信息的处理可能会危及数据主体的权利和自由。

转移。个人信息控制者对向第三方传输的个人信息负责。

泄露。一旦个人数据泄露，个人信息控制者或个人信息处理者应在发现后的72小时内，通知NPC和受影响的数据主体。

相关更新

以下为《数据隐私法》的最新适用情形。

接触者追踪应用程序。NPC明确，接触者追踪应用程序必须“允许用户选择允许或不允许数字联系追踪。使用应用程序必须出于自愿，允许数据主体随时撤回同意……应用程序有不同目的时，必须分别征求同意，并事先向用户说明用途。”

对雇员的监控。根据NPC第2018-084号意见，监控雇员在公司发放的计算机上的活动，“根据《数据隐私法》是允许的，但是处理应满足该法第12和/或13条规定的合法处理个人数据的标准之一。”

该意见还明确，不赞成“秘密监控”，“雇主有义务向雇员说明监控计算机的行为、具体目的、监控范围、实际方法、保护个人数据的安全措施，以及在侵犯了雇员作为数据主体的权利的情况下的赔偿程序……监控计算机或雇员的每位雇主均应确保直接收集的数据满足监控目的，而且明显符合组织的需要和宗旨。”

后来，NPC第14号突发公共卫生事件公告明确，可在公司发放的设备中安装工作监控软件，但雇主必须将软件的存在通知雇员，开展隐私影响评估以制定风险和减损程序，并采用侵犯隐私程度较轻的方法来监控雇员。

具体而言，监控方法应视预期目的而定。因此，要求雇员工作时无死角接受视频监控应视为过度。监控方法应“适当、有意义、合适、必要且不过度”。

网上学习。NPC建议，教师“在网络课堂上应始终考虑学生的隐私、公平、个性”。

NPC建议将在线课堂网络摄像头的使用设置为可选项，但也理解在网上监考或考试监督过程中，视频会议或许是有用的。NPC建议，教师应兼顾学生和教育机构的利益，并始终获得学生的明示同意。

此外，NPC提醒教师不要公开发布成绩、作业分数等个人数据。教师应确保将个人数据安全保存在个人账户或设备中。

再者，教师应允许学生用其他方法提交项目、作业，学生即使不使用网络摄像头，缺少目光交流，也不应挫伤其积极性，不强迫学生开启网络摄像头。

接种证明。私人场所可拒绝未出示接种记录之人进入。进入私人场所须经所有人同意，并满足所有人强制实施的条件。但是，接种记录包含敏感个人信息，因此私人场所不得强迫数据主体披露。

目前，部分政府机构要求出示接种记录方可享受基本政府服务的做法饱受争议。这一要求转而成为一项间接命令，即市民只有接种了疫苗方可获得基本政府服务。不过，在“雅各布森诉马萨诸塞州”案中，美国最高法院裁定，州警察的权力允许该州制定强制接种法律。

监控广告。NPC强调，“认为可公开访问的个人数据能不受监管地进一步使用或披露，无论出于何种目的的想法，是一种误解”。

NPC还明确，营销人员一旦从可公开访问的来源获得了潜在客户的个人信息，即成为个人信息控制者。因此，营销人员应遵守《数据隐私法》规定的合法处理个人信息、敏感个人信息以及特许保密信息的标准。

DIVINALAW
8/F Pacific Star Building
Sen. Gil Puyat Ave. cor. Makati Ave.,
Makati City, Metro Manila – 1200
The Philippines
电话: +632 8822 0808
电子邮箱: info@divinalaw.com

www.divinalaw.com