官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
菲律宾是东南亚经济增长最快的经济体之一,正在打造良好的营商环境,加之其为“一带一路”国家,且与中国签订了《双边投资保护协议》和《防止双重征税及逃税的协议》等双边协定,因此已成为中国企业出海的热门选择之一。在全球数据监管日益严苛的背景下,出海企业除需关注税收、外汇等,还需特别关注数据合规。根据菲律宾国家隐私委员会(National Privacy Commission,以下简称“NPC”)发布的决定,企业可能因违反处理个人信息的义务、未经授权的访问、恶意披露、为未经授权的目的进行处理等被处罚。由此可见,菲律宾关于数据合规的执法行为严格且全面,且较之他国菲律宾的数据保护法律体系更为庞杂。本文将全面梳理菲律宾的数据合规要求。
数据保护法律体系概况
菲律宾的数据保护法律体系以2012年的《数据隐私法案》(Data Privacy Act,以下简称“DPA”)以及2016年的《数据隐私法实施细则和条例》(Implementing Rules and Regulations of the Data Privacy Act,以下简称“IRR”)为主,DPA以及IRR是规范个人数据处理的综合性立法。
除DPA以及IRR外,NPC针对个人数据处理的各方面发布了大量通函、咨询、咨询意见、咨询采纳,以及针对企业违法处理个人数据行为出具了决定、决议以及命令,公布了行政处罚案例。
总体而言,菲律宾的数据保护法律体系较为完善。
适用范围
适用范围 | 具体内容 |
适用情形 | 1. 域内适用 适用于在菲律宾处理个人数据的任何自然人和法人。 2. 域外适用 域外实体适用条件如下: (1) 数据处理行为与菲律宾公民或居民的个人数据有关; (2) 数据处理行为发生在菲律宾境外,只要与菲律宾公民或居民有关,包括但不限于: ① 在菲律宾签订合同; ② 在菲律宾为非法人,但拥有中央管理和控制权;和 ③ 在菲律宾设有分公司、代理机构、办事处或子公司,且该菲律宾实体的母公司或关联公司有权访问个人数据;和 ④ 在菲律宾有其他联系,包括但不限于:在菲律宾经营业务;个人数据由菲律宾境内的实体收集或持有。 |
不适用情形 | 1. 政府机构官员或雇员的与个人职位或职能相关的任何个人信息; 2. 根据合同为政府机构提供服务与所提供服务相关的个人信息; 3. 与任何财务性质的利益有关的信息,例如政府授予个人的执照或许可证; 4. 为新闻、艺术、文学或研究目的而处理的个人信息; 5. 为履行公共当局职能所需的信息; 6. 银行和其他金融机构遵守反洗钱法等所需的信息;和 7. 根据外国法律从外国司法管辖区的居民收集的正在菲律宾进行处理的个人信息。 |
处理合法性基础
可以对标《个人信息保护法》第13条对菲律宾数据处理合法性基础进行交叉理解。
中国 | 菲律宾 |
1. 取得个人的同意; 2. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; 3. 为履行法定职责或者法定义务所必需; 4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; 5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; 6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 7. 法律、行政法规规定的其他情形。 | 1. 取得数据主体的同意; 2. 对履行与数据主体的合同,或者为了在签订合同之前应数据主体的要求采取措施是必要的; 3. 为履行数据控制者所承担的法律义务; 4. 对保护数据主体切身利益是必要的; 5. 对响应国家紧急状态、遵守公共秩序和安全的要求或履行公共当局的职能是必要的; 6. 为数据控制者或向其披露数据的第三方所追求的合法利益的目的; 7. 处理后的个人数据仅用于科学和统计研究的需要; 8. 为调查数据主体的任何刑事、行政或税务责任而收集的个人数据的处理。 |
数据控制者义务
菲律宾对数据控制者的规制比较严格和全面,DPA、IRR以及NPC颁布的通函、咨询意见等规定了数据控制者的多项义务,具体如下:
序号 | 义务类型 | 义务内容 |
1 | 同意义务 | 数据控制者在收集和处理个人数据之前需征得同意,但豁免除外。 |
2 | 目的限制义务 | 数据控制者应在合法、必要的目的范围内处理个人数据。 |
3 | 通知义务 | 数据控制者应告知数据主体个人数据处理的范围和方式、保存期限、接收者类别、数据控制者联系方式等。 |
4 | 协助个人行使权利义务 | 数据控制者应采取合理措施及时响应数据主体的 行权要求。 |
5 | 保护义务 | 数据控制者必须实施合理和适当的组织、物理和技术措施,以保护个人数据免受任何意外或非法破坏、更改和披露以及任何其他非法处理。 |
6 | 保留限制义务 | 个人数据的保留不得超过必要时间。 |
7 | 数据转移限制义务 | 数据控制者应对其控制或保管的个人数据负责,包括已跨境转移的数据,且需与数据接收方进行跨境安排和合作。 |
8 | 数据泄漏义务 | 数据控制者应在获悉或有理由相信发生了需要通知的个人数据泄露事件后的72小时内,通知NPC和受影响的数据主体,IRR规定了通知的内容和延迟通知的情形。 |
9 | 注册义务 | 雇员少于250人的数据控制者无需进行注册,除非进行的处理可能对数据主体的权利和自由构成风险,该处理不属于偶发行为,或处理包括至少1000个人的敏感个人信息,IRR也规定了应登记的内容。 |
10 | 自动处理操作通知义务 | 当自动化处理成为对数据主体做出决定的唯一依据,以及该决定会对数据主体产生重大影响时,数据控制者应通知NPC。 |
11 | 数据保护官任命义务 | 数据控制者应指定一个或多个人担任数据保护官,负责确保遵守适用法律法规。 |
12 | 制定数据保护政策义务 | 数据控制者应实施适当的数据保护政策。 |
13 | 影响评估义务 | IRR以及NPC发布的咨询文件规定:在一般情况下,应该对涉及个人数据的每个处理系统进行影响评估,但也存在例外情况。 |
数据主体权利与保护
菲律宾数据保护法律体系下的数据主体权利、行权方式及数据控制者行权响应要求详见下表:
数据主体权利 |
1. 知情权 数据主体有权被告知个人数据处理的范围和方式、数据存储期限、接收者类别等。 2. 访问权 数据主体有权访问被处理的其个人数据的内容等,但在某些例外情形下,数据控制者可予以拒绝。 3. 整改权 数据主体有权对个人数据的不准确或错误提出异议,数据控制者应及时响应,但在特殊情况下,数据控制者可予以拒绝。 4. 删除权 数据主体有权要求数据控制者删除或销毁其个人数据,但特殊情况除外。 5. 反对权 数据主体有权反对处理其个人数据,包括为直接营销、自动处理或分析而进行的处理,但在特殊情况下,数据控制者可予以拒绝。 6. 获得损害赔偿的权利 数据控制者应赔偿违法违规处理个人数据给数据主体造成的损害。 7. 数据可移植权 数据主体有权从数据控制者处获取其个人数据的副本和/或以常用的电子或结构化格式传输到其他数据控制者。 8. 不受自动决策约束的权利 未经数据主体同意,数据控制者不得仅基于自动化处理做出与数据主体有关的具有法律效力的决定。 |
数据主体行权 |
1. 如何响应 数据控制者应确保行权流程清晰、简单、直接,数据控制者应采取合理措施核实提出请求的数据主体的身份。 2. 响应时间 数据控制者应在收到数据主体请求后30个工作日内响应。 3. 费用 如果数据主体在行使其访问权时要求提供其个人数据和其他信息的副本,则数据控制者可能会要求支付合理的费用以覆盖管理费用。 4. 数据主体权利可传递性 数据主体的合法继承人和受让人可以在数据主体死亡后的任何时间,或在数据主体无行为能力时,援引其作为继承人或受让人的数据主体的权利。 |
跨境传输
数据控制者应对其控制或保管的个人数据负责,数据控制者应使用合同或其他合理的方式为个人数据提供同等程度的保护,且需与数据接收方进行跨境安排和合作,合作协议参考如下:
跨境合作 | 协议内容 |
签订合作协议 | 数据接收方应当: 1. 仅根据数据控制者的书面指示处理个人数据; 2. 确保授权处理个人数据的人员承担保密义务; 3. 实施适当的安全措施; 4. 未经数据控制者事先指示,不得与其他处理者合作; 5. 协助数据控制者采取适当的措施,回应数据主体行权请求; 6. 协助数据控制者确保遵守DPA、IRR等; 7. 根据数据控制者的选择,删除或返回个人数据; 8. 向数据控制者提供所有必要的信息,以证明遵守DPA规定的义务; 9. 若认为指示违反了DPA、IRR等,立即通知数据控制者。 |
法律责任承担
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
1. 违法违规处理个人数据行为
违法违规处理个人数据行为的组合或一系列行为应处以3年至6年不等的监禁和不少于100万比索但不超过500万比索的罚款。
2. 责任范围
如果犯罪者是公司、合伙企业或任何法人,应根据具体情况对参与犯罪或重大过失的负责人员处以处罚。
3. 大规模
当至少100人的个人数据受到损害、影响或涉及时,应处以处罚标准中的最高刑罚。
以上为我们对菲律宾数据合规的重点解读,因菲律宾对数据合规较为重视,相关文件发布较为频繁,出海企业需持续关注NPC的监管动态,以便更好规范个人数据处理行为,避免处罚风险。
- 0 文章数
- 0 关注者