菲律宾是东南亚经济增长最快的经济体之一,正在打造良好的营商环境,加之其为“一带一路”国家,且与中国签订了《双边投资保护协议》和《防止双重征税及逃税的协议》等双边协定,因此已成为中国企业出海的热门选择之一。在全球数据监管日益严苛的背景下,出海企业除需关注税收、外汇等,还需特别关注数据合规。根据菲律宾国家隐私委员会(National Privacy Commission,以下简称“NPC”)发布的决定,企业可能因违反处理个人信息的义务、未经授权的访问、恶意披露、为未经授权的目的进行处理等被处罚。由此可见,菲律宾关于数据合规的执法行为严格且全面,且较之他国菲律宾的数据保护法律体系更为庞杂。本文将全面梳理菲律宾的数据合规要求。
一、数据保护法律体系概况
菲律宾的数据保护法律体系以2012年的《数据隐私法案》(Data Privacy Act,以下简称“DPA”)以及2016年的《数据隐私法实施细则和条例》(Implementing Rules and Regulations of the Data Privacy Act,以下简称“IRR”)为主,DPA以及IRR是规范个人数据处理的综合性立法。
除DPA以及IRR外,NPC针对个人数据处理的各方面发布了大量通函、咨询、咨询意见、咨询采纳,以及针对企业违法处理个人数据行为出具了决定、决议以及命令,公布了行政处罚案例。
总体而言,菲律宾的数据保护法律体系较为完善。
二、适用范围
三、处理合法性基础
可以对标《个人信息保护法》第13条对菲律宾数据处理合法性基础进行交叉理解。
四、数据控制者义务
菲律宾对数据控制者的规制比较严格和全面,DPA、IRR以及NPC颁布的通函、咨询意见等规定了数据控制者的多项义务,具体如下:
五、数据主体权利与保护
菲律宾数据保护法律体系下的数据主体权利、行权方式及数据控制者行权响应要求详见下表:
六、跨境传输
数据控制者应对其控制或保管的个人数据负责,数据控制者应使用合同或其他合理的方式为个人数据提供同等程度的保护,且需与数据接收方进行跨境安排和合作,合作协议参考如下:
七、法律责任承担
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
1.违法违规处理个人数据行为
违法违规处理个人数据行为的组合或一系列行为应处以3年至6年不等的监禁和不少于100万比索但不超过500万比索的罚款。
2.责任范围
如果犯罪者是公司、合伙企业或任何法人,应根据具体情况对参与犯罪或重大过失的负责人员处以处罚。
3.大规模
当至少100人的个人数据受到损害、影响或涉及时,应处以处罚标准中的最高刑罚。
以上为我们对菲律宾数据合规的重点解读,因菲律宾对数据合规较为重视,相关文件发布较为频繁,出海企业需持续关注NPC的监管动态,以便更好规范个人数据处理行为,避免处罚风险。
文 | 兰迪数据合规团队(丁学明、陈梦园、熊雅洁律师)