一、菲律賓數據合規立法概述
菲律賓的數據保護法律體系以2012年的《數據隱私法案》(Data Privacy Act,以下簡稱“DPA”)以及2016年的《數據隱私法實施細則和條例》(Implementing Rules and Regulations of the Data Privacy Act,以下簡稱“IRR”)爲主,DPA以及IRR是規範個人數據處理的綜合性立法。2022年,菲律賓衆議院提出了兩項議案(第892號和第898號),旨在修訂DPA,整體修訂方向爲加大懲罰力度,在具體的條文上向歐盟和其他國家的隱私法案靠攏。雖然兩修正案尚未通過,但菲律賓隱私法案未來的發展方向值得出海公司注意。
二、菲律賓數據合規要求
菲律賓DPA對於適用範圍的設置比較獨特。其單獨列出了排除適用以及境外適用的情形,體現出了以菲律賓本國利益爲中心以及明確劃分私人部門與公共部門的立法傾向。DPA適用於所有種類的個人信息的處理以及涉及個人信息處理的任何自然人和法人,包括使用位於菲律賓境內設備或在菲律賓境內設立辦公室、分支機構或代理機構的個人信息控制者和個人信息處理者,無論其是否在菲律賓境內設立。1對於金融科技公司來說,不適用的場景包括在獨立中央貨幣權威機構或Bangko Sentral ng Pilipinas管轄權下對於銀行或其他財政機構遵守反洗錢法案和其他適用法而言必要的信息2和根據外國管轄區的法律,包括任何適用的數據隱私法,最初在外國管轄區內的收集的並在菲律賓收集的外國居民的個人信息。3但只要個人信息處理與菲律賓公民或居民或者菲律賓有聯系,該法案即可以適用於實體在菲律賓境外實施的行爲。4
(一)數據的收集
菲律賓隱私法案項下,個人信息指無論是否以紙質形式記錄的,個人身份明顯,或能夠被持有該信息的實體合理且直接確定,或當與其他信息結合後能夠直接且確定地識別特定個體的任何信息。5敏感個人信息則指:(1)有關特定個體的種族、血緣、婚姻狀態、年齡、膚色、宗教、哲學或政治歸屬;(2)關於特定個人的健康、教育背景、基因或性生活,或所經歷過的犯罪審理程序被他人實施過犯罪,上述程序的處置,或在上述程序中任何法院作出的判決。(3)由政府機構頒發給特定個人的,包括但不限於社會保障號碼,過去或現在的健康記錄,頒發的執照或與執照有關的拒絕辦法、中止、重發記錄以及退稅記錄;(4)由行政命令或國會法案特別設立的信息種類。6
對於非敏感信息,只要法律沒有禁止即可進行收集和處理;而對於敏感信息,原則上不得進行處理。無論是非敏感信息還是敏感信息,如若數據主體給出了同意,則個人信息控制者和個人信息處理者可以進行處理。7數據主體的同意指的是任何自由給予的、特定的、在充分知曉信息下作出的意思表示,該意思表示同意對有關於該數據主體和/或與該數據主體有聯系的個人信息的收集和處理。同意應通過書面的、電子的或其他記錄方式證明。該同意也可通過數據主體授權的特定機構代表數據主體作出。8而在徵求數據主體的同意時,提供給數據主體的信息必須以清晰及平實的語言表述,以確保該信息易於理解並且易於獲得。9在涉及信用卡發放的金融領域,尚需要披露以下信息:年利率、年費及其他費用、余額計算方法、現金預支費和超限額費用,10同時信用卡發放人必須提供有關費用計算的細節性並且明確的說明和解釋。11
對於非敏感信息的收集,除同意外的法律基礎還有:個人信息的處理對於與數據主體的合同的實現是必要的或在籤訂合同前根據數據主體的要求採取了措施,個人信息的處理對於個人信息控制者遵守一項法律義務是必要的,個人信息的處理對於保護數據主體的重要利益,包括生命和健康,是必要的以及個人信息的處理對於個人信息控制者或第三方追求的合法利益是重要的,但該利益不得凌駕於數據主體受菲律賓憲法保護的重要的權利和自由。12
(二)數據的使用
1、透明、合法和比例原則
DPA主要設立的個人信息處理原則爲透明、合法和比例原則。13
就透明原則而言,數據主體有權在個人信息進入個人信息控制者的處理系統之前,獲得以下信息:對將要進入系統的個人信息的描述,個人信息被處理的目的,個人信息處理的範圍和方法,個人信息的披露對象,用於自動訪問的方法,如果數據主體允許,以及該訪問被授權的程度,個人信息控制者或其代表的身份及聯絡信息,信息被保存的時長和其擁有的權利,及獲得、更正以及向委員會發起投訴的權利。14
就比例原則而言,在個人信息處理過程中,處理對於處理目的來說是准確、相關和必要的,需要保持個人信息是最新的,不准確或不完整的數據必須被更正、補充、銷毀或在後續的處理中被限制。如若數據主體對個人信息的不准確或錯誤之處提出爭議,除非該要求是無理的或其他不合理的,個人信息控制者應立即相應地糾正。15如果個人信息已被更正,個人信息控制者應確保新信息和收回信息的可訪問性,以及接收者同時接收新信息和收回的信息:但是,應根據數據主體的合理要求,先前收到此等處理過的個人信息的第三方也應被告知個人信息的不准確以及修正。16
2、安全措施
個人信息控制者必須在處理過程中對個人信息實施合理及適當的安全措施。17合適的安全水平的確定必須考慮被保護的個人信息的性質,處理個人信息的風險,組織的規則、實施的復雜性、近期數據隱私的最佳實踐以及實施安全措施的費用。18DPA對安全措施作了進一步的分類,分爲組織性的、物理性的和技術性的。
組織性的安全措施包括合規官的指定、數據保護政策的制定、處理活動的記錄、人力資源管理、個人數據的處理程序和個人信息處理者的合同。19物理性的安全措施包括監控和限制對房間、工作站或設施的訪問和活動,辦公空間和工作站的設計,參與處理個人數據的個人的職責、責任和時間表,任何參與個人數據處理的自然人或法人或其他機構應執行的有關電子媒體的傳輸、刪除、處置和再利用的政策和程序和防止文件和設備機械銷毀的政策和程序。20在技術性的安全措施方面,DPA沒有給出具體的措施,而是給予了安排相關措施的指南,重點在於確保計算機網絡、系統、服務的安全性以及對安全漏洞和安全事件的防範和恢復能力。21
3、安全事件的通知
當敏感的個人信息或其他信息將被未授權者獲得並合理地相信將被用於身份欺詐行爲並且個人信息控制者或委員會相信上述未經授權地獲取很有可能對被影響的數據主體造成嚴重傷害的,信息控制者應當立即通知委員會和受影響的數據主體。該通知應當至少描述泄露的性質、可能包含的敏感個人信息、實體解決泄露採取的措施。通知只能在確定泄露範圍、防止進一步的披露或保留信息和通訊系統的合理的完整性的必要範圍內延遲。22因此,與其他國家的要求相比,在菲律賓,不是所有的個人數據泄露事件都需通知,只有可能產生嚴重影響的個人數據泄露事件需要。在個人信息控制者或個人信息處理者獲悉或有合理理由相信發生了需要通知的個人數據泄露事件後,個人信息控制者應在七十二小時內通知委員會和受影響的數據主體。23
除了個人數據泄露事件之外,訪問設備的丟失也需通知。在訪問設備丟失的情況下,其持有人必須在得知損失後,將該損失的細節和情況通知發行者。完全遵守該程序將免除接入設備持有人自向發行人報告損失或盜竊之日起欺詐使用接入設備的任何財務責任。24
除了在安全事件發生後及時進行通知之外,個人信息控制者需要提交記錄在案的安全事故和個人數據泄露總結的年終報告。25
4、個人數據處理系統的注冊
在菲律賓運營的個人數據處理系統,如涉及訪問或要求至少一千人的敏感個人信息,包括承包商及其人員的個人數據處理系統,與政府機構籤訂合同。26個人數據處理系統需注冊,如若個人信息控制者或處理者僱傭不超過250人,則可豁免該義務。27
(三)數據的儲存
個人信息僅能爲實現數據獲得的目的而保留。28一旦發現以及提供充足的證據表明個人信息是不完整、過時、錯誤、非法獲得、用於未授權的目的或對於實現收集的目的不再必要,應將個人信息從個人信息控制者的系統中的中止、撤回、攔截、移除或銷毀。同時,個人數據控制者應告知先前接受過上述被處理的個人信息的第三方。29
(四)數據的跨境傳輸
與其他國家都不相同,菲律賓並未將數據的國內傳輸和跨境傳輸區別對待。每個個人信息控制者對在其控制或監管下的個人信息負責,包括已被轉移給第三方處理的信息,不論該轉移是國內性的還是國際性的,需遵守跨境安排和合作。30個人信息控制者需遵守該法案的要求並且應當使用合同性的或其他合理方式在信息被第三方處理時提供同等水平的保護。31
三、金融科技公司出海菲律賓案例
菲律賓作爲東南亞新興市場的一員,近年也吸引了大量金融科技公司湧入。信也科技成立於2007年,圍繞信貸科技、國際化業務以及科技生態孵化三大板塊,已在菲律賓建立了金融科技平台。有關數據顯示,2023年國際業務已實現營業收入21億元,同比增加85.9%,佔集團淨收入的比重達到17%。32騰訊則聯合國際知名PE機構KKR,投資菲律賓PLDT旗下金融科技公司Voyager Innovations。專注新興市場的PayerMax僅在2023年,就已在泰國、阿聯酋、菲律賓等國家獲得多個支付牌照,業務覆蓋50余個國家。33
四、金融科技公司出海菲律賓合規建議
(一)在組織內部做好可責性追蹤
從菲律賓對組織性、物理性和技術性措施的描述中可以看出,菲律賓對於責任的追蹤非常重視。在處理活動的記錄中需要識別可以獲得個人數據的個體的義務和責任,參與處理個人數據的個人的職責、責任和時間表都應明確規定。因此,相關金融科技公司應當在各個方面做好記錄,以應對菲律賓權威機構的責任追究。從數據收集伊始,就應做好獲得同意的流程和記錄,數據處理的過程都應有相關的記錄,特別是出現安全事件時,從事件發生原因到最終的處理結果都應當作出詳細的分析報告。
(二)參照他國的數據出境規定提供數據跨境傳輸時的同等保護水平
與其他國家相比,菲律賓在數據出境方面的規定非常籠統,因此在具體的實踐中應當參照國際相關實踐進行。
一是可以通過APEC CBPR體系認證,亞太經濟合作組織在成員經濟體之間建立了跨境隱私規則(“CBPR”)體系,獲得CBPR認證的數據控制者可以向境外交易相對方證明自身的數據保護水平。APEC成員經濟體中的私營組織獲得上述認證的前提,是該經濟體首先要加入CBPR體系。截止目前,APEC中共有9個經濟體加入了CBPR體系,其中包括菲律賓。因此,如果企業擬將在菲律賓收集的數據傳輸至CBPR體系內其他國家或地區,則可適用該認證。
二是引用標准合同條款。爲促進數據相關業務運營,東南亞國家聯盟出台了《東盟數據管理框架》和《東盟跨境數據流動標准合同條款》(“MCCs”)。MCCs 是自愿條款,旨在爲數據傳輸各方提供參考,在不與MCCs衝突的前提下,合同各方可以根據各成員國國內法對其進行調整,包括根據商業安排和交易需要增加條款等。由於菲律賓數據跨境的核心要求是個人信息控制者需要使用合同或其他合理手段,使所傳輸的數據處於與菲律賓相當的保護水平中。因此,在菲律賓進行數據跨境傳輸時,可以參考引用MCCs與數據接收方籤訂協議,確保傳輸的數據得到充分的保護。
(三)密切關注菲律賓在數據隱私方面的後續立法
菲律賓在數據隱私方面的立法較早,即使2016年就DPA的執行發布的具體條例,仍與後續較爲通用的法案如歐盟制定的GDPR有很大的不同,因此菲律賓近期將對數據隱私方面的法案進行較大的修訂。雖然菲律賓通過修訂法案的時間較長,但在此過程中,菲律賓國家隱私委員會可能會發布相關的通函、咨詢、咨詢意見、咨詢採納等,值得有意向出海菲律賓的金融科技公司關注
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。