一、菲律宾数据合规立法概述
菲律宾的数据保护法律体系以2012年的《数据隐私法案》(Data Privacy Act,以下简称“DPA”)以及2016年的《数据隐私法实施细则和条例》(Implementing Rules and Regulations of the Data Privacy Act,以下简称“IRR”)为主,DPA以及IRR是规范个人数据处理的综合性立法。2022年,菲律宾众议院提出了两项议案(第892号和第898号),旨在修订DPA,整体修订方向为加大惩罚力度,在具体的条文上向欧盟和其他国家的隐私法案靠拢。虽然两修正案尚未通过,但菲律宾隐私法案未来的发展方向值得出海公司注意。
二、菲律宾数据合规要求
菲律宾DPA对于适用范围的设置比较独特。其单独列出了排除适用以及境外适用的情形,体现出了以菲律宾本国利益为中心以及明确划分私人部门与公共部门的立法倾向。DPA适用于所有种类的个人信息的处理以及涉及个人信息处理的任何自然人和法人,包括使用位于菲律宾境内设备或在菲律宾境内设立办公室、分支机构或代理机构的个人信息控制者和个人信息处理者,无论其是否在菲律宾境内设立。1对于金融科技公司来说,不适用的场景包括在独立中央货币权威机构或Bangko Sentral ng Pilipinas管辖权下对于银行或其他财政机构遵守反洗钱法案和其他适用法而言必要的信息2和根据外国管辖区的法律,包括任何适用的数据隐私法,最初在外国管辖区内的收集的并在菲律宾收集的外国居民的个人信息。3但只要个人信息处理与菲律宾公民或居民或者菲律宾有联系,该法案即可以适用于实体在菲律宾境外实施的行为。4
(一)数据的收集
菲律宾隐私法案项下,个人信息指无论是否以纸质形式记录的,个人身份明显,或能够被持有该信息的实体合理且直接确定,或当与其他信息结合后能够直接且确定地识别特定个体的任何信息。5敏感个人信息则指:(1)有关特定个体的种族、血缘、婚姻状态、年龄、肤色、宗教、哲学或政治归属;(2)关于特定个人的健康、教育背景、基因或性生活,或所经历过的犯罪审理程序被他人实施过犯罪,上述程序的处置,或在上述程序中任何法院作出的判决。(3)由政府机构颁发给特定个人的,包括但不限于社会保障号码,过去或现在的健康记录,颁发的执照或与执照有关的拒绝办法、中止、重发记录以及退税记录;(4)由行政命令或国会法案特别设立的信息种类。6
对于非敏感信息,只要法律没有禁止即可进行收集和处理;而对于敏感信息,原则上不得进行处理。无论是非敏感信息还是敏感信息,如若数据主体给出了同意,则个人信息控制者和个人信息处理者可以进行处理。7数据主体的同意指的是任何自由给予的、特定的、在充分知晓信息下作出的意思表示,该意思表示同意对有关于该数据主体和/或与该数据主体有联系的个人信息的收集和处理。同意应通过书面的、电子的或其他记录方式证明。该同意也可通过数据主体授权的特定机构代表数据主体作出。8而在征求数据主体的同意时,提供给数据主体的信息必须以清晰及平实的语言表述,以确保该信息易于理解并且易于获得。9在涉及信用卡发放的金融领域,尚需要披露以下信息:年利率、年费及其他费用、余额计算方法、现金预支费和超限额费用,10同时信用卡发放人必须提供有关费用计算的细节性并且明确的说明和解释。11
对于非敏感信息的收集,除同意外的法律基础还有:个人信息的处理对于与数据主体的合同的实现是必要的或在签订合同前根据数据主体的要求采取了措施,个人信息的处理对于个人信息控制者遵守一项法律义务是必要的,个人信息的处理对于保护数据主体的重要利益,包括生命和健康,是必要的以及个人信息的处理对于个人信息控制者或第三方追求的合法利益是重要的,但该利益不得凌驾于数据主体受菲律宾宪法保护的重要的权利和自由。12
(二)数据的使用
1、透明、合法和比例原则
DPA主要设立的个人信息处理原则为透明、合法和比例原则。13
就透明原则而言,数据主体有权在个人信息进入个人信息控制者的处理系统之前,获得以下信息:对将要进入系统的个人信息的描述,个人信息被处理的目的,个人信息处理的范围和方法,个人信息的披露对象,用于自动访问的方法,如果数据主体允许,以及该访问被授权的程度,个人信息控制者或其代表的身份及联络信息,信息被保存的时长和其拥有的权利,及获得、更正以及向委员会发起投诉的权利。14
就比例原则而言,在个人信息处理过程中,处理对于处理目的来说是准确、相关和必要的,需要保持个人信息是最新的,不准确或不完整的数据必须被更正、补充、销毁或在后续的处理中被限制。如若数据主体对个人信息的不准确或错误之处提出争议,除非该要求是无理的或其他不合理的,个人信息控制者应立即相应地纠正。15如果个人信息已被更正,个人信息控制者应确保新信息和收回信息的可访问性,以及接收者同时接收新信息和收回的信息:但是,应根据数据主体的合理要求,先前收到此等处理过的个人信息的第三方也应被告知个人信息的不准确以及修正。16
2、安全措施
个人信息控制者必须在处理过程中对个人信息实施合理及适当的安全措施。17合适的安全水平的确定必须考虑被保护的个人信息的性质,处理个人信息的风险,组织的规则、实施的复杂性、近期数据隐私的最佳实践以及实施安全措施的费用。18DPA对安全措施作了进一步的分类,分为组织性的、物理性的和技术性的。
组织性的安全措施包括合规官的指定、数据保护政策的制定、处理活动的记录、人力资源管理、个人数据的处理程序和个人信息处理者的合同。19物理性的安全措施包括监控和限制对房间、工作站或设施的访问和活动,办公空间和工作站的设计,参与处理个人数据的个人的职责、责任和时间表,任何参与个人数据处理的自然人或法人或其他机构应执行的有关电子媒体的传输、删除、处置和再利用的政策和程序和防止文件和设备机械销毁的政策和程序。20在技术性的安全措施方面,DPA没有给出具体的措施,而是给予了安排相关措施的指南,重点在于确保计算机网络、系统、服务的安全性以及对安全漏洞和安全事件的防范和恢复能力。21
3、安全事件的通知
当敏感的个人信息或其他信息将被未授权者获得并合理地相信将被用于身份欺诈行为并且个人信息控制者或委员会相信上述未经授权地获取很有可能对被影响的数据主体造成严重伤害的,信息控制者应当立即通知委员会和受影响的数据主体。该通知应当至少描述泄露的性质、可能包含的敏感个人信息、实体解决泄露采取的措施。通知只能在确定泄露范围、防止进一步的披露或保留信息和通讯系统的合理的完整性的必要范围内延迟。22因此,与其他国家的要求相比,在菲律宾,不是所有的个人数据泄露事件都需通知,只有可能产生严重影响的个人数据泄露事件需要。在个人信息控制者或个人信息处理者获悉或有合理理由相信发生了需要通知的个人数据泄露事件后,个人信息控制者应在七十二小时内通知委员会和受影响的数据主体。23
除了个人数据泄露事件之外,访问设备的丢失也需通知。在访问设备丢失的情况下,其持有人必须在得知损失后,将该损失的细节和情况通知发行者。完全遵守该程序将免除接入设备持有人自向发行人报告损失或盗窃之日起欺诈使用接入设备的任何财务责任。24
除了在安全事件发生后及时进行通知之外,个人信息控制者需要提交记录在案的安全事故和个人数据泄露总结的年终报告。25
4、个人数据处理系统的注册
在菲律宾运营的个人数据处理系统,如涉及访问或要求至少一千人的敏感个人信息,包括承包商及其人员的个人数据处理系统,与政府机构签订合同。26个人数据处理系统需注册,如若个人信息控制者或处理者雇佣不超过250人,则可豁免该义务。27
(三)数据的储存
个人信息仅能为实现数据获得的目的而保留。28一旦发现以及提供充足的证据表明个人信息是不完整、过时、错误、非法获得、用于未授权的目的或对于实现收集的目的不再必要,应将个人信息从个人信息控制者的系统中的中止、撤回、拦截、移除或销毁。同时,个人数据控制者应告知先前接受过上述被处理的个人信息的第三方。29
(四)数据的跨境传输
与其他国家都不相同,菲律宾并未将数据的国内传输和跨境传输区别对待。每个个人信息控制者对在其控制或监管下的个人信息负责,包括已被转移给第三方处理的信息,不论该转移是国内性的还是国际性的,需遵守跨境安排和合作。30个人信息控制者需遵守该法案的要求并且应当使用合同性的或其他合理方式在信息被第三方处理时提供同等水平的保护。31
三、金融科技公司出海菲律宾案例
菲律宾作为东南亚新兴市场的一员,近年也吸引了大量金融科技公司涌入。信也科技成立于2007年,围绕信贷科技、国际化业务以及科技生态孵化三大板块,已在菲律宾建立了金融科技平台。有关数据显示,2023年国际业务已实现营业收入21亿元,同比增加85.9%,占集团净收入的比重达到17%。32腾讯则联合国际知名PE机构KKR,投资菲律宾PLDT旗下金融科技公司Voyager Innovations。专注新兴市场的PayerMax仅在2023年,就已在泰国、阿联酋、菲律宾等国家获得多个支付牌照,业务覆盖50余个国家。33
四、金融科技公司出海菲律宾合规建议
(一)在组织内部做好可责性追踪
从菲律宾对组织性、物理性和技术性措施的描述中可以看出,菲律宾对于责任的追踪非常重视。在处理活动的记录中需要识别可以获得个人数据的个体的义务和责任,参与处理个人数据的个人的职责、责任和时间表都应明确规定。因此,相关金融科技公司应当在各个方面做好记录,以应对菲律宾权威机构的责任追究。从数据收集伊始,就应做好获得同意的流程和记录,数据处理的过程都应有相关的记录,特别是出现安全事件时,从事件发生原因到最终的处理结果都应当作出详细的分析报告。
(二)参照他国的数据出境规定提供数据跨境传输时的同等保护水平
与其他国家相比,菲律宾在数据出境方面的规定非常笼统,因此在具体的实践中应当参照国际相关实践进行。
一是可以通过APEC CBPR体系认证,亚太经济合作组织在成员经济体之间建立了跨境隐私规则(“CBPR”)体系,获得CBPR认证的数据控制者可以向境外交易相对方证明自身的数据保护水平。APEC成员经济体中的私营组织获得上述认证的前提,是该经济体首先要加入CBPR体系。截止目前,APEC中共有9个经济体加入了CBPR体系,其中包括菲律宾。因此,如果企业拟将在菲律宾收集的数据传输至CBPR体系内其他国家或地区,则可适用该认证。
二是引用标准合同条款。为促进数据相关业务运营,东南亚国家联盟出台了《东盟数据管理框架》和《东盟跨境数据流动标准合同条款》(“MCCs”)。MCCs 是自愿条款,旨在为数据传输各方提供参考,在不与MCCs冲突的前提下,合同各方可以根据各成员国国内法对其进行调整,包括根据商业安排和交易需要增加条款等。由于菲律宾数据跨境的核心要求是个人信息控制者需要使用合同或其他合理手段,使所传输的数据处于与菲律宾相当的保护水平中。因此,在菲律宾进行数据跨境传输时,可以参考引用MCCs与数据接收方签订协议,确保传输的数据得到充分的保护。
(三)密切关注菲律宾在数据隐私方面的后续立法
菲律宾在数据隐私方面的立法较早,即使2016年就DPA的执行发布的具体条例,仍与后续较为通用的法案如欧盟制定的GDPR有很大的不同,因此菲律宾近期将对数据隐私方面的法案进行较大的修订。虽然菲律宾通过修订法案的时间较长,但在此过程中,菲律宾国家隐私委员会可能会发布相关的通函、咨询、咨询意见、咨询采纳等,值得有意向出海菲律宾的金融科技公司关注。