1. 法律实务 >个人信息保护全球指南(第二版)——菲律宾 >

个人信息保护全球指南(第二版)——菲律宾

【作者】 汇衡律师事务所【合作机构】 【迅雷电影下载站中文关键词】 庙岭租房个人信息;菲律宾【主题分类】 【发布时间】 2020.09.14lotion是什么意思培训学习总结【全文】【】 导言 为应对全球范围内越来越自由的个人数据交换并对数据保护国

【作者】 汇衡律师事务所【合作机构】 【中文关键词】 个人信息;菲律宾【主题分类】 【发布时间】 2020.09.14 【全文】【】

导言

为应对全球范围内越来越自由的个人数据交换并对数据保护国际标准的制定作出响应,菲律宾于2012年颁布了《数据隐私法(2012年)》(或《第10173号共和国法案》,“DPA”)及其实施细则和规定。在此之前,菲律宾并没有对于个人数据处理者的集中监管或对数据主体的全面保护措施,当时,大量的个人数据受到滥用和不当使用——从超出原本预计目的的无节制使用和分享联系信息,到身份窃取或安全入侵——直到数据主体受宪法保障的隐私权受损。早在2006年,菲律宾贸易和工业部(DTI)就发布了关于“个人数据保护指南”的第8-2006号DTI行政命令,这是《数据隐私法》的起源。DTI的发布是仿效欧盟(EU)1995年《数据保护指令》(官方指令95/46/EC)的模式,该指令是当前欧盟《一般数据保护条例》(GDPR)的前身。因此,菲律宾的《数据隐私法》深深根植于欧盟《一般数据保护条例》所倡导的标准和原则。

1. 您所在的法域中主要的个人信息保护法律或法规有哪些?

菲律宾关于个人信息保护的管辖法律是《数据隐私法(2012年)》/《第10173号共和国法案》及其实施细则和规定。除了《数据隐私法》及其实施细则和规定,国家隐私委员会作为负责管理菲律宾隐私法律的主要政府机构,发布了进一步完善并实施《数据隐私法》及其实施细则和规定的通告和建议。

2. 个人信息是如何定义的?

“个人信息”被定义为持有该信息的实体可以从中明显识别出个人身份的任何信息,无论是否以实物形式记载。1 例如,如果被收集的数据涉及其家庭住址、电话号码或雇员编号,即便该自然人并未被明确指名,每一个数据点(鉴于当将这些数据点相互结合考虑时,自然人身份会变得显而易见)都将被认定为个人信息,并因此受到《数据隐私法》的保护。根据此法律定义,与法律实体(例如公司、企业和合伙企业)有关的信息不受法律规制。尽管“公司信息”是被排除在《数据隐私法》的范围之外的,但是如果与法人实体有关的记录或文件包含个人信息(例如,公司注册文件中的公司注册人或公司管理人员的姓名和联系方式),那么这部分包含个人信息的记录或文件仍应被视为《数据隐私法》所涵盖的范围。

从“个人信息”的范畴来看,我们的法律划定了两组“特殊”的个人信息——“特许保密信息”和“敏感个人信息”。“特许保密信息”的定义是“指根据《法院规则》和其他有关法律构成特许保密通信的任何形式的数据”。2 根据《法院规则》第24章第130条,以下内容构成“特许保密通信”:(1)夫妻或配偶的交流;(2)律师与委托人的通信;(3)医患沟通;(4)牧师与忏悔者的交流;(5)公职人员通信。

同时,“敏感个人信息”是指如下个人信息:

(1)关于自然人的种族、民族血统、婚姻状况、年龄、肤色以及宗教、哲学或政治信仰;

(2)关于自然人的健康、教育、基因或性生活,或实施或被指控实施任何违法行为的任何程序、该等程序的处理结果或任何法院在该等程序中判处的刑罚;

(3)政府机构向自然人签发的特有信息,包括但不限于社会保障号码、过去或目前的健康记录、执照或其驳回、中止或撤销信息以及税费返还;及

(4)由行政命令或议会法案特别建立的、需要秘密保管的信息。3

《数据隐私法》的上述列表详尽无遗地列出了构成“敏感个人信息”的内容,未包含在内的那些个人数据被视为“非敏感”数据,但仍然是《数据隐私法》所保护的“个人信息”(如姓名、联系方式,如电话号码、电子邮件地址等)。“特许保密信息”和“敏感个人信息”在《数据隐私法》项下是被同等对待的。北京大学互联网法律中心

3. 有关个人信息保护的关键原则有哪些?

和《一般数据保护条例》拥护的原则相似,个人信息的处理行为必须遵守透明性、合法目的和相称性的一般原则。例如,如果出于举办比赛的目的而收集自然人的个人数据且自然人将由此赢得某一商店的抽奖奖品,那么必须告知数据主体其数据系仅出于上述目的而被收集和处理,并且该等数据将由商店保留,保留时间仅限于满足比赛要求所需的时间。该等数据不得用于其他任何目的(例如,推销商店的其他产品)或保留超过必要期限(例如,比赛后的一段不确定的期限)。

被收集的数据还必须与向数据主体宣称的目的相称。例如,如果收集数据的目的是识别比赛获胜者的身份,那么个人的姓名和联系信息就足够了。《数据隐私法》中透明性原则的特点是需要获得数据主体的明示同意或处理个人信息的有效法律依据。首先,必须告知数据主体其个人信息将如何被使用或“处理”,包括涉及的各方(如数据控制者、数据处理者、第三方),需要此类个人信息的目的,个人信息应被保留多长时间,为保护数据应采取的适当安全措施,以及在数据主体有任何顾虑时如何联系数据控制者的详细联系方式。如果缺失上述任何行为,那么根据《数据隐私法》,“个人信息的处理”通常可以被视为未经授权。

4. 收集个人信息的合规要求有哪些?

未被法律禁止的个人信息处理行为均是被允许的,通常而言,当数据主体已经明确、明示同意时,是可以处理个人信息的。但是,根据情况的性质和紧急程度,《数据隐私法》规定了一些不适合由个


······

【注释】 1、 关于保护政府和私人部门信息和沟通系统中自然人个人信息、为此目的创建国家隐私委员会和出于其他目的的法案,《数据隐私法(2012年)》、《第10173号共和国法案》第3(g)条,2012年。2、 同上,第3(k)条。3、 同上,第3(l)条。4、 同上,关于处理“个人信息”的第12条(即那些未归类为“敏感个人信息”和“特许保密信息”的信息);关于处理“敏感个人信息”和“特许保密信息”的第13条。5、 国家隐私委员会《第10173号共和国法案(即“数据隐私法(2012)”)实施细则和规定》,细则六,第26条(2016年)(“DPA-IRR”)。同上,细则六,第28条。6、 同上,细则一,第3,f条。7、 同上,细则六,第27条。8、 《数据隐私法(2012年)》,第16条。9、 DPA-IRR,细则六,第19 a 1和b 1条。10、 同上,第25-33条。

本文来自互联网,不代表律师文书网立场,如有侵权请联系我们: