Закон аб канфідэнцыйнасці даных Філіпін 2012 года: кіраўніцтва па адпаведнасці cookie для выдаўцоў у 2026 годзе
Філіпіны прынялі свой Закон аб канфідэнцыйнасці даных у 2012 годзе, за чатыры гады да прыняцця GDPR і ў той час, калі большасць азіяцкіх юрысдыкцый усё яшчэ працавалі без комплекснага заканадаўства аб прыватнасці. Рэспубліканскі акт 10173 стварыў Нацыянальную камісію па прыватнасці (NPC) як незалежны орган і даў краіне адну з самых ранніх схем у стылі GDPR у Паўднёва-Усходняй Азіі. Структура Закона вытрымала на здзіўленне добра — яго асноўныя прынцыпы, законныя падставы і схема правоў чыста адлюстроўваюцца на еўрапейскі стандарт — але аперацыйныя дэталі абнаўляліся шырока праз цыркуляры NPC, а не праз заканадаўчую папраўку. Для выдаўцоў і SaaS-аператараў, якія абслугоўваюць філіпінскі трафік, гэта азначае, што сам Закон — гэта высокаўзроўневы канстытуцыйны тэкст, але цыркуляры NPC аб згодзе, апавяшчэнні аб парушэннях, апрацоўцы адчувальнай персанальнай інфармацыі і Кансультацыя 2024 года аб анлайн-адсочванні — гэта тое, дзе аперацыйныя стандарты на самай справе жывуць. Гэта кіраўніцтва разбірае, што патрабуе Закон, як NPC растлумачыла яго для анлайн-адсочвання і дзе павінна засяродзіцца практычная праца па адпаведнасці ў 2026 годзе.
Закон аб канфідэнцыйнасці даных у агульных рысах
Закон аб канфідэнцыйнасці даных структураваны вакол пяці агульных прынцыпаў у Раздзеле 11 — празрыстасць, законная мэта, прапарцыянальнасць і належная апрацоўка — і больш падрабязнай схемы крытэрыяў законнай апрацоўкі ў Раздзеле 12. Законныя падставы адлюстроўваюць GDPR: згода, дагавор, юрыдычнае абавязацельства, жыццёва важныя інтарэсы, публічная функцыя і законны інтарэс. Закон мае экстэрытарыяльны ахоп у адпаведнасці з Раздзелам 6: ён прымяняецца да апрацоўкі персанальнай інфармацыі аб філіпінскім грамадзяніне або рэзідэнце незалежна ад таго, дзе ўстаноўлены кантролёр, ахопліваючы офшорных выдаўцоў, якія абслугоўваюць філіпінскі трафік.
Дзве структурныя асаблівасці маюць аперацыйнае значэнне. Па-першае, Закон адрознівае «персанальную інфармацыю» і «адчувальную персанальную інфармацыю» (Раздзел 3, пункты (g) і (l)) і прымяняе больш строгія правілы апрацоўкі да апошняй — здароўе, адукацыя, фінансавая інфармацыя і дзяржаўныя ідэнтыфікатары ўсе кваліфікуюцца як адчувальныя па Раздзеле 3(l). Па-другое, Раздзел 21 патрабуе, каб кантролёры і апрацоўшчыкі персанальнай інфармацыі вышэй пэўных парогаў рэгістраваліся ў NPC і прызначалі Супрацоўніка па ахове даных. NPC актыўна пераследавала незарэгістраваных кантролёраў.
Як Закон аб канфідэнцыйнасці даных трактуе cookie і анлайн-адсочванне
Закон не змяшчае спецыяльнага палажэння аб cookie. Абавязацельствы па згодзе і інфармацыі вынікаюць з Раздзелаў 11, 12 і 16 Закона і з Кансультацыі NPC 2024 года аб анлайн-адсочванні і паводзінскай рэкламе. Кансультацыя — карысны дакумент, таму што яна фармулюе чаканні відавочна, а не пакідае іх на вывад з агульнай схемы.
Сцвярджальная згода для неасноўнага адсочвання
Пазіцыя NPC у тым, што згода павінна быць свабодна дадзенай, канкрэтнай, інфармаванай і пацверджанай пісьмовым або электронным запісам. Кансультацыя 2024 года адхіляе пракрутку-як-згоду і працяг-выкарыстання-як-згоду як не праходзячыя крытэрыі «канкрэтнага» і «інфармаванага» Раздзела 3(b). Папярэдне адзначаныя сцяжкі відавочна трактуюцца як дэфектныя.
Гранулярныя катэгарыяльныя элементы кіравання
Кансультацыя чакае, што банеры дазволяць карыстальніку прымаць і адхіляць катэгорыі незалежна. Звязанае «прыняць усё» без гранулярнасці не праходзіць прынцып прапарцыянальнасці па Раздзеле 11(d), які патрабуе, каб апрацоўка была «адэкватнай, рэлевантнай, прыдатнай, неабходнай і не празмернай» — адзіная звязаная згода трактуецца як празмерная, калі падзел тэхнічна просты.
Патрабаванне DPO і рэгістрацыі
Для кантролёраў вышэй парога рэгістрацыі прызначэнне DPO — асэнсаванае аперацыйнае патрабаванне, а не папяровае практыкаванне. NPC спасылалася на адсутнасць належна прызначанага DPO ў некалькіх дзеяннях па праваўжыванні, асабліва ў сектарах BPO і фінтэх.
Трансгранічная перадача (Раздзел 21)
Трансгранічная схема Закона рэалізавана праз Цыркуляр NPC 16-02 аб аўтсорсінгавых пагадненнях і больш шырокі прынцып падсправаздачнасці. Перадачы нефіліпінскім атрымальнікам патрабуюць альбо адпаведных дагаворных гарантый, альбо канкрэтнай згоды. NPC выпусціла мадэльныя дагаворныя палажэнні; практычнае аперацыйнае чаканне адсочвае Главу V GDPR па сутнасці, нават дзе юрыдычная мова адрозніваецца.
Пазіцыя NPC па праваўжыванні
NPC была адным з найбольш публічна актыўных органаў па ахове даных у Паўднёва-Усходняй Азіі. Тры патэрны фарміруюць яе падыход да праваўжывання.
Высокабачныя выпадкі парушэнняў
NPC прыярытэзавала буйнамаштабныя расследаванні парушэнняў — уцечка рэестра выбаршчыкаў COMELEC 2016 года будучы самай значнай — і выкарыстоўвала гэтыя выпадкі для ўстанаўлення чаканняў для больш шырокай рэгулюемай супольнасці. Публічныя заявы падчас расследаванняў парушэнняў часта фармулююць патрабаванні, якія выходзяць за строгі статутны тэкст.
Фокус на BPO і фінтэху
Філіпіны — адна з найбуйнейшых эканомік BPO і кантакт-цэнтраў у свеце, і NPC гістарычна засяроджвала праваўжыванне на гэтых сектарах. Для выдаўцоў, якія вядуць рэкламна-падтрымліваемы бізнес, накіраваны на філіпінскіх карыстальнікаў, рэгулятарны клімат вакол аўдыторыі фарміруецца пазіцыяй адпаведнасці BPO, нават калі сам выдавец не ў гэтым сектары.
Каардынацыя з рэгулятарамі ASEAN
NPC удзельнічае ў працоўным патоку Схемы кіравання данымі ASEAN і падтрымлівае працоўныя адносіны з PDPC Сінгапура, PDPC Тайланда, нараджаючымся органам Інданезіі і EDPB ЕС. Трансгранічныя расследаванні, якія закранаюць філіпінскі і еўрапейскі трафік, усё часцей апрацоўваюцца праз скаардынаваныя працэдуры.
Практычны кантрольны спіс адпаведнасці
Шэсць канкрэтных пытанняў для любога банера cookie, які абслугоўвае філіпінскі трафік.
- Ці зарэгістраваны кантролёр у NPC? Калі апрацоўка перасякае парог рэгістрацыі, пацвердзіце, што рэгістрацыя NPC актуальная і прызначэнне DPO зафіксавана.
- Ці ёсць відавочная адмова на першым слоі? Шлях адмовы павінен знаходзіцца на той жа паверхні, што і прыняцце, з параўнальнай прыкметнасцю. Пракрутка-як-згода не праходзіць Кансультацыю 2024 года.
- Ці гранулярныя катэгорыі? Неабходныя, аналітыка і маркетынг павінны кіравацца асобна.
- Ці спецыяльна зачынена адчувальная інфармацыя? Для любых cookie, якія захопліваюць даныя, сумежныя са здароўем, фінансамі або дзяржаўнымі ID, пацвердзіце відавочны opt-in, адрозны ад агульнай маркетынгавай згоды.
- Ці задакументаваны трансгранічныя перадачы? Ідэнтыфікуйце кожны нефіліпінскі напрамак і гарантыю, якая дазваляе перадачу (дагаворныя палажэнні, відавочную згоду або дэрагацыю).
- Ці з'яўляецца лагіраванне згоды аўдыт-класным? Раздзел 3(b) патрабуе, каб згода была «пацверджана пісьмовымі, электроннымі або запісанымі сродкамі» — лагіраванне не апцыянальна.
Дзе Філіпіны ўпісваюцца ў стэк мноства юрысдыкцый
Філіпіны — адзін з чатырох найбольш аперацыйна значных рэжымаў аховы даных ASEAN нараўне з Сінгапурам, Тайландам і Інданезіяй. Вінтаж Закона 2012 года азначае, што ён папярэднічае GDPR, але мадэрнізацыя NPC, рухомая цыркулярамі, няўхільна выраўноўвала аперацыйны стандарт з еўрапейскімі нормамі. Для выдаўцоў, якія будуюць у напрамку пан-ASEAN-аперацый, Філіпіны стаяць побач з трыма іншымі як рынак, дзе архітэктура CMP, пабудаваная па еўрапейскіх стандартах, апрацоўвае асноўную масу адпаведнасці з двума канкрэтнымі дапаўненнямі: рэгістрацыя NPC дзе прымяняюцца парогі і слой згоды на адчувальную інфармацыю, які адрознівае схему Філіпін ад больш слабых рэгіянальных альтэрнатыў. Англамоўная прырода рэгулятарнай схемы — незвычайная ў ASEAN — робіць Філіпіны незвычайна даступнай мэтай адпаведнасці для офшорных аператараў, якія не маюць мясцовага кансультанта.