Закон аб канфідэнцыйнасці даных Філіпін 2012 года: кіраўніцтва па адпаведнасці cookie для выдаўцоў у 2026 годзе

Філіпіны прынялі свой Закон аб канфідэнцыйнасці даных у 2012 годзе, за чатыры гады да прыняцця GDPR і ў той час, калі большасць азіяцкіх юрысдыкцый усё яшчэ працавалі без комплекснага заканадаўства аб прыватнасці. Рэспубліканскі акт 10173 стварыў Нацыянальную камісію па прыватнасці (NPC) як незалежны орган і даў краіне адну з самых ранніх схем у стылі GDPR у Паўднёва-Усходняй Азіі. Структура Закона вытрымала на здзіўленне добра — яго асноўныя прынцыпы, законныя падставы і схема правоў чыста адлюстроўваюцца на еўрапейскі стандарт — але аперацыйныя дэталі абнаўляліся шырока праз цыркуляры NPC, а не праз заканадаўчую папраўку. Для выдаўцоў і SaaS-аператараў, якія абслугоўваюць філіпінскі трафік, гэта азначае, што сам Закон — гэта высокаўзроўневы канстытуцыйны тэкст, але цыркуляры NPC аб згодзе, апавяшчэнні аб парушэннях, апрацоўцы адчувальнай персанальнай інфармацыі і Кансультацыя 2024 года аб анлайн-адсочванні — гэта тое, дзе аперацыйныя стандарты на самай справе жывуць. Гэта кіраўніцтва разбірае, што патрабуе Закон, як NPC растлумачыла яго для анлайн-адсочвання і дзе павінна засяродзіцца практычная праца па адпаведнасці ў 2026 годзе.

Закон аб канфідэнцыйнасці даных у агульных рысах

Закон аб канфідэнцыйнасці даных структураваны вакол пяці агульных прынцыпаў у Раздзеле 11 — празрыстасць, законная мэта, прапарцыянальнасць і належная апрацоўка — і больш падрабязнай схемы крытэрыяў законнай апрацоўкі ў Раздзеле 12. Законныя падставы адлюстроўваюць GDPR: згода, дагавор, юрыдычнае абавязацельства, жыццёва важныя інтарэсы, публічная функцыя і законны інтарэс. Закон мае экстэрытарыяльны ахоп у адпаведнасці з Раздзелам 6: ён прымяняецца да апрацоўкі персанальнай інфармацыі аб філіпінскім грамадзяніне або рэзідэнце незалежна ад таго, дзе ўстаноўлены кантролёр, ахопліваючы офшорных выдаўцоў, якія абслугоўваюць філіпінскі трафік.

Дзве структурныя асаблівасці маюць аперацыйнае значэнне. Па-першае, Закон адрознівае «персанальную інфармацыю» і «адчувальную персанальную інфармацыю» (Раздзел 3, пункты (g) і (l)) і прымяняе больш строгія правілы апрацоўкі да апошняй — здароўе, адукацыя, фінансавая інфармацыя і дзяржаўныя ідэнтыфікатары ўсе кваліфікуюцца як адчувальныя па Раздзеле 3(l). Па-другое, Раздзел 21 патрабуе, каб кантролёры і апрацоўшчыкі персанальнай інфармацыі вышэй пэўных парогаў рэгістраваліся ў NPC і прызначалі Супрацоўніка па ахове даных. NPC актыўна пераследавала незарэгістраваных кантролёраў.

Як Закон аб канфідэнцыйнасці даных трактуе cookie і анлайн-адсочванне

Закон не змяшчае спецыяльнага палажэння аб cookie. Абавязацельствы па згодзе і інфармацыі вынікаюць з Раздзелаў 11, 12 і 16 Закона і з Кансультацыі NPC 2024 года аб анлайн-адсочванні і паводзінскай рэкламе. Кансультацыя — карысны дакумент, таму што яна фармулюе чаканні відавочна, а не пакідае іх на вывад з агульнай схемы.

Сцвярджальная згода для неасноўнага адсочвання

Пазіцыя NPC у тым, што згода павінна быць свабодна дадзенай, канкрэтнай, інфармаванай і пацверджанай пісьмовым або электронным запісам. Кансультацыя 2024 года адхіляе пракрутку-як-згоду і працяг-выкарыстання-як-згоду як не праходзячыя крытэрыі «канкрэтнага» і «інфармаванага» Раздзела 3(b). Папярэдне адзначаныя сцяжкі відавочна трактуюцца як дэфектныя.

Гранулярныя катэгарыяльныя элементы кіравання

Кансультацыя чакае, што банеры дазволяць карыстальніку прымаць і адхіляць катэгорыі незалежна. Звязанае «прыняць усё» без гранулярнасці не праходзіць прынцып прапарцыянальнасці па Раздзеле 11(d), які патрабуе, каб апрацоўка была «адэкватнай, рэлевантнай, прыдатнай, неабходнай і не празмернай» — адзіная звязаная згода трактуецца як празмерная, калі падзел тэхнічна просты.

Патрабаванне DPO і рэгістрацыі

Для кантролёраў вышэй парога рэгістрацыі прызначэнне DPO — асэнсаванае аперацыйнае патрабаванне, а не папяровае практыкаванне. NPC спасылалася на адсутнасць належна прызначанага DPO ў некалькіх дзеяннях па праваўжыванні, асабліва ў сектарах BPO і фінтэх.

Трансгранічная перадача (Раздзел 21)

Трансгранічная схема Закона рэалізавана праз Цыркуляр NPC 16-02 аб аўтсорсінгавых пагадненнях і больш шырокі прынцып падсправаздачнасці. Перадачы нефіліпінскім атрымальнікам патрабуюць альбо адпаведных дагаворных гарантый, альбо канкрэтнай згоды. NPC выпусціла мадэльныя дагаворныя палажэнні; практычнае аперацыйнае чаканне адсочвае Главу V GDPR па сутнасці, нават дзе юрыдычная мова адрозніваецца.

Пазіцыя NPC па праваўжыванні

NPC была адным з найбольш публічна актыўных органаў па ахове даных у Паўднёва-Усходняй Азіі. Тры патэрны фарміруюць яе падыход да праваўжывання.

Высокабачныя выпадкі парушэнняў

NPC прыярытэзавала буйнамаштабныя расследаванні парушэнняў — уцечка рэестра выбаршчыкаў COMELEC 2016 года будучы самай значнай — і выкарыстоўвала гэтыя выпадкі для ўстанаўлення чаканняў для больш шырокай рэгулюемай супольнасці. Публічныя заявы падчас расследаванняў парушэнняў часта фармулююць патрабаванні, якія выходзяць за строгі статутны тэкст.

Фокус на BPO і фінтэху

Філіпіны — адна з найбуйнейшых эканомік BPO і кантакт-цэнтраў у свеце, і NPC гістарычна засяроджвала праваўжыванне на гэтых сектарах. Для выдаўцоў, якія вядуць рэкламна-падтрымліваемы бізнес, накіраваны на філіпінскіх карыстальнікаў, рэгулятарны клімат вакол аўдыторыі фарміруецца пазіцыяй адпаведнасці BPO, нават калі сам выдавец не ў гэтым сектары.

Каардынацыя з рэгулятарамі ASEAN

NPC удзельнічае ў працоўным патоку Схемы кіравання данымі ASEAN і падтрымлівае працоўныя адносіны з PDPC Сінгапура, PDPC Тайланда, нараджаючымся органам Інданезіі і EDPB ЕС. Трансгранічныя расследаванні, якія закранаюць філіпінскі і еўрапейскі трафік, усё часцей апрацоўваюцца праз скаардынаваныя працэдуры.

Практычны кантрольны спіс адпаведнасці

Шэсць канкрэтных пытанняў для любога банера cookie, які абслугоўвае філіпінскі трафік.

Дзе Філіпіны ўпісваюцца ў стэк мноства юрысдыкцый

Філіпіны — адзін з чатырох найбольш аперацыйна значных рэжымаў аховы даных ASEAN нараўне з Сінгапурам, Тайландам і Інданезіяй. Вінтаж Закона 2012 года азначае, што ён папярэднічае GDPR, але мадэрнізацыя NPC, рухомая цыркулярамі, няўхільна выраўноўвала аперацыйны стандарт з еўрапейскімі нормамі. Для выдаўцоў, якія будуюць у напрамку пан-ASEAN-аперацый, Філіпіны стаяць побач з трыма іншымі як рынак, дзе архітэктура CMP, пабудаваная па еўрапейскіх стандартах, апрацоўвае асноўную масу адпаведнасці з двума канкрэтнымі дапаўненнямі: рэгістрацыя NPC дзе прымяняюцца парогі і слой згоды на адчувальную інфармацыю, які адрознівае схему Філіпін ад больш слабых рэгіянальных альтэрнатыў. Англамоўная прырода рэгулятарнай схемы — незвычайная ў ASEAN — робіць Філіпіны незвычайна даступнай мэтай адпаведнасці для офшорных аператараў, якія не маюць мясцовага кансультанта.

← Блог Чытаць усё →