Закон о конфиденциальности данных Филиппин 2012 года: руководство по соответствию cookie для издателей в 2026 году

Филиппины приняли свой Закон о конфиденциальности данных в 2012 году, за четыре года до принятия GDPR и в то время, когда большинство азиатских юрисдикций всё ещё работали без комплексного законодательства о приватности. Республиканский акт 10173 создал Национальную комиссию по приватности (NPC) как независимый орган и дал стране одну из самых ранних схем в стиле GDPR в Юго-Восточной Азии. Структура Закона выдержала на удивление хорошо — его основные принципы, законные основания и схема прав чисто отображаются на европейский стандарт — но операционные детали обновлялись обширно через циркуляры NPC, а не через законодательную поправку. Для издателей и SaaS-операторов, обслуживающих филиппинский трафик, это означает, что сам Закон — это высокоуровневый конституционный текст, но циркуляры NPC о согласии, уведомлении о нарушениях, обработке чувствительной персональной информации и Консультация 2024 года об онлайн-отслеживании — это то, где операционные стандарты на самом деле живут. Это руководство разбирает, что требует Закон, как NPC истолковала его для онлайн-отслеживания и где должна сосредоточиться практическая работа по соответствию в 2026 году.

Закон о конфиденциальности данных в общих чертах

Закон о конфиденциальности данных структурирован вокруг пяти общих принципов в Разделе 11 — прозрачность, законная цель, пропорциональность и надлежащая обработка — и более подробной схемы критериев законной обработки в Разделе 12. Законные основания отражают GDPR: согласие, договор, юридическое обязательство, жизненно важные интересы, публичная функция и законный интерес. Закон имеет экстерриториальный охват в соответствии с Разделом 6: он применяется к обработке персональной информации о филиппинском гражданине или резиденте независимо от того, где учреждён контролёр, охватывая офшорных издателей, обслуживающих филиппинский трафик.

Две структурные особенности имеют операционное значение. Во-первых, Закон различает «персональную информацию» и «чувствительную персональную информацию» (Раздел 3, пункты (g) и (l)) и применяет более строгие правила обработки к последней — здоровье, образование, финансовая информация и государственные идентификаторы все квалифицируются как чувствительные по Разделу 3(l). Во-вторых, Раздел 21 требует, чтобы контролёры и обработчики персональной информации выше определённых порогов регистрировались в NPC и назначали Сотрудника по защите данных. NPC активно преследовала незарегистрированных контролёров.

Как Закон о конфиденциальности данных трактует cookie и онлайн-отслеживание

Закон не содержит специального положения о cookie. Обязательства по согласию и информации вытекают из Разделов 11, 12 и 16 Закона и из Консультации NPC 2024 года об онлайн-отслеживании и поведенческой рекламе. Консультация — полезный документ, потому что она формулирует ожидания явно, а не оставляет их на вывод из общей схемы.

Утвердительное согласие для неосновного отслеживания

Позиция NPC в том, что согласие должно быть свободно данным, конкретным, информированным и подтверждённым письменной или электронной записью. Консультация 2024 года отвергает прокрутку-как-согласие и продолжение-использования-как-согласие как не проходящие критерии «конкретного» и «информированного» Раздела 3(b). Предварительно отмеченные флажки явно трактуются как дефектные.

Гранулярные категориальные элементы управления

Консультация ожидает, что баннеры позволят пользователю принимать и отклонять категории независимо. Связанное «принять всё» без гранулярности не проходит принцип пропорциональности по Разделу 11(d), который требует, чтобы обработка была «адекватной, релевантной, подходящей, необходимой и не чрезмерной» — единое связанное согласие трактуется как чрезмерное, когда разделение технически простое.

Требование DPO и регистрации

Для контролёров выше порога регистрации назначение DPO — осмысленное операционное требование, а не бумажное упражнение. NPC ссылалась на отсутствие надлежаще назначенного DPO в нескольких действиях по правоприменению, особенно в секторах BPO и финтех.

Трансграничная передача (Раздел 21)

Трансграничная схема Закона реализована через Циркуляр NPC 16-02 об аутсорсинговых соглашениях и более широкий принцип подотчётности. Передачи нефилиппинским получателям требуют либо соответствующих договорных гарантий, либо конкретного согласия. NPC выпустила модельные договорные положения; практическое операционное ожидание отслеживает Главу V GDPR по существу, даже где юридический язык отличается.

Позиция NPC по правоприменению

NPC была одним из наиболее публично активных органов по защите данных в Юго-Восточной Азии. Три паттерна формируют её подход к правоприменению.

Высоковидимые случаи нарушений

NPC приоритизировала крупномасштабные расследования нарушений — утечка реестра избирателей COMELEC 2016 года будучи самой значимой — и использовала эти случаи для установления ожиданий для более широкого регулируемого сообщества. Публичные заявления во время расследований нарушений часто формулируют требования, выходящие за строгий уставной текст.

Фокус на BPO и финтехе

Филиппины — одна из крупнейших экономик BPO и контакт-центров в мире, и NPC исторически сосредоточивала правоприменение на этих секторах. Для издателей, ведущих рекламно-поддерживаемый бизнес, нацеленный на филиппинских пользователей, регуляторный климат вокруг аудитории формируется позицией соответствия BPO, даже когда сам издатель не в этом секторе.

Координация с регуляторами ASEAN

NPC участвует в рабочем потоке Схемы управления данными ASEAN и поддерживает рабочие отношения с PDPC Сингапура, PDPC Таиланда, нарождающимся органом Индонезии и EDPB ЕС. Трансграничные расследования, затрагивающие филиппинский и европейский трафик, всё чаще обрабатываются через скоординированные процедуры.

Практический контрольный список соответствия

Шесть конкретных вопросов для любого баннера cookie, обслуживающего филиппинский трафик.

Где Филиппины вписываются в стек множества юрисдикций

Филиппины — один из четырёх наиболее операционно значимых режимов защиты данных ASEAN наряду с Сингапуром, Таиландом и Индонезией. Винтаж Закона 2012 года означает, что он предшествует GDPR, но модернизация NPC, движимая циркулярами, неуклонно выравнивала операционный стандарт с европейскими нормами. Для издателей, строящих в направлении пан-ASEAN-операций, Филиппины стоят рядом с тремя другими как рынок, где архитектура CMP, построенная по европейским стандартам, обрабатывает основную массу соответствия с двумя конкретными дополнениями: регистрация NPC где применяются пороги и слой согласия на чувствительную информацию, отличающий схему Филиппин от более слабых региональных альтернатив. Англоязычная природа регуляторной схемы — необычная в ASEAN — делает Филиппины необычно доступной целью соответствия для офшорных операторов, не имеющих местного консультанта.

← Блог Читать все →