Hướng dẫn Tuân thủ Data Privacy Act 2012 của Philippines về Đồng ý Cookie cho Nhà xuất bản năm 2026

Philippines đã thông qua Data Privacy Act vào năm 2012, bốn năm trước khi GDPR được ban hành và vào thời điểm mà hầu hết các khu vực pháp lý châu Á vẫn hoạt động mà không có luật bảo mật toàn diện. Republic Act 10173 đã thành lập National Privacy Commission (NPC) với tư cách là cơ quan độc lập và mang lại cho đất nước một trong những khuôn khổ theo phong cách GDPR đầu tiên ở Đông Nam Á. Cấu trúc của Đạo luật đã đứng vững đáng kể — các nguyên tắc cốt lõi, căn cứ pháp lý và khuôn khổ quyền của nó đều ánh xạ rõ ràng sang tiêu chuẩn châu Âu — nhưng các chi tiết hoạt động đã được cập nhật rộng rãi thông qua các thông tư của NPC thay vì thông qua sửa đổi lập pháp. Đối với các nhà xuất bản và nhà điều hành SaaS phục vụ lưu lượng Philippines, điều đó có nghĩa là bản thân Đạo luật là văn bản hiến pháp cấp cao, nhưng các thông tư của NPC về đồng ý, thông báo vi phạm, xử lý thông tin cá nhân nhạy cảm và Khuyến cáo năm 2024 về Theo dõi Trực tuyến là nơi các tiêu chuẩn hoạt động thực sự tồn tại. Hướng dẫn này trình bày những gì Đạo luật yêu cầu, cách NPC đã giải thích nó cho việc theo dõi trực tuyến, và nơi công việc tuân thủ thực tiễn cần tập trung vào năm 2026.

Data Privacy Act theo phác thảo

Data Privacy Act được cấu trúc xung quanh năm nguyên tắc chung trong Section 11 — minh bạch, mục đích hợp pháp, tính tỷ lệ và xử lý đúng đắn — và một khuôn khổ chi tiết hơn về tiêu chí xử lý hợp pháp trong Section 12. Các căn cứ pháp lý phản ánh GDPR: đồng ý, hợp đồng, nghĩa vụ pháp lý, lợi ích sống còn, chức năng công và lợi ích hợp pháp. Đạo luật có phạm vi lãnh thổ mở rộng theo Section 6: áp dụng cho việc xử lý thông tin cá nhân về công dân hoặc cư dân Philippines bất kể bộ điều khiển được thành lập ở đâu, bao gồm cả các nhà xuất bản nước ngoài phục vụ lưu lượng Philippines.

Hai đặc điểm cấu trúc có tầm quan trọng hoạt động. Thứ nhất, Đạo luật phân biệt “thông tin cá nhân” với “thông tin cá nhân nhạy cảm” (Section 3, các đoạn (g) và (l)) và áp dụng các quy tắc xử lý nghiêm ngặt hơn cho loại sau — sức khỏe, giáo dục, thông tin tài chính và các mã định danh do chính phủ cấp đều đủ điều kiện là nhạy cảm theo Section 3(l). Thứ hai, Section 21 yêu cầu các bộ điều khiển và bộ xử lý thông tin cá nhân vượt ngưỡng quy định phải đăng ký với NPC và chỉ định Cán bộ Bảo vệ Dữ liệu (DPO). NPC đã tích cực truy tố các bộ điều khiển chưa đăng ký.

Data Privacy Act đối xử với Cookie và Theo dõi Trực tuyến như thế nào

Đạo luật không chứa điều khoản cụ thể về cookie. Các nghĩa vụ đồng ý và thông tin bắt nguồn từ các Mục 11, 12 và 16 của Đạo luật và từ Khuyến cáo năm 2024 của NPC về Theo dõi Trực tuyến và Quảng cáo Hành vi. Khuyến cáo là tài liệu hữu ích vì nó nêu rõ các kỳ vọng một cách rõ ràng thay vì để chúng được suy luận từ khuôn khổ chung.

Đồng ý xác nhận cho việc theo dõi không cần thiết

Lập trường của NPC là đồng ý phải được trao tự do, cụ thể, có thông tin và được chứng minh bằng bản ghi bằng văn bản hoặc điện tử. Khuyến cáo năm 2024 bác bỏ cuộn-như-đồng-ý và tiếp-tục-sử-dụng-như-đồng-ý vì không đáp ứng các yêu cầu “cụ thể” và “có thông tin” của Section 3(b). Các hộp kiểm được đánh dấu trước bị coi là không hợp lệ một cách rõ ràng.

Kiểm soát danh mục chi tiết

Khuyến cáo kỳ vọng các biểu ngữ cho phép người dùng chấp nhận và từ chối các danh mục một cách độc lập. Đồng ý gói chấp-nhận-tất-cả mà không có sự chi tiết không đáp ứng nguyên tắc tỷ lệ theo Section 11(d), yêu cầu việc xử lý phải “đầy đủ, liên quan, phù hợp, cần thiết và không quá mức” — một đồng ý gói duy nhất được coi là quá mức khi việc tách biệt về mặt kỹ thuật là đơn giản.

DPO và yêu cầu đăng ký

Đối với các bộ điều khiển vượt ngưỡng đăng ký, việc chỉ định DPO là yêu cầu hoạt động có ý nghĩa, không phải là bài tập giấy tờ. NPC đã dẫn ra việc thiếu DPO được chỉ định đúng cách trong một số hành động thực thi, đặc biệt trong các lĩnh vực BPO và fintech.

Chuyển giao xuyên biên giới (Section 21)

Khuôn khổ xuyên biên giới của Đạo luật được thực hiện thông qua NPC Circular 16-02 về Thỏa thuận Thuê ngoài và nguyên tắc trách nhiệm rộng hơn. Chuyển giao cho người nhận không phải Philippines yêu cầu hoặc các biện pháp bảo vệ hợp đồng phù hợp hoặc đồng ý cụ thể. NPC đã ban hành các điều khoản hợp đồng mẫu; kỳ vọng hoạt động thực tiễn theo GDPR Chapter V về mặt thực chất ngay cả khi ngôn ngữ pháp lý khác nhau.

Lập trường Thực thi của NPC

NPC là một trong những cơ quan bảo vệ dữ liệu hoạt động công khai tích cực nhất ở Đông Nam Á. Ba mô hình định hình phương pháp thực thi của nó.

Các vụ vi phạm có mức độ hiển thị cao

NPC đã ưu tiên các cuộc điều tra vi phạm quy mô lớn — vụ rò rỉ sổ đăng ký cử tri COMELEC năm 2016 là vụ quan trọng nhất — và sử dụng những vụ đó để thiết lập kỳ vọng cho cộng đồng được quản lý rộng hơn. Các tuyên bố công khai trong các cuộc điều tra vi phạm thường nêu rõ các yêu cầu vượt ra ngoài văn bản luật định nghiêm ngặt.

Tập trung vào BPO và fintech

Philippines là một trong những nền kinh tế BPO và trung tâm liên lạc lớn nhất thế giới, và NPC đã tập trung việc thực thi vào các lĩnh vực này trong lịch sử. Đối với các nhà xuất bản điều hành các doanh nghiệp được hỗ trợ bởi quảng cáo nhắm mục tiêu người dùng Philippines, bầu không khí quản lý xung quanh đối tượng khán giả được định hình bởi lập trường tuân thủ BPO ngay cả khi bản thân nhà xuất bản không thuộc lĩnh vực đó.

Phối hợp với các cơ quan quản lý ASEAN

NPC tham gia vào luồng công việc ASEAN Data Management Framework và duy trì mối quan hệ làm việc với Singapore PDPC, Thailand PDPC, cơ quan mới nổi của Indonesia và EDPB của EU. Các cuộc điều tra xuyên biên giới liên quan đến lưu lượng Philippines và châu Âu ngày càng được xử lý thông qua các thủ tục phối hợp.

Danh sách kiểm tra Tuân thủ Thực tiễn

Sáu câu hỏi cụ thể cần trả lời cho bất kỳ biểu ngữ cookie nào phục vụ lưu lượng Philippines.

Vị trí của Philippines trong Bộ Đa Quyền tài phán

Philippines là một trong bốn chế độ bảo vệ dữ liệu ASEAN có hậu quả hoạt động đáng kể nhất cùng với Singapore, Thái Lan và Indonesia. Năm 2012 của Đạo luật có nghĩa là nó ra đời trước GDPR, nhưng sự hiện đại hóa do thông tư của NPC thúc đẩy đã dần dần điều chỉnh tiêu chuẩn hoạt động theo các chuẩn mực châu Âu. Đối với các nhà xuất bản xây dựng hướng tới hoạt động toàn ASEAN, Philippines đứng cùng ba thị trường kia nơi kiến trúc CMP được xây dựng theo tiêu chuẩn châu Âu xử lý phần lớn sự tuân thủ với hai bổ sung cụ thể: đăng ký NPC nơi áp dụng ngưỡng, và lớp đồng ý thông tin nhạy cảm phân biệt khuôn khổ Philippines với các lựa chọn thay thế khu vực lỏng lẻo hơn. Tính chất ngôn ngữ tiếng Anh của khuôn khổ quản lý — không phổ biến ở ASEAN — làm cho Philippines trở thành mục tiêu tuân thủ dễ tiếp cận bất thường cho các nhà điều hành nước ngoài không có cố vấn pháp lý địa phương.

← Blog Đọc tất cả →