Hướng dẫn Tuân thủ Data Privacy Act 2012 của Philippines về Đồng ý Cookie cho Nhà xuất bản năm 2026
Philippines đã thông qua Data Privacy Act vào năm 2012, bốn năm trước khi GDPR được ban hành và vào thời điểm mà hầu hết các khu vực pháp lý châu Á vẫn hoạt động mà không có luật bảo mật toàn diện. Republic Act 10173 đã thành lập National Privacy Commission (NPC) với tư cách là cơ quan độc lập và mang lại cho đất nước một trong những khuôn khổ theo phong cách GDPR đầu tiên ở Đông Nam Á. Cấu trúc của Đạo luật đã đứng vững đáng kể — các nguyên tắc cốt lõi, căn cứ pháp lý và khuôn khổ quyền của nó đều ánh xạ rõ ràng sang tiêu chuẩn châu Âu — nhưng các chi tiết hoạt động đã được cập nhật rộng rãi thông qua các thông tư của NPC thay vì thông qua sửa đổi lập pháp. Đối với các nhà xuất bản và nhà điều hành SaaS phục vụ lưu lượng Philippines, điều đó có nghĩa là bản thân Đạo luật là văn bản hiến pháp cấp cao, nhưng các thông tư của NPC về đồng ý, thông báo vi phạm, xử lý thông tin cá nhân nhạy cảm và Khuyến cáo năm 2024 về Theo dõi Trực tuyến là nơi các tiêu chuẩn hoạt động thực sự tồn tại. Hướng dẫn này trình bày những gì Đạo luật yêu cầu, cách NPC đã giải thích nó cho việc theo dõi trực tuyến, và nơi công việc tuân thủ thực tiễn cần tập trung vào năm 2026.
Data Privacy Act theo phác thảo
Data Privacy Act được cấu trúc xung quanh năm nguyên tắc chung trong Section 11 — minh bạch, mục đích hợp pháp, tính tỷ lệ và xử lý đúng đắn — và một khuôn khổ chi tiết hơn về tiêu chí xử lý hợp pháp trong Section 12. Các căn cứ pháp lý phản ánh GDPR: đồng ý, hợp đồng, nghĩa vụ pháp lý, lợi ích sống còn, chức năng công và lợi ích hợp pháp. Đạo luật có phạm vi lãnh thổ mở rộng theo Section 6: áp dụng cho việc xử lý thông tin cá nhân về công dân hoặc cư dân Philippines bất kể bộ điều khiển được thành lập ở đâu, bao gồm cả các nhà xuất bản nước ngoài phục vụ lưu lượng Philippines.
Hai đặc điểm cấu trúc có tầm quan trọng hoạt động. Thứ nhất, Đạo luật phân biệt “thông tin cá nhân” với “thông tin cá nhân nhạy cảm” (Section 3, các đoạn (g) và (l)) và áp dụng các quy tắc xử lý nghiêm ngặt hơn cho loại sau — sức khỏe, giáo dục, thông tin tài chính và các mã định danh do chính phủ cấp đều đủ điều kiện là nhạy cảm theo Section 3(l). Thứ hai, Section 21 yêu cầu các bộ điều khiển và bộ xử lý thông tin cá nhân vượt ngưỡng quy định phải đăng ký với NPC và chỉ định Cán bộ Bảo vệ Dữ liệu (DPO). NPC đã tích cực truy tố các bộ điều khiển chưa đăng ký.
Data Privacy Act đối xử với Cookie và Theo dõi Trực tuyến như thế nào
Đạo luật không chứa điều khoản cụ thể về cookie. Các nghĩa vụ đồng ý và thông tin bắt nguồn từ các Mục 11, 12 và 16 của Đạo luật và từ Khuyến cáo năm 2024 của NPC về Theo dõi Trực tuyến và Quảng cáo Hành vi. Khuyến cáo là tài liệu hữu ích vì nó nêu rõ các kỳ vọng một cách rõ ràng thay vì để chúng được suy luận từ khuôn khổ chung.
Đồng ý xác nhận cho việc theo dõi không cần thiết
Lập trường của NPC là đồng ý phải được trao tự do, cụ thể, có thông tin và được chứng minh bằng bản ghi bằng văn bản hoặc điện tử. Khuyến cáo năm 2024 bác bỏ cuộn-như-đồng-ý và tiếp-tục-sử-dụng-như-đồng-ý vì không đáp ứng các yêu cầu “cụ thể” và “có thông tin” của Section 3(b). Các hộp kiểm được đánh dấu trước bị coi là không hợp lệ một cách rõ ràng.
Kiểm soát danh mục chi tiết
Khuyến cáo kỳ vọng các biểu ngữ cho phép người dùng chấp nhận và từ chối các danh mục một cách độc lập. Đồng ý gói chấp-nhận-tất-cả mà không có sự chi tiết không đáp ứng nguyên tắc tỷ lệ theo Section 11(d), yêu cầu việc xử lý phải “đầy đủ, liên quan, phù hợp, cần thiết và không quá mức” — một đồng ý gói duy nhất được coi là quá mức khi việc tách biệt về mặt kỹ thuật là đơn giản.
DPO và yêu cầu đăng ký
Đối với các bộ điều khiển vượt ngưỡng đăng ký, việc chỉ định DPO là yêu cầu hoạt động có ý nghĩa, không phải là bài tập giấy tờ. NPC đã dẫn ra việc thiếu DPO được chỉ định đúng cách trong một số hành động thực thi, đặc biệt trong các lĩnh vực BPO và fintech.
Chuyển giao xuyên biên giới (Section 21)
Khuôn khổ xuyên biên giới của Đạo luật được thực hiện thông qua NPC Circular 16-02 về Thỏa thuận Thuê ngoài và nguyên tắc trách nhiệm rộng hơn. Chuyển giao cho người nhận không phải Philippines yêu cầu hoặc các biện pháp bảo vệ hợp đồng phù hợp hoặc đồng ý cụ thể. NPC đã ban hành các điều khoản hợp đồng mẫu; kỳ vọng hoạt động thực tiễn theo GDPR Chapter V về mặt thực chất ngay cả khi ngôn ngữ pháp lý khác nhau.
Lập trường Thực thi của NPC
NPC là một trong những cơ quan bảo vệ dữ liệu hoạt động công khai tích cực nhất ở Đông Nam Á. Ba mô hình định hình phương pháp thực thi của nó.
Các vụ vi phạm có mức độ hiển thị cao
NPC đã ưu tiên các cuộc điều tra vi phạm quy mô lớn — vụ rò rỉ sổ đăng ký cử tri COMELEC năm 2016 là vụ quan trọng nhất — và sử dụng những vụ đó để thiết lập kỳ vọng cho cộng đồng được quản lý rộng hơn. Các tuyên bố công khai trong các cuộc điều tra vi phạm thường nêu rõ các yêu cầu vượt ra ngoài văn bản luật định nghiêm ngặt.
Tập trung vào BPO và fintech
Philippines là một trong những nền kinh tế BPO và trung tâm liên lạc lớn nhất thế giới, và NPC đã tập trung việc thực thi vào các lĩnh vực này trong lịch sử. Đối với các nhà xuất bản điều hành các doanh nghiệp được hỗ trợ bởi quảng cáo nhắm mục tiêu người dùng Philippines, bầu không khí quản lý xung quanh đối tượng khán giả được định hình bởi lập trường tuân thủ BPO ngay cả khi bản thân nhà xuất bản không thuộc lĩnh vực đó.
Phối hợp với các cơ quan quản lý ASEAN
NPC tham gia vào luồng công việc ASEAN Data Management Framework và duy trì mối quan hệ làm việc với Singapore PDPC, Thailand PDPC, cơ quan mới nổi của Indonesia và EDPB của EU. Các cuộc điều tra xuyên biên giới liên quan đến lưu lượng Philippines và châu Âu ngày càng được xử lý thông qua các thủ tục phối hợp.
Danh sách kiểm tra Tuân thủ Thực tiễn
Sáu câu hỏi cụ thể cần trả lời cho bất kỳ biểu ngữ cookie nào phục vụ lưu lượng Philippines.
- Bộ điều khiển có được đăng ký với NPC không? Nếu việc xử lý vượt ngưỡng đăng ký, hãy xác nhận rằng đăng ký NPC là hiện tại và việc chỉ định DPO có trong hồ sơ.
- Có từ chối rõ ràng ở lớp đầu tiên không? Đường dẫn từ chối phải nằm trên cùng bề mặt với chấp nhận, với mức độ nổi bật tương đương. Cuộn-như-đồng-ý không đáp ứng Khuyến cáo năm 2024.
- Các danh mục có chi tiết không? Cần thiết, phân tích và tiếp thị phải được kiểm soát riêng biệt.
- Thông tin nhạy cảm có được bảo vệ đặc biệt không? Đối với bất kỳ cookie nào thu thập dữ liệu sức khỏe, tài chính hoặc liên quan đến ID chính phủ, hãy xác nhận opt-in rõ ràng phân biệt với đồng ý tiếp thị chung.
- Các chuyển giao xuyên biên giới có được ghi lại không? Xác định từng điểm đến không phải Philippines và biện pháp bảo vệ cho phép chuyển giao (điều khoản hợp đồng, đồng ý rõ ràng hoặc ngoại lệ).
- Ghi nhật ký đồng ý có ở cấp độ kiểm toán không? Section 3(b) yêu cầu đồng ý phải “được chứng minh bằng phương tiện bằng văn bản, điện tử hoặc được ghi lại” — việc ghi nhật ký không phải là tùy chọn.
Vị trí của Philippines trong Bộ Đa Quyền tài phán
Philippines là một trong bốn chế độ bảo vệ dữ liệu ASEAN có hậu quả hoạt động đáng kể nhất cùng với Singapore, Thái Lan và Indonesia. Năm 2012 của Đạo luật có nghĩa là nó ra đời trước GDPR, nhưng sự hiện đại hóa do thông tư của NPC thúc đẩy đã dần dần điều chỉnh tiêu chuẩn hoạt động theo các chuẩn mực châu Âu. Đối với các nhà xuất bản xây dựng hướng tới hoạt động toàn ASEAN, Philippines đứng cùng ba thị trường kia nơi kiến trúc CMP được xây dựng theo tiêu chuẩn châu Âu xử lý phần lớn sự tuân thủ với hai bổ sung cụ thể: đăng ký NPC nơi áp dụng ngưỡng, và lớp đồng ý thông tin nhạy cảm phân biệt khuôn khổ Philippines với các lựa chọn thay thế khu vực lỏng lẻo hơn. Tính chất ngôn ngữ tiếng Anh của khuôn khổ quản lý — không phổ biến ở ASEAN — làm cho Philippines trở thành mục tiêu tuân thủ dễ tiếp cận bất thường cho các nhà điều hành nước ngoài không có cố vấn pháp lý địa phương.