在全球汽车产业加速向电动化、智能化转型的浪潮中,菲律宾凭借其东南亚第二大人口国、左舵车市场主导地位及政策红利,正成为中国车企出海的战略要地。2024年菲律宾汽车销量突破46.7万辆,新能源汽车在零关税政策刺激下呈现爆发式增长,[1]2024年中国对菲新能源车出口量突破11.4万辆。[2]然而,这片充满潜力的市场背后,数据合规的隐形壁垒正在成为中国车企出口菲律宾的关键挑战。
本文将从法律监管体系、数据保护一般规则与汽车领域高频场景数据合规要求着手对菲律宾数据隐私保护立法进行解读,以期为中国车企出海菲律宾提供参考。
一、菲律宾数据隐私保护法律监管体系
菲律宾的一般数据保护法律主要是菲律宾共和国法令第10173号《2012年数据隐私法》(以下简称“DPA”),该法于2012年8月15日签署成为法律,并于2012年9月8日正式生效。
为实施DPA,菲律宾国家隐私委员会(以下简称“NPC”)于2016年8月24日颁布了《数据隐私法实施细则和条例》(以下简称“IRR”),该条例于2016年9月9日生效。除此之外,菲律宾先后发布《数据保护官的指定》《隐私影响评估指南》《提交个人数据泄露通知和年度安全事件报告的公告》《数据主体权利》《东盟示范合同条款和东盟数据管理框架的使用指南》《欺骗性设计模式指南》《个人数据跨境转移示范合同条款》《以儿童为导向的透明度指南》《AI系统处理个人数据的指导方针》《个人数据泄露管理》《数据共享协议指南》《个人数据处理系统注册、有关自动化决策或画像的通知、数据保护官的任命以及国家隐私委员会注册标志》《同意指南》《合法利益指南》《CCTV系统》等多项咨询意见、通函。
目前未见菲律宾针对汽车领域数据隐私保护的专门立法。
菲律宾数据保护的主要监管机构是菲律宾国家隐私委员会。DPA规定违反DPA的行为者可能会面临10至500万比索罚款,6个月至7年监禁。任何涉及、伤害或影响至少100人以上的违规行为将面临对应行为罚则的最高处罚。另外,行为者需依据《菲律宾民法典》对受损害的数据主体进行赔偿。根据第2022-01号通函《行政罚款指南》[3],NPC还可就如下违规行为作出行政罚款,包括
- 严重违规[4]:处以上一年度总收入的0.5%至3%的行政罚款;
- 重大违规[5]:处以上一年度总收入的0.25%至2%的行政罚款;
- 其他违规[6]:处以5至20万比索的行政处罚。个人数据控制者或处理者单次行为(无论导致单次违规还是多次违规)的可征收罚款总额不得超过500万比索。
二、菲律宾数据隐私保护一般规则
(一)适用范围
DPA第4-6条及IRR第4、5条规定,DPA及IRR适用于位于或设立在菲律宾的涉及个人数据处理的自然人和法人。当满足以下任一条件时,DPA及IRR具有域外效力:
(1)处理行为涉及菲律宾公民或居民的个人信息;
(2)个人数据处理在菲律宾进行;
(3)个人数据处理是由与菲律宾有联系的实体进行或参与的,并充分考虑国际法和礼让,例如:
- 使用位于菲律宾的设备,或在菲律宾设有办事处、分支机构或代理机构处理个人数据;
- 合同在菲律宾签订;
- 在菲律宾未注册为法人实体,但在菲律宾有中央管理和控制权;
- 在菲律宾设有办事处、分支机构、代理机构或子公司的实体,并且该菲律宾实体的母公司或附属公司有权
- 问个人数据;在菲律宾经营业务的实体;
- 在菲律宾收集或持有个人数据的实体。
除正面规定DPA及IRR的适用范围外,DPA及IRR还从反面规定了不适用情形,包括仅在有关目的、功能或活动所必需的最低限度的收集、访问、使用、披露或其他处理范围内:
(1)为允许公众获取属于公共事务范围的信息而处理的数据;
(2)为维护言论自由、表达自由或新闻自由而处理的个人数据,用于新闻、艺术或文学目的,但需符合其他适用法律或法规的要求;
(3)为研究目的而处理的个人信息,旨在为公共利益服务,但需符合适用法律、法规或伦理标准的要求;
(4)为履行公共权力机关职能所必需的信息,根据宪法或法定职能,涉及执法或监管职能,包括独立的中央货币当局的职能履行,但需遵守法律规定的限制;
(5)为遵守《信用信息系统法》《反洗钱法》和其他适用法律,由独立的中央货币当局或菲律宾中央银行管辖的银行和其他金融机构,以及其他经法律授权的机构所必需的数据;
(6)根据外国司法管辖区的法律(包括任何适用的数据隐私法)从外国居民处最初收集的个人信息,这些信息正在菲律宾进行处理。证明外国司法管辖区法律的举证责任由申请豁免的个人或机构承担。如无证明,则假定适用的法律为本法及本规则。
尽管有前述不适用情形,个人数据控制者或处理者仍需实施个人数据保护安全措施。出于对数据主体的保护,除非与前述规定直接不相容或不一致,否则个人数据控制者或处理者应保护数据主体的权利并遵守一般数据隐私原则和合法处理的要求。处理个人数据或主张不适用的实体承担不适用性的举证责任。在任何情况下,不适用性的确定都应按照有利于数据主体的权利和利益的原则进行宽泛解释。
(二)个人数据/敏感个人数据的定义
根据DPA第3条及IRR第3条,个人信息是指可以明显确定或通过持有信息的实体合理且直接确定个人身份,或与其他信息结合时能够直接且确定地识别个人身份的任何信息,无论该信息是否以物质形式记录。个人数据是指所有类型的个人信息。为行文统一,以下均以“个人数据”统称,不做严格区分。
敏感个人数据是指以下个人数据,包括:
(1)涉及个人种族、民族血统、婚姻状况、年龄、肤色以及宗教、哲学或政治派别;
(2)涉及个人的健康、教育、遗传或性生活,或者涉及该个人被指控或实际犯下的任何罪行的任何诉讼程序、诉讼处理结果或法院判决;
(3)由政府机构针对个人颁发或许可的,包括但不限于社保号码、过往或当前的健康记录、许可证及其拒绝、暂扣、吊销情况以及税务申报表;
(4)由行政命令或国会法案特别规定应予保密的。
(三)义务主体
DPA及IRR规定的义务主体包括个人数据控制者和个人数据处理者。
根据DPA第3条及IRR第3条,个人数据控制者(以下简称“PIC”)是指控制个人数据的收集、持有、处理或使用的个人或组织,包括指示其他个人或组织代表其收集、持有、处理、使用、传输或披露个人数据的个人或组织,但不包括按照其他个人或组织的指示执行上述功能的个人或组织,为个人、家庭或家庭事务收集、持有、处理或使用个人数据的个人。控制是指可以决定收集哪些数据或决定处理数据的目的或范围。个人数据处理者(以下简称“PIP”)是指个人数据控制者可委托或指示其处理个人数据的任何自然人、法人或其他机构。
(四)数据控制者/处理者注册义务
根据IRR第46、47条及NPC第2022-04号通函《个人数据处理系统注册、有关自动化决策或画像的通知、数据保护官的任命以及国家隐私委员会注册标志》[7](以下简称“第2022-04号通函”)第5条及《有关注册和合规的常见问题》[8],符合以下任一条件的PIC或PIP被强制要求在国家隐私委员会注册系统(以下简称“NPCRS”,链接:https://npcregistration.privacy.gov.ph/)上注册所有数据处理系统(以下简称“DPS”)和数据保护官(以下简称“DPO”):
(1)雇佣250人以上;
(2)处理1000人以上的敏感个人数据;
(3)处理可能对数据主体的权利和自由构成风险的数据[9];
(4)政府机构或部门(政府处理可能会对数据主体的权利和自由构成风险)。
不符合强制注册要求的PIC或PIP可自愿注册。不属于强制注册范围且不进行自愿注册的PIC或PIP应提交经公证的宣誓声明(见第2022-04号通函附件一[10])。NPC可通过命令要求PIC或PIP提交相关证明文件。
PIC或PIP应在新实施的DPS启用或首任DPO任命生效之日起20天内进行注册。如注册信息发生重大修改(实体名称或营业地址修改),应在修改生效后 30 天内在注册系统上进行更新。如注册信息发生轻微修改(除重大修改外的修改),应在修改生效后10天内进行更新。具体注册详情请见NPC第2022-04号通函及《DPS和DPO注册指南》[11]。
注册有效期为自注册证书签发之日起一年,并需在到期日前30天续期。获得注册印章的PIC和PIP必须在其营业场所、办公室的主要入口或最显眼的地方展示该印章以确保所有数据主体都能看到。另外,NPC要求印章必须显示在PIC或PIP的主网站上,或者至少显示在全球网站上与菲律宾有关的网页上,并且只能通过如下任一方式显示:
- 指向隐私通知的可点击链接;
- 直接显示在隐私通知页面上。
(五)数据处理的合法性基础
DPA第12条及IRR第21条规定,仅在法律未禁止且满足以下任一情形时,才允许处理非敏感个人数据,包括:
- 同意,订立、履行合同所必需
- 履行法律义务所必需
- 保护数据主体重大利益所必需
- 为应对国家紧急状态、遵守公共秩序和安全所必需
- 为履行公共当局法定职责所必需
- 为追求个人数据控制者、第三方或数据披露接收方的合法利益所必需(除非宪法所保护的数据主体基本权利和自由更优先)。
DPA第13条及IRR第22条规定,原则上禁止处理敏感个人数据和特权信息[12],除非满足以下任一情形:
(1)数据主体在处理前已就特定目的给予同意,或在特权信息的情况下,交换各方在处理前已给予同意;
(2)现有立法规定了敏感个人数据或特权信息的处理,前提是此类立法不要求同意且确保对敏感个人数据或特权信息的保护;
(3)紧急情况下为保护数据主体或他人生命和健康所必需;
(4)为实现公共组织及协会的合法和非商业目的所必需,且同时满足处理仅限于与组织或协会的合法成员有关,敏感个人数据不会转移给第三方,处理前已获得数据主体的同意;
(5)医疗从业人员或医疗机构为医疗目的所必需且确保对个人数据的保护;
(6)处理涉及在诉讼中保护自然人或法人合法权益,建立、行使、辩护法律主张所必需,或根据法定职责提供给政府或公共权力机关的数据。
(六)透明度要求
1.内容及时间要求
根据DPA第16条、IRR第34条,PIC应当在个人数据进入PIC处理系统之前或下个实际可行机会向数据主体提供如下信息,包括:
- 将输入系统的个人数据的描述;
- 正在或将要处理数据的目的;
- 当处理不是基于同意时的处理依据;
- 个人数据处理的范围和方法;
- 个人数据的接收者或接收者类别;
- 如果数据主体允许,用于自动化访问的方法以及此类访问被授权的程度,包括关于所涉及逻辑的有意义的信息,以及此类处理对数据主体的意义和预期后果;
- 个人数据控制者或其代表的身份和联系方式;
- 数据的存储期限;
- 数据主体所享有的权利,包括访问、更正、反对处理、投诉等。
根据NPC发布的第2023-04号通函《同意指南》[13],以同意为基础处理个人数据的,应当在获取同意时以简洁声明提供以下信息,包括:
- 要处理的个人数据的描述;
- 使用同意作为基础的处理目的、性质、范围、持续时间和范围;
- PIC的身份;
- 数据主体权利及如何行使这些权利,并应通过分层隐私通知的方式(使用指向处理详细信息的链接)向数据主体提供进一步信息或补充细节。
PIC应为获取用户同意向数据主体提供的信息负责,提供的信息不足可能会导致同意无效。
2.形式要求
通常而言,无论是基于同意还是其他合法性基础等,都需要提供隐私通知。以同意作为合法性基础,隐私通知应当与同意书或等效文件中获得数据主体的同意应当区分开来[14]。但如果同意书中已经提供了与特定处理活动相关的基本信息能够使数据主体做出理智决定,则针对该特定处理活动,无需再单独提供隐私通知。
隐私通知需要满足以下形式要求,包括:
- PIC应使用清晰明了的语言、以尽可能简单的方式向数据主体提供信息,避免使用复杂的句式或结构,便于数据主体访问。在手动获取同意的情形下,通知应当在考虑所用媒介(如纸质通知)基础上全面呈现,针对以电子形式处理个人数据,应当提供可轻松访问更全面通知的链接。
- 隐私通知中提供的信息应该具体明确,不得使用含糊、迂回、宽泛、易产生误解的表述,应确保一般用户能够理解通知所涵盖信息。
- PIC应在处理活动开始前或下个实际可行时点,为特定处理活动提供适当隐私通知。必需以易访问的方式提供信息,并且考虑到用户体验和用户界面,为此应通过分层隐私通知方式。该通知应包含最低限度的特定信息,并引导数据主体获取与当时即将进行的特定处理活动相关的更多详细信息。
- PIC可考虑采用创意方式,如动态或交互式信息图表、公告、语音通知、短视频,信息也可通过预先编写好的文本,在数据主体进入系统之前或之时进行传达。
有关个人数据处理的信息必须易于访问和理解,信息必须随时可用,并且应使用清晰、直白、一致、简明的表述,不得使用模糊、复杂难懂、易误解的表述(如复杂的技术用语、双重否定、以故意迂回的方式提供信息等),使用一般用户可理解的语言或方言。
(七)数据存储
根据IRR第19条,个人数据的保留时间不应超过必要期限。具体而言:
(1)个人信息的保留期限仅限于:
- 为实现所声明的、指定的、合法的目的,或与该目的相关的处理已终止;
- 为建立、行使或辩护法律索赔;
- 用于合法商业目的并且必须符合行业标准或获得有关政府机构批准。
(2)法律规定情形下可保留个人数据。
(3)个人数据应当以安全方式处置或丢弃以防止进一步处理、未经授权的访问或向任何其他方或公众披露,或损害数据主体的利益。
任何授权的进一步加工均应当有充分保障,具体而言:
(1)最初为声明的、指定的、合法的目的收集的个人数据可能会被进一步处理用于历史、统计或科学目的,并且在法律规定情况下可能会被存储更长时间,但须实施适当的组织、物理和技术安全措施。
(2)以汇总形式或以无法识别数据主体的形式保存的个人数据的保存时间可能会超过其声明的、指定的和合法的目的所需的时间。
(3)个人信息不得被永久保留以备尚未确定的可能未来用途。
(八)数据合作
1.委托处理
根据DPA第14条及IRR第43-45条,PIC可以将个人数据处理工作分包或外包,但前提是PIC应当与PIP通过签订合同或者合理方式确保个人数据安全。PIP应当遵守数据保护立法及其与PIC的合同或法律行为中所规定义务。
合同或法律行为应规定以下内容:
(1)处理对象、期限、性质、目的、个人数据类型及数据主体类别、PIC的权利和义务以及分包合同规定的处理的地理位置;
(2)特别规定PIP应遵守如下要求:
- 仅根据PIC的书面指示处理个人数据,包括将个人数据传输到其他国家或国际组织,除非法律授权此类传输;
- 确保被授权处理个人数据的人员遵守保密义务;
- 实施适当的安全措施,并遵守数据保护立法相关规定;
- 未经PIC事先指示,不得再委托其他处理者,任何此类安排均应确保根据合同或法律行为履行相同的数据保护义务,并考虑到处理的性质;
- 通过适当的技术和组织措施,协助PIC在可能的范围内履行响应数据主体行使其权利的请求的义务;
- 在考虑处理性质和PIC可获得信息的情况下,协助PIC确保遵守数据保护立法相关规定;
- 根据PIC的选择,在处理服务结束后删除或返还所有个人数据(包括删除现有副本),除非法律授权存储;
- 向PIC提供所有必要信息以证明其遵守DPA规定义务,允许并协助由PIC或其指定的审计师进行审计、检查;
- 立即通知PIC其认为指示违反数据保护立法的情况。
2.对外提供
根据IRR第20条,在以下任一条件下允许从数据主体以外的其他方收集个人数据并进行进一步处理,包括:
(1)法律明确授权,前提是已为数据隐私和安全提供充分保障措施,且处理遵守透明性、合法目的、比例性原则;
(2)私营部门中,若数据主体同意共享,且符合以下条件,允许数据共享:
- 即使与关联公司、母公司或类似关系的实体共享数据,也要获得数据共享的同意;
- 为商业目的(包括直接营销)的数据共享建议由数据共享协议涵盖。数据共享协议应为数据隐私和安全建立充分的保障措施,并维护数据主体的权利。数据共享协议应接受NPC的审查,无论是NPC主动进行还是基于数据主体的投诉;
- 在数据收集之前或数据共享之前,向数据主体提供以下信息:将被授予访问权限的PIC或PIP的身份;数据共享的目的;涉及的个人数据类别;个人数据的预期接收者或接收者类别;数据主体权利,包括访问、更正、反对;其他能够充分通知数据主体数据共享的性质、范围、处理方式的信息(透明度要求);
- 共享数据的进一步处理应遵守数据保护相关立法确定的数据隐私原则。
(3)为研究目的从数据主体以外其他方收集的数据,在个人数据公开可用或已获得数据主体对研究目的的同意时允许使用:前提是已建立充分的保障措施,并且不会基于收集或处理的数据做出直接影响数据主体的决定。在不损害研究完整性的情况下,应维护数据主体的权利。
(4)为执行公共职能或提供公共服务,政府机构之间的数据共享应由数据共享协议涵盖,协议中的政府机构均应遵守数据保护立法相关规定,数据共享协议应接受NPC的审查,无论是NPC主动进行还是基于数据主体的投诉。
根据NPC发布的第2020-03号通函《数据共享协议》,数据共享协议应当包含以下内容,且各方DPO将作为数据共享协议的签署见证人:
(1)目的和法律依据:数据共享的目的和适当的法律依据。
(2)目标:数据共享要实现的目标。
(3)各方:数据共享协议参与方的所有PIC,并为每个参与方指定如下内容,包括:
- 将共享的个人数据类型(如有);
- 个人数据处理是否外包,包括允许PIP或服务提供商执行的处理类型;
- 用于处理个人数据的方法;
- 指定的DPO。
(4)期限:明确数据共享安排的期限或持续时间,该期限将基于此类安排目的是否持续存在。永久性的数据共享或期限不确定的数据共享协议无效。各方可在数据共享协议到期后续签或延长。数据共享协议应接受定期审查,审查应考量为数据隐私和安全实施的保障措施是否充分。
(5)操作细节:概述数据共享的操作细节,包括各方在实施过程中打算遵循的程序。如果接收方被允许披露共享数据或允许公众访问共享数据,则必须在数据共享协议中明确规定以下内容:
- 允许此类访问的理由,被授予访问权限的各方;
- 可访问的个人数据类型;
- 此类访问的预计频率和数量。
如果通过在线平台实现披露或公众访问,还应确定将使用的程序、中间件和加密方法。还应提供其他足以充分说明数据共享性质和范围以及所涉及处理方式的信息。
(6)安全性:包括对各方为确保共享数据得到保护而打算采用的合理且适当的组织、物理和技术安全措施的描述。各方还应建立数据泄露管理流程。
(7)数据主体的权利:提供相关机制,使受影响的数据主体能够行使与其个人数据相关的权利,包括:
- 负责处理数据主体的信息请求、投诉,和 / 或NPC的任何调查等事务的一方或多方的身份,但NPC最终决定违规行为由哪一方承担责任;
- 数据主体访问或获取数据共享协议副本的流程,但各方可以商业秘密等理由拒绝或防止披露。
(8)保留和数据处置:包括共享数据的保留规则,并明确将采用的安全返还、销毁或处置共享数据的方法及时间安排。
(9)其他适当内容。
除前述共享协议外,就数据共享情形,各PIC应建立并维护数据共享记录,其中应涵盖:
- 各方及其DPO的联系方式;
- 数据共享安排的法律依据;
- 已签署的数据共享协议副本(如有);
- 从数据主体处获得同意的书面或电子证明(如适用);
- 获得同意和撤回同意的日期(如适用)。
共享记录应保持准确并及时更新。此外,各方应采取措施确保共享个人数据的安全性,接受NPC审查,并定期审查数据共享协议,记录终止或续签协议期限的原因,如续签,还需记录协议更改内容。
在任何情况下,直接从数据主体处收集个人数据的PIC应在最快的切实可行时间内向数据主体通知前述透明度要求信息。
(九)数据本地化
目前,除部分敏感政府数据[15]外,菲律宾数据隐私立法并未规定数据本地化要求。
(十)数据跨境
根据DPA第21条及IRR第50条,允许将数据转移至第三国。根据问责原则,各PIC均应对其控制或保管的个人数据负责,包括根据跨境安排和合作,外包或转移给PIP或第三方处理的信息,不论是在国内还是国际。PIC应遵守数据保护立法相关要求,PIC应通过合同或其他合理方式,在PIP或第三方处理个人信息时,为个人信息提供同等程度的保护。
根据NPC第2021-02号咨询意见《东盟示范合同条款和东盟数据管理框架使用指南》,缔约方可自愿通过东盟示范合同条款作为DPA第21条规定的提供同等保护水平的合同或其他合理手段之一。企业可自愿通过东盟数据管理框架作为东盟内部企业数据管理领域的最佳实践。根据NPC第2024-01号咨询意见《个人数据跨境转移的标准合同条款》,NPC不要求合同各方采用标准合同条款[16],各方可自愿参考各类标准合同条款以满足相应问责制要求。
此外,菲律宾于2020年加入CBPR体系,菲律宾认可CBPR认证持有者满足参与经济体的隐私和数据保护标准。[17]但考虑到菲律宾尚未发布CBPR认证相关操作细则,该认证效果有待明确。
(十一)数据主体权利
根据DPA第四章、IRR规则十三及NPC第2021-01号咨询意见《数据主体权利》,数据主体享有知情权、访问权、更正权、删除或阻止权、索赔权、可携权、反对权、投诉权。如数据主体死亡或丧失行为能力,数据主体的权利可随时转让给其继承人和受让人。
个人数据控制者应及时处理请求,处理期限不得超过收到请求和/或必要证明或补充文件后的30个工作日。如果请求复杂或数量较多,处理期限可延长不超过15个工作日,但必须通知数据主体或其授权代表延长的原因。
(十二)数据保护官
根据IRR第26条,PIC和PIP应指定一名或多名个人担任数据保护官(DPO)、合规官或以其他方式负责确保遵守数据保护立法规定。
根据NPC第2017-01号咨询意见《数据保护官的指定》,特定情况下允许PIC或PIP指定隐私合规官(COP)[18],例如经NPC批准,集团可指定其中一家成员公司DPO,主要负责确保整个集团遵守所有数据保护政策,但集团内其他成员公司仍须设立COP。
关于任职资格,DPO应当具备隐私或数据保护方面的专业知识及履行职责所必需的可靠性。COP的最低资格应与其职能相称。DPO或COP需保持独立性、自主性以及避免利益冲突。PIC或PIP不应因执行DPO或COP的任务而惩罚或解雇DPO或COP。
DPO或COP应为PIC或PIP的全职或正式员工。在私营部门,DPO或COP在理想情况下应为正式或永久职位。若DPO或COP的聘用是基于合同的,合同期限应当至少为两年。如DPO或COP离职,PIC或PIP应在合理期限内重新安排替代者,还可要求现任继续担任职位直至任命或雇佣替代者。PIC或PIP可外包或分包其DPO或COP的职能。
DPO的职责包括:
- 监督PIC或PIP遵守数据保护立法情况;
- 开展隐私影响评估;
- 就投诉和/或数据主体行权相关事宜向PIC或PIP提供建议;
- 确保PIC或PIP妥善处理数据泄露和安全事件,包括在规定期限内向NPC报告;
- 在组织内部宣传和培养隐私及数据保护意识;
- 通过采用隐私设计方法,推动制定、审查和/或修订与隐私和数据保护相关的政策、指南等文件;
- 作为联系人就数据隐私和安全相关事务与数据主体、NPC及其他机构沟通;
- 就数据隐私和安全相关事务与NPC合作、协调并寻求意见;
- 履行PIC或PIP分配的其他职责和任务以促进数据隐私和安全利益并维护数据主体的权利。
除(1)-(3)项职责,COP应履行DPO所有其他职责,并在适当情况下协助DPO履行职能。
PIC或PIP应通过提供资源、授予权限、邀请参会等方式保障DPO或COP有效履行职责。PIC或PIP至少需要在网站、隐私通知、隐私政策、隐私手册或隐私指南中公布DPO或COP的联系方式(包括职务或头衔、邮政地址、专用电话号码、专用电子邮件地址),除非应数据主体或NPC请求,否则可不提供姓名。关于DPO注册要求,请见前文第4点。
(十三)隐私影响评估
尽管DPA和IRR中并未规定隐私影响评估,但NPC第2017-03号咨询意见《隐私影响评估指南》规定PIC或PIP对涉及或影响个人数据处理的新系统、现有系统、项目、程序、措施或技术产品,均应进行隐私影响评估(PIA)。对于新的处理系统,应在采用、使用或实施之前进行评估。如果适用法律或法规发生变化,或者组织内部或所在行业采用了新的规定(特别是这些变化影响个人数据处理),可能同样需要进行PIA。只有在确定处理对个人权利和自由的风险最小的情况下,并考虑到DPO建议,才可以不开展PIA。做出该决定,应考虑所处理的个人数据规模和敏感性、处理的持续时间和范围、处理对数据主体生活的可能影响以及个人数据泄露时可能造成的危害。
(十四)安全要求
根据DPA第20条、IRR规则六,PIC或PIP应当实施合理、适当的组织、物理和技术安全措施以保护个人数据。PIC或PIP应考虑个人数据性质、处理风险、组织规模、运营复杂性、数据隐私最佳实践、安全实施成本等因素确定适当的安全级别。DPA规定必须实施的措施包括:
- 保护其计算机网络免遭意外、非法或未经授权的使用或干扰或妨碍其运行或可用性的保障措施;
- 个人数据处理的安全政策;
- 识别和访问计算机网络中合理可预见的漏洞,以及针对可能导致安全漏洞的安全事件采取预防、纠正和缓解措施的流程;
- 定期监控安全漏洞,并针对可能导致安全漏洞的安全事件采取预防、纠正和缓解措施。
此外,IRR从组织、物理、技术三个方面分别论述了具体的安全要求。NPC第2023-06号通函《政府和私营部门的个人数据安全-政府和私营部门的个人数据安全常见问题解答》详细说明了政府和私营部门个人数据安全的最低要求。
(十五)数据安全事件处置
1.通知情形
根据DPA第20条、IRR规则九和NPC第16-03号通函《个人数据泄露管理》,PIC或PIP在获悉或有合理理由相信发生了需要通知的个人数据泄露事件(个人数据涉及敏感个人数据或任何可能用于实施身份欺诈的其他数据[19],有理由认为该数据可能已被未经授权的人员获取,PIC或NPC认为未经授权的获取行为可能对任何受影响的数据主体造成严重伤害风险)的情况下,应通知NPC和受影响的数据主体。PIC应通过合同或其他合理方式确保PIP及时向其报告个人数据泄露情况。
2.向NPC通知
在知晓个人数据泄露后72小时内,依据现有信息进行通知。除非NPC批准延长时间,否则应在知晓泄露后5天内提交后续报告。
向NPC通知的内容应至少包括泄露事件的性质,可能涉及的敏感个人数据,实体为应对泄露事件所采取的措施、用于获取更多信息的联系人详情。通知应采取书面或电子形式,PIC必须得到通知已送达的确认。
3.向数据主体通知
除非经NPC批准后推迟或免予通知,否则应在知晓泄露后 72 小时内进行通知。
向数据主体通知的内容应包括泄露事件的性质,可能涉及的敏感个人数据,实体为应对泄露事件所采取的措施、用于获取更多信息的联系人详情、数据主体获得更多信息的指引、以及尽可能缓解泄露风险的建议。
通知应采取安全通信方式(如书面或电子)单独通知受影响的数据主体,除非NPC批准,可使用其他替代方式。
4.额外要求
在NPC对泄露事件展开调查时予以配合。记录所有安全事件,并向NPC提交年度报告。此外,NPC推出了数据泄露通知管理系统(https://dbnms.privacy.gov.ph/login),个人数据泄露通知和年度报告可通过该平台进行提交。
有关个人数据泄露处置的更多详细信息,请见NPC第16-03号通函《个人数据泄露管理》。
(十六)数据处理记录
根据IRR第26条,PIC和PIP应保存充分描述其数据处理系统的记录,记录内容应包括:
- 有关处理个人数据目的的信息,包括任何计划中的未来处理或数据共享;
- 涉及处理的所有数据主体类别、个人数据类别以及此类个人数据接收者的描述;
- 组织内数据流的一般信息,从收集、处理到存储,包括个人数据销毁或删除的时间限制;
- 已实施的组织、物理和技术安全措施的一般描述;
- PIC的姓名和联系方式,以及在适用情况下,联合PIC、其代表、COP或DPO,或任何其他负责确保遵守适用的数据隐私和安全法律法规的个人或个人的姓名和联系方式。
- 此外,还需注意保存同意记录、数据共享记录、安全事件管理记录等。
三、汽车领域高频场景数据隐私合规要点
(一)汽车营销场景
1.合法性基础
DPA第3条规定,直接营销是指以任何方式向特定个人传播广告或营销材料。根据《同意指南》第14条,当处理仅限于个人数据时,车企(PIC)可依据DPA第12条,将直接营销视为其合法利益,这种情况下的处理无需获得数据主体同意。为此,车企必须评估直接营销是否属于其合法利益范畴。若评估结果并非如此,车企可基于同意来处理个人数据。若处理的性质会显著影响个人的权利和自由,车企应在进行直接营销时获得数据主体同意。若处理的依据是同意,而数据主体撤回了同意,车企不能以合法利益为由继续进行处理。在这种情况下,数据主体撤回同意和反对处理的权利是绝对的。
2.透明度要求
根据IRR第19条、第34条,车企为直接营销目的处理个人信息,应通过隐私通知等方式向数据主体提供正在或将要处理数据的目的(包括为直接营销目的进行的处理)等信息。
3.数据主体权利
根据IRR第34条及《数据主体权利》第7条,数据主体有权反对将其个人数据用于直接营销、画像分析,或在自动化处理中,当个人数据将或可能作为对其产生重大影响的任何决策的唯一依据时提出反对。为此,车企应以清晰易懂的语言,向数据主体提供充分信息,说明行使这项权利对个人信息控制者向数据主体提供商品/或服务会产生何种影响。传达给数据主体的上述信息应指明撤回同意或反对的范围及其后果(如在邮件列表/画像分析列表中屏蔽该数据使其不会被用于数据主体反对目的)。当数据主体提出反对,车企应停止处理个人数据并遵从该反对意见,除非处理依据的是除同意、合法利益外的其他合法依据。如存在继续处理个人数据的其他理由,车企应承担确认并证明继续处理的适当合法依据或充分理由的责任,并将该合法依据或充分理由告知数据主体。
4.数据共享
根据IRR第20条,为直接营销目的,车企需要将数据共享给其他方的,建议签署并遵守数据共享协议。
(二)汽车金融场景
1.透明度要求及合法性基础
如涉及向银行、融资租赁公司等金融机构提供个人数据的,根据DPA第16条、IRR第20条、第34条,车企应通过隐私通知等方式向涉及的数据主体告知:
- 将被授予访问权限的PIC或PIP的身份;
- 数据共享的目的;
- 涉及的个人数据类别;
- 个人数据的预期接收者或接收者类别;
- 数据主体权利,包括访问、更正、反对;
- 其他能够充分通知数据主体数据共享的性质、范围、处理方式的信息(透明度要求)等信息
并获得数据主体同意或具备其他合法性基础。
2.签署数据共享协议
根据IRR第20条及《数据共享协议指南》,涉及向第三方提供个人数据的,建议签署数据共享协议。
3.建立共享记录
根据《数据共享协议》,涉及向第三方提供个人数据的,各方应建立并维护数据共享记录。
(三)车联网场景
车联网场景下,车企仍应遵守数据保护一般规则(参见第二部分)。
(四)充电场景
充电场景下,车企仍应遵守数据保护一般规则(参见第二部分)。
(五)自动驾驶场景
自动驾驶场景下,车企仍应遵守数据保护一般规则(参见第二部分)。
(六)售后维修及保险
售后维修及保险场景下,车企仍应遵守数据保护一般规则(参见第二部分)。
(七)OTA汽车远程升级
菲律宾是联合国《1958年协定书》的缔约方。根据联合国有关R156的适用国家及生效时间文件(16.156)United Nations Regulation No. 156. UN Regulation on uniform provisions concerning the approval of vehicles with regards to software update and software updates management system)[20],R156在2022年即对菲律宾生效。因此,车企在菲律宾同样应当遵循R156中关于OTA的相关要求。
注释:
[1]参见http://www.caam.org.cn/preview/1/con_5236529.html
[2]参见https://xueqiu.com/3728556470/321302572?md5__1038=mqIx9DnQPCqYqGNDQiiQQmux0Et7KbtaF4D;https://news.qq.com/rain/a/20250123A04X9700
[4]严重违规包括违反个人数据处理一般隐私原则且受影响数据主体超过一千人;违反数据主体权利且受影响数据主体超过一千人;指南规定的违规行为重复发生。
[5]重大违规包括违反个人数据处理一般隐私原则且受影响数据主体在1-1000人;个人数据控制者未实施合理适当的个人信息安全保护措施或未确保受托处理的第三方实施安全措施;个人数据控制者未将个人数据泄露情况通知NPC或受影响数据主体。
[6]其他违规包括未登记个人数据控制者的真实身份、联系方式、数据处理系统或自动化决策信息;未提供个人数据控制者的身份、联系方式、数据处理系统或自动化决策信息的更新信息;未遵守NPC等作出的命令、决议或决定。
[7]参见:https://privacy.gov.ph/wp-content/uploads/2023/05/Circular-2022-04-2.pdf
[8]参见:https://privacy.gov.ph/pips-and-pics/faqs/
[9]处理可能对数据主体的权利和自由构成风险的数据包括:(1)涉及可能影响国家安全、公共安全、公共秩序或公共卫生的信息,或根据适用法律或规则需要保密的信息;(2)以及涉及未成年人、精神病患者、寻求庇护者、老年人、病人、涉及刑事犯罪的个人,或在数据主体与PIC或PIP之间存在不平衡关系的任何其他情况下的脆弱数据主体,特别是那些涉及自动化决策或画像的情况。
[10]参见:https://privacy.gov.ph/wp-content/uploads/2023/05/Circular-2022-04-Annex-1-1.pdf
[12]特权信息是指根据法律规则和其他相关法律,构成特权通信的各类数据。特权通信的例子包括已婚人士之间、神职人员和忏悔者之间、医生和患者之间、律师和委托人之间以保密方式进行的沟通。
[14]根据《同意指南》,各类形式区分如下:隐私声明是指关于PIC整个组织个人数据处理实践的一般性声明。隐私政策是指管理PIC个人数据处理实践的政策,为参与任何个人数据处理活动的内部相关方提供指导。隐私通知是指PIC单方面发布的声明,包含涉及数据主体的特定处理活动的基本信息。同意书是指应包含隐私通知中要求的所有信息,并声明同意是处理活动所依据的合法标准。
[15]菲律宾信息和通信技术部曾在第010号通函(2020年)修订菲律宾的云优先政策,其中规定高度敏感的政府数据包括被归类为绝密、机密的官方材料以及其他类似材料。仅在必要时,方可在云中存储或处理高度敏感的政府数据。在此情况下,政府机构或附属单位应使用安全的私有云,该私有云应部署在菲律宾境内或菲律宾拥有主权或管辖权的其他地区的本地基础设施中。超敏感政府数据包括被归类为秘密的官方材料及其他类似数据,超敏感政府数据可在云中存储和处理,在此情况下,政府机构或附属单位应使用经认证的、部署在国内基础设施中的公共云或菲律宾政府云。
[16]NPC是全球隐私大会全球框架与标准工作组成员(简称“GPA GFSWG”), GPA GFSWG发布了各司法辖区用于个人数据跨境转移的标准合同条款,包括东盟标准合同条款、欧洲委员会标准合同条款、欧盟标准合同条款、伊比利亚-美洲数据保护网络标准合同条款、阿根廷数据转移示范合同条款、新西兰隐私专员办公室标准合同条款、英国信息专员办公室国际数据转移协议。
[17]https://privacy.gov.ph/the-apec-cbpr-system-an-overview/
[18]以私营部门为例,若私营实体设有分支机构、办事处或其他组成单位,也可为每个组成单位任命或指定一名COP。
[19]其他数据包括但不限于:数据主体的财务或经济状况数据;用户名、密码和其他登录数据;生物识别数据;身份证件、许可证的副本,或诸如菲律宾健康保险公司(Philhealth)、社会保障系统(SSS)、政府服务保险系统(GSIS)、税务识别号(TIN)等唯一标识符;或其他类似信息,这些信息可能作为有关数据主体决策(包括授予权利或福利)的依据。
[20]参见https://treaties.un.org/doc/Publication/MTDSG/Volume%20I/Chapter%20XI/XI-B-16-156.en.pdf
(原标题:汽车出海法律观察(六)|汽车出海数据合规(菲律宾篇))
来源:北京市竞天公诚律师事务所
作者:
- 袁立志,竞天公诚律师事务所合伙人;业务领域:网络与数据法、前沿科技法律服务,为互联网、大数据、人工智能、自动驾驶;邮箱:yuan.lizhi@jingtian.com、电话:(86-10)5809 1211,(86-21)2613 6222
- 蒋月珍,竞天公诚律师事务所律师;业务领域:网络与数据法、TMT、科技法律;邮箱:jiang.yuezhen@jingtian.com、电话:(86-21)2613 5911
声明:竞天公诚律师事务所严格遵守对客户的信息保密义务,本篇所涉客户及项目内容均取自公开信息或征得客户同意。本篇观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的法律意见。
延伸阅读: