菲律宾

2012年，菲律宾通过了《数据隐私法案》，保护政府和私营领域的信息和通信系统中的个人数据（共和国第10173号法案）。这部全面的隐私法律还设立了国家隐私委员会，拥有执法、立法、咨询和准司法权，并委派其执行《数据隐私法案》的规定。

2016年9月9日，有关的实施细则生效实施。该法旨在将菲律宾提高到下一个水平，并确保符合数据保护的国际标准。

适用。菲律宾《数据隐私法案》适用于所有类型个人信息的处理，但有一些例外情况，包括被认为“公众关注的事项”。该法案涵盖了在菲律宾境内（或在某些情况下在菲律宾境外）处理个人信息的任何自然人和法人。基于《数据隐私法案》的域外效力，国家隐私委员会于2018年4月发起了其对剑桥分析丑闻的调查，该丑闻涉及到约120万菲律宾人未经授权的个人信息共享。

一般的共识是如果个人信息是公开的，那么《数据隐私法案》则不适用。国家隐私委员会正确地指出这是一种误解，并表示，“即使数据当事人已经通过公开平台提供其个人数据，但这并不表示他或她已经完全同意以任何目的使用他/她的个人数据”。国家隐私委员会的意见具有重要意义，它谨慎地认识到在社交媒体时代，私人空间和公共空间的界限正在瓦解。

指导原则。《数据隐私法案》采用了国际隐私框架下更早的一些原则，特别是透明度、合法目的和合理性。与法律目的一致，只要至少有一个可以进行处理的法律依据，那么一般会允许处理个人信息，比如，个人信息控制者的合法权益。

就此，国家隐私委员会已明确表示，作为处理依据的个人信息控制者合法权益必须考虑以下三方面的标准：（1）目的标准——必须明确确定合法权益的存在，包括确定特定的处理工作所谋求的目的；（2）必要性标准——为了个人信息控制者或向其披露个人信息的第三方的合法权益，个人信息的处理必须是必要的，而这种目的不能通过其他方式合理实现；以及（3）平衡标准——考虑到处理过程可能对数据当事人造成影响，数据当事人的基本权利和自由不应被个人信息控制者或第三方的合法权益所凌驾。相比之下，处理敏感个人信息通常是被禁止的，除非有合法的处理依据（比如，同意、法律或物理需要）。

数据当事人的权利。《数据隐私法案》规定了数据当事人的特定权利：（1）知情权（其中关于自动决策和分析的存在）；（2）查阅权；（3）异议权（对个人数据的处理，包括直接营销、自动处理或分析）；（4）根据特定原因的删除权或阻断权（从个人信息控制者的档案系统中删除或阻断个人数据）；（5）请求赔偿权；（6）起诉权，受限于穷尽和及时要求；（7）纠正权；以及（8）数据可携带权。

义务。根据有关实施细则，个人信息控制者和个人信息处理者在下列情况下必须向国家隐私委员会注册它们的数据处理系统：（1）如果处理至少1,000人的个人敏感信息；（2）如果个人信息控制者或处理者聘用了至少250人；（3）虽然聘用少于250人，但处理工作不是偶然的；或者（4）虽然聘用少于250人，但信息的处理可能对数据当事人的权利和自由造成风险。

有关实施细则规定了下列保障个人数据的必要安全措施：

• 指派人员担任数据保护专员、合规专员或其他负责确保遵守数据隐私和安全相关法律和法规的专员；
• 采取适当的数据保护政策，为组织、物理和技术安全措施提供保障；
• 保存足够描述数据处理系统的记录，并明确可接触个人数据的人士的义务与责任；
• 选择、培训和监督可接触个人数据的雇员、代理或代表；
• 为了数据当事人行使其在《数据隐私法案》下的权利、访问管理、系统监控、安全事件或技术问题的协议以及数据保存，制定、执行和检讨收集和处理个人数据的政策和程序；
• 通过适当的合同协议，确保个人信息处理者也应实施法律和有关实施细则要求的安全措施；
• 在适当的情况下，遵守有关实施细则中规定的物理安全准则；以及
• 采取并建立技术安全措施，比如但不限于：处理个人数据的安全政策；保护计算机网络的安全措施；定期评估安全措施的有效性；以及个人数据加密。

为了监督个人信息控制者和个人信息处理者遵守法律规定，个人信息控制者和个人信息处理者必须向国家隐私委员会报告记录的安全事件和个人数据违法行为摘要。如果有数据泄露行为，有关个人信息控制者或个人信息处理者应当在发现个人数据泄露行为后的72小时内通知国家隐私委员会和受影响的数据当事人。

合规要求

为了帮助参与个人数据处理的人士遵守《数据隐私法案》的规定，国家隐私委员会制定了一个五步的指南，被称为“合规五大支柱”。该指南是一份清单，概述了《数据隐私法案》下的主要数据隐私责任和国家隐私委员会相关的发布。

任命数据保护专员。任命一名数据保护专员是法律强制要求的并且被认为是有关组织在合规方面努力的证明。数据保护专员负责机构遵守法律要求。他或她的主要职责是监督有关组织的数据保护计划及其执行，包括制定数据保护政策，进行风险评估，并管理个人数据违法行为。他或她还是有关组织与数据当事人和国家隐私委员会的联系人。数据保护专员必须独立、对数据保护有丰富的知识，并且对机构所执行的处理系统有很好的掌握。

进行隐私影响评估。隐私影响评估是确定并评价处理个人信息造成的潜在隐私风险的过程。理想情况下，应当对所有涉及到个人信息的项目、计划和活动进行隐私影响评估。隐私影响评估其中应当包括：（1）对机构的个人数据流和处理活动的系统性描述；（2）对机构遵守数据隐私原则和执行安全措施的情况进行评价；（3）确定并评估附属性风险；以及（4）解决这些风险的措施建议。

设立隐私管理项目。隐私管理项目是确保隐私和数据保护包含在有关组织的所有计划、活动、服务和措施中的整体途径。它列明有关组织保护数据当事人个人信息的承诺，以及有关组织在处理和应对这些信息的做法和程序的具体情况。执行隐私管理项目包括具有到位的隐私政策、程序和协议帮助有关组织遵守法律的要求。

执行你的隐私和数据保护措施。隐私管理项目中的政策和措施应当被执行。除了有坚定的组织承诺之外，确保隐私管理项目控制的执行应当被融入到组织的日常运作中。项目控制应当包括：（1）处理活动的记录；（2）风险评估工具；（3）登记；（4）政策和程序；（5）数据安全；（6）能力建设；（7）违法管理；（8）通知；（9）第三方管理；以及（10）沟通。机构还应当定期评价计划控制的有效性。

个人数据违法管理。在出现个人数据违法行为时，有关组织应当准备好及时有效应对。有关组织应当有到位的政策规定违法管理程序。该政策应当包括预防、应急响应、调查、降低违法影响、遵守通知要求以及预防复发。明确规定和指定管理违法行为的责任，以及将经验教训整合到有关组织的程序和实践中是非常重要的。

台湾主要规范数据隐私的法规是《个人数据保护法》，上次于2015年12月份修改并于2016年3月15日生效。在台湾收集、处理和使用个人数据都受到《个人数据保护法》、《个人数据保护法》实施细则及有关机关发布的相关法规和规定的约束。

《个人数据保护法》区分了政府机构和非政府机构，并对它们作为数据控制者在收集、处理和使用个人数据方面采取了不同的规则（虽然《个人数据保护法》并未使用“控制者”一词）。非政府机构包括不是台湾政府机构的任何个人或实体。外国个人或实体对台湾居民个人数据的收集、处理和使用也受到《个人数据保护法》的约束。

《个人数据保护法》框架下没有独立的监督机构。2018年7月25日之前，司法部是负责解释《个人数据保护法》的主要官方机构，目前是发展委员会负责该职能。不同行业的主管部门也会发布适用于相关行业的数据控制者的法规和规定。

个人和敏感数据

根据《个人数据保护法》，个人数据是指自然人的姓名、出生日期、身份证号码、护照号码、特征、指纹、婚姻状况、家庭信息、教育背景、职业、医疗记录、医疗保健资料、遗传资料、性生活资料、体检记录、犯罪记录、联系方式、经济状况、有关个人社会活动的资料及其他可以直接或间接用于确定自然人的资料。

收集、处理或使用有关自然人的医疗记录、医疗保健、基因、性生活、体检和犯罪记录（敏感数据）的数据须符合更高的标准（见下文）。不过，《个人数据保护法》没有专门就敏感数据规定一套单独的规则。

收集、处理或使用个人数据的要求。就本文而言，作者将关注以下对非政府机构的要求。非政府机构收集、处理或使用个人数据，必须符合以下要求：

• 必须向数据当事人发出载有以下所有信息的通知：（i）收集者/处理者/用户的名称；（ii）收集/处理/使用的目的；（iii）收集/处理/使用的个人数据类型；（iv）个人数据的使用时间、范围、目的和方式；以及（v）《个人数据保护法》第3条下数据当事人的权利（见下文），如何行使该等权利，以及如果数据当事人选择不提供他/她的个人数据将对数据当事人的权益造成的影响。
• 就收集/处理个人数据而言，至少有一项下列法定理由：（i）收集/处理是法律明确允许的；（ii）已取得数据当事人的同意；（iii）数据当事人的个人数据因数据当事人的披露或以合法方式而公开；（iv）与数据当事人的合同或准合同关系，并采取适当的安全措施；（v）个人数据的收集/处理对于学术研究机构为了公共利益收集统计数字或进行学术研究是必要的，但已删除可以识别该数据当事人的任何信息；（vi）收集/处理数据对于促进公共利益是必要的；（vii）个人数据是从通常可访问的来源处收集的；或者（viii）收集/处理数据对于数据当事人没有害处。
• 就使用个人数据而言，必须在收集该等数据的特定用途范围内进行，除非符合下列任何一项条件：（i）该等额外使用是根据法律的具体规定进行的；（ii）对于促进公共利益是必要的；（iii）为了防止对数据当事人的生命、身体、自由或财产构成风险；（iv）为了防止对第三方权利或利益造成实质性损害；（v）对于学术研究机构为了公共利益收集统计数字或进行学术研究是必要的，但已删除可以识别该数据当事人的任何信息；（vi）已取得数据当事人的同意；或者（vii）该等额外使用对于数据当事人有益。

收集、处理或使用敏感数据的要求。除非有下列情况，否则不得收集、处理或使用敏感数据：

• 法律明确允许的；
• 政府机构为了履行其法定职责，或者非政府机构为了履行其法定义务，在收集、处理或使用之前或之后采取适当的安全措施；
• 数据当事人的个人数据因数据当事人的披露或以合法方式而公开；
• 如有必要进行统计或者其他学术研究，政府机构或学术研究机构可以为了医疗、公共卫生或者预防犯罪收集、处理或使用个人数据，但已删除可以识别数据当事人的任何信息；
• 如有必要协助政府机构履行其法定职责，或者非政府机构履行其法定义务，并在收集、处理货使用之前或之后采取适当的安全措施；或者
• 如果数据当事人已经书面同意，但该等数据的使用不得超过特定用途的必要范围，或者根据其他法律没有其他限制。此外，该等同意不得在违反数据当事人的自由意志的情况下取得。

数据当事人的权利

根据《个人数据保护法》第3条的规定，数据当事人拥有下列权利，不得事先以合同形式被放弃或限制：（1）对个人数据进行查询和审查的权利；（2）拥有个人数据副本的权利；（3）补充或改正个人数据的权利；（4）要求停止收集、处理或使用其个人数据的权利；以及（5）删除个人数据的权利。

个人数据跨境传输

根据《个人数据保护法》第21条的规定，主管机关有权在下列情形下禁止或限制个人数据的跨境传输：（1）涉及到重要的国家利益；（2）国际条约或协议禁止或限制该等传输；（3）个人数据输入国没有为个人数据提供完善的法律保护，从而影响/危害数据当事人的利益；或者（4）将个人数据传输至第三国（地区）是为了规避《个人数据 保护法》下的限制。

换句话说，个人数据的跨境传输通常是允许的，但是主管机关可以根据具体情况加以禁止或者限制。此外，不同行业的主管机关可以发布适用于相关行业的数据控制者进行个人数据跨境传输的规则和规定。比如，台湾银行业监管者要求任何涉及个人数据跨境传输的金融机构的外包业务必须符合一定的要求，并且须取得其事先审批。

近期发展

台湾当局计划可能在今年修改《个人数据保护法》，以符合欧盟的《通用数据保护条例》的标准，并获得欧盟委员会的充分性决定。发展委员会与欧盟委员会就《个人数据保护法》的必要修改进行了数轮讨论。根据发展委员会的介绍，提议的修改主要包括：（1）建立一个独立的监管机构，使不同行业的数据保护规定更加一致和全面；以及（2）对个人数据跨境传输增加更多的要求或限制。

泰国于2019年5月28日发布了《个人数据保护法（2019年）》（PDPA）。《个人数据保护法》最重要的条款将于2020年5月27日生效，以便为遵守该法案留出准备时间。这些条款包括有关个人数据保护、数据当事人权利、投诉、民事责任以及处罚的相关规定。

该法案的配套法律目前正在拟订中，包括个人数据保护标准、投诉和行政责任。《个人数据保护法》下的所有规定和通知的发布必须在2021年5月26日即该法案生效之后的一年内完成。

数据保护机构。《个人数据保护法》设立了个人数据保护委员会，有一个专家委员会和下设的小组委员会。根据《个人数据保护法》第16条的规定，个人数据保护委员会的职责包括：决定保障个人数据保护的措施或程序；发布通知或规定；公布保护程序的标准以及保护向境外传输数据的标准；以及准备支持和保护个人数据的总体规划。

除了上述委员会之外，《个人数据保护法》还设立了个人数据保护委员会办公室，作为学术服务和个人数据保护中心的国家机关，并设有监事会。

违反数据保护。《个人数据保护法》规定了对违法行为的民事、刑事和行政处罚。《个人数据保护法》下的民事责任包括不超过实际损失金额两倍的损害赔偿和惩罚性损害赔偿。刑事责任视违法行为的性质而定，包括不超过6个月的监禁、或者不超过50万泰铢（1.6万美元）的罚款、或者两者兼有。行政责任包括根据违法行为的性质处以不超过500万泰铢的行政罚款。《泰国民事诉讼法典》也允许集体诉讼。

豁免领域和机构。《个人数据保护法》规范在泰国的数据控制者或数据处理者进行的个人数据收集、使用和披露行为。不过，《个人数据保护法》不适用于：个人利益或家庭；公共机构的运营；仅为了大众传媒、美术或文学活动而收集的数据；在众议院、议会或议会委员会的职责和权利下的数据；法院的审判和裁定，法律诉讼和法律执行中工作人员的工作；信用资信公司及其成员收集的数据；以及死者的数据。

个人数据格式。根据《个人数据保护法》第6条，个人数据是指与可辨人士直接或间接相关的信息，但不包括死者的数据。

《个人数据保护法》规定了两类个人数据：一般个人数据（第24条）和敏感数据（第26条）。一般个人数据必须经数据当事人同意后才能收集，比如地址、电话号码、信用卡信息等。

治外法权。如果数据控制者或数据处理者在泰国境外时，《个人数据保护法》涵盖向泰国的数据当事人提供货物或服务，不论是否是数据当事人进行的支付，对数据当事人的行为监控都是在泰国进行。

向泰国境外传输个人数据。根据《个人数据保护法》第28条的规定，如果数据控制者向境外发送或传输个人数据，数据控制者必须遵守个人数据保护委员会规定的传输规则（目前尚未明确），并确保接受该等数据的目的地国家或国际组织拥有委员会确定的适当数据保护标准（目前尚未明确）。

个人数据的使用。《个人数据保护法》规定控制个人数据和向所有者提供个人数据处理服务的人士之间的区别。控制者和处理者的职责不同。

《个人数据保护法》第37条规定了数据控制者的职责，包括安排安全措施、安排核实程序，并向个人数据保护委员会办公室发送有关个人数据违法行为的通知。

《个人数据保护法》第40条规定了数据处理者的职责，包括安排安全措施、通知数据控制者有关个人数据违法行为，并准备和维护记录。

处理行为的合法理由。根据《个人数据保护法》第24条和第27条的规定，未经数据当事人的同意，数据控制者不得处理个人数据，除非是根据以下理由的合法依据：研究；切身利益；合同；公职机关；数据控制者的合法利益（平衡与数据当事人的权利），以及合法义务。

合法处理–个人数据类型。《个人数据保护法》对敏感个人数据实施了更加严格的规定。根据《个人数据保护法》第26条和第27条的规定，未经数据当事人的明确同意（在明确的声明中确认，而不是从行动中推断出同意），禁止处理敏感个人数据。例外情况包括基于以下理由的合法依据：切身利益；合法活动；公共数据；合法请求；以及合法义务。

未成年人。根据《个人数据保护法》第20条，如果未成年人的同意行为不属于《民商法典》第22条至第24条规定的未成年人可以单独行动的行为，那么应当取得对未成年人负有父母责任的人士的同意。在未成年不满10岁的情况下也需要取得这种同意。

通知。根据《个人数据保护法》第23条，控制者在收集个人数据之前或同时应当告知数据当事人以下事项：

• 收集个人数据的目的（即使用或披露）；
• 个人数据存储期限；
• 数据控制者的身份（联系方式）；
• 数据当事人披露其个人数据的理由；
• 个人数据可能会向其披露的接收者身份；
• 需要收集的信息；
• 数据当事人的权利；以及
• 不提供信息的影响。

数据准确性。根据《个人数据保护法》第35条，数据控制者必须确保个人数据保持准确、最新的、完整并且不具有误导性。

数据保持的数量和时间。对于数据保存结束时间没有明确规定，虽然根据《个人数据保护法》第37(3)条的规定，当个人数据与收集目的无关或者超出收集目的的范围时，数据控制者需要设立一套审查制度删除或者销毁该等个人数据。

终局原则。根据《个人数据保护法》第21条，收集、使用或披露个人数据不得以与先前告知数据当事人的目的不同的方式进行，除非数据当事人已被告知了新的目的，并且在收集、使用或披露之前已获得同意。

安全保障义务。《个人数据保护法》第37条规定，数据控制者必须提供和维持适当的安全保障措施，以防止未经授权或非法遗失、查阅、使用、更改、更正或披露个人数据。

数据违法行为的通知。《个人数据保护法》第37(4)条要求数据控制者在知悉任何个人数据违法行为的72小时内通知个人数据保护委员会办公室。

数据保护专员。如果数据控制者或处理者的活动需要处理大量（目前未明确）个人数据，那么数据控制者或处理者还必须指定一名数据保护专员（目前法规未定义）。

根据《个人数据保护法》第42条，数据保护专员的职责包括为数据控制者和数据处理者就遵守《个人数据保护法》提供咨询和审核，以及在出现有关个人数据收集、使用或披露的问题时与个人数据保护委员会办公室进行协调。

保存记录。第39条规定数据控制者应当保存以下记录：（1）所收集的个人数据；（2）收集个人数据的目的；（3）数据控制者的详细信息；（4）个人数据的保存期限；（5）查阅个人数据的权利和方法；（6）豁免同意要求的个人数据使用或披露；（7）拒绝请求或者提出异议；以及（8）解释采取适当的安全保障措施防止个人数据违法行为。

查阅权。根据《个人数据保护法》第30条，数据当事人有权要求查阅并获得与其相关个人数据的副本，这些数据是由数据控制者负责的。只有在法律允许或者根据法院命令的情况下，才能够拒绝该等请求。