亚太动态| 菲律宾：NPC发布关于同意准则的通知

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

文/ 王捷律师团队

W&W国际法律团队

专注互联网出海法律实务：

W&W国际法律团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

互联网前沿领域法律服务：

W&W国际法律团队深耕出海法律实务的同时，也紧跟互联网前沿动态，可以为互联网企业提供前沿领域的法律服务，为企业开拓新的业务领域保驾护航，比如AIGC产品全链路合规法律服务，包括AI与数据合规， AIGC与知识产权布局、侵权风险防范，内容审核标准制定等。

覆盖以下行业领域：

物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。

（此处仅展示部分内容，如有任何需求，请尽管与我们联系。）

引言

鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势，W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块，跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向，提示企业合规要点，为企业开展出海业务、部署国内合规工作提供参考。

菲律宾：NPC发布关于同意准则的通知

2023年11月7日，国家隐私权委员会（National Privacy Commission，下称NPC）在公开征求意见后发布了《NPC关于同意准则的第 2023-04 号通知》（the NPC Circular No. 2023-04 Guidelines on Consent，下称“通知”）。该通知适用于在数据主体同意的基础上处理个人数据的个人数据控制者。

透明度

通知规定，个人数据控制者必须确保数据主体了解处理其个人数据的性质、目的和范围，包括：

具体信息：如要处理的个人数据，以同意作为法律依据的处理目的、性质、程度、持续时间和范围，事先知情同意公司的身份，数据主体权利的存在，以及如何行使这些权利；
时间：应在获得同意时提供信息；
清晰度：在向资料当事人提供信息时，事先知情同意程序应使用清晰、前后一致和直截了当的语言。

表格和声明（Forms and statements）

通知解释了各种表格和声明之间的区别，隐私声明（privacy statement）是关于公司个人数据处理活动的一般性声明，而隐私政策（privacy policy）则是一套政策，用于规范事先知情同意公司对内部各方（如员工）的个人数据处理做法。

同意的要素

通知还规定了同意的要素，包括：

自由给予
具体
知情
表明意愿；以及
以书面、电子或录音方式证明。

此外，该通知还规定了获得和撤销同意的一般注意事项，以及概述了将同意作为处理个人数据用于直接营销、数据共享、研究、公开信息、以及识别分析和自动处理的法律依据的注意事项。

垦丁W&W简评

相较于2012年菲律宾《数据隐私法》，该指南对同意这一处理个人数据的合法性基础提出了更为全面细致的要求，为出海菲律宾的企业制定隐私声明和隐私政策、采取合规措施取得数据主体的同意提供了有效参考。

新加坡：PDPC因数据安全故障向Ascentis处以10,000新元的罚款

2023年11月10日，新加坡PDPC（Personal Data Protection Commission）公布其在 DP-2209-C0193 / DP-2209-C02017 号案件中认定 Ascentis Pte. Ltd.违反了《个人数据保护法》（No. 26 of 2012）（PDPA）。

裁决背景

PDPC特别指出，其于2022年9月13日获悉，星巴克咖啡新加坡私人有限公司（Starbucks Coffee Singapore Pte Ltd）所有的电子商务平台发生数据泄露，影响到 332,774 名自然人的个人数据，这些数据随后在网上出售。Ascentis是被入侵平台的开发商，为星巴克提供客户关系管理服务，即在本案中支持星巴克——"我的星巴克奖赏"忠诚度计划，其存储的个人信息包括姓名、电子邮件地址、出生日期和电话号码。

调查结果

Ascentis 与第三方 Kyanon Digital Co. Ltd.负责星巴克项目的软件开发。Kyanon 的员工获得了该平台的全部管理权限，并且无需多重身份验证(multi-factor authentication) 即可访问。在一名 Kyanon 员工于 2022年5月离职后，Kyanon没有禁止该员工的账户访问Ascentis正在开发的平台，该账户随后被用于访问平台上的个人数据。该员工的账户详情（包括密码和凭证）可以在谷歌工作表上找到，因此任何可以访问谷歌工作表的人也可以访问Ascentis正在开发的平台。因此，PDPC裁定 Ascentis违反了PDPA第24条，因为 Ascentis 沒有作出合理的保障措施来防止个人数据受到未经授权的访问及获取。

垦丁W&W简评

根据PDPC的决策，本次执法活动有以下要点值得出海企业参考：

对于能够访问机密或敏感个人数据或大量个人数据的管理帐户，对其施加多重身份验证（MFA）应当为一项基本要求。
仅在与供应商的合同中规定广泛的数据保护义务可能并不充分，企业仍有可能被要求证明供应商已遵守具体的数据保护要求。在本案中，PDPC认为：虽然 Ascentis 与其海外供应商之间的主服务协议确实对 Kyanon 规定了广泛的数据保护义务，但除了规定“安全身份验证和授权流程”之外，没有强制要求供应商采取与帐户管理相关的任何具体措施。
企业应制定涵盖信息安全关键方面的 ICT 政策，例如帐户和访问控制、密码、电子邮件、IT 风险管理、资产和配置、备份和恢复、强化和修补，定期检查软件补丁和升级来规避信息安全风险。

主编介绍

王捷 律师

垦丁国际业务部负责人、广州执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

业务领域：

个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全

王律师持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士。

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验，具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务，行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。

王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地，包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局，已为各类涉互联网企业拓展全球市场提供法律支持，尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。

同时，王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列

W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读

W&W团队解读|泰国最新个人数据跨境路径Q&A（附法规合集）

挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布

合规实务 | AIGC非知识产权领域的法律风险与合规应对

合规实务 | AIGC知识产权领域的法律风险与合规应对

要点分析 | 欧盟Artificial Intelligence Act 解读（二）

要点分析 | 欧盟Artificial Intelligence Act 解读（一）