「정보보호법」
ㆍ 국가‧지역: 필리핀 ㆍ 법률번호: 공화국법 제10173호 ㆍ 제정일: 2012년 8월 15일
This Act shall be known as the“Data Privacy Act of 2012”.
It is the policy of the State to protect the fundamental human right of privacy, of communication while ensuring free flow of information to promote innovation and growth. The State recognizes the vital role of information and communications technology in nation-building and its inherent obligation to ensure that personal information in information and communications systems in the government and in the private sector are secured and protected.
Whenever used in this Act, the following terms shall have the respective meanings hereafter set forth:
(1) A person or organization who performs such functions as instructed by another person or organization; and (2) An individual who collects, holds, processes or uses personal information in connection with the individual’s personal, family or household affairs.
(1) About an individual’s race, ethnic origin, marital status, age, color, and religious, philosophical or political affiliations; (2) About an individual’s health, education, genetic or sexual life of a person, or to any proceeding for any offense committed or alleged to have been committed by such person, the disposal of such proceedings, or the sentence of any court in such proceedings; (3) Issued by government agencies peculiar to an individual which includes, but not limited to, social security numbers, previous or cmrent health records, licenses or its denials, suspension or revocation, and tax returns; and (4) Specifically established by an executive order or an act of Congress to be kept classified.
This Act applies to the processing of all types of personal information and to any natural and juridical person involved in personal information processing including those personal information controllersand processors who, although not found or established in the Philippines, use equipment that are located in the Philippines, or those who maintain an office, branch or agency in the Philippines subject to the immediately succeeding paragraph: Provided, That the requirements of Section 5 are complied with. This Act does not apply to the following:
(1) The fact that the individual is or was an officer or employee of the government institution; (2) The title, business address and office telephone number of the individual; (3) The classification, salary range and responsibilities of the position held by the individual; and (4) The name of the individual on a document prepared by the individual in the course of employment with the government;
Nothing in this Act shall be construed as to have amended or repealed Republic Act No. 1405, otherwise known as the Secrecy of Bank Deposits Act; Republic Act No. 6426, otherwise known as the Foreign Currency Deposit Act; and Republic Act No. 9510, otherwise known as the Credit Information System Act (CISA);
Nothing in this Act shall be construed as to have amended or repealed the provisions of Republic Act No. 53, which affords the publishers, editors or duly accredited reporters of any newspaper, magazine or periodical of general circulation protection from being compelled to reveal the source of any news report or information appearing in said publication which was related in any confidence to such publisher, editor, or reporter.
This Act applies to an act done or practice engaged in and outside of the Philippines by an entity if:
(1) A contract is entered in the Philippines; (2) A juridical entity unincorporated in the Philippines but has central management and control in the country; and (3) An entity that has a branch, agency, office or subsidiary in the Philippines and the parent or affiliate of the Philippine entity has access to personal information; and
(1) The entity carries on business in the Philippines; and (2) The personal information was collected or held by an entity in the Philippines.
To administer and implement the provisions of this Act, and to monitor and ensure compliance of the country with international standards set for data protection, there is hereby created an independent body to be known as the National Privacy Commission, winch shall have the following functions:
The Commission shall ensure at all times the confidentiality of any personal information that comes to its knowledge and possession.
The Commission shall be attached to the Department of Information and Communications Technology (DICT) and shall be headed by a Privacy Commissioner, who shall also act as Chairman of the Commission. The Privacy Commissioner shall be assisted by two (2) Deputy Privacy Commissioners, one to be responsible for Data Processing Systems and one to be responsible for Policies and Planning. The Privacy Commissioner and the two (2) Deputy Privacy Commissioners shall be appointed by the President of the Philippines for a term of three (3) years, and may be reappointed for another term of three (3) years. Vacancies in the Commission shall be filled in the same manner in which the original appointment was made. The Privacy Commissioner must be at least thirty-five (35) years of age and of good moral character, unquestionable integrity and known probity, and a recognized expert in the field of information technology and data privacy. The Privacy Commissioner shall enjoy the benefits, privileges and emoluments equivalent to the rank of Secretary. The Deputy Privacy Commissioners must be recognized experts in the field of information and communications technology and data privacy. They shall enjoy the benefits, privileges and emoluments equivalent to the rank of Undersecretary. The Privacy Commissioner, the Deputy Commissioners, or any person acting on their behalf or under their direction, shall not be civilly liable for acts done in good faith in the performance of their duties. However, he or she shall be liable for willful or negligent acts done by him or her which are contrary to law, morals, public policy and good customs even if he or she acted under orders or instructions of superiors: Provided, That in case a lawsuit is filed against such official on the subject of the performance of his or her duties, where such performance is lawful, he or she shall be reimbursed by the Commission for reasonable costs of litigation.
The Commission is hereby authorized to establish a Secretariat. Majority of the members of the Secretariat must have served for at least five (5) years in any agency of the government that is involved in the processing of personal information including, but not limited to, the following offices: Social Security System (SSS), Government Service Insurance System (GSIS), Land Transportation Office (LTO), Bureau of Internal Revenue (BIR), Philippine Health Insurance Corporation (PhilHealth), Commission on Elections (COMELEC), Department of Foreign Affairs (DFA), Department of Justice (DOJ), and Philippine Postal Corporation (Philpost).
The processing of personal information shall be allowed, subject to compliance with the requirements of this Act and other laws allowing disclosure of information to the public and adherence to the principles of transparency, legitimate purpose and proportionality. Personal information must, be:,
The personal information controller must ensure implementation of personal information processing principles set out herein.
The processing of personal information shall be permitted only if not otherwise prohibited by law, and when at least one of the following conditions exists:
The processing of sensitive personal information and privileged information shall be prohibited, except in the following cases:
A personal information controller may subcontract the processing of personal information: Provided, That the personal information controller shall be responsible for ensuring that proper safeguards are in place to ensure the confidentiality of the personal information processed, prevent its use for unauthorized purposes, and generally, comply with the requirements of this Act and other laws for processing of personal information. The personal information processor shall comply with all the requirements of this Act and other applicable laws.
Personal information controllers may invoke the principle of privileged communication over privileged information that they lawfully control or process. Subject to existing laws and regulations, any evidence gathered on privileged information is inadmissible.
The data subject is entitled to:
(1) Description of the personal information to be entered into the system; (2) Purposes for which they are being or are to be processed; (3) Scope and method of the personal information processing; (4) The recipients or classes of recipients to whom they are or may be disclosed; (5) Methods utilized for automated access, if the same is allowed by the data subject, and the extent to which such access is authorized; (6) The identity and contact details of the personal information controller or its representative; (7) The period for which the information will be stored; and (8) The existence of their rights, i.e., to access, correction, as well as the right to lodge a complaint before the Commission. Any information supplied or declaration made to the data subject on these matters shall not be amended without prior notification of data subject: Provided, That the notification under subsection (b) shall not apply should the personal information be needed pursuant to a subpoena or when the collection and processing are for obvious purposes, including when it is necessary for the performance of or in relation to a contract or service or when necessary or desirable in the context of an employer-employee relationship, between the collector and the data subject, or when the information is being collected and processed as a result of legal obligation;
(1) Contents of his or her personal information that were processed; (2) Sources from which personal information were obtained; (3) Names and addresses of recipients of the personal information; (4) Manner by which such data were processed; (5) Reasons for the disclosure of the personal information to recipients; (6) Information on automated processes where the data will or likely to be made as the sole basis for any decision significantly affecting or will affect the data subject; (7) Date when his or her personal information concerning the data subject were last accessed and modified; and (8) The designation, or name or identity and address of the personal information controller;
The lawful heirs and assigns of the data subject may invoke the rights of the data subject for, which he or she is an heir or assignee at any time after the death of the data subject or when the data subject is incapacitated or incapable of exercising the rights as enumerated in the immediately preceding section.
The data subject shall have the right, where personal information is processed by electronic means and in a structured and commonly used format, to obtain from the personal information controller a copy of data undergoing processing in an electronic or structured format, which is commonly used and allows for further use by the data subject. The Commission may specify the electronic format referred to above, as well as the technical standards, modalities and procedures for their transfer.
The immediately preceding sections are not applicable if the processed personal information are used only for the needs of scientific and statistical research and, on the basis of such, no activities are carried out and no decisions are taken regarding the data subject: Provided, That the personal information shall be held under strict confidentiality and shall be used only for the declared purpose. Likewise, the immediately preceding sections are not applicable to processing of personal information gathered for the purpose of investigations in relation to any criminal, administrative or tax liabilities of a data subject.
(1) Safeguards to protect its computer network against accidental, unlawful or unauthorized usage or interference with or hindering of their functioning or availability; (2) A security policy with respect to the processing of personal information; (3) A process for identifying and accessing reasonably foreseeable vulnerabilities in its computer networks, and for taking preventive, corrective and mitigating action against security incidents that can lead to a security breach; and (4) Regular monitoring for security breaches and a process for taking preventive, corrective and mitigating action against security incidents that can lead to a security breach.
(1) In evaluating if notification is unwarranted, the Commission may take into account compliance by the personal information controller with this section and existence of good faith in the acquisition of personal information. (2) The Commission may exempt a personal information controller from notification where, in its reasonable judgment, such notification would not be in the public interest or in the interests of the affected data subjects. (3) The Commission may authorize postponement of notification where it may hinder the progress of a criminal investigation related to a serious breach.
Each personal information controller is responsible for personal information under its control or custody, including information that have been transferred to a third party for processing, whether domestically or internationally, subject to cross-border arrangement and cooperation.
All sensitive personal information maintained by the government, its agencies and instrumentalities shall be secured, as far as practicable, with the use of the most appropriate standard recognized by the information and communications technology industry, and as recommended by the Commission. The head of each government agency or instrumentality shall be responsible for complying with the security requirements mentioned herein while the Commission shall monitor the compliance and may recommend the necessary action in order to satisfy the minimum standards.
Except as may be allowed through guidelines to be issued by the Commission, no employee of the government shall have access to sensitive personal information on government property or through online facilities unless the employee has received a security clearance from the head of the source agency.
Unless otherwise provided in guidelines to be issued by the Commission, sensitive personal information maintained by an agency may not be transported or accessed from a location off government property unless a request for such transportation or access is submitted and approved by the head of the agency in accordance with the following guidelines: (1) Deadline for Approval or Disapproval - In the case of any request submitted to the head of an agency, such head of the agency shall approve or disapprove the request within two (2) business days after the date of submission of the request. In case there is no action by the head of the agency, then such request is considered disapproved; (2) Limitation to One thousand (1,000) Records – If a request is approved, the head of the agency shall limit the access to not more than one thousand (1,000) records at a time; and (3) Encryption – Any technology used to store, transport or access sensitive personal information for purposes of off-site access approved under this subsection shall be secured by the use of the most secure encryption standard recognized by the Commission. The requirements of this subsection shall be implemented not later than six (6) months after the date of the enactment of this Act.
In entering into any contract that may involve accessing or requiring sensitive personal information from one thousand (1,000) or more individuals, an agency shall require a contractor and its employees to register their personal information processing system with the Commission in accordance with this Act and to comply with the other provisions of this Act including the immediately preceding section, in the same manner as agencies and government employees comply with such requirements.
The processing of personal information for unauthorized purposes shall be penalized by imprisonment ranging from one (1) year and six (6) months to five (5) years and a fine of not less than Five hundred thousand pesos (Php500,000.00) but not more than One million pesos (Php1,000,000.00) shall be imposed on persons processing personal information for purposes not authorized by the data subject, or otherwise authorized under this Act or under existing laws. The processing of sensitive personal information for unauthorized purposes shall be penalized by imprisonment ranging from two (2) years to seven (7) years and a fine of not less than Five hundred thousand pesos (Php500,000.00) but not more than Two million pesos (Php2,000,000.00) shall be imposed on persons processing sensitive personal information for purposes not authorized by the data subject, or otherwise authorized under this Act or under existing laws.
The penalty of imprisonment ranging from one (1) year to three (3) years and a fine of not less than Five hundred thousand pesos (Php500,000.00) but not more than Two million pesos (Php2,000,000.00) shall be imposed on persons who knowingly and unlawfully, or violating data confidentiality and security data systems, breaks in any way into any system where personal and sensitive personal information is stored.
The penalty of imprisonment of one (1) year and six (6) months to five (5) years and a fine of not less than Five hundred thousand pesos (Php500,000.00) but not more than One million pesos (Php1,000,000.00) shall be imposed on persons who, after having knowledge of a security breach and of the obligation to notify the Commission pursuant to Section 20(f), intentionally or by omission conceals the fact of such security breach.
Any personal information controller or personal information processor or any of its officials, employees or agents, who, with malice or in bad faith, discloses unwarranted or false information relative to any personal information or personal sensitive information obtained by him or her, shall be subject to imprisonment ranging from one (1) year and six (6) months to five (5) years and a fine of not less than Five hundred thousand pesos (Php500,000.00) but not more than One million pesos (Php1,000,000.00).
Any combination or series of acts as defined in Sections 25 to 32 shall make the person subject to imprisonment ranging from three (3) years to six (6) years and a fine of not less than One million pesos (Php1,000,000.00) but not more than Five million pesos (Php5,000,000.00).
If the offender is a corporation, partnership or any juridical person, the penalty shall be imposed upon the responsible officers, as the case may be, who participated in, or by their ㅍ, allowed the commission of the crime. If the offender is a juridical person, the court may suspend or revoke any of its rights under this Act. If the offender is an alien, he or she shall, in addition to the penalties herein prescribed, be deported without further proceedings after serving the penalties prescribed. If the offender is a public official or employee and lie or she is found guilty of acts penalized under Sections 27 and 28 of this Act, he or she shall, in addition to the penalties prescribed herein, suffer perpetual or temporary absolute disqualification from office, as the case may be.
The maximum penalty in the scale of penalties respectively provided for the preceding offenses shall be imposed when the personal information of at least one hundred (100) persons is harmed, affected or involved as the result of the above mentioned actions.
When the offender or the person responsible for the offense is a public officer as defined in the Administrative Code of the Philippines in the exercise of his or her duties, an accessory penalty consisting in the disqualification to occupy public office for a term double the term of criminal penalty imposed shall he applied.
Restitution for any aggrieved party shall be governed by the provisions of the New Civil Code.
Any doubt in the interpretation of any provision of this Act shall be liberally interpreted in a manner mindful of the rights and interests of the individual about whom personal information is processed.
Within ninety (90) days from the effectivity of this Act, the Commission shall promulgate the rules and regulations to effectively implement the provisions of this Act.
The Commission shall annually report to the President and Congress on its activities in carrying out the provisions of this Act. The Commission shall undertake whatever efforts it may determine to be necessary or appropriate to inform and educate the public of data privacy, data protection and fair information rights and responsibilities.
The Commission shall be provided with an initial appropriation of Twenty million pesos (Php20,000,000.00) to be drawn from the national government. Appropriations for the succeeding years shall be included in the General Appropriations Act. It shall likewise receive Ten million pesos (Php10,000,000.00) per year for five (5) years upon implementation of this Act drawn from the national government.
Existing industries, businesses and offices affected by the implementation of this Act shall be given one (1) year transitory period from the effectivity of the IRR or such other period as may be determined by the Commission, to comply with the requirements of this Act. In case that the DICT has not yet been created by the time the law takes full force and effect, the National Privacy Commission shall be attached to the Office of the President.
If any provision or part hereof is held invalid or unconstitutional, the remainder of the law or the provision not otherwise affected shall remain valid and subsisting.
The provision of Section 7 of Republic Act No. 9372, otherwise known as the “Human Security Act of 2007”, is hereby amended. Except as otherwise expressly provided in this Act, all other laws, decrees, executive orders, proclamations and administrative regulations or parts thereof inconsistent herewith are hereby repealed or modified accordingly.
This Act shall take effect fifteen (15) days after its publication in at least two (2) national newspapers of general circulation.
「정보보호법」
ㆍ 국가‧지역: 필리핀 ㆍ 법률번호: 공화국법 제10173호 ㆍ 제정일: 2012년 8월 15일
이 법의 명칭은 “2012년 정보보호법”이라 한다.
개인정보와 통신의 기본 인권을 보호하는 한편, 혁신과 성장을 증진하기 위하여 자유로운 정보 이동을 보장하는 것이 국가의 정책이다. 국가는 정보통신기술이 국가 형성에서 차지하는 중추적인 역할과 정부 및 민간 부문 정보통신시스템의 개인정보를 안전하게 보호해야 할 고유의 의무를 인정한다.
이 법에서 사용하는 용어의 정의는 다음과 같다.
(1) 타인이나 조직의 지시로 해당 기능을 수행하는 개인이나 조직 (2) 개인사나 가정사와 관련하여 개인정보를 수집⋅ 보유⋅처리 또는 사용하는 개인
(1) 개인의 인종, 출신 민족,혼인 여부, 연령, 피부색, 종교 및 철학 또는 정치적 배경에 관한 정보 (2) 개인의 건강이나 교육, 유전자, 성생활 또는 그가 범하였거나 혐의를 받는 범죄에 대한 소송절차, 해당 소송의 처분 또는 해당 소송의 법원 선고에 관한 정보 (3) 사회보장번호나 과거 또는 현재의 의료기록, 면허나 면허 거부, 중지, 취소, 세금신고를 포함하되 이에 국한하지 아니하는 정부 기관이 발행한 개인의 고유 정보 (4) 특히 행정명령이나 의회가 제정한 법이 기밀로 유지되도록 정한 정보
이 법은 모든 개인정보 형식의 처리와 개인정보관리자 또는 개인정보처리자를 포함하여 필리핀에 설립되지 아니하더라도 필리핀 소재의 장비를 사용하거나 다음 항에 따라 필리핀에 사무소나 지점⋅대리점을 유지하는 자를 포함하여 개인정보 처리에 관여하는 모든 자연인과 법인에 적용한다. 다만, 제5조의 요건이 준수되어야 한다. 이 법은 다음 각 항에 적용하지 아니한다.
(1) 개인이 정부 기관의 전현직 임직원이라는 사실 (2) 개인의 직급과 업무용 주소, 업무용 전화번호 (3) 개인이 재직하는 직위의 분류와 호봉, 책무 (4) 개인이 정부 취업 과정에서 작성하는 문서에 등재된 개인의 이름
이 법의 규정은 「은행예금비밀보호법」으로알려진 공화국법 제1405호나 「외화예금법」으로 알려진 공화국법 제6426호, 「신용정보시스템법」으로 알려진 공화국법 제9510호를 개정하거나 폐지한다고 해석되어서는 아니 된다.
이 법의 어떠한 내용도 정식 인가를 받아 일반인에게 유통되는 신문⋅잡지⋅정기 간행물의 출판인이나 편집인⋅기자가 해당 출판인⋅편집인⋅기자와 관련된 기밀 보도나 전술한 출판물에 표시되는 정보의 출처를 공개할 의무를 면책하는 공화국법 제53호의 규정을 개정하거나 폐지한다고 해석하여서는 아니 된다.
다음 각 항의 경우 이 법은 필리핀 국내외 관련 주체의 행위나 관행에 적용된다.
(1) 필리핀 내에서 계약이 체결되는 경우 (2) 법인이 필리핀에 설립되지 아니하였으나 중앙 관리 및 통제가 필리핀 국내에서 이루어지는 경우 (3) 지점이나 대리점, 사무소, 자회사가 필리핀에 있고 필리핀 법인의 모회사나 계열사가 개인정보에 접근하는 경우
(1) 해당 주체가 필리핀에서 사업을 영위하는 경우 (2) 필리핀 소재 주체가 개인정보를 수집 또는 보유한 경우
이 법의 규정을 관리 및 이행하고, 정보보호를 위하여 제정된 국제표준의 국내 준수를 감독 및 확인하기 위하여 이로써 다음 각 항의 기능을 수행하는 “국가개인정보보호위원회”라는 명칭의 독립기구를 설치한다.
국가개인정보보호위원회는 국가개인정보보호위원회가 습득 및 보유하는 개인정보를 항시 기밀로 유지한다.
국가개인정보보호위원회는 정보통신기술부 부설 기관으로 국가개인정보보호위원회의 대표 역할을 수행하는 개인정보위원장을 장(長)으로 한다. 개인정보위원장은 각각 정보 처리 시스템과 정책 및 기획을 담당하는 개인정보부위원장 2인의 보좌를 받는다. 개인정보위원장과 개인정보부위원장 2인은 임기가 3년으로 필리핀 대통령이 임명하며 3년 간 연임할 수 있다. 위원회의 공석은 최초 임명과 동일한 방식으로 충원한다. 개인정보위원장은 35세 이상, 준수한 도덕적 품성과 확고한 청렴성을 갖추고 정직성으로 인정 받는 자로, 정보기술과 개인정보보호 분야에서 인정 받는 전문가로 정해야 한다. 개인정보위원장은 장관급 혜택과 특권, 보수를 받는다. 개인정보부위원장은 정보통신기술과 개인정보보호 분야에서 인정 받는 전문가로 정해야 한다. 개인정보 부위원장은 차관급 혜택과 특권, 보수를 받는다. 개인정보위원장이나 개인정보부위원장, 또는 이들을 대행하거나 이들의 지휘를 받는 자는 직무 이행 과정에서 선의로 행한 행위에 대하여 민사상 책임을 지지 아니한다. 다만, 이들은 상관의 명령이나 지시를 받았다 하더라도 법률과 도덕, 공공정책, 미풍양속에 저촉되는 고의 또는 과실에 대해서는 책임을 져야 한다. 또한, 직무 이행에 대하여 해당 공직자를 상대로 소송이 제기되었으나 해당 이행이 적법한 경우, 국가개인정보보호위원회는 합리적인 소송 비용을 해당 인에게 변상한다.
국가개인정보보호위원회는 이로써 사무국을 설치할 수 있다. 사무국원의 과반수는 사회보장제도, 정부서비스보험제도, 육상운송국, 국세청, 필리핀건강보험공사, 선거위원회, 외교부, 법무부, 필리핀우체국공사를 포함하되 이에 국한하지 아니하는 개인정보의 처리에 관여하는 정부기관에 5년 이상 재직한 경험이 있어야 한다.
개인정보의 처리는 이 법과 그 밖에 공중에 정보 공개를 허용하는 법률 요건의 준수와 투명성, 적법한 목적, 비례의 원칙 준수를 조건으로 허용된다. 개인정보에는 다음 각 항을 적용하여야 한다.
개인정보관리자는 이 법에서 명시하는 개인정보 처리 원칙의 이행을 보장하여야 한다.
개인정보의 처리는 법률에서 별도로 금지하지 아니하는 한 다음 각 항의 어느 하나 이상의 조건이 존재하는 경우에만 허용한다.
민감한 개인정보와 비닉특권 정보의 처리는 금지한다. 다만, 다음 각 항의 어느 하나의 경우 예외로 한다.
개인정보관리자는 개인정보의 처리를 하도급 할 수 있다. 다만, 개인정보관리자는 처리되는 개인정보의 기밀성을 보장하고 허가된 목적 외의 사용을 방지하고, 이 법과 개인정보 처리에 관한 그 밖의 법률의 요건을 전반적으로 준수하는 데 적합한 보호수단을 마련할 책임이 있다. 개인정보처리자는 이 법과 그 밖의 관련법상 모든 요건을 준수하여야 한다.
개인정보관리자는 본인이 적법하게 관리 또는 처리하는 비닉특권 정보에 대하여 비닉특권의 원칙을 적용할 수 있다. 현행 법규에 의거하여 비닉특권 정보에 관해 수집되는 증거는 인정되지 아니한다.
정보주체는 다음 각 항의 권리를 갖는다.
(1) 시스템에 입력되는 개인정보에 대한 설명 (2) 개인정보가 처리되는 목적 (3) 개인정보 처리의 범위와 방법 (4) 해당 개인정보를 받아 볼 수 있는 수령인이나 수령인의 유형 (5) 정보주체가 허용하는 경우, 정보에 자동적 접근을 위하여 사용되는 방법과 해당 접근의 허용 범위 (6) 개인정보관리자나 그 대리인의 신원과 연락처 (7) 정보가 저장되는 기간 (8) 정보의 접근과 정정에 대한 권리뿐만 아니라 국가개인정보보호위원회에 고발장을 제출할 수 있는 권리의 존재 전술한 사안에 대하여 정보주체에 제공되는 정보나 설명은 정보주체의 사전 통보 없이 개정할 수 없다. 다만, 계약이나 서비스의 이행 또는 이와 관련하여 필요하거나 노사관계에서 수집인과 정보주체 사이에 필요하거나 바람직한 경우, 법적 의무로 인하여 정보가 수집 및 처리되는 경우를 포함하여 수집과 처리가 명백한 목적을 위해 이루어지는 경우 또는 소환장에 의하여 개인정보가 필요한 경우에는 제(b)항의 고지를 적용하지 아니한다.
(1) 기 처리된 개인정보의 내용 (2) 개인정보가 입수된 출처 (3) 개인정보 수령인의 이름과 주소 (4) 해당 정보가 처리된 방식 (5) 수령인에게 개인정보가 공개되는 사유 (6) 정보주체에 중대한 영향을 미치거나 미칠 가능성이 있는 결정의 유일한 근거로서 정보가 생성되는 자동 절차에 관한 정보 (7) 정보주체에 관한 개인정보가 최종 접근 및 수정된 날짜 (8) 개인정보 관리자의 명칭이나 이름, 신원, 주소
정보주체의 적법한 상속인과 양수인은 정보주체의 사망 이후, 또는 정보주체가 직전 조에서 설명한 권리를 행사할 능력이 없게 되는 경우 언제라도 본인이 상속인이나 양수인인 정보주체의 권리를 행사할 수 있다.
정보주체는 개인정보가 전자적 수단을 통해 구조화되고 일반적으로 사용되는 양식으로 처리되는 경우, 일반적으로 사용하는 양식으로 구조화 또는 전자적 처리가 되어 정보주체가 추후 사용 가능한 해당 정보의 사본을 개인정보관리자로부터 입수할 권리가 있다. 국가개인정보보호위원회는 전술한 전자 양식뿐 아니라 해당 정보의 전송에 대한 기술 표준과 양식, 절차를 명시할 수 있다.
처리된 개인정보가 과학과 통계조사의 필요에 의해서만 사용되고, 이를 바탕으로 다른 활동이 수행되지 아니하고 정보주체에 관한 결정이 내려지지 아니할 경우에는 전술한 조가 적용되지 아니한다. 다만, 개인정보는 대외비로 보관하고 공표된 목적으로만 사용하여야 한다. 이와 마찬가지로 정보주체의 범죄나 행정, 조세 채무에 관한 조사를 위하여 수집되는 개인정보의 처리에는 전술한 조가 적용되지 아니한다.
(1) 우발⋅불법적이거나 허가 받지 아니한 사용 또는 기능⋅가용성의 방해⋅지연으로부터 자체 컴퓨터 네트워크를 보호하기 위한 수단 (2) 개인정보의 처리에 대한 보안 정책 (3) 합리적으로 예상 가능한 자체 컴퓨터 네트워크의 약점을 식별 및 접근하고 보안침해로 이어질 수 있는 보안사고에 대한 예방, 시정 및 완화조치를 취하기 위한 과정 (4) 보안침해와 보안침해로 이어질 수 있는 보안사고에 대한 예방, 시정 및 완화 조치를 취하는 과정에 대한 정기적 감독
(1) 통보의 적절성 평가 시, 국가개인정보보호위원회는 개인정보관리자가 이 조를 준수 및 개인정보 취득에 대한 선의 존재 여부를 참작할 수 있다. (2) 국가개인정보보호위원회는 해당 통보가 공익이나 정보주체의 이익에 부합하지 아니한다고 합당하게 판단되는 경우 개인정보관리자의 통보를 면제할 수 있다. (3) 국가개인정보보호위원회는 중대한 침해에 관하여 범죄수사의 진행을 저해할 수 있는 경우 통보의 연기를 허가할 수 있다.
¹원문에 이와 같이 되어있으나 “that”으로 보아 번역하였다.
개인정보관리자는 역외 합의 및 협력에 의거하여 국내 또는 국외에서 처리를 위하여 제3자에게 이전된 정보를 포함하여 본인이 관리 또는 보관하는 개인정보에 대한 책임을 진다.
정부, 정부기관, 산하기관이 보유하는 민감한 개인정보 일체는 가급적 정보통신기술업계가 인정하는 가장 적합한 표준을 이용하거나 국가개인정보보호위원회가 권장하는 대로 보안을 유지한다. 각 정부기관이나 산하기관의 장(長)은 이 법에서 언급한 보안 요건을 준수할 책임이 있으며, 국가개인정보보호위원회는 해당 준수여부를 감독하고 최소 기준을 충족하는 데 필요한 조치를 권장할 수 있다.
국가개인정보보호위원회가 발행하는 지침을 통하여 허용하지 아니하는 한, 정부 직원은 정부 재산이나 온라인 시설을 통하여 민감한 개인정보에 접근하여서는 아니 된다. 다만, 해당 직원이 원(源) 기관장의 보안 허가를 받은 경우는 예외로 한다.
국가개인정보보호위원회가 발행하는 지침에 규정되지 아니하는 한, 기관이 보유하는 민감한 개인정보는 정부 소유물 밖의 장소에서 전송 또는 접근할 수 없다. 다만, 해당 전송이나 접근 요청이 다음 각 호의 지침에 따라 제출되어 기관장이 승인하는 경우는 예외로 한다. (1) 승인 또는 불허 기한 - 기관장에게 요청이 제출된 경우 해당 기관장은 제출 후 2영업일 안에 요청을 승인하거나 불허한다. 기관장의 조치가 없을 경우, 해당 요청은 불허된 것으로 간주한다. (2) 접속기록 제한 1,000건 - 요청이 승인되면, 기관장은 한 번에 가능한 접속기록을 1,000건 이하로 제한한다. (3) 암호화 - 이 항에 따라 승인되는 외부 접근의 목적을 위하여 민감한 개인정보를 저장⋅전송 또는 접근하는 데 사용되는 기술은 국가개인정보보호위원회에서 가장 안전하다고 인정하는 암호화 표준을 사용하여 확보한다. 이 항의 요건은 이 법 제정 후 6개월 이내에 시행된다.
1,000명 이상의 개인으로부터 민감한 개인정보를 요구 또는 접근할 수 있는 계약을 체결 시, 해당 기관은 계약자와 그 직원이 정부 직원 및 기관과 동일한 방식으로 직전 조항을 포함하여 그 밖의 이 법의 규정을 준수하며 국가개인정보보호위원회에 자체 개인정보처리시스템을 등록하도록 요구한다.
비인가 목적의 개인정보의 처리는 1 년 6개월에서 5년에 달하는 징역으로 처벌하며, 정보주체의 허락을 받지 아니하거나 이 법 또는 현행 법률에 따라 허용되지 아니한 목적으로 개인정보를 처리하는 자는 50만페소 이상 100만페소 이하의 벌금에 처한다. 비인가 목적의 민감한 개인정보의 처리는 2년에서 7년에 달하는 징역으로 처벌하며, 정보주체가 인가하지 아니하거나 이 법 또는 현행 법률에 따라 허용되지 아니한 목적으로 민감한 개인정보를 처리하는 자는 50 만페소 이상 200만페소 이하의 벌금에 처한다.
고의⋅불법적으로 정보 기밀성과 보안정보시스템을 침해하고 개인정보 및 민감한 개인정보가 저장되는 시스템에 침입하는 자는 1 년에서 3년에 달하는 징역 및 50 만페소 이상 200만페소 이하의 벌금에 처한다.
제20조제(f)항에 따라 국가개인정보보호위원회에 통보해야 할 의무 및 보안침해를 숙지한 후, 고의 또는 부작위로 해당 보안침해 사실을 은폐하는 자는 1년 6개월에서 5년에 달하는 징역 및 50만페소 이상 100만페소 이하의 벌금에 처한다.
개인정보나 민감한 개인정보에 관하여 부당하거나 허위인 정보를 악의적으로 공개하는 개인정보관리자⋅개인정보처리자 또는 그 임직원⋅대리인은 1년 6개월에서 5년에 달하는 징역 및 50만페소 이상 100만페소 이하의 벌금에 처한다.
제25조부터 제32조에 정의된 행위를 복합적 또는 연속적으로 한 자는 3년에서 6년에 달하는 징역 및 100만페소 이상 500만페소 이하의 벌금에 처한다.
위반자가 기업⋅합자회사 또는 법인인 경우 범죄 행위에 가담하였거나 중과실에 의하여 이를 허용한 담당 임원이 처벌 대상이 된다. 위반자가 법인인 경우, 법원은 이 법에 따른 권리를 중지 또는 철회할 수 있다. 위반자가 외국인인 경우, 해당 외국인은 이 법에서 정하는 처벌을 받은 후 추가 절차 없이 추방한다. 위반자가 공무원이고 이 법 제27조 및 제28조에 따라 처벌되는 행위로 유죄 판결을 받을 경우, 해당 위반자는 이 법에 규정되는 처벌에 더하여 영구 또는 임시 면직에 처한다.
전술한 행위로 인하여 100인 이상의 개인정보가 피해⋅영향을 받거나 관련이 되는 경우, 전술한 각 위반행위에 대하여 규정된 처벌의 최고형을 부과한다.
위반자 또는 위반에 대하여 책임이 있는 자가 직무를 이행함에 있어「필리핀 행정법」에서 정의하는 공무원인 경우, 형기의 2배에 해당하는 기간 동안 공직 자격이 박탈되는 부가형에 처한다.
피해 당사자에 대한 배상은 「민법」의 규정을 적용한다.
이 법의 규정을 해석함에 있어 의문이 있을 경우, 개인정보가 처리되는 개인의 권리와 이익을 염두에 두는 방식으로 자유롭게 해석한다.
이 법의 발효 후 90일 안에, 국가개인정보보호위원회는 이 법의 규정을 효과적으로 시행하기 위하여 규칙과 규정을 공포한다.
국가개인정보보호위원회는 이 법의 규정을 수행하는 활동에 대하여 매년 대통령과 의회에 보고하여야 한다. 국가개인정보보호위원회는 개인정보보호와 정보보호, 공정한 정보 권리 및 책임을 공중에 알리고 교육하는데 필요하거나 적절하다고 판단되는 모든 노력을 기울여야 한다.
중앙정부는 2,000만페소의 초기 예산을 국가개인정보보호위원회에 제공한다. 후속 연도 예산지출은 「일반 세출법」에 포함된다. 또한, 동 위원회는 이 법의 시행 후 5년 동안 중앙정부에서 1,000 만페소를 받는다.
이 법의 시행으로 영향을 받는 기존 업계와 기업, 사무소에게는 이 법의 요건 준수를 위하여 시행규칙 발효로부터 1년의 유예기간 또는 국가개인정보보호위원회가 정하는 그 밖의 기간이 주어진다. 이 법이 정식으로 발효될 때까지 정보통신기술부가 설치되지 아니할 경우, 국가정보보호위원회는 대통령실에 소속된다.
이 법의 조항 또는 일부가 무효 또는 위헌으로 결정되어도, 이에 영향을 받지 아니하는 이 법의 나머지 부분 또는 조항은 온전히 효력이 있는 채로 존속한다.
「2007년 인간안보법」으로 알려진 공화국법 제9372조의 제7조 규정은 이로써 수정한다. 이 법에 별도로 명기하지 아니하는 한, 이 법에 저촉되는 그 밖의 법, 법령, 명령, 행정명령, 포고 및 행정규칙 또는 그 일부는 이로써 무효가 되거나 부합하게 개정한다.
이 법은 전국에 발행되는 최소 2개의 신문에 공포된 날로부터 15일 후 효력이 발생한다.