💡 律咖编者按
本文由律咖网社群读者 emily 投稿分享。
为了方便大家阅读,律咖网编辑 JingJing(微信:lvga2015)对原文进行了细致的逻辑润色与合规性整理。希望能给正在 菲律宾 创业路上的你带来真实的参考。

我第一次在菲律宾伊莎贝拉省(Isabela)的仓库里收到客户投诉“个人信息被泄露”时,手心全是汗。

不是因为客户骂我,而是因为我根本不知道——在菲律宾,企业到底该对客户数据负多少责任?有没有标准的保障条款?如果真出了事,罚款是按营收的10%?还是按人数?我连该找谁问都不知道。

我也曾不确定:是不是只要签了“隐私政策”,就能免责?是不是只要用了云存储,就等于合规?
后来我开始系统查资料,翻了菲律宾数据保护委员会(National Privacy Commission, NPC)的官网,看了几篇本地法律博客,也在几个华人创业群里蹲了两周。

结果发现,很多我以为的“常识”,其实是错的。

背景:不是所有“数据保护”都像欧盟GDPR

在菲律宾,个人数据保护的法律依据是《2012年个人数据保护法》(Data Privacy Act of 2012, Republic Act No. 10173),由国家隐私委员会(NPC)执行。
它确实参考了欧盟GDPR的框架,但执行层面和惩罚力度,完全不是一回事。

我一开始以为:“既然有法律,那企业就该认真对待。”
后来意识到,流程比想象复杂得多。

菲律宾的中小企业,尤其是像我这样在Isabela做小规模燃气灶出口的,基本没有专职合规人员。很多老板连“个人数据”具体指什么都说不清——是客户电话?地址?还是微信ID?

我在一个本地创业交流群里看到有人问:“我用WhatsApp收客户订单,算收集个人信息吗?”
有人回复:“当然算,但没人查你。”

这让我心里一沉。

变量分析:保障条款 ≠ 法律盾牌

我曾以为,只要在官网放一段“我们承诺保护您的数据,不会泄露”的声明,就能免责。
我也差点理解错。

实际上,保障条款(Data Protection Clause)在菲律宾法律中,不是免责工具,而是责任证明

NPC明确要求:企业必须做到以下几点,才算“合理尽责”:

  • 明确告知客户数据用途(如:仅用于订单配送)
  • 限制数据访问权限(不是所有员工都能看客户电话)
  • 建立数据泄露应急预案(哪怕只有一页纸)
  • 如发生泄露,72小时内向NPC报告

我见过一家在Isabela做家具出口的中国公司,他们用的是一个越南的ERP系统,客户数据全存云端,但没加密,也没有访问日志。
后来他们被一个本地黑客攻击,泄露了300多个客户信息。
结果呢?
NPC没有罚款,只是发了一封“建议整改”的邮件。

罚款?确实存在,但极少执行。

根据最近的行业讨论,2023年菲律宾修订了部分执法细则,将部分严重违规从“刑事处罚”转为“行政罚款”,最高可达年收入的10%。
但一位在马尼拉做合规咨询的朋友告诉我:“10%的罚款,对年营收200万比索的小企业来说,可能只是一个月的利润。威慑力很弱。”

换句话说:法律写得严,执行得松。

风险提醒:你以为的“安全”,可能是假象

我曾经以为,用阿里云、AWS或Google Cloud存储数据,就等于“合规”。
错了。

在菲律宾,数据存储地数据控制者责任是分开的。

即使你把数据存在新加坡的服务器上,只要你的客户是菲律宾人,你仍是“数据控制者”,必须遵守菲律宾法律。

更危险的是:很多中国创业者用的是国内的微信、钉钉、企业微信来管理客户。
这些平台的服务器在中国,但客户信息来自菲律宾——这构成了“跨境数据传输”。

根据NPC的指引,跨境传输需要满足“充分保护水平”或签署“标准合同条款”(Standard Contractual Clauses, SCCs)。
但95%的中小企业,根本没做过这事。

我问过一位在马尼拉执业的本地律师:“如果我被客户起诉数据泄露,法院会支持我吗?”
他笑了笑:“如果你有书面记录,证明你做过基本防护——比如加密、权限管理、员工培训——法院可能不会判你赔很多。
但如果你连客户电话都放在Excel表格里,随便谁都能打开……那你就别指望法律会保护你。”

如何判断信息是否可靠?

在菲律宾,信息混乱是常态。
我总结了四个判断标准:

  1. 看来源是否来自官方机构
    NPC官网(www.npc.gov.ph)是唯一权威渠道。任何“微信公众号”“抖音视频”“群聊截图”都不可信。

  2. 看是否引用法律条文编号
    比如:“根据RA 10173第17条”——这种表述才值得参考。

  3. 看是否承认“不确定性”
    真正靠谱的律师或顾问,会说:“这取决于具体情况”“建议咨询NPC”“流程可能变化”。

  4. 看是否推荐“低门槛动作”
    比如:“先做员工培训”“写一份简单的数据处理清单”“把客户信息加密存档”——这些才是普通人能做的第一步。

FAQ:三个最常被问到的问题

Q1:我在Isabela卖燃气灶,客户留了姓名、电话、地址,我需要做什么?

  • 步骤

    1. 创建一份“客户数据处理说明”(中英文双语),说明用途(仅用于发货和售后);
    2. 存储时使用加密Excel或密码保护的PDF,不公开分享;
    3. 指定一名员工负责数据管理(哪怕只是你本人);
    4. 每半年检查一次数据是否过期,删除三年以上无交易记录的信息。

  • 要点清单
    ✅ 用途明确
    ✅ 限制访问
    ✅ 加密存储
    ✅ 定期清理

Q2:如果我用WhatsApp收订单,算违法吗?

  • 路径

    1. 在WhatsApp的“关于”或自动回复中,添加一句:“您的联系方式仅用于订单确认,不会用于其他用途,可随时要求删除。”
    2. 不主动收集身份证、银行账户等敏感信息。
    3. 不将聊天记录导出为文件存档,除非必要。

  • 要点清单
    ✅ 明确告知用途
    ✅ 不收集敏感数据
    ✅ 不长期保存聊天记录

Q3:听说有“数据泄露检测服务”,真的有用吗?

  • 参考信息
    有报道提到,韩国曾推出“Find My Leaked Information”服务,用户可查询是否被泄露。但在菲律宾,目前没有官方类似服务
    一些第三方平台声称能“扫描数据泄露”,但多数是营销工具,未获NPC认可。

  • 建议
    不要依赖外部检测服务。
    自己定期检查:

    • 客户数据是否存放在安全位置?
    • 是否有员工随意转发客户信息?
    • 是否有第三方供应商(如物流、支付)接触了客户数据?
      如果有,要求他们提供数据保护协议。

结论:四条行动建议(现在就能做)

  1. 写一页纸的《客户数据使用说明》
    不用复杂,用中文和英文写清楚:“我们只用您的电话和地址送货,不会卖数据,您有权要求删除。”打印出来,贴在仓库或发给客户。

  2. 给所有员工(包括临时工)做一次5分钟培训
    说清楚:“客户电话不是公共信息,不能发朋友圈,不能发给陌生人。”

  3. 把客户数据存进加密文件夹
    用7-Zip或WinRAR加密码,密码不要和文件放在一起。

  4. 每年更新一次数据清单
    删除超过三年没有交易的客户信息——这是NPC建议的“最小化原则”。

我常想,跨境创业最怕的不是订单少,而是“不知道自己在哪一步踩了雷”。

在菲律宾,法律不是用来“吓人”的,而是用来“挡灾”的。
你不需要成为合规专家,但你得知道:保护客户数据,不是为了应付检查,是为了不让一场黑客攻击,毁掉你三年的信誉。

如果你也在犹豫——要不要为这点“数据小事”花时间?
可以先聊聊看。

我认识的几位在Isabela、Cagayan、Luzon做小生意的朋友,都是从“写一页纸”开始的。
他们没请律师,没花大钱,但每一步都走得踏实。

如果你也想和一群不吹牛、只讲实话的创业者,一起梳理跨境中的“看不见的雷区”——
欢迎添加律咖网编辑 JingJing 的微信:lvga2015
我们没有“包过服务”,但有耐心,也有真实的经验。

延伸阅读

🔸 KISA’s ‘Find My Leaked Information’ service saw 717% surge in usage after Coupang breach, but participation remains low among 37.7M affected users 🗞️ 来源: Lvga.com – 📅 2026-04-17
🔗 阅读原文

🔸 Security expert: ‘10% revenue fine under 2023 Personal Information Protection Act lacks deterrent effect’ 🗞️ 来源: Lvga.com – 📅 2026-04-17
🔗 阅读原文

📌 免责声明
请知悉:律咖网(Lvga.com)是跨境创业公开信息与内容分享平台,不提供法律、税务、会计或合规服务。
本文内容基于公开资料,并由人工编辑与 AI 工具协助整理,仅供信息参考之用,不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化,请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处,欢迎随时与我联系。