Mga Gabay

Data Privacy Act at artificial intelligence: ano ang dapat malaman

Paano nalalapat ang Data Privacy Act of 2012 (RA 10173) kapag gumagamit ka ng AI, at ano ang dapat malaman.

Ni aiReview · 2026-05-01 · 3 minutong basahin

Kapag tinipa mo ang pangalan, numero ng telepono, medikal na rekord o datos ng customer sa isang AI tool, nagpoproseso ka ng personal na datos — at doon pumapasok ang Data Privacy Act. Ito ang batas na talagang umiiral sa Pilipinas, kaiba sa gabay sa AI na boluntaryo pa.

Ang umiiral na balangkas

Ang Pilipinas ay hindi miyembro ng EU, kaya hindi nalalapat dito ang EU AI Act. Ang balangkas sa Pilipinas ay: (a) umiiral na batas sa proteksyon ng datos — ang Data Privacy Act of 2012 (RA 10173), na ipinapatupad ng National Privacy Commission (NPC), na may 72-oras na breach notification; noong 19 Disyembre 2024 inilabas ng NPC ang Advisory No. 2024-04 na nagkukumpirma na sakop ng DPA ang mga AI system na nagpoproseso ng personal na datos sa bawat yugto ng lifecycle nito; at (b) para sa AI mismo, wala pang naipapasang binding na batas — mayroong National AI Strategy (NAIS-PH) na inaprubahan noong Mayo 2025 (pinangunahan ng DOST), ang NAICRI research body na inilunsad 26 Pebrero 2026, at mga nakabinbing panukala (AIRA, AI Bill of Rights) na wala pang naipapasa. Huwag kailanman isulat na «walang batas sa AI o datos ang Pilipinas», at huwag i-frame na parang nalalapat ang isang rehimeng tulad ng EU AI Act. Ang regulator sa datos ay ang NPC.

Saan pinoproseso ang datos mo

Nasaan ang datos ko? Kapag nag-aalok ang isang US provider ng region na «sa Pilipinas», nire-resolba nito ang data residency (kung saan iniimbak ang datos) ngunit hindi tiyak ang soberanya: sa pamamagitan ng US CLOUD Act, maaaring hingin ng pamahalaan ng US ang datos mula sa mga kumpanyang kontrolado ng US kahit saan iyon iniimbak. Mahalaga: walang hyperscaler na may buong, generally available (GA) na cloud Region sa loob ng Pilipinas ngayong Hunyo 2026 — ang AWS Manila ay Local Zone lamang (hindi buong Region), at pinaglilingkuran ng Azure at Google Cloud ang Pilipinas mula sa Singapore. Kaya kadalasang lumalabas ng bansa ang datos ng mga Pilipinong user. Ang landas para sa mas mahigpit na kontrol: i-self-host, patakbuhin nang lokal sa makina, o gumamit ng provider sa ilalim ng hurisdiksyong panrehiyon o Europeo (halimbawa Mistral). Walang general na data-localization mandate ang DPA.

Praktikal na checklist

Bago maglagay ng anuman sa isang AI tool: itanong kung personal na datos ito; huwag i-paste ang sensitibong datos sa pampublikong chatbot; tingnan kung ginagamit ng tool ang input mo para sa training; at para sa organisasyon, alamin kung saan iniimbak ang datos. Tandaan ang 72-oras na breach notification sa ilalim ng DPA.

Pagpapanatili ng datos sa iyong kontrol

Kung gusto mong hindi lang sumubok ng isang AI kundi pag-isahin ang lahat sa isang lugar (chat, automation at mga app), may mga platform tulad ng osFoundry — isang agentic AI platform kung saan ginagamit mo ang sarili mong modelo (BYO) at maaari mong patakbuhin ito sa sarili mong account kung nais mo.

Basahin din

Ito ay pangkalahatang impormasyon, hindi legal o buwis na payo. Nagbabago ang mga patakaran, presyo at deadline; mangyaring tingnan ang mga opisyal na source.

Mga madalas itanong

Lumalabag ba ako sa DPA kung i-paste ko ang datos ng customer sa ChatGPT?

Maaaring nagpoproseso ka ng personal na datos nang walang sapat na pahintulot o proteksyon. Para sa organisasyon, peligroso ito; iwasan ang paglalagay ng personal na datos ng customer sa pampublikong AI tool.

Sakop ba ng DPA ang mga AI system?

Oo. Kinukumpirma ng NPC Advisory No. 2024-04 (19 Disyembre 2024) na sakop ng DPA ang mga AI system na nagpoproseso ng personal na datos sa bawat yugto ng lifecycle nito.

Sino ang nagpapatupad ng DPA?

Ang National Privacy Commission (NPC).

Batas ba sa AI ang DPA?

Hindi. Ang DPA ay batas sa proteksyon ng personal na datos. Wala pang binding na batas sa AI mismo sa Pilipinas — strategy at gabay pa lamang.