域外观察 | 聚焦四大问题,日本更新《个人信息保护法》指南问答
全文共计约3100字,细读时间约10分钟
文| 杨春白雪 信通院互联网法律研究中心研究员
2021年9月10日,日本个人信息保护委员会(PPC)宣布更新关于《个人信息保护法》指南的问答(Q&A),新增了人脸识别信息使用、个人数据泄露报告、假名化处理信息和个人参考信息、个人数据跨境传输等相关具体规定。这些具体规定从总体上扩大了个人信息的保护范围,明确了人脸识别信息的保护要求,增加了数据处理者泄露报告和通知个人的法律义务,解析了假名化处理信息和个人参考信息的概念和用法,加强了个人数据跨境传输中的安全监管。
由于修订后的《个人信息保护法》预计将于2022年4月1日生效,更新后的问答现在也处于尚未生效的状态。问答的这次更新旨在与《个人信息保护法》及其指南之前的修订相配套,增强法案在具体实践中的可操作性,防范化解大数据时代进行个人信息保护的潜在风险,具体有以下四大焦点问题值得关注。
数据处理者采集人脸识别信息需要遵守修订后的《个人信息保护法》规定进行适当处理。商场等公共场所出于预防犯罪目的采集顾客人脸识别信息的,应当在入口或摄像头安装位置,提前公告或显著标识。数据处理者应当明确人脸识别信息的数据内容、使用目的、联系方式等,并根据达到使用目的所需的最小范围设定数据保留期限。
此外,数据处理者还应当根据最小必要原则,向公共人脸识别系统注册,确定责任人并采取安全措施,保障注册的必要性和准确性。经过注册后,符合预防犯罪目的的人脸识别信息可以在合理范围内共享使用,人脸识别系统中的相关信息会不时更新以保证准确性。数据处理者如果想将出于预防犯罪目的采集的人脸识别信息用于商业营销目的,应当事前取得个人同意。
与现行法律下的自愿报告制度完全不同,修订后的《个人信息保护法》建立了强制性数据泄露报告制度。问答详细地列举了在不同具体场景下,是否需要根据修订后的《个人信息保护法》向PPC报告数据泄露事件,以及在个人数据权益可能受到损害的情形下通知个人的不同形式。
根据修订后的法案及其指南,出现或可能出现以下四种数据泄露事件时,数据处理者应当承担向PPC的数据泄露报告义务。一是涉及敏感个人信息的数据泄露,二是具有财产损失风险的数据泄露,三是可能出于不正当目的而导致的数据泄露(例如网络攻击),四是超过1000名个人的数据泄露。数据处理者向PPC的报告分为初步报告和最终报告两个阶段,有不同的时限要求。初步报告必须在确认潜在数据泄露发生后立即进行,最终报告必须在30天内完成(除第三种情形外,可以延长至60天)。
此外,数据处理者应当在任何数据泄露事件发生后采取必要措施,通过内部沟通和强化保护防止事态扩大,进一步调查数据泄露的事实和原因。向PPC的数据泄露报告中应当包含九方面的详细信息:一是数据泄露事件概况,二是受影响或可能受影响的个人信息类型,三是受影响或可能受影响的个人数量,四是数据泄露原因,五是数据泄露导致的二次损害风险及其性质,六是向受影响个人的通知情况,七是数据泄露事件是否被公开以及公开原因,八是为防止数据泄露再次发生而采取的措施,九是可作为有用参考的其他事项。
一是“假名化处理信息”概念。问答详细解答了“假名化处理信息”与“匿名化处理信息”两者之间的区别。“假名化处理信息”是一种与个人有关的信息,除非与其他信息进行比对,否则无法识别出特定个人。如果数据处理者处理被视为假名信息的个人数据,他们将不需要遵守《个人信息保护法》下的某些义务,例如回应披露请求或停止使用已收集的个人数据等。
法案新增“假名化处理信息”这一概念背后的用意有二:一方面,假名化处理信息仅适用于数据处理者内部,鼓励数据处理者将假名化处理信息用于内部目的,包括业务分析、计算模型开发等;另一方面,经过假名化处理的个人信息可以加以保留而不是删除,不再用于个人信息原始的采集目的,为未来潜在的统计分析用途做数据储备,兼顾安全与发展。
值得注意的是,法案明确要求,同时或分别处理“假名化处理信息”和“已删除个人信息”的数据处理者,具有对个人信息提供增强型安全性保护的特定义务,具体要求有以下七方面内容。一是禁止通过可识别特定个人的方式将假名化处理信息与其他数据(例如已删除的个人信息)进行核对;二是对假名化处理信息的使用要严格适用目的限制原则和必要性原则;三是禁止使用假名化处理信息中包含的任何联系信息,例如通过电话、邮件、电子邮件或其他方式联系到特定个人;四是禁止将假名化处理信息向第三方(法案第23条第5款规定的“受委托”的数据处理者除外)进行任何形式的转让;五是如果假名化处理信息被收购或有意改变其使用目的,数据处理者具有发布通知的披露义务;六是在数据泄漏情形下,如果已删除的个人信息没有收到数据泄漏影响,那么无须对假名化处理信息履行泄漏通知义务。七是个人对于假名化处理信息仅保留投诉和获得及时适当回应的权利。
二是“个人参考信息”概念。尽管对于cookie政策仍然没有明确的具体要求,指南指出,通过cookie获得的个人浏览历史、个人位置数据、购买历史和偏好等,均属于个人参考信息,除非该类信息明确属于个人信息、假名处理信息或匿名处理信息。仅凭个人参考信息无法识别到特定个人,因此并不构成个人信息。但是,数据处理者如果将个人参考信息转移给拥有额外相关数据的数据处理者,两相对照可以识别到特定个人的情形下,个人参考信息可能被纳入个人信息范畴。指引问答指出,在特定情形下数据处理者与第三方共享个人参考信息前,需要确认个人是否同意第三方接收其信息、取得同意的方式等。
修订后的《个人信息保护法》从两方面增加了向日本境外第三方传输数据的限制要求。一方面,在个人同意的情况下进行数据跨境传输时,数据输出方应当向数据主体提供以下信息:一是数据输入的国家名称;二是相关国家的个人信息保护制度,并以适当、合理的方式予以确认;三是数据输入方应当采取的安全保障措施。与此同时,数据输出方应当采取的必要措施包括以下三项:一是定期确认数据输入方处理个人信息的状态,以及数据输入方所在国家是否存在可能影响个人信息处理状态的情况;二是在正确处理个人信息过程中出现问题时应采取的措施;三是数据输入方为确保个人信息的持续正确处理而采取的安全保障措施。
另一方面,采取数据传输合同的方式进行数据跨境传输时,合同必须采用与《个人信息保护法》等效的数据安全保护标准和必要措施,持续确保数据输入方对个人数据的正确适当处理。具体包括以下三项,一是定期检查数据输入方设立的与《个人信息保护法》等效的安全保护措施,以及措施的实施情况和内容,并通过适当合理方法评估可能影响此类措施实施的外国法律情况;二是采取必要和适当行动及时补救发现的任何障碍;三是如果数据输入方继续执行《个人信息保护法》等效措施变得困难,应当暂停向其传输所有个人信息。
同时,数据处理者在收到个人提出的数据请求时,必须立即向个人提供以下七方面的必要安全保障信息:一是数据输入方实施的个人信息保护制度,二是数据输入方将实施的等效安全保护措施的概要,三是数据输入方个人信息处理系统的确认频率和方法,四是数据输入方所在的国家名称,五是可能影响等效安全保护措施实施的国外制度概况,六是实施等效安全保护措施可能存在的障碍,七是为应对第六项中提到的障碍而采取的必要措施。
总体而言,修订后的《个人信息保护法》及其框架更加接近于欧盟GDPR的强监管架构,体现出日本迎合大数据时代技术创新要求、强化个人信息保护监管力度、赶超全球数据安全立法进度的决心。
往期精彩回顾
中心解读|《个人信息保护法》正式出台——中国走出第三条路(后附历次审议稿修改对照表)中心解读|《个人信息保护法》与GDPR的个人信息权利对比
中心研究|十问十答看懂我国个人信息去标识化规则中心研究 | 透视“数字守门人”制度:对大型平台的事前监管机制
中心研究|美国打压我国科技公司的政策工具梳理
中心研究|关于APP与关联方共享个人信息问题研究
中心会议|《个人信息保护法(草案二次审议稿)》研讨会顺利召开中心研究|商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究|数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察|数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究|数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译|新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理中心研究│个人信息保护中的“用户同意”规则:问题与解决中心研究│人工智能发展与个人隐私保护问题全全