域外观察 | 日本修订《个人信息保护法》,呈现六大亮点
一、 日本《个人信息保护法》背景概述
2003年5月,为回应国际经济合作与发展组织(OECD)提出的《隐私保护和个人数据跨境流通的指南》,并应对当时日本国内频发的互联网、信用卡等个人信息泄露事件,日本颁布《个人信息保护法》,成为亚太地区较早制定个人信息保护相关法律的国家。日本《个人信息保护法》以个人信息的有效利用及其保护为对象,确立了个人信息保护的基本理念和原则,明确了国家和地方公共团体的职责以及处理个人信息的主体应履行的义务,目的在于协调个人信息的有效利用和个人权益保护之间的平衡,涵盖总则(目的和基本理念)、国家及地方公共团体的责任和义务、保护个人信息的措施、个人信息处理者的义务、个人信息保护委员会的职责、杂则(适用范围)、罚则(违法责任)等内容。
自《个人信息保护法》颁布后,随着信息通信技术的不断发展,对个人信息利用的需求也在不断增加,社会环境、国际环境也发生了变化,原有规则不足以应对诸多挑战。同时,该法在附则中规定,法律施行后,政府每三年就应当对个人信息保护相关的国际动向,及伴随信息通信技术的发展而出现、发展的,与个人信息使用相关的新产业进行考察;在此基础上结合法律的实施情况,在必要时,制定新的措施。这条规定被称为“三年一改”规定。基于该规定及社会现实需要,日本《个人信息保护法》历经数次修订,最近一次的修订案已于2023年4月正式实施。
二、 日本《个人信息保护法》六大修订亮点
(一)吸收整合原多项个人信息保护规定,立法统一化更加明显
此次日本《个人信息保护法》修订,直观上表现为法律条文扩充,从88条增至185条。一部分原因是吸收整合了原来的个人信息保护相关法律文件,包括原《个人信息保护法》《行政机关个人信息保护法》和《独立行政法人信息保护法》,及地方公共团体遵循的《个人信息保护条例》。法律文件的整合使多项有关个人信息的定义得以统一化,如第一章对“个人信息”“个人识别符号”“敏感个人信息”“个人信息本人”“假名化信息”“匿名化信息”“个人相关信息”“行政机关”“独立行政法人”“地方独立行政法人”等概念展开阐释,有助于个人信息保护工作讨论语境的一致性。
(二)个人信息保护监管机构更为独立,单头管辖走向纵深
从各国的政府监管实践来看,独立监管机构已经成为众多领域中政府监管的组织模式,个人信息保护监管亦不例外。独立监管机构可以满足个人信息保护监管的独立性要求,还可以满足个人信息保护监管的权威性要求。日本个人信息保护法律文件的整合,同样带来个人信息保护监管机构的进一步独立。此前,日本个人信息保护监管机构呈现一定程度的分散化特征,总务省、个人信息保护委员会和地方公共团体均具备监管职责。修订后的《个人信息保护法》在第六章强化了个人信息保护委员会的独立性和权威性,进一步明确了个人信息保护委员会的设置、地位、组成、任期、身份保障、罢免、任命等规定。
(三)规范政府个人信息处理行为,要求政府建立“个人信息档案簿”
修订后的《个人信息保护法》规定,行政机关负责人应当对其持有的个人信息档案编制并发布“个人信息档案簿”,需要说明机构名称、个人信息文件使用目的、记录在个人信息文件中的数据主体范围、个人信息文件中记录的个人信息收集方法、记录信息中包含敏感个人信息的相关事宜等内容。但若将个人信息文件记录于个人信息档案簿时,可能会影响公共事务执行的,只需记录部分事项或不予记录。
(四)匿名加工信息制度更加完善,防止匿名化信息被复原
“匿名加工信息”是指通过对个人信息进行处理,使特定个人不仅无法通过自身识别,而且通过与其他信息进行比较亦无法识别特定个人的信息。修订后的《个人信息保护法》进一步要求个人信息处理者在制作匿名加工信息时,应严格按照“不可用于识别特定个人”及“不可复原”的标准进行加工。在个人信息匿名化后,应当采取措施防止匿名化过程中删除的记述或识别符号等泄露导致的风险。而个人信息处理者需要将匿名化信息提供给第三方的,应公布该匿名信息所含个人相关信息中的项目,并公布提供方式。此外,个人信息处理者不应将匿名加工信息与其他信息进行比照。
(五)进一步细化医疗、学术研究等特殊领域个人信息处理规则
为统一医疗领域、学术领域的个人信息保护相关规定,修订后的《个人信息保护法》明确,国家公立医院及大学处理个人信息时,原则上适用与民办医院、大学同样的规定,不再分别规范。此外,修订后的《个人信息保护法》对于学术研究相关规定,不再一律进行排除式的制度设计,而是作为相关义务的例外情形逐个列举,规则更为精细化。如,在第二十条关于个人信息处理超出原有目的时需征得本人同意的规定中,明确学术研究机构以学术研究为目的处理个人信息,无需经过本人同意。又如,在第二十七条有关个人信息向第三方提供须经本人同意的规定中,明确若学术研究机构向第三方提供个人信息是为了学术研究成果的发表等目的,则无需经过本人同意。
(六)区分不同主体设定罚则,处罚措施更为严格
根据主体类型的不同,《个人信息保护法》规定了相应的罚则。在行政机关层面,若行政机关负责处理个人信息的行政人员,存在违规行为的,可能被处以一年或两年以下有期徒刑或1,000,000日元及以下罚款;在经营者层面,若个人信息处理者或其雇员将个人信息用于不正当利益目的,或者使其被盗用的,可能受到一年以下有期徒刑,或500,000日元及以下罚款;若违规提供或盗用相关个人信息等,可能被处以一年以下拘禁,或500,000日元及以下的罚款。值得注意的是,若个人信息处理者存在违规行为,个人信息保护委员会可先建议其停止违规行为或采取纠正措施,但若其仍违反命令,将会面临最长一年的有期徒刑,或被处以1,000,000日元以下的罚款。
三、评述
日本原有的法律制度是在继承和学习中华法系的基础上发展而来,到了明治维新以后,又向当时的德国学习,发展成为了大陆法系国家。二战之后,美国法成了日本移植和学习的主要对象,日本由原来属于大陆法系演变成为兼有大陆法系与英美法系特色的混合法系。另外,日本固有的某些制度也并存并获得发展。这三者结合,构成了日本当代法律制度的基本特点。因此,日本的个人信息保护立法进程一直受到国际社会的影响,同时又保持了自己的特色,即形式上参考了欧盟的保护模式,但实质上采纳了美国的保护内核。
参考文献:
1.张红.大数据时代日本个人信息保护法探究[J].财经法学,2020,No.33(03):150-160.DOI:10.16823/j.cnki.10-1281/d.2020.03.012.
2. 黄柏.日本《个人信息保护法》的最新修改及动向[J].日本法研究,2021,7(00):99-114.
3.张涛.个人信息保护中独立监管机构的组织法构造[J].河北法学,2022,40(07):91-118.
域外观察 | GDPR赋予了数据主体算法解释权吗?月度热点 | 国际ICT立法跟踪5月热点域外观察 | 新西兰信息专员办公室发布《生成式人工智能指南》要求AI企业遵守《隐私法》域外观察 | 欧盟委员会根据《数字服务法》指定第一批超大型在线平台和搜索引擎域外观察 | OECD发布《人工智能语言模型》报告域外观察 | 欧洲议会关于“通用人工智能”的观察动态观察 | 欧盟成员国GDPR重点执法案例汇编(2023.04)动态观察 | 主要国家和地区AIGC监管动态汇总月度热点 | 国际ICT立法跟踪4月热点中心活动 | 网络空间治理“三人谈”:“吃瓜”要有度 底线不能丢域外观察 | FCC垃圾短信和骚扰电话治理规则简析中心研究 | 数据法案例(一)—Meta爱尔兰案(个性化广告的合法性基础之辩)域外观察 | 美国智库发布《全球云竞争概述》认为中国全球云竞争存在优势域外观察 | 欧盟稳步推进《媒体自由法》,将强化对媒体自由的保护域外观察 | 美-荷-日半导体出口管制协议“可窥一斑”中心研究|从最高检发布的典型案例看如何保护生物识别信息域外观察|美国发布《促进数据共享与分析中的隐私保护国家战略》域外观察|欧盟委员会发布2023-2024年数字欧洲工作计划动态观察|欧盟成员国GDPR重点执法案例汇编(2023.03)月度热点 | 国际ICT立法跟踪3月热点域外观察|ChatGPT遭遇数据泄露,人工智能安全如何保证?域外观察|国外隐私增强技术监管和实践域外观察 | 欧洲数字身份提案最新进展专家解读|推进依法行政 护航数字经济高质量发展域外观察|美国商会发布《人工智能委员会报告》专家解读|新时代网络法治建设稳步推进 制度体系持续完善专家解读|《新时代的中国网络法治建设》彰显网络法治建设是全面依法治国的题中应有之义月度热点|国际ICT立法跟踪2月热点
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用