其他
【研究报告】数据跨境治理国别规则(4):日本
【代序】
当前数字经济蓬勃发展,特别在全球化浪潮下,世界各国都面对着一系列全新的治理挑战。无可否认,海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件,时至今日,数据要素对于经济和社会发展变革有巨大驱动作用,数据作为基础性战略资源的论断已然成为国际社会的普遍共识,全球范围内的数据跨境流转利用成为各方高度关注的命题。
近年来,数据跨境流动的安全问题日益凸显。不可否认,数据治理问题本身具有非常复杂、宽广的视域,而系统检视这一问题、寻求应对方案的逻辑主线应当是新一代网络信息技术的发展态势以及与数据处理应用相伴随的机遇和风险类型考察。就此应当指出的是,一方面,围绕各类数据的利用,在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程当中,人们不断拥抱更多的发展机遇;另一方面,围绕各类数据的保护,民众在快速数字化的环境中也持续面对来源更为广泛、程度更为深刻的安全风险。
主要的域外国家和发达地区高度关注在数字贸易领域建立国际规则的问题,对此已在其推动的多个经贸谈判中有所涉及,这也成为各个国家有关数据安全制度政策域外延伸的重要组成部分,构成企业跨国运营过程中需要持续跟进的核心因素。团队汇聚资深的理论和实务专家完成《数据跨境治理国别规则》研究报告,发布相关成果并会形成系列更新,以飨读者!(特别鸣谢北京大成律师事务所数字业务中心的协助支持。)
——吴沈括,北京师范大学法学院博士生导师、中国互联网协会研究中心副主任。
1.日本数据治理的规范框架日本对内以《网络安全基本法》《个人信息保护法》等法规作为数据治理的基础,对外则积极参与双边、多边合作机制,大力提倡“可信赖的数据自由流动”(DFFT)理念,促进在互信的基础上实现数据跨境自由流动。1.1网络安全规范 (1)《网络安全基本法》(Basic Act on Cybersecurity)(以下简称“BAC”)于2014年11月12日实施。该法案首次对“网络安全”一词进行法律界定,并明确规定了日本政府、地方当局、关键信息基础设施提供商、网络相关企业经营者、教育/研究机构等的相关职责,以加强日本政府与民间在网络安全领域的协调和运用,更好应对网络攻击。(2)《数字社会形成基本法》(Basic Act on Forming a Digital Society)于2021年9月1日实施。该法案取代了2001年的《高度信息通信网络社会形成基本法》,规定了“数字社会”的定义和基本理念,明确了国家、地方政府和经营者的责任、制定政策的基本方针、重点政策及规划。(3)《数字社会形成整备法》(Act on the Arrangement of Related Laws for the Formation of a Digital Society)于2021年5月12日通过,部分修订尚未生效。该法案将《行政机关个人信息保护法》和《独立行政法人等个人信息保护法》与《个人信息保护法》整合为一部法律,由《个人信息保护法》对公私部门的个人信息处理行为进行统一规范;修改《关于在行政程序中使用号码识别特定个人的法律》(简称“《个人编号法》”),通过扩大使用个人编号的信息共享范围,简化了行政程序;通过修订《民法》《抵押证券法》《农业合作社法》等48项法律,取消行政和民事程序中的印章要求,实现了纸质程序和交易的数字化。1.2个人信息保护规范(1)《个人信息保护法》(Act on the Protection of Personal Information)(以下简称“APPI”)于2005年4月1日实施,后经2015年、2020年、2021年三次重大修订。现行APPI共八章,规定了国家和地方政府保护个人信息的责任和基本政策、个人信息处理企业、行政机关、独立行政法人等处理个人信息的义务,同时设置了个人信息保护委员会(以下简称“PPC”)对以上主体的行为进行统一监管。1.3区域协定(1)《亚太经合组织跨境隐私规则体系》(APEC Cross-Border Privacy Rules System)(以下简称“CBPR”)于2011年11月被APEC领导人批准。CBPR通过由政府支持、第三方验证机构评估的数据隐私认证以及跨境隐私执法安排(CPEA),确保参加CBPR体系的组织实施符合CBPR要求的隐私政策和做法。目前,包括日本在内的八个APEC成员经济体已将其法律与APEC隐私框架保持一致。(2)《全面与进步跨太平洋伙伴关系协定》(以下简称“CPTPP”)于2018年12月30日正式生效。CPTPP在第十四章电子商务章节中对允许数据跨境流动、防止数据本地化、不得征税问题进行了规定,促进了数据在缔约方之间的高度自由流动。(3)《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership)(以下简称“RCEP”)于2022年1月1日正式生效。RCEP借鉴CPTPP规则,在第八章的服务贸易章节和第十二章的电子商务章节对数据跨境流动作出了规定。RCEP规则虽然不具有强制效力,但兼顾发展中经济体和发达经济体的利益,最大限度实现同一框架下的平等数据跨境制度体系,以促进缔约方之间的数字贸易。2.日本数据跨境的政策法规以下主要的法规构成了日本现行数据跨境治理的基本法律制度架构:2.1《个人信息保护法》(Act on the Protection of Personal Information)(以下简称“APPI”)APPI原则上不允许个人信息的跨境传输,除非获得信息主体的同意,或采取其他三种合规路径。现行APPI规定个人信息运营商向国外第三方提供个人信息数据时,除征得本人同意外,还需向本人提供接收国个人信息保护制度,且第三方需要采取与日本个人信息保护措施同等的保护措施。日本PPC具有监督、要求第三方提供报告、实地检查等权力。此外,APPI目前统一适用于日本公共和私营部门,并对学术领域的排除适用进行了细化,为学术研究机构等公共部门进行欧盟GDPR充分性认定提供了制度基础。2.2《亚太经合组织跨境隐私规则体系》(APEC Cross-Border Privacy Rules System)(以下简称“CBPR”) CBPR体系包含自评估、合规审查、承认或接受跨境规则、争端解决和执行四部分的内容。在CBPR体系下,APEC于2015年建立了数据处理者隐私识别(PRP)体系,并且还建立了跨境隐私执法安排(CPEA)。国外第三方获得CBPR体系的认证,是日本PPC允许个人数据跨境传输的合法路径之一。2.3《全面与进步跨太平洋伙伴关系协定》(以下简称“CPTPP”)在电子商务章节中,CPTPP规定缔约方不得对数据跨境流动征收关税(但不足之处为缔约方征收国内税收或费用);要求缔约方允许包括个人信息在内的跨境数据自由流动,同时给予缔约方在不构成对其他缔约方贸易歧视和变相限制的情况下基于“合法公共政策”的豁免;允许缔约方对计算机设施的使用根据安全保障和机密保护设有不同监管要求,同时不得将数据本地化作为市场准入条件的强制性要求以及相应的例外情形。2.4《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership)(以下简称“RCEP”)在金融服务信息传输部分,RCEP要求缔约方不能阻止金融服务提供者进行其金融服务活动必需的相关信息传输;在电子商务章节中,RCEP要求缔约方不得将计算机设施必须置于境内的规定,作为进入该缔约方内部市场的前提条件,不得阻止正常经营活动中的信息跨境传输活动,同时为以上约束提供了实施“合法公共政策”和保护“基本安全利益”两种豁免情形。3.日本数据跨境的合规要求日本数据跨境的合规要求主要集中在APPI、PPC相关条例、指南中。3.1是否属于个人数据跨境传输情形的判断“国外第三方”中的“第三方”是除提供个人数据的个人信息运营商和可根据个人数据所识别的本人以外的人,包括外国政府。在一个跨国运营的集团公司内部之间的个人数据传输是否属于跨境传输,需要根据具体情形进行判断。3.2如何合规地进行个人数据跨境传输APPI明确个人数据向国外第三方传输,需要遵循以下规则:(1)以事先征得本人同意为原则;个人信息运营商取得本人同意时,应事先向本人提供有关外国个人信息保护的制度、第三方采取的保护个人信息的措施以及应供该个人参考的其他信息;个人信息运营商应采取必要措施,确保第三方持续采取相应的措施,并应相关人员要求提供相关信息。(2)以下三种情形不必征得本人同意:(i)接收方所在国拥有与日本水平相当的个人信息保护制度;欧盟、英国目前被日本认为与其个人信息保护水平相当。(ii)第三方建立了符合日本PPC标准的制度,可持续采取同等保护措施;PPC标准为符合下列条件之一:(A)第三方以适当和合理的方式处理个人数据个人信息运营商和第三方,应当以适当和合理的方法,确保第三方在处理个人资料时,实施符合APPI第四章个人信息运营商义务的措施。(B)第三方获得国际体系认证。例如经合组织的隐私准则和APEC的跨境隐私规则(CBPR)系统的认证。(iii)七种适用除外情形。包括为保护个人的生命财产安全且难以获得本人同意时;为改善公共卫生或促进儿童健康成长,且难以获得本人同意时;国家机关、地方人民政府或者受其委托的人员需配合执行法律规定的事务,征得本人同意,可能会妨碍该事务的执行;个人信息处理者是学术研究机构且将个人信息用于学术研究目的时等情形。4.日本数据跨境的实务案例4.1LINE案(1)案件简介2018年以来,LINE在上海的关联公司(上海LINE数码科技有限公司)中4名负责系统维护的中国工程师,在没有通知日本用户的情况下登录日本服务器至少32次,访问了用户信息。这些服务器上存放着用户的姓名、电话号码和电子邮件地址等信息。LINE解释称,该公司出于业务上的需要而访问用户信息,并没有发现信息泄露现象。2021年3月,日本PPC基于APPI,要求LINE及其母公司Z控股(ZHD)提交报告。总务省也基于电气通信事业法(Telecommunication Business Act),要求LINE报告事实和个人信息保护状况等。(2)处理及分析PPC根据APPI第40条第1款(修订后的APPI第143条第1款)从2020年末对LINE开始实施现场检查,发现该公司的安全管理措施不足。2022年4月23日,PPC对LINE提供了行政指导,要求LINE审查访问个人资料的权限,保存适当的访问日志,通过定期审计等措施适当监督承包商,同时应该向有关个人进行简单易懂的通知。(i)2022年4月26日,总务省对LINE提供了行政指导,认为虽然无法确认存在通信机密或个人信息泄露,但公司内部系统的安全控制措施等方面以及对用户的解释方面存在一些不足之处。总务省要求LINE通过加强对内部系统访问的管理、提高内部系统风险评估等事项透明度等措施完善内部系统安全控制措施,同时采取措施确保用户能容易理解向LINE提供个人信息的范围及其使用目的等。
数据跨境治理国别规则研究课题组
— END —
“数据二十条”政策解读|吴沈括:构筑面向数字化和全球化的数据跨境流通生态
聚焦网络法治 护航数字经济:2022年世界互联网大会乌镇峰会网络法治论坛在浙江乌镇举行
动向|欧洲2023年立法议程:数字立法位于第二位
美国要求互联网公司研发针对中国电信设备的攻击武器 外交部回应“中国+中亚五国”数据安全合作倡议
前沿瞭望|美国首次公布联邦《数据隐私与保护法案》(全文)
动向|美国推动的"印太经济框架" 想做什么?动向|拜登宣布启动"印太经济框架" 日韩澳印等13国加入洞察|欧盟-美国有关未来数字治理的立场异同欧洲EDPS与EDPB关于欧盟数据法案的联合意见(5月5日)
高端视野|吴沈括 李涛:流量劫持的的刑法应对
吴沈括|数据要素市场建设中的公共数据与政企合作吴沈括|欧盟2022年《数字服务法案》:平台新治理的欧洲样板
吴沈括|欧盟2022年《数据治理法案》:数据要素流转利用的欧洲方案
美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)光明网 | 吴沈括:强化数字安全助力数字经济高质量发展重磅|欧盟《数据法案》(Data Act)草案(中译本)重磅|欧盟《数据法案》(Data Act)草案全文
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:【研究报告】数据跨境治理国别规则(3):德国
【研究报告】数据跨境治理国别规则(2):爱尔兰
【研究报告】数据跨境治理国别规则(1):欧盟
数据跨境|欧-美数据隐私框架充分性决定草案:认可美国数据保护水平
数据跨境|英国就韩国达成数据跨境充分性认定 助力实现双边经济增长
数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)
数据跨境|拜登《关于加强美国信号情报活动保障的行政命令》(中译本)高端视野|吴沈括 孙鹏程:《数据出境安全评估办法》下的出境合规准备工作重磅 | 国家互联网信息办公室《数据出境安全评估办法》(全文)
重磅 | 国家互联网信息办公室公布《数据出境安全评估办法》(附答记者问)
速递|欧洲数据保护委员会关于欧美跨大西洋数据隐私框架协议的声明动向|欧盟与美国有望在2022年春季达成新的数据跨境传输协议高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究数字治理全球洞察 | 数据治理前沿系列:速递|最高人民法院发布第35批指导性案例 强化个人信息刑法保护
吴沈括|全面落实上位法律规范 培育数据安全管理生态
重磅|工信部《工业和信息化领域数据安全管理办法(试行)》(全文)
数据司法|欧盟法院:如果个人信息“明显不准确” 有权要求搜索引擎移除搜索结果
最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例
《“十四五”全民健康信息化规划》:医院核心信息全国互通 强化网络与数据安全
汽车数据处理、个人信息安全工程指南等14项国家标准发布
EDPB:执法资源不足导致个人数据保护的监管面临风险
速递|印尼国会审议通过《个人数据保护法》高端视野|吴沈括:《企业涉个人信息刑事风险合规风控》研究报告重磅|中央深改委通过《关于构建数据基础制度更好发挥数据要素作用的意见》
瞭望|英国公布2022年《数据改革法案》具体计划 称为“脱欧后的胜利”数据执法|法国数据监管机关:对谷歌分析工具的整改不会让它变得合法高端视野 | 跨国企业数据保护官(DPO)设置研究(上篇)国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告观点|阻碍医疗数据研究革命的是法律问题,而不是基础设施
检察日报|吴沈括 李涛:数字经济语境下流量劫持的刑事治理数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款数据监管|法国数据保护机关就健康数据泄露处罚生物公司150万欧元
欧洲数据保护委员会(EDPB)关于执法合作的声明(4月28日)
速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切数据监管|芬兰数据保护机关因诊所实现数据主体权利不力科处行政罚款数据监管|欧洲数据保护专员(EDPS):是时候瞄准在线广告了!数据监管|爱尔兰数据保护委员会宣布对Meta(脸书)处罚1700万欧元数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元数据监管|波兰数据保护机关就员工造成数据泄露对公司处以创纪录罚款数字治理全球洞察 | 网络安全治理前沿系列:速递|美国禁止华为中兴等5家中企在美销售设备
英国延后华为临时禁令 但2027年底前全面移除5G设备不变
美国网络安全禁令生效,限制向中国等国家共享网络漏洞重磅|欧盟委员会2022年《网络安全条例》提案(全文)重磅|欧盟委员会2022年《信息安全条例》提案(全文)数字治理全球洞察 | 网络平台治理前沿系列:速递|工信部征求意见:提升移动互联网应用服务能力,强化全流程个人信息保护
重磅|市场监管总局对知网滥用市场支配地位罚款8760万元并责令全面整改(附行政处罚决定书)
重磅|中央网信办秘书局 中国证监会办公厅《非法证券活动网上信息内容治理工作方案》(全文)
重磅|国家网信办、工信部、公安部《互联网信息服务深度合成管理规定》(全文)
国家六部门:网约车平台采集个人信息应在中国内地存储使用 保存不少于2年
重磅|反不正当竞争法(修订草案征求意见稿)禁止利用数据算法不正当竞争
国家互联网信息办公室修订《互联网跟帖评论服务管理规定》发布施行
EDPB通过有关TikTok的法律文书 TikTok停更个性化广告的法律基础重磅|国家广电总局、文旅部《网络主播行为规范》(全文)
重磅|中央深改委:将平台企业支付和其他金融活动纳入监管 服务实体经济
国家网信办《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(全文)全国人大常委会法工委披露反垄断法、反电信网络诈骗法二审稿修改内容
重磅|国家网信办修订发布《移动互联网应用程序信息服务管理规定》(全文)
数字治理全球洞察 | 数字政府治理前沿系列:重磅|国务院《关于加强数字政府建设的指导意见》(全文)数字治理全球洞察 | 未成年人保护前沿系列:光明网|吴沈括:未成年人网络保护面临技术、组织、内容三重风险
数字治理全球洞察 | 电信网络诈骗治理前沿系列:2022年电信网络诈骗治理报告:以短视频平台为样本的研究
发布反电信网络诈骗倡议!北师大主办2022年世界互联网大会乌镇峰会网络法治论坛
吴沈括 黄诗亮|《反电信网络诈骗法》的治理要旨与合规启示英译本|《中华人民共和国反电信网络诈骗法》(全文)重磅|《中华人民共和国反电信网络诈骗法》(全文)重磅 | 《反电信网络诈骗法(草案二次审议稿)》(全文)数字治理全球洞察 | 数据跨境取证前沿系列:重磅|司法部明确涉诉数据信息的跨境调取规则数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)数字治理全球洞察 | 数据认证前沿系列:高端视野|吴沈括:个人信息保护认证的制度意义与实践价值
吴沈括 邱芷蕙|美国TrustArc隐私与数据治理框架(P&DG)要览吴沈括 周奕达|美国TRUSTe企业隐私认证的机制概要与价值启示前沿|EDPB批准德国州数据保护机关有关数据保护认证计划的意见数字治理全球洞察 | 数据要素市场前沿系列:《四川省数据条例》获表决通过 2023年1月1日起实施
数据要素立法|《陕西省大数据条例》(全文)数字治理全球洞察 | 人工智能治理前沿系列:重磅 | 中国关于加强人工智能伦理治理的立场文件
速递|美国总统拜登签署《人工智能培训法案》
EDPS:欧洲委员会《人工智能公约》谈判应当加强基本权利保护数字治理全球洞察 | 数字经济治理前沿系列:动向|美国议员鼓动强化对美在中国投资审查
吴沈括|构筑面向数字化和全球化的数据跨境流通生态
美国PCAOB:现行合作框架满足对中概股审计底稿核查的要求
数据资产|财政部:企业应按规定披露不同类型数据资源
吴沈括 崔鑫铭|《北京市数字经济促进条例》助力建设全球数字经济标杆
重磅|《北京市数字经济促进条例》通过 重点培育数字经济核心产业