快说《日本2017个人信息保护法案》之一: 你需要知道的所有基本要点内容
点击上方蓝字关注我们
快说《日本2017个人信息保护法案》之一:你需要知道的所有基本要点内容
Act on the Protection of Personal Information
文/王捷 刘悦
编辑/王捷
Part
1
快看APPI的前世今生
对日本的个人信息保护制度,可以以 2003 年 5 月份为分界点来加以考察。在此之前,日本个人信息保护体系,主要由针对国家行政机关的立法、地方自治团体的立法、个别专门性法律中的相关规定以及行业自律机制构成。另外,日本一些信息保护方面的行政法规也对隐私权做出了相应的保护,如《建立高度信息通信网络社会基本法》、《电子签名法》、《禁止非法接入法》、《个人信息保护法》、《行政机关保存的个人信息保护法》、《独立公共事业法人等保存的个人信息保护法》、《信息公开、个人信息保护审查会设置法》等法律中都包含有对公民个人隐私性信息的保护的规范性条款。
在亚太地区的国家里面,日本属于比较早出台了关于个人信息保护法的国家,这与日本先进的科学技术水平以及发达的网络通讯与科技交易密不可分。21世纪,随着通讯技术的不断发展,借助于便捷的互联网,整个社会对于个人信息的处理量持续增加。企业泄露并非法买卖客户信息的案例在日本时有发生,对个人信息的泄露和非法使用使民众对个人信息的安全产生了严重怀疑。日本国内的民众对个人信息的安全问题和关注越来越高,要求增加个人信息保护的建议也越来越多。在此背景下,日本于2003年5月颁布了《个人信息保护法案》(Act on the Protection of Personal Information,“APPI”),于2005年4月实施。该法案在日本隐私权行政法规保护方面居于绝对的核心地位,对日本国民隐私起到重要的保护作用。通过这部法律全方面地实现个人信息保护。同时日本也注重行业自律和社团参与,从而形成独特的日本个人信息保护模式。
此后,随着大数据等互联网技术的不断发展,信息安全问题再次凸显。个人信息数据涉及违法的界限模糊,企业与消费者对数据的使用产生利益冲突和分歧。此外,随着国际化进程加快,跨国信息交换越来越频繁。各国都制定了针对跨国交易的法规,因此,日本更新原有的APPI,充分保证日本企业能够顺利与外国企业间交换并共享个人数据。于是APPI(2003)于2015年进行了大幅修正,2017年5月30日正式生效。这甚至比欧盟《通用数据保护条例》还提前一年了。
Part
2
新APPI修订了哪些内容
APPI(2017)的修订内容主要是:(1)使个人信息概念细化,不同信息进行区别对待;(2)进一步明确日本的数据跨境传输规则;以及(3)设置了专门的监管机构。
01
将个人信息概念细化
将个人信息概念细化,细分为个人信息、个人敏感信息、匿名加工信息三种,不同信息进行区别对待。
个人信息 | 明确“个人识别码”属于个人信息范畴,如信用卡号、驾驶证号、护照号等 |
个人敏感信息 | 包括疾病史、犯罪记录、种族、宗教等,避免歧视 |
匿名加工信息 | 即无法利用其进行个人身份识别,也不能恢复识别性的信息,企业在向第三方提供此类信息时不需取得数据主体的同意。 |
细化个人信息种类,要求企业提高数据保护体系建设,对信息进行分类管理,对主体信息进行分类保护,也可提高大数据的利用效率。从而使大数据的利用效率大大提高。
02
日本数据跨境传输规则进一步明确
APPI(2017)提出了“选择进入”与“选择退出”两个规则。“选择进入”指的是持有数据者需要取得数据主体的同意后,才能向第三方传输个人信息,数据主体有权拒绝。而“选择退出”则相反,持有数据者,并不需要征求数据主体的同意,便可向第三方传输个人信息,但数据主体有权要求停止传输。
APPI(2017)首次对数据跨境传输做出了限制。APPI(2017)规定,日本境内的数据持有者向境外传输个人信息等数据时,必须事先获得数据主体的同意。
APPI(2017)对数据传输的记录也进行了规定,要求数据传输双方对双方名称、传输日期等进行具体记录,且必须按照PPC的规定保存一定期限。
03
设置专门监管机构
APPI(2017)为了更好地解决先前因不同的数据归不同的主管大臣负责而导致监管机构职责不清晰的问题,而进一步明确了监管主体和惩罚措施。这一点和欧盟的GDPR相似,通过确立了“个人信息保护委员会”这一专门的数据监管机构,将之前分散的监管权力统一集中到了一起。该做法有利于解决监管主体权责不清,职能分散的问题,也使得个人信息保护的监管更加具体化,明确化。
Part
3
新APPI的框架结构
APPI(2017)在信息社会加深对个人信息利用对背景下,确立了处理个人信息的基本理念,由正读制定基本方针及相关措施对个人信息予以保护,明确国家和地方公共团体对职责,并规定了个人信息处理业者的义务及相关罚则。在确保个人信息正当且有效利用的基础上促进经济社会发展和推动新兴产业创造,实现产业利益和用户权利之间的平衡。
APPI(2017)基本上以民间领域为对象。但是,《个人信息保护法》的基本理念在公共领域也必须遵守。APPI(2017)比较符合成文法国家的常见体例,从总则、有关机构职责、个人信息保护规则、个人信息处理业者义务、个人信息保护委员会、附则、罚则等七个方面规定了七章的内容。内容如下:
1.第一章总则中确立了“个人信息”、“个人识别符号”、“需注意的个人信息”、“个人信息数据库等”等相关概念的界定。
2. 第二、三章中规定了政府及地方公共团体应确立保证个人信息正当处理的必要措施。
3.第四章规定了个人信息处理业者在获取、利用、保存、提供、披露个人信息的相关规则。
4.第五章规定了个人信息保护的机关-个人信息保护委员会的职能及处理规则。
5.第六、七章规定了杂项及罚则。
Part
4
你需要知道的重点速览
01
APPI的管辖对象及适用范围?
APPI(2017)和欧盟GDPR相似,也具有一定的域外管辖效力,它适用于在日本处理个人数据的所有企业经营者。不仅包括在日本境内提供商品和服务的公司,也包括在日本境内的公司以及在日本境外设有办事处的公司。同时,根据APPI(2017)第二条的规定,属于其他法规范围内的中央政府组织,地方公共团体,独立行政法人机构和地方独立行政法人,不属于“个人信息的处理者”,但需要履行APPI(2017)中规定的职责内容。
值得一提的是,先前版本的APPI将5000人以下小规模的数据处理者排除在适用范围内,而修订后的APPI(2017)将其范围扩大到包括处理个人信息的所有企业运营者,将5000人以下的数据处理者也纳入了适用对象范围内,哪怕是那些只有几个人的小型数据库的企业。
02
APPI数据主体有哪些数据权利?
根据APPI(2017),数据主体可以要求企业经营者披露其个人数据的使用目的,要求告知数据主体如何访问其数据信息,以及要求告知可以在哪里提交有关其个人信息处理的投诉的权利。
同时,数据主体还可以要求企业经营者对数据信息进行更正、删除不正确的个人信息的权利。如果企业运营者的使用目的超出了使用目的,未经事先同意而被转移或通过欺诈或其他不正当手段获得了个人信息,则数据主体有权要求暂停或中止该数据的传输、展示或删除其个人信息。
值得注意的是,如果日本的企业经营者未能在两周内回答数据主体基于APPI的请求的,则数据主体有权起诉该等已经收集了其个人数据的企业经营者。
03
企业需要承担哪些主要义务?
从大方向的企业数据合规制度来来说,首先,必须确保有一个符合APPI及当地相关法律政策规定的隐私政策,并在隐私政策中,明确数据收集的使用目的,具体用途,数据的处理方式等等。其次,企业必须采取必要的网络安全措施和物理防护措施,以确保其处理的个人信息的安全。再次,企业亦须建立其相关的个人信息合规架构和程序,以迅速处理数据主体的各类数据权利要求。
从中观层面来说,如前所述,数据主体拥有哪些权利,企业经营者或数据处理者就需要对应承担哪些义务。包括但不限于:(1)数据处理者必须注意利用目的特定且在该范围内使用及通知或公布使用目的;(2)需要确保数据内容的准确、和及时更新;(3)向第三人提供数据时,要经过数据主体同意,并按照APPI的具体规定进行提供;(4)数据处理者在数据的收集、处理和使用上也需要相应的义务,例如,数据处理者应按照数据主体的请求公开数据;按照数据主体的请求而更正、删除、停止利用数据等;(5)需要妥善处理数据主体的投诉;(6)遵守相关跨境传输的相关规定;(7)接受主管大臣的监督管理等。
04
个人信息可以保存多久?
一般来说,个人信息的记录原则上保存期限为3年。在提供个人数据以及获取个人数据时都需要记录:(1)向谁在何时提供了何人的何种信息;(2)由谁在何时获取了何人的何种信息。
“保存”个人信息应当遵守安全管理责任,以免个人数据被泄露,并应该根据要处理的个人信息的性质和数量,进一步确定处理的基本规则,例如通过加密措施,设置密码访问文件,导入安全软件等等。
05
不需数据主体“同意”的情况下处理数据的情形有哪些?
原则上,在向第三方提供时,应事先征得本人的同意。此外,信息提供给第三方时或收到第三方的提供时,也要记录一定事项。但是,也有不需要本人同意或记录的例外情况:
(1)以法令为依据的情形(例如警方、法院等的查询);
(2)为保护人的生命·身体·财产所必要,却又难以取得本人同意的情形(例如向政府等提供有关灾害受害者的信息);
(3)为提高公众卫生、或者推进儿童的健康成长而有特殊必要,却又难以取得本人同意的情形;
(4)国家机关等的法令规定的行政事务合作(例如国家统计调查的答复等);
(5)委托、业务继承、共同使用等。
06
向海外第三人提供
个人信息时有什么限制?
随着商业全球化的不断推进,为防止个人数据在海外遭到滥用,新法还特别就个人信息处理业者向特殊第三人提供个人数据的行为加以限制。
对于在日本境内向第三方传输的数据,公司必须事先获得数据主体的同意,或者提前告知个人选择退出的可能性。若个人资料的转移符合公众利益,则无须事先同意。这包括涉及国家安全、法律事务或公共卫生问题的案件。这一点和上述提及的“同意”的例外情形一样。
该第三方所在地在保护个人的权利或利益上,是一个需要处于与日本同等水平的、已建立个人信息保护制度的国家或地区。同时,外国第三方需要根据APPI(2017)的目的实施措施,包括需要提供委托合同、共同内部法规以及提供个人数据者需被APEC跨境隐私规则系统认证等担保。
07
违反APPI,会面临哪些处罚?
对于公务人员(72条规定),如果泄露或盗用秘密的,将被处两年以下有期徒刑或100万以下罚金(第82条)。
对于个人信息处理业者,针对其不合规处理信息的行为,个人信息保护委员会可以要求其提交报告、资料,并提出指导和建议,如果个人信息处理业者不遵守,个人信息保护委员会会命令其遵守。对不听从个人信息保护委员会命令的业者,根据具体情况可处以6个月的徒刑或30万日元以下的罚款(第84条)。关于个人信息处理业者伪造或者提出相关报告、拒绝答复个人信息保护委员会工作人员提出的问题或作出虚假答复、拒绝或妨碍抽查等违法行为,会被处以30万日元以下的罚款(第85条)。
个人信息处理业者不进行申报或提交虚假申报,会被处以10万日元以下的罚款(第88条)
个人信息处理业者及其职员以谋取不正当利益为目的,提供或盗用个人信息数据库等行为,可处以1年以下的徒刑或50万日元以下的罚款(第83条)。
08
个信保护委员会主要承担哪些职能
个人信息保护委员会的任务有两点,首先是为重视个人信息的正当且有效利用,促进经济社会发展,其次是保护个人的权益,确保个人信息的正当处理。为了实现这个任务,APPI赋予委员会下述职能:
根据APPI第61条,其主要的职能包括:
(1)监督特定个人信息:个人信息处理业者对个人信息的处理和个人信息处理业者及匿名加工信息处理业者对匿名加工信息的处理进行监督的事务。
(2)处理投诉:设立投诉处理咨询窗口,对特定个人信息的投诉申请进行处理。
(3)个人信息保护基本方针的决策:推进政府和民间个人信息保护的相关对策。
(5)国际合作:有关主管事务所涉及的国际协作的事务
(6)宣传作用:有关推广和启发个人信息的保护及正当且有效的利用的事务。
个人信息保护委员会的权限范围中,可要求企业提交报告、对企业实施现场检查、指导、劝告、下达行政命令等。
小结
通过本篇文章的介绍我们可以知道,APPI(2017)作为APPI(2005)的修订版,有很多内容上的突破。APPI(2017)将个人信息细化进行分类保护、首次对数据跨境传输做出了限制、适用范围扩大到处理个人信息的所有企业运营者、个人信息保护委员会的设立以及处罚力度的加大都强化了对个人信息的保护。
对APPI有了初印象之后,下一集我们将尝试通过一个案例去看看在日本企业经营者如何收集、处理和传输个人信息。
参考资料:
1. 城田真琴:《大数据的冲击》,人民邮电出版社,2013年版。
2. 方禹.日本个人信息保护法(2017)解读[J].中国信息安全,2019(05):81-83.
3.《日本个人信息保护法》修改案例研究,http://m.dazuig.com/zhic/sdjr/519711.html
4.《日本个人信息保护法》(2017)刘颖译,https://mp.weixin.qq.com/s?src=11×tamp=1580612264&ver=2133&signature=N*DggUCTEL7DGzar3-9vKTilH4yyszeZN6EupNAY0xkS2IkZ3UmF0JWtBT3sgwicq7tw4DR2tqG*rL7h9NrIclPXBBciAjmHCuhixOFfSBmAMYGNlktilxLi4aVLIt4H&new=1
5.国外个人敏感信息与隐私保护法律实践,http://www.gooann.com/index.php?m=&c=Index&a=show&catid=12&id=235
作者简介
联系方式:jie-72
添加微信,请备注来意,如“业务合作”,“学术交流”等等,感谢!
刘悦,法律硕士,国际经济法方向。互联网公司法务。
创作不易,请点击一下“在看”↓