快说日本个人信息保护法之二:【场景案例—旺酱公司与木川の羁绊】
【个人信息保护法场景小案例】
旺酱公司与木川の羁绊
点击上面蓝字关注。欢迎投稿。
文末扫码入群,加入“出海互联网法律实务圈”
全文字数: 4207
阅读时间: 13 分钟
我们通过模拟一个业务场景案例,尝试为大家解释日本个人数据保护法中的一些基础概念,以及根据APPI如何获取、处理、传输数据主体的个人信息。如有不妥之处,欢迎各位大神指正。
假设小王设立了旺酱公司,木川是数据主体,依据APPI,在日本将如何获取、处理、传输木川的个人信息呢?
一、基础概念
首先旺酱公司需要了解与个人信息处理相关的概念
○
○
1.【何为APPI视角下的“个人信息”?】
个人信息一般是指能够识别特定个人或者含有个人识别符号的信息。APPI关于个人信息的定义采用了“识别说”来界定个人信息,以是否能够识别特定自然人来作为判断标准。
Q1:只包含地址和电话号码的信息属于个人信息吗?
A1:根据具体情况判断,如果这些信息可以通过与其他信息匹配而识别特定自然人自然人,那么属于个人信息。
Q2:报纸和互联网上已经公布的个人信息是否受APPI的保护?
A2:即使是公知的信息,根据其使用目的和与其他个人信息的对照等处理方式,也有可能导致个人权利利益的侵害,因此,已经公布的信息也受APPI保护。
Q3:旺酱公司与客户的电话通话内容是否属于个人信息?此外,如果旺酱公司正在录制的通话内容,是否必须告诉对方正在录制呢?
A3:如果可以从通话内容中识别特定的个人,则属于个人信息。如果属于个人信息,则旺酱公司有义务通知或公布使用目的,但不需要告知正在录制的情况。
Q4:除了顾客信息,旺酱公司有关职员的信息也需要按照APPI的规定来处理吗?
A4:只要APPI关于个人信息的定义,就属于个人信息,需要遵守APPI的规定。
2.【何为个人识别符号?】
个人识别符号是个人信息的一种,可以标识出特定的个人、特定个人身体特征的符号化以及用于区分使用者而发行的卡片中的内容。
Q1:旺酱公司获得了客户手机号码或信用卡号码,那么这些是否属于个人识别符号?
A1:手机号码和信用卡号码一般情况下情况下无法标识出特定的个人,因此不属于个人识别符号。但是,如果在结合诸如姓名等信息之后可以识别特定个人,那么则属于个人识别符号。
3.【何为个人信息数据库?】
个人信息数据库是为了检索而构建的含有个人信息的信息集合物。“个人数据数据库”强调的是以检索为目的,对个人信息进行的集合。即,“个人数据”是以易于检索形式所体现的“个人信息”,是呈体系化、具有“可易检索性”的个人信息。
Q1:旺酱公司内用摄像机记录的影像信息是否属于个人信息数据库?
A1:如果是能够识别出本人等影像信息,则属于个人信息,但只要不是为了能够检索特定的个人信息而构成的,就不属于个人信息数据库。也就是说,虽然可以搜索记录的日期和时间,但是如果搜索不到与特定个人有关的影像信息,就不属于个人信息数据库。
4.【何为个人信息处理业者?】
个人信息处理业者指的是将个人信息数据库供业务使用者。
Q1:旺酱公司什么情况下属于个人信息处理业者?旺酱公司处理的个人信息处理数量很少的情况下也属于APPI中的个人信息处理业者吗?
A1:旺酱公司如果将个人信息数据库供业务使用,那么旺酱公司就属于APPI中规定的个人信息处理业者。不管构成该个人信息数据库的个人信息所识别的特定个人数量的多寡,都属于个人信息处理事业者。
Q2:旺酱公司只拥有与员工相关的个人信息数据库,也属于个人信息处理业者吗?
A2:即使所处理的个人信息只有员工的个人信息,只要将个人信息数据库供业务使用就属于个人信息处理业者。
Q3:非营利性活动的团体是否属于个人信息处理业者?
A3:根据APPI,个人信息处理业者的业务是指以一定的目的反复进行的类似行为,并且符合社会一般观念,不区分是否营利。因此,即使是进行非营利活动的团体,如果将个人信息数据库等用于业务,也属于个人信息处理业者。
需注意,国家机关、地方公共团体、独立行政法人、地方独立行政法人不属于APPI中的个人信息处理业者。
5.【何为“需注意的个人信息”】
Q1:什么样的个人信息属于“需注意的个人信息”呢?
A1:本人的人种、信条、社会身份、病历、犯罪经历、因犯罪而被害的事实等可能引起不当歧视、偏见的个人信息。这些信息在处理上需要予以特别注意。旺酱在获取这类信息是需要本人同意。
二、信息收集
了解过重要概念,旺酱公司准备进行收集个人信息了,那么旺酱公司又需要做些什么呢?
○
○
1.本人同意
Q1:个人信息处理业者不得未事先取得本人的同意,而获取需注意的个人信息。因此,如果旺酱公司想要获取木川的人种、信仰、病例等信息,需要得到木川的同意。那么在征求木川的同意的情况下,如果在一定期间内没有得到木川答复,可以视为木川同意吗?
A1:进行与本人同意有关的判断,必须采用必要的合理的恰当的方法。因此,不能只以在一定期间内没有回答为依据,一律视为得到本人同意。
2.对利用目的的特定
Q1:根据APPI,旺酱公司必须“尽可能确定”个人信息的使用目的,但需要确定到什么程度。
A1:需要明确个人信息将用于什么业务?如何被使用?具体程度依照一般合理的观念来理解。因此,所指定的使用目的最好是具体且易于理解,如果旺酱公司只是说为了“改善对客户的服务”,这种就属于抽象、不确定的目的。
3.正当获取(第17条)
Q1:旺酱公司是否可以购买个人信息名单?如果购买了非法取得的名单会有什么后果?
A1:旺酱公司从名册业者处可以购买个人名单,但在购买时,有确认和记录义务(第17条第1款)和接收第三方提供时的应注意正当的获取(第26条)。
具体而言,旺酱公司在购买个人名单时,需要确认、记录对方取得个人数据的经过等,如果知道或者应知对方通过不正当的手段取得了个人数据,但是仍然获取该个人数据,那么会有违反该法第17条第1款的风险。
获取非需要注意个人信息时,在不向第三者提供的情况下,不需要本人的同意。
【名册业者:将姓名、性别、出生年月、地址、电话号码、邮件地址、信用卡号码等能够识别个人的信息作为文件(数据库或者纸质名册等)进行整理以能够检索的状态进行总结销售的人,多指个人信息处理业者。】
Q2:旺酱公司在网络上看到了公开的个人信息,以下哪种情况属于获取个人信息?
①仅在屏幕上查看相关信息时,
②转记信息,并将该其设为可检索状态的情况下,
③下载包含该信息的文件并进行数据库化。
A2:如果个人信息已经在网络公开,那么单纯的浏览则不属于获取个人信息,像②③一样转记、下载并使之可检索化就属于获取个人信息。
三、信息管理
旺酱公司收集到了个人信息,对于这些信息,旺酱公司如何进行管理呢?
○
○
1.数据正确性
Q1:根据第十九条规定,旺酱公司在个人数据丧失利用的必要后,应立即彻底清除该个人数据。那么具体应是什么时间清除呢?
A1:APPI没有规定个人数据的保存期间和应该清除的时间,具体清除的时间根据个人数据的处理状况等可能会有所不同,旺酱公司只要做到在丧失利用之后合理时间内应尽快清除就可以。
2.公开
Q1:如果木川请求旺酱公司公开个人信息的来源,那么旺酱公司是否应当公开?
A1:APPI没有规定旺酱公司有向木川公开个人信息来源的义务。但是,如果木川有关于个人信息处理的投诉,旺酱公司应当适当且迅速地处理(第35条第1款)。根据APPI第28条第一款,木川可以请求旺酱公司公开持有的、能够识别木川的个人数据。因此,如果旺酱公司保有的个人数据中包含信息来源,原则上需要公开。(第28条第一款)
3.停止使用
Q1:如果木川来面试旺酱公司没有被录用,那么木川可以要求旺酱公司返还他提交的简历吗?
A1:APPI中虽然规定了根据本人请求删除保有个人数据(第29条)、停止或删除保有个人数据(法第30条)的规定,但是没有规定返还简历等收到的文件的义务。因此,旺酱公司不需要返木川简历。不过第19条规定了清除个人数据的义务,所以如果旺酱公司在没有使用木川简历的必要时,必须及时清除销毁。
“及时”这个概念没有明确限定,所以在保留个人信息期间,最好记录下理由。
4.安全管理
Q1:旺酱公司只是个中小规模的企业,是否也必须采取和大企业同样的安全管理措施呢?
A1:根据APPI第20条,个人信息处理经营者必须对个人数据的安全管理采取必要且适当的措施。但是,关于采取安全管理措施的具体办法,要依据个人数据泄漏产生的本人权益的侵害的大小、业务规模及性质、个人数据的处理的性质和数量等不同的情况来考虑,所以,中小规模经营者不一定必须采取和大企业相同的安全管理措施。
四、信息传递
在需要向第三者提供个人信息的情况下,旺酱公司需要注意什么呢?
○
○
1.【向第三者提供】
Q1:旺酱公司在业务中获取到木川的个人数据(姓名和电话),用于提供会员积分服务。那么旺酱公司向本公司的市场部提供木川的个人数据,需要征得木川同意吗?
A1:同一公司的个人数据的提供,因为不符合向“第三者”提供,因此不需要获得木川同意。但是,如果提供给市场部使用是为了打广告,即超过了当初特定的利用目的所必要的范围的,依然需要获得木川的同意。(第16条第1款)。
具体向第三者提供包括母公司与子公司、集团公司间个人信息的交换,以及特许经营组织与加盟店之间的个人信息交换与同行业间的个人信息交换。
Q2:旺酱公司可以向喵酱公司提供关于本公司退休员工木川的在职确认和工作状况吗?
A2:关于退休的员工的在职状况和工作状况等成为个人数据(构成个人信息数据库等的个人信息)的情况下,向第三者喵酱公司提供该信息就构成APPI规定的向第三者提供个人数据,需要木川同意或符合第三者提供限制的例外情况,这些例外情况一般是指依法提供、为保护他人生命财产和公共利益以及国家机关、公共团体执行事务的需要。(第23条)
Q3:如果公检法依法询问旺酱公司关于顾客木川的信息,旺酱公司可以在未经顾客木川同意的情况下提供吗?
A3:公检法基于调查和审判的需要进行的查询和获取个人数据符合APPI中向第三者提供个人数据限制的例外中“以法令为依据的情形”(第23条第一款第一项),因此不需要得到本人的同意。
2.向国外第三者提供
Q1:旺酱公司在外国服务器上保存包含个人数据的电子数据属于向外国第三者提供吗?
A1:当该服务器的运营商不处理该服务器中保存的个人数据时,不属于向外国第三者的提供(第24条)。
Q2:旺酱公司希望将木川的个人数据转移到海外的喵酱公司,需要采取哪些措施呢?
APPI规定,跨境数据转移需要满足两个条件之一:
1.获得本人(木川)同意;2.转移到与日本类似数据保护水平的国家。
如果旺酱公司将个人信息从日本转移到日本以外的地方,则必须采取以下措施:
–尚未确定具有与日本类似的足够数据保护水平的国家,应征得本人的明确同意;
–如果实际上很难获得本人的同意,应与数据接收者(喵酱公司)签订协议以确保符合日本的数据保护标准。
五、责任
如果旺酱公司在信息处理中违反了APPI,将会面临什么处罚?
○
○
Q1:旺酱公司如果违反了APPI,会受到什么处罚?
A1:如果旺酱公司不恰当处理个人信息,典型的日本做法是逐步采取措施,而不是直接发布行政命令。
个人信息保护委员会会根据需要,要求旺酱公司提交处理信息的必要的报告或资料,或者直接进入到旺酱公司询问信息处理情况、检查账簿材料。(第40条);
给旺酱公司一些处理个人信息的指导和建议(第41条);劝告旺酱公司中止、纠正违法行为
旺酱公司不配合,个人信息保护委员会就会命令旺酱公司采取措施。(第42条)
如果旺酱公司不配合询问调查、提供虚假的报告和资料,就会被罚款三十万日元以下。
如果旺酱公司对个人信息保护委员会的命令不遵守,就会被处六个月以下的徒刑或三十万日元以下罚金。
如果旺酱公司或其员工为谋求自己或第三者不正当利益为目的提供或者盗用在业务中处理过的个人信息数据库,将被处一年以下有期徒刑或五十万日元以下罚金。
本期内容总结:
本案例纯属虚构
如果由于旺酱公司的故意或过失的不当行为而泄露了个人信息,不但违反APPI,也可能会受到被侵权人基于日本民事诉讼提出的侵权赔偿请求,下一期我们一起看看实务中有哪些经典案例。
【声明】:以上内容可能会因法律法规修改而变更,司法实践中依个案实际情况来处理。本文内容仅代表作者个人观点,不构成法律意见,作者以及“出海互联网法律观察”均不为内容的分析正确性以及内容获得者由此采取的任何行为承担法律责任。
【参考资料】:
日本个人信息保护委员会:https://www.ppc.go.jp/index.html
1
END
1
作者简介
王捷,浙江垦丁律师事务所,海外事业部负责人,资深出海法律顾问(广州),荷兰RuG国际经济法与商法硕士,曾任职阿里巴巴大文娱集团,深耕海内外多条业务线,业务领域覆盖国际浏览器、国际信息流、海外品牌营销、广告联盟、短视频、音乐互娱、应用分发、及各类创新与孵化业务与项目型法律工作;专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。八年多的科技型公司实务经验与中外律所从业背景,能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
联系方式:jie-72
添加微信,请备注来意,如“业务合作”,“学术交流”等等,感谢!
更多出海互联网实务交流信息欢迎扫码入群
转发,是对作者最大的鼓励
在看,是对作者最大的认可
创作不易,请点击一下“在看”↓