导读:日本于2003年颁布了《个人信息保护法》(APPI),是亚洲最早的个人信息保护法律之一。后分别于2015年与2020年进行了两次修订,2020年修订案将于2022年4月1日生效。2022年2月18日,日本个人信息保护委员会(日本于2016年专门设立一个确保正确处理个人信息的最高机构,简称“PPC”)发布了《个人信息保护法》合规要点,以帮助中小企业应对《个人信息保护法》修订实施带来的合规压力。下文将围绕着此次发布的六个合规要点、涉及告知与披露要求、数据出境监管以及数据使用合法性要求进行简述。
告知与披露要求
此次公布的六个合规要点中关于告知与披露的规定有以下两点:
1. 如果发生泄露等可能损害个人权益的情况,经营者有义务向个人信息保护委员会报告并通知个人信息主体
在2015年的APPI向PPC提交数据报告只是一项非强制性的规定,通知个人也仅仅是一项建议。而在2020年修正后的APPI,新增了在发生数据泄露或可能存在泄露的情况下,企业经营者必须向PPC报告泄露情况,并通知受影响的个人的强制性规定。在此次合规中则重申了这一改变,提示个人信息处理者应当注意发生泄露等可能损害个人权益的情况时,必须向PPC报告并通知个人信息主体。
2. 将在6个月内删除的短期保存数据同样受到披露要求的约束;个人亦有权要求披露经营者向第三方提供和接收个人信息的记录;披露方式由个人选择;此外,还扩大了停止利用与删除个人信息请求权的范围。
“将在6个月内删除的短期保存数据同样受到披露要求的约束”是本次合规要点的新加规定,旨在保护个人的知情权。“个人亦有权要求披露经营者向第三方提供和接收个人信息的记录;披露方式由个人选择;”则是对APPI第二十八条的细化解释,扩大了个人请求个人信息处理者的范围,明确了个人信息处理者向第三方提供的和接受的个人信息记录应当在个人请求披露的范围之内。针对“停止利用与删除个人信息请求权的范围”扩大则是体现2020年APPI修订版的新增内容,但是停止利用与删除个人信息请求权只能在APPI规定的以下三种情况内使用,分别是:(1)企业经营者不再需要使用个人数据;(2)发生需要强制报告的数据泄露;(3)数据主体的权利或合法利益可能受到侵害。此次合规要点再次提出更多的是作为一种强调和提醒。
数据出境监管
此次公布的六个合规要点中关于处理境外个人信息的规定主要如下:
3. 如向外国第三方提供个人信息,应当加强向个人信息主体披露该第三方处理个人信息的相关情况。
4. 原则上应当公布所采取的安全管理措施;如涉及在国外处理个人信息,有必要在了解国外个人信息保护制度后采取安全管理措施
日本对数据处境主要适用充分性认定的白名单制以及个人信息主体同意机制。该部分主要针对涉及个人信息处境的情况下,数据处理者的安全保障义务和对数据主体的披露义务,范围包括:
(1) 确保第三方的安全保障措施
(2) 主动项数据主体披露该第三方处理个人信息的相关情况
(3) 涉及在国外处理个人信息的情形下啊的安全管理义务,我们理解按照此项规定,在不存在境外第三方的情形下,例如将个人信息传输至处理者境外服务器上等,也需要必须了解第三方国家的个人信息保护制度,并针对性提供安全保障措施。
(4) 针对安全保障措施的定期监测义务。
数据使用合法性要求
此次公布的六个合规要点中关于数据使用合法性要求的规定主要如下:
5. 禁止以不正当的方式使用个人信息,例如向涉嫌从事非法行为的企业提供个人信息,即便仅存在促进非法或不正当行为的可能性。
6. 在向第三方提供时,如果该信息对于提供方而言不属于个人信息,但提供方预期接收方可能将其作为个人信息,则该信息的对外提供也应当征得本人的同意。个人关联信息包括通过终端标识符收集的网站浏览历史、商品购买历史、位置信息等(这些信息中,能够识别特定个人的属于个人信息,不属于个人关联信息)。
该部分涉及到对个人信息的合法的使用目的和授权的合法路径,并明确了对于“可能性”的场景和数据的严监管模式,包括“可能性场景”--- “存在有可能助长、诱发违法或不当行为的方式”被视为不当行为,禁止使用个人信息。
另外,“可能性个人信息”是指,如果提供方提供的数据对于其自身而言不属于个人信息(即针对提供方而言该等数据无法识别出特定人),但是对于数据的接收方有将该数据作为个人信息的预期的话,那么该信息的对外提供也应遵循2020年APPI要求的数据提供者获得数据主体的事先授权的义务。例如接收到的数据和接收方自身数据库的融合,可能导致个人主体身份的识别。
除从商业合同出具接受方的数据使用的承诺外,该等规定也无疑会增加数据提供方尽职审核和商业性判断责任,包括对于接收方的日常商业行为以及信誉的合适,个人信息使用的用途调研。(辛小天 郑茂锋)
注释:
[1] 合规要点第1点规定在APPI的第二十二条“在处理的个人数据发生泄露、灭失、毁损及其他有可能对个人的权利和利益造成损害的、涉及个人数据的安全保障的事态时,个人信息处理者应当将发生相关事态的情况报告给个人信息保护委员会。个人信息处理者应当将发生相关事态的情况通知给本人。”
[2] 合规要点第2点规定在APPI第二十八条 “本人可以请求个人信息处理者以提供电磁记录的方式及其他《个人信息保护委员会规则》规定的方式公开可识别该本人的保存中的个人数据。”第二十九条 “可识别本人的保存中的个人数据的内容并非事实的,该本人可以请求个人信息处理者对该保存中的个人数据的内容进行订正、追加或删除。”第三十条 可识别本人的保存中的个人数据被以违反第十六条或第十六条之二规定的方式进行处理时、或者被以违反第十七条规定的方式收集时,本人可以请求个人信息处理者停止使用或者删除该保存中的个人数据。”
[3]第3点规定在APPI第二十四条最后一款 个人信息处理者将个人信息提供给境外第三方(仅限于构建有第一款规定的体制的第三方)后,应当依照《个人信息保护委员会规则》的规定,采取必要措施确保该第三方持续采取相当措施,并在本人要求后将该必要措施的相关信息提供给本人。
[4]第4点规定在APPI第三十九条 匿名加工信息处理者应当尽力为该匿名加工信息的安全管理采取必要且适当的措施,为确保该匿名加工信息的制作及其他处理方面的投诉的处理及其他该匿名加工信息的正当处理采取必要的措施,并公布相关措施的内容。
[5]第5点规定在APPI第十六条 未事先取得本人的同意,个人信息处理者不得超出达到依照前一条的规定所特定的使用目的所必要的范围处理个人信息。未事先取得本人的同意,个人信息处理者不得在因合并或其他事由而从其他个人信息处理者处承受业务并收集个人信息后,超出达到业务承受前该个人信息的使用目的所必要的范围处理个人信息。第十六条之二 个人信息处理者不得以有可能助长或诱发违法或不当行为的方式来使用个人信息。
[6] 第6点规定在APPI第二十三条 除下列情形外,未事先取得本人的同意,个人信息处理者不得将个人数据提供给第三方:(一)以法令为依据的情形;(二)为保护人的生命、身体或财产而有必要,却又难以取得本人的同意的情形;(三)为提高公众卫生、或者推进儿童的健康成长而有特殊必要,却又难以取得本人的同意的情形;(四)为协助国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而有必要,却又有可能因需要取得本人的同意而导致对该事务的执行造成障碍的情形。
声明:本文来自享法互联网JoyLegal,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
