2022年6月10日,日本个人信息保护委员会发布2021年年度报告。报告聚焦2020年新修订的《个人信息保护法》的实施,包括现行指南的修订,以及社会关注的热点问题和答案。此外,报告对数据外泄案件进行了调查,发现大多数案件是因为文件及电子邮件的错误传输以及文件及电子存储介质的遗失造成的。报告还专门对假名化和匿名化处理数据传播进行了介绍。

(日本个人信息保护委员会标识)

日本是亚洲国家中较早颁布法律对个人信息进行保护的国家之一。2003年,日本就颁布了《个人信息保护法》,其后分别于2009年、2015、2016年、2017年、2018年、2019年、2020年多次进行修订。其中2015年、2020年的修订幅度较大。最新修订的《个人信息保护法》于2022年4月1日起施行。

日本最新版《个人信息保护法》主要有以下五个方面的变化:

(日本个人信息保护委员会官网《个人信息保护法》修订专题)

第一,赋予用户更多权利。用户除对其个人信息可要求数据处理者进行公开,更正,停止使用,说明理由等权利外,还有权约束数据处理者对其个人信息进行处理的场景,如个人信息处理者丧失使用可识别本人的保存中的个人数据之必要、可识别本人的保存中的个人数据发生了规定的事态、对可识别本人的保存中的个人数据的处理有可能使本人的权利或正当利益受到侵害等特定情形下,用户可要求数据处理者停止提供该等数据。

第二,加重了数据处理者的义务。如规定数据处理者不得以有可能助长或诱发违法或不正当的行为使用个人信息;在一定条件下,数据处理者在发生包括数据泄漏,灭失,毁损在内的其他个人信息保护委员会规则规定的涉及数据的安全保障的事态,很有可能对个人权利利益造成损害的,应按照个人信息保护委员会规则,将事态报告给个人信息保护委员会;同时在一定条件下信息处理者还应将发生的事态通知给本人。

第三,新增假名化信息加工相关条款。新版在旧法关于匿名化信息加工的基础上,新设了假名化信息加工定义,并设置专章规定了假名加工数据处理者的义务。如在假名加工阶段,假名加工的数据处理者应为删除信息等安全管理事项采取相应的措施;进行假名加工处理时不可超出目的范围;在丧失必要性后,应及时删除个人信息和删除信息;以及不得为识别本人而将该假名加工信息与其他信息相对照等。

第四,扩大了域外适用范围。新法第七十五条规定,个人信息保护委员会有向域外主体要求提供报告,命令,实地检查等强制权利。而之前该委员会仅能对域外对象进行不具有强制约束力的指导建议。

第五,加重了对违法行为的惩罚力度。新法对违反个人信息保护委员会的命令的行为,不正当提供个人信息数据库的行为,以及向个人信息保护委员会提供虚假报告的行为,分别加重了对相关单位及个人的惩罚力度。如对个人违反个人信息保护委员会命令的行为,刑罚从6个月以下提高到1年以下;法人不正当提供个人信息数据库的,最高罚金由50万日元提高到1亿日元。

(日本《个人信息保护法》)

根据日本《个人信息保护法》第163条的规定,个人信息保护委员会每年要向国会报告其所负责事务处理情况。

信息来源 / Source of Information

  1. https://www.ppc.go.jp/files/pdf/040610_annual_report_gaiyou.pdf

  2. https://www.ppc.go.jp/aboutus/report/

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。