日本发布关于《修订〈个人信息保护法等〉法案》的内阁决议

文|黄潇怡 中国信通院互联网法律研究中心工程师

2026年4月7日，日本发布关于《修订〈个人信息保护法等〉法案》的内阁决议。日本个人信息保护委员会基于《数据利用制度基本方针》，推动《个人信息保护法》等相关法律的系统性修订，核心目标是在妥善保护个人权利和利益的前提下，促进数据顺畅流通、共享以支撑AI发展，同时针对高风险场景、未成年人信息、生物识别信息等重点领域强化规制，并大幅提升违法惩戒力度。本次修订覆盖数据利用、风险防控、违规防治、监管惩戒四大核心维度，形成更适配数字经济与AI时代的个人信息保护规则体系，原则上自公布之日起不超过2年施行。本次修订主要修订情况如下：

一是放宽数据利用限制，助力AI与统计研发。本次修订核心突破之一是为AI开发、统计制作等合规场景松绑个人信息使用限制，明确无需本人同意的适用情形，推动数据要素合理流通。豁免同意的核心场景包括：仅用于统计制作（含可归类为统计的AI开发）目的，向第三方提供个人数据、获取公开的敏感个人信息，无需本人同意；从获取场景判断，明显不违背本人意愿、不损害权益的目的外使用、获取敏感个人信息，以及向第三方提供个人信息的情形。优化的特殊场景规则包括：放宽生命保护、公共卫生提升等场景下，“同意获取困难”的认定条件；明确学术研究例外对象包含以医疗提供为目的的机构团体，助力医疗领域学术研究。

二是强化高风险场景规制，筑牢个人信息安全防线。针对高风险个人信息处理行为，新增专项规制，重点保护未成年人与特定生物个人信息，筑牢隐私安全底线。在未成年人保护方面，明确16岁以下未成年人信息处理的同意、通知等事项以法定代理人为对象；放宽未成年人信息停止利用请求要件，明确处理者需优先考虑未成年人最佳利益的法定义务。在生物识别信息保护方面，严格人脸特征等特定生物个人信息管理，强制处理者公示相关处理事项，放宽利用停止请求要件；禁止基于“退出制（opt-out）”制度向第三方提供该类信息，严控敏感生物数据流通。在其他风险防控优化方面，强化受托数据处理规则，强化受托处理企业的个人数据合规义务，明确多层委托的责任边界；调整信息泄露通知规则，针对信息泄露等事件中，对权益侵害风险较低的情形，放宽向本人通知的义务。

三是规范数据流通秩序，防范不当利用行为。针对个人信息第三方提供、数据滥用等问题，修订完善流程规范，压缩违规操作空间，包括：新增“可联络个人（非个人信息但可定向联络特定个人的信息）”相关信息管理规则，禁止该类信息的不当利用与非法获取；完善“退出制（opt-out）”制度第三方提供规则，实行退出制无需同意提供个人信息时，强制确认提供对象身份与利用目的，杜绝盲目提供；明确统计制作等特例场景下的信息使用范围，严禁超公示目的、超必要范围处理数据。

四是完善监管执行规则，加大违法成本以提升惩戒实效。为确保规则落地，全面强化监管权限与惩戒措施，形成命令、劝告、罚款、刑事处罚的全链条约束，包括：优化监管命令与劝告规则，简化违法整改命令要件，可要求违法者通知、公示违法事实；增设对协助违法第三方的监管要求，扩大监管覆盖范围；大幅提升惩戒力度，提高个人信息非法提供、欺诈获取等行为的法定量刑，将加害目的提供、欺诈非法获取个人信息等行为纳入处罚范围；新增高额课征金制度，针对牟利型、大规模恶意违法等行为，责令缴纳相当于违法所得的课征金，有效遏制恶性违规；明确课征金计算、减免、缴纳程序，保障惩戒可执行。

五是配套法律同步修订，实现全领域覆盖。本次修订并非单一法律调整，而是同步完善关联法规，形成协同保护体系，包括：对公共部门的个人信息处理增设专项规则；修订《行政程序中识别个人的号码利用法》，落实16岁以下未成年人信息保护要求；优化医疗领域医疗信息匿名化/假名化相关法律，与《个人信息保护法》修订内容衔接配套，形成全领域、一体化的个人信息保护规则体系。

参考资料：

https://www.ppc.go.jp/news/press/2026/260407/

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。