MONOLITH LAW OFFICE+81-3-6262-3248काम करने के दिन 10:00-18:00 JST [Englsih Only]

MONOLITH LAW MAGAZINE

General Corporate

व्यक्तिगत जानकारी संरक्षण कानून और व्यक्तिगत जानकारी क्या है? वकील की व्याख्या

General Corporate

व्यक्तिगत जानकारी संरक्षण कानून और व्यक्तिगत जानकारी क्या है? वकील की व्याख्या

2015 में संशोधित (2017 से लागू) हुए व्यक्तिगत जानकारी संरक्षण कानून (सटीक रूप से ‘व्यक्तिगत जानकारी की सुरक्षा के संबंध में कानून’) एक महत्वपूर्ण कानून है जो व्यापारिक गतिविधियों में व्यक्तिगत जानकारी के मुद्दों पर विचार करता है, और यह स्पष्ट करता है कि व्यक्तिगत जानकारी संबंधी कार्यों को कानूनी दायित्व क्या होते हैं। व्यक्तिगत जानकारी संबंधी कार्यों के लिए, 2015 के संशोधन के बाद इस शर्त को हटा दिया गया है, जिससे लगभग सभी कंपनियां व्यक्तिगत जानकारी संबंधी कार्यों को संभालने वाली बन गई हैं, और यह छोटे व्यापारों के लिए भी अनिवार्य कानून बन गया है। मेल ऑर्डर, ईमेल न्यूज़लेटर, डीएम प्रकाशन, और भौतिक स्टोर पॉइंट कार्ड आदि के लिए, ग्राहकों के नाम और ईमेल पते जैसी व्यक्तिगत जानकारी को संभालने की आवश्यकता होती है, इसलिए व्यक्तिगत जानकारी संरक्षण कानून के मूल तत्वों को समझना आवश्यक है।

व्यक्तिगत जानकारी सुरक्षा कानून का उद्देश्य और परिभाषा

व्यक्तिगत जानकारी सुरक्षा कानून का सारांश और परिभाषा के बारे में विवरण देते हैं।

व्यक्तिगत जानकारी सुरक्षा कानून (Japanese Personal Information Protection Law) वास्तव में कैसा कानून है? इसका सारांश देखते हैं। सबसे पहले, धारा 1 में, इस कानून का उद्देश्य स्पष्ट किया गया है।

व्यक्तिगत जानकारी सुरक्षा कानून धारा 1
इस कानून का उद्देश्य यह है कि, उच्च स्तरीय सूचना संचार समाज की प्रगति के साथ, व्यक्तिगत जानकारी का उपयोग बड़े पैमाने पर बढ़ रहा है, और इसे ध्यान में रखते हुए, व्यक्तिगत जानकारी के उचित उपयोग के लिए मूल सिद्धांत और सरकार द्वारा नीति निर्माण और अन्य व्यक्तिगत जानकारी सुरक्षा उपायों के मूल तत्वों को निर्धारित करना है। यह राष्ट्र और स्थानीय सार्वजनिक संगठनों की जिम्मेदारियों को स्पष्ट करता है, और व्यक्तिगत जानकारी को संभालने वाले व्यापारियों के पालन करने योग्य कर्तव्यों को निर्धारित करता है, ताकि व्यक्तिगत जानकारी का उचित और प्रभावी उपयोग नए उद्योगों के निर्माण और जीवनशैली के साथ एक जीवनशैली को साकार कर सके। व्यक्तिगत जानकारी की उपयोगिता को ध्यान में रखते हुए, व्यक्तियों के अधिकारों और हितों की सुरक्षा करने का उद्देश्य है।

ऐसा है।

धारा 2 में, व्यक्तिगत जानकारी, व्यक्तिगत डेटा, और धारक व्यक्तिगत डेटा की परिभाषा दी गई है (धारा 2(1), 4, 5)। व्यक्तिगत जानकारी सुरक्षा कानून में “व्यक्तिगत जानकारी” का अर्थ है “जीवित व्यक्ति के बारे में जानकारी”, जिसमें “नाम, जन्म तिथि और अन्य विवरण” शामिल होते हैं, जिससे “विशेष व्यक्ति की पहचान की जा सकती है (अन्य जानकारी के साथ आसानी से मिलान कर सकते हैं, और इससे विशेष व्यक्ति की पहचान की जा सकती है।)। “व्यक्तिगत डेटा” का अर्थ है, उपरोक्त व्यक्तिगत जानकारी को कंप्यूटर द्वारा डेटाबेस में रखा गया है, और उसमें से वह जो व्यापारी 6 महीने या अधिक समय तक रखते हैं, वह “धारक व्यक्तिगत डेटा” है।

व्यक्तिगत जानकारी की सुरक्षा की आवश्यकता डेटाबेसीकरण के आधार पर बड़ी पैमाने पर अलग होती है। व्यक्तिगत डेटा डेटाबेसीकृत होता है, और आसानी से खोज आदि कर सकता है, जो व्यक्तिगत जानकारी का संगठनात्मक रूप होता है और इसकी अधिकार हानि की संभावना अधिक होती है, इसलिए इसे व्यक्तिगत जानकारी से अधिक सुरक्षा प्रदान की जाती है।

और अधिक सुरक्षा धारक व्यक्तिगत डेटा को प्रदान की जाती है, जो व्यक्तिगत जानकारी संभालने वाले व्यापारी को प्रकट करने, सामग्री को सुधारने, जोड़ने या हटाने, उपयोग को रोकने, मिटाने और तीसरे पक्ष को प्रदान करने के लिए अधिकार प्रदान करता है (धारा 2(7)), और धारक व्यक्तिगत डेटा के लिए, व्यक्ति को अपनी जानकारी में उचित रूप से हस्तक्षेप करने की मांग को मानते हुए, प्रकट करने, सुधारने, उपयोग रोकने आदि की मांग को मान्यता दी गई है (अगले विवरण में)।

व्यक्तिगत जानकारी के उपयोग के नियम

व्यक्तिगत जानकारी का अनुचित उपयोग न होने के लिए, उसके उचित उपयोग के नियम के रूप में, व्यक्तिगत जानकारी का उपयोग किस उद्देश्य के लिए किया जा रहा है, इसे स्पष्ट रूप से निर्धारित करने के बाद, उसके उपयोग को उस उद्देश्य की प्राप्ति के लिए आवश्यक सीमा में ही सीमित करना चाहिए।

इसलिए, व्यक्तिगत जानकारी के उपयोग करने वाले व्यापारी को,

  • व्यक्तिगत जानकारी का उपयोग करते समय, उपयोग का उद्देश्य जितना संभव हो सके विशेष रूप से निर्धारित करना चाहिए (धारा 15 की उपधारा 1)
  • उपयोग के उद्देश्य की प्राप्ति के लिए आवश्यक सीमा से अधिक व्यक्तिगत जानकारी का उपयोग नहीं करना चाहिए (धारा 16 की उपधारा 1)
  • झूठी या अन्य अनुचित तरीके से व्यक्तिगत जानकारी प्राप्त नहीं करनी चाहिए (धारा 17 की उपधारा 1)
  • व्यक्तिगत जानकारी प्राप्त करने के मामले में, उपयोग का उद्देश्य व्यक्ति को सूचित करना या प्रकाशित करना चाहिए (धारा 18)

ऐसा कहा गया है। व्यक्तिगत जानकारी संरक्षण कानून (Japanese Personal Information Protection Law) व्यापारी के पास मौजूद व्यक्तिगत जानकारी का उपयोग पहले से ही विशेष रूप से निर्धारित और प्रकाशित उद्देश्य के अनुसार करने की मांग करता है। दूसरे शब्दों में, “व्यक्तिगत जानकारी का उपयोग किसी भी तरह से किया जा सकता है, लेकिन उद्देश्य को विशेष रूप से निर्धारित करके प्रकाशित करना” आवश्यक है। उदाहरण के लिए, “उपयोगकर्ता की विशेषताओं के अनुसार विज्ञापन प्रदर्शित करने के लिए व्यक्तिगत जानकारी का उपयोग करना” अपराधी नहीं है, लेकिन उस उपयोग का उद्देश्य पहले से ही प्रकाशित करना चाहिए। प्रकाशन की विधि को विशेष रूप से निर्धारित नहीं किया गया है, लेकिन “प्राइवेसी पॉलिसी” या “व्यक्तिगत जानकारी संरक्षण नीति” के रूप में इसे करना सामान्य है।

दूसरी ओर, संवेदनशील जानकारी के रूप में जिन्हें विशेष ध्यान देने वाली व्यक्तिगत जानकारी कहा जाता है, उनके बारे में, सामान्य व्यक्तिगत जानकारी की तुलना में अधिक गंभीर, सिद्धांततः व्यक्ति की सहमति के बिना प्राप्त करना प्रतिबंधित है (धारा 17 की उपधारा 2)।

विशेष ध्यान देने वाली व्यक्तिगत जानकारी का अर्थ है,

धारा 2 की उपधारा 3
इस कानून में “विशेष ध्यान देने वाली व्यक्तिगत जानकारी” का अर्थ है, व्यक्ति की जाति, धर्म, सामाजिक स्थिति, रोग इतिहास, अपराध इतिहास, अपराध से हुई हानि और अन्य व्यक्ति के प्रति अनुचित भेदभाव, पक्षपात और अन्य नुकसान न होने के लिए उसके उपयोग में विशेष ध्यान देने की आवश्यकता होती है, जिसे अधिसूचना द्वारा निर्धारित किया जाता है, जिसमें व्यक्तिगत जानकारी शामिल होती है।

और इसमें विकलांगता, स्वास्थ्य परीक्षण के परिणाम, चिकित्सक द्वारा निर्देश, चिकित्सा, दवाई आदि, आपराधिक कार्यवाही किया गया, युवा संरक्षण मामले की कार्यवाही किया गया, इत्यादि शामिल है।

कुछ विशेष अपवाद के बिना, विशेष ध्यान देने वाली व्यक्तिगत जानकारी को व्यक्ति की सहमति के बिना “प्राप्त” करने की अनुमति नहीं होती है, इस पर कठोर नियंत्रण लगाया गया है, क्योंकि विशेष ध्यान देने वाली व्यक्तिगत जानकारी की आवश्यकता होने पर भी यह प्राप्त की जाती है और उसका उपयोग किया जाता है, जिससे भेदभाव और पक्षपात पैदा होने का खतरा होता है।

प्रबंधन और निगरानी के नियम


व्यक्तिगत डेटा की सुरक्षा प्रबंधन को सुनिश्चित करने के लिए, कर्मचारियों पर आवश्यक और उचित निगरानी की जानी चाहिए, ऐसा नियमित किया गया है।

व्यक्तिगत जानकारी का लीक होने या बदल जाने की स्थिति को, बहुत सारे लोग चिंता और असुरक्षा के रूप में महसूस करते हैं। डेटाबेस में रखी गई व्यक्तिगत डेटा के बारे में, ग्राहकों की जानकारी के बड़े पैमाने पर लीक होने आदि, सामाजिक मुद्दों को उत्पन्न करने वाली स्थितियाँ भी बहुत अधिक होती हैं, इसलिए यह और भी महत्वपूर्ण है। इसलिए, व्यक्तिगत जानकारी के व्यवसायों को, व्यक्तिगत डेटा की सुरक्षा प्रबंधन के लिए आवश्यक और उचित उपाय (सुरक्षा प्रबंधन उपाय) लेने की जिम्मेदारी होती है (धारा 20)।

सुरक्षा प्रबंधन की उल्लंघना

वास्तव में, व्यक्तिगत जानकारी के इंटरनेट पर लीक होने या बाहर निकलने के मामलों में, अधिकांश मामलों में सुरक्षा प्रबंधन की उल्लंघना मानी जाती है, और छोटे और मध्यम व्यापारों के लिए भी उनकी विशेषताओं को ध्यान में रखते हुए सुरक्षा प्रबंधन उपायों की सामग्री “व्यक्तिगत जानकारी की सुरक्षा के बारे में दिशानिर्देश (सामान्य संस्करण)” (व्यक्तिगत जानकारी सुरक्षा समिति) में स्पष्ट रूप से लिखी गई है, इसलिए इस दिशानिर्देश के अनुसार कार्य करना, व्यक्तिगत जानकारी सुरक्षा कानून धारा 20 का पालन करने के साथ-साथ, इंटरनेट सहित लीक होने वाले मामलों के कारण प्राइवेसी की हानि के कारण अवैध कार्य की जिम्मेदारी से बचने के लिए भी महत्वपूर्ण है।

हालांकि, किसी भी प्रणाली या सिस्टम को कितना भी सुव्यवस्थित करने के बावजूद, उसका उचित उपयोग अंततः व्यक्तियों को सौंपा जाना चाहिए, इसलिए “व्यक्तिगत जानकारी के व्यवसायों को, उनके कर्मचारियों को व्यक्तिगत डेटा का उपयोग करने के लिए, व्यक्तिगत डेटा की सुरक्षा प्रबंधन को सुनिश्चित करने के लिए, कर्मचारियों पर आवश्यक और उचित निगरानी की जानी चाहिए” (धारा 21)।

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

वैसे, कर्मचारियों द्वारा ग्राहक डेटा की बिक्री या ले जाने आदि, उस कर्मचारी को खुद को अवैध कार्य की जिम्मेदारी (सिविल कोड धारा 709) उठानी पड़ती है, साथ ही व्यक्तिगत जानकारी के व्यवसायों को भी उपयोगकर्ता की जिम्मेदारी उठाने की संभावना होती है (सिविल कोड धारा 715), इसलिए सतर्क रहना आवश्यक है।

“तीसरे पक्ष को प्रदान करना” और “ठेका”

व्यक्तिगत जानकारी सुरक्षा कानून में, पहले से ही प्रकाशित उद्देश्य के लिए भी, ग्राहकों की व्यक्तिगत जानकारी को “तीसरे पक्ष” को प्रदान करना, सहमति के बिना मूल रूप से प्रतिबंधित है। हालांकि, इस नियम को आगे बढ़ाते हुए, “ग्राहकों के बारे में डेटाबेस को रेंटल सर्वर आदि पर रखना भी अवैध हो जाता है।” रेंटल सर्वर व्यापारी के लिए “तीसरा पक्ष” होता है।

हालांकि, “तीसरे पक्ष को प्रदान करने” में, “ठेका” को अपवाद के रूप में माना जाता है, और उस जानकारी का उपयोग न करने वाले व्यक्ति को “ठेका” दिया जा सकता है। उदाहरण के लिए, रेंटल सर्वर सिर्फ जानकारी को संग्रहित करता है, उसका उपयोग नहीं करता। इस प्रकार, तीसरे पक्ष को व्यक्तिगत जानकारी का उपयोग करने का ठेका देना आमतौर पर किया जाता है, लेकिन ठेकेदार द्वारा अनुचित उपयोग करने या हायरार्किकल ठेका को बार-बार दोहराने से जिम्मेदारी का स्थान अस्पष्ट हो जाने आदि की स्थिति से बचने के लिए, “व्यक्तिगत जानकारी के व्यवसायों को, व्यक्तिगत डेटा के उपयोग का पूरा या एक हिस्सा ठेके पर देने के मामले में, व्यक्तिगत डेटा की सुरक्षा प्रबंधन को सुनिश्चित करने के लिए, ठेका लेने वाले पर आवश्यक और उचित निगरानी की जानी चाहिए” (धारा 22)।

व्यक्तिगत जानकारी के उचित उपयोग के लिए स्वयं की हस्तक्षेप


व्यक्तिगत जानकारी सुरक्षा कानून व्यक्तिगत जानकारी और गोपनीयता के मुद्दों पर विचार करने के लिए सबसे महत्वपूर्ण कानूनों में से एक है।

व्यक्तिगत जानकारी सुरक्षा कानून (Japanese Personal Information Protection Law) ने व्यक्तिगत जानकारी के उचित उपयोग के लिए स्वयं की हस्तक्षेप को सुनिश्चित करने के लिए, व्यक्ति को अपनी व्यक्तिगत जानकारी के संबंध में व्यक्तिगत जानकारी व्यवसायी से प्रकटीकरण (धारा 28), सुधार/अतिरिक्त/हटाने (धारा 29), उपयोग रोकने आदि (धारा 30) का अनुरोध करने की अनुमति देता है। ये सभी हस्तक्षेप स्वीकृत निवेदन अधिकार हैं, और यदि व्यक्तिगत जानकारी व्यवसायी इसे मान्य नहीं करता है, तो आप अदालत के माध्यम से अपने अधिकारों को प्राप्त कर सकते हैं।

व्यक्तिगत जानकारी व्यवसायी को जानकारी के मूल व्यक्ति की मांग पर, अपनी व्यक्तिगत जानकारी को प्रकट करना होगा, और यदि सामग्री में कोई त्रुटि होती है, तो उसे सुधारना होगा, और यदि वे कानूनी दायित्व का उल्लंघन करते हैं, जैसे कि उद्देश्य के बाहर उपयोग, अनुचित प्राप्ति की विधि, या तीसरे पक्ष को बिना सहमति के प्रदान करते हैं, तो उन्हें जानकारी का उपयोग रोकना होगा। इस प्रकार, व्यक्तिगत जानकारी सुरक्षा कानून व्यक्तिगत जानकारी को संभालने वाले व्यवसायों पर विभिन्न दायित्वों को लागू करके, नागरिकों के अधिकारों की सुरक्षा करने का प्रयास करता है।

व्यक्तिगत जानकारी के रिसाव की सजा

व्यक्तिगत जानकारी संरक्षण कानून (Japanese Personal Information Protection Law) में, यदि कोई व्यापारी व्यक्तिगत जानकारी का रिसाव कर देता है, तो उसके लिए सजा का प्रावधान किया गया है।

यदि कोई व्यापारी व्यक्तिगत जानकारी संरक्षण कानून का उल्लंघन करता है और जानकारी का रिसाव कर देता है, तो सबसे पहले उसे देश की तरफ से “उल्लंघन कार्य को रोकने और अन्य उल्लंघनों को सुधारने के लिए आवश्यक कदम उठाने की सलाह” दी जाती है (धारा 42)। यदि इसका भी उल्लंघन किया जाता है, तो उल्लंघन करने वाले कर्मचारी के खिलाफ “6 महीने तक की कारावास या 30,000 येन (जपानी मुद्रा) तक का जुर्माना” लगाया जा सकता है (धारा 84), और उस कर्मचारी को नौकरी देने वाली कंपनी के खिलाफ भी “30,000 येन तक का जुर्माना” लगाया जा सकता है (धारा 85)। इसके अलावा, यदि किसी ने अनुचित लाभ के उद्देश्य से प्रदान किया, या चोरी की है, तो “1 वर्ष तक की कारावास या 50,000 येन तक का जुर्माना” (धारा 83) के बिना सलाह दी जाती है।

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

सारांश

व्यक्तिगत जानकारी सुरक्षा कानून (Japanese Personal Information Protection Law) एक ऐसा कानून है जो व्यक्तिगत जानकारी को संभालने वाले व्यापारियों को उचित रूप से व्यक्तिगत जानकारी का प्रबंधन करने और सुरक्षा प्रबंधन के लिए आवश्यक और उचित उपाय करने की आवश्यकता होती है। यह लगभग सभी कंपनियों के लिए एक अत्यधिक महत्वपूर्ण कानून है जिसे नजरअंदाज नहीं किया जा सकता है।

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

ऊपर लौटें