Hva innebærer endringen i den japanske telekommunikasjonsloven i Reiwa 5 (2023)? En detaljert forklaring om cookie-regulering

Den planlagte endringen av den japanske loven om telekommunikasjonstjenester, som trer i kraft i Reiwa 5 (2023), tar hensyn til miljøendringene rundt telekommunikasjonstjenester. For å sikre en smidig tjenestelevering og beskytte brukerne, vil det bli gjennomført ulike regelendringer. Blant disse er reguleringen av informasjonskapsler (Cookies) spesielt bemerkelsesverdig.

For øyeblikket benytter et bredt spekter av nettjenester informasjonskapsler, og mange bedrifter er opptatt av hvordan endringen av den japanske loven om telekommunikasjonstjenester vil påvirke driften av nettjenester. Det forventes også betydelige endringer i fremtidig webmarkedsføring.

I denne artikkelen vil vi introdusere den japanske loven om telekommunikasjonstjenester, som ble vedtatt i juni 2022 og trer i kraft innen 17. juni 2023, samt de tilhørende forskriftene som er utarbeidet. Vi vil også forklare detaljert om den bemerkelsesverdige reguleringen av informasjonskapsler.

Oversikt over endringer i den japanske loven om telekommunikasjonstjenester

Den japanske loven om telekommunikasjonstjenester er en lov som tar hensyn til telekommunikasjonstjenestenes offentlige karakter, og har som mål å sikre at driften er rettferdig og rasjonell, fremme rettferdig konkurranse mellom operatører, og beskytte brukernes interesser (japansk lov om telekommunikasjonstjenester, artikkel 1). For å si det på en enklere måte, har loven som mål å etablere et system som sikrer at internett- og mobiltelefontjenester leveres jevnt, og dermed sikre brukernes interesser og nasjonens bekvemmelighet.

Virksomheter som faller inn under kategorien “telekommunikasjonsoperatører” er de som tilbyr informasjons- og kommunikasjonsinfrastruktur som telefon og internett. I denne endringen vil følgende justeringer bli implementert, inkludert en utvidelse av omfanget av de berørte operatørene.

• Gjøre telekommunikasjonstjenester til universelle tjenester, på lik linje med elektrisitet, gass og vann
• Inkludere søkemotorer og sosiale medier som meldepliktige tjenester
• Fremme rettferdig konkurranse mellom store mobiloperatører og lavpris-SIM-leverandører

Siden 2020 har fjernarbeid, nettmøter og fjernundervisning blitt raskt vanlig. Internettmiljøet er nå en infrastruktur som alle må ha tilgang til, på lik linje med elektrisitet og gass. I denne endringen er det opprettet et tilskuddssystem for å sikre at internettleverandører kan tilby stabile tjenester selv i områder hvor det ikke er lønnsomt.

Omfanget av “telekommunikasjonsoperatører” endres også. Store søketjenester og sosiale medier som tidligere var unntatt, vil nå bli regulert. Dette betyr at store søkemotorer som Google, og sosiale medier som Twitter og Instagram, vil bli meldepliktige hvis de overstiger en viss størrelse.

Følgende er betingelsene for operatører som nå blir meldepliktige.

1. Søkeinformasjonstjenester (som Google): Mer enn 10 millioner brukere og tverrfaglige søketjenester
2. Meglingstjenester (som Twitter): Mer enn 10 millioner brukere og hovedsakelig formidler interaksjon mellom ubestemte brukere

For å fremme rettferdig konkurranse mellom de tre store mobiloperatørene og andre MVNO-er, er det også spesifisert at de må oppgi metoder for prisberegning.

Hva er den nyopprettede “Spesifikke Brukerinformasjonen”?

Ved forskriften om gjennomføring av den japanske loven om telekommunikasjonstjenester, ble konseptet “Spesifikke Brukerinformasjonen” opprettet. De som omfattes av reguleringen er telekommunikasjonsleverandører som tilbyr tjenester med stor innvirkning på brukernes interesser. Konkret gjelder dette leverandører med over 10 millioner aktive brukere per måned for gratistjenester, eller over 5 millioner for betalte tjenester. Eksempler inkluderer fasttelefon- og mobiltelefonleverandører, internettleverandører, søketjenester som Google, og sosiale medier som Twitter.

“Spesifikke Brukerinformasjonen” refererer til informasjon som kan identifisere brukere, som e-post og telefonlogger, bruker-IDer og nummer (jf. forskriften om gjennomføring av den japanske loven om telekommunikasjonstjenester[ja] artikkel 2-2, artikkel 22-2-21). Når det gjelder håndtering av denne informasjonen, har leverandørene følgende plikter (jf. samme forskrift artikkel 22-2-22). Informasjon lagret i cookies er også inkludert i denne spesifikke brukerinformasjonen.

1. Utarbeide og melde inn retningslinjer for håndtering
2. Utarbeide og offentliggjøre håndteringspolicy
3. Selvevaluere håndteringsstatus hvert regnskapsår og reflektere dette i retningslinjer og policy
4. Utnevne og melde inn en ansvarlig leder for ovennevnte
5. Rapportere ved lekkasje

Leverandører som håndterer spesifikke brukerinformasjon har plikt til å utarbeide og offentliggjøre en håndteringspolicy. De må også gjennomføre selvevalueringer av teknologiske trender og risikoer for cyberangrep, og revidere policyen etter behov.

Videre må de utnevne en ansvarlig leder med minst tre års erfaring, og rapportere til den japanske ministeren for interne saker og kommunikasjon uten forsinkelse dersom informasjon om mer enn 1,000 brukere lekker.

Den mest betydningsfulle endringen i denne revisjonen er opprettelsen av regler for ekstern overføring, kjent som cookie-regulering. Dette vil bli forklart nærmere nedenfor.

Kodifiserte Cookie-reguleringer

Hva er en Cookie? Fordeler og utfordringer

En cookie refererer til en mekanisme som lagrer informasjon om brukere som besøker et nettsted i nettleseren. For å forklare det litt mer detaljert, er det en fil som en webserver lagrer på en enhet som en PC, smarttelefon eller nettbrett når en bruker får tilgang til webserveren. Webserveren kan referere til cookien som er lagret på brukerens enhet når den mottar tilgang fra brukeren.

Dette gjør at systemet kan gjenkjenne brukeren som en tidligere besøkende når de får tilgang til en webtjeneste de har brukt før. For eksempel, når du handler på en e-handelsnettsted, har du kanskje opplevd at produkter du la i handlekurven fortsatt er der når du går tilbake til handlekurven etter å ha sett på andre sider. Faktisk brukes cookies i denne mekanismen.

En cookie er enkelt sagt data som samler en rekke brukeropplysninger, som en ID for å identifisere brukeren, dato og antall besøk på nettstedet. Fordi cookies kan identifisere brukeren, kan de gi optimal informasjon når brukeren besøker nettstedet for andre gang eller flere ganger.

Ved å bruke cookies er det også mulig å samle inn personlig informasjon uten brukerens viten. Ved å samle informasjon om hvilken bruker som får tilgang til hvilke nettsteder fra hvilke enheter, kan man analysere brukerens interesser og preferanser.

Imidlertid kan de fleste brukere ikke vite når og hvilken data som blir registrert av cookies, og hvilken data som sendes til serveren. Det er også mulig for tredjeparts selskaper å bruke cookie-data til forretningsformål uten brukerens kjennskap. Derfor, fra et personvernsperspektiv, ble cookies klassifisert som “personlig relatert informasjon” i henhold til endringen av den japanske personopplysningsloven i april 2022 (Reiwa 4).

Inntil nå har mange nettstedsoperatører brukt cookies for å forstå brukerinformasjon og implementere mer nøyaktige og effektive markedsføringsstrategier. Imidlertid har bruken av cookies for personvernbrudd blitt et problem i mange land, inkludert EU, og tiltak har blitt iverksatt. Mange har kanskje lagt merke til meldinger som ber om samtykke til bruk av cookies når de besøker nettsteder i EU.

Førsteparts-Cookies og Tredjeparts-Cookies

Cookies kan grovt sett deles inn i to typer: førsteparts-Cookies og tredjeparts-Cookies.

Førsteparts-Cookies er Cookies som utstedes direkte fra domenet til nettstedet brukeren besøker. Med andre ord, “domenet som utsteder Cookien” = “domenet til det besøkte nettstedet”. Førstepart (first party) betyr “parten selv”. Siden utvekslingen av Cookies fullføres mellom serveren til nettstedet brukeren besøker og brukerens enhet, kalles de førsteparts-Cookies.

På den annen side er tredjeparts-Cookies Cookies som utstedes fra en server (tredjepart) som ikke er det besøkte nettstedet. Siden utvekslingen av Cookies ikke fullføres mellom serveren til det besøkte nettstedet og brukerens enhet, men også involverer andre servere, kalles de tredjeparts-Cookies.

Med endringen i den japanske Telekommunikasjonsvirksomhetsloven (den japanske Telekommunikasjonsvirksomhetsloven), er det hovedsakelig bruken av tredjeparts-Cookies som blir regulert.

Tredjeparts-Cookies kan samle inn informasjon om brukerens nettleserhistorikk på tvers av flere domener. Hvis man kan samle inn nettleserhistorikken til en enhet, kan man profilere hva brukeren av den enheten er interessert i. Når brukerens interesser profileres og brukes til reklame uten at brukeren er klar over det, kan det føre til bekymring og skape problemer fra et personvernperspektiv. Mange har nok opplevd at annonser for nettsteder de tidligere har besøkt eller relaterte produkter vises ofte.

I Japan har det hittil ikke eksistert noen juridiske regler som direkte regulerer bruken av Cookies. I en rapport publisert av det japanske Institutt for Informasjons- og Kommunikasjonspolitikk i mars 2010 (Heisei 22) om de økonomiske effektene av atferdsrettet reklame og beskyttelse av brukere, ble det uttalt at det er ønskelig at virksomheter som bruker målrettet reklame, tydeliggjør bruken og innhenter forhåndssamtykke. Som ordet “ønskelig” antyder, var det ingen klare juridiske forpliktelser.

Den nåværende endringen i den japanske Telekommunikasjonsvirksomhetsloven går et skritt videre fra “ønskelig” til “må gjøre”, og kan sees som et trekk mot å etablere juridiske regler som direkte regulerer bruken av Cookies.

Innholdet i Cookie-reguleringen

Den reviderte japanske telekommunikasjonsloven artikkel 27-12 sier: “Når man ønsker å utføre en informasjonsoverføringskommando til brukerens telekommunikasjonsutstyr ved levering av telekommunikasjonstjenester til brukeren, må man på forhånd, i henhold til forskrifter fastsatt av det japanske kommunikasjonsdepartementet, informere brukeren om innholdet i informasjonen som vil bli sendt ved hjelp av informasjonsoverføringsfunksjonen som aktiveres av denne kommandoen, mottakerens telekommunikasjonsutstyr, og andre forhold fastsatt av det japanske kommunikasjonsdepartementet, eller gjøre det lett tilgjengelig for brukeren.”

Selv om lovteksten kan være litt komplisert, kan den oppsummeres som følger:

• Når man leverer telekommunikasjonstjenester (altså nettjenester) til brukeren
• og ønsker å utføre en informasjonsoverføringskommando til brukerens telekommunikasjonsutstyr (datamaskin eller smarttelefon)

må man enten informere brukeren om de nødvendige forholdene eller gjøre dem lett tilgjengelige for brukeren.

Så, hva refererer de “nødvendige forholdene” som skal informeres brukeren om, konkret til?

I henhold til den reviderte japanske telekommunikasjonsloven artikkel 27-12 og den reviderte japanske telekommunikasjonslovens gjennomføringsforskrift artikkel 22-2-29, må man, når man ønsker å utføre en slik informasjonsoverføringskommando, enten informere brukeren om følgende forhold eller gjøre dem lett tilgjengelige for brukeren:

• Innholdet i “informasjonen om brukeren” som skal sendes
• Navnet på personen eller enheten som håndterer “informasjonen om brukeren” ved hjelp av mottakerens server
• Formålet med å bruke “informasjonen om brukeren” som skal sendes

Med andre ord, når man bruker Cookies som faller inn under Cookie-reguleringen, må man enten implementere et system for å informere brukeren om den innsamlede Cookie-informasjonen, mottakeren og formålet med bruken, eller offentliggjøre en Cookie-policy slik at brukeren lett kan få tilgang til denne informasjonen.

Fire unntak fra Cookie-regulering

Den reviderte japanske telekommunikasjonsloven artikkel 27-12 fastsetter at det i følgende fire tilfeller ikke er nødvendig å varsle brukeren om bestemte forhold eller gjøre dem lett tilgjengelige for brukeren.

1. Informasjon som er nødvendig for å vise koder, lyd eller bilder som sendes i den aktuelle telekommunikasjonstjenesten korrekt på brukerens telekommunikasjonsutstyr, eller annen informasjon som er nødvendig for at brukeren skal kunne bruke telekommunikasjonstjenesten, som fastsatt av det japanske kommunikasjonsdepartementet.

I henhold til den reviderte japanske telekommunikasjonslovens gjennomføringsforskrift artikkel 22-2-30, gjelder følgende:

• Informasjon som er virkelig nødvendig for å tilby tjenesten
• Informasjon som er nødvendig for å vise informasjonen brukeren har skrevet inn ved bruk av tjenesten (inkludert autentiseringsinformasjon) på nytt
• Informasjon som er nødvendig for å oppdage svindel eller redusere skade
• Informasjon som er nødvendig for korrekt drift av serveren

2. Identifikasjonskoder som telekommunikasjonsleverandøren eller en tredjepartsleverandør sender til brukerens telekommunikasjonsutstyr når de tilbyr telekommunikasjonstjenesten, og som sendes tilbake til telekommunikasjonsleverandørens eller tredjepartsleverandørens telekommunikasjonsutstyr ved hjelp av informasjonssendingsfunksjonen som aktiveres av informasjonssendingskommandoen.

Dette kan være litt komplisert, men det refererer til tilfeller der en leverandør sender en ID til brukerens enhet og denne ID-en sendes tilbake til leverandørens server. Med andre ord, dette unntaket gjelder for førsteparts-cookies, mens tredjeparts-cookies er underlagt regulering.

3. Informasjon som brukeren har samtykket til å motta på sitt telekommunikasjonsutstyr

Den ofte sett setningen “Samtykker du til bruk av cookies?” er på grunn av denne bestemmelsen. For brukere som har gitt sitt samtykke, er det ikke nødvendig med ytterligere varsler.

4. Informasjon som oppfyller følgende betingelser, og som brukeren ikke har bedt om å anvende tiltak for i henhold til de relevante bestemmelsene

Dette refererer til tilfeller der brukeren har mulighet til å velge bort innsamling og bruk av cookie-informasjon når som helst, kjent som opt-out-tiltak.

Oppsummering: Rådfør deg med eksperter for å håndtere endringer i den japanske loven om telekommunikasjonstjenester

Den raske utviklingen av nettjenester har ført til svært hyppige lovendringer på dette området. På grunn av de raske endringene er det lite litteratur tilgjengelig, og det kan være utfordrende å holde seg oppdatert med den nyeste informasjonen og tilpasse seg deretter.

Vi anbefaler at du søker råd fra eksperter når du skal håndtere den japanske loven om telekommunikasjonstjenester og tilhørende forskrifter.

Veiledning om tiltak fra vårt firma

Monolith Advokatfirma er et advokatfirma med omfattende erfaring innen IT, spesielt internett og jus. Den reviderte japanske loven om telekommunikasjonstjenester er kompleks, og det kan være vanskelig å forstå den uten spesialkunnskap. For å drive virksomhet lovlig, er det nødvendig med juridisk gjennomgang, så vi oppfordrer deg til å konsultere oss. Detaljer er beskrevet i artikkelen nedenfor.

Monolith Advokatfirmas praksisområder: IT og oppstartsbedrifters selskapsrett[ja]