Объяснение 'штрафов' в Измененном Законе о защите персональных данных в эпоху Рейва 4 год (2022 год)

С апреля 2022 года (2022 год по Григорианскому календарю) вступил в силу измененный Японский закон о защите персональных данных. После обсуждения важных моментов, связанных с “Обязанностями бизнеса” в соответствии с измененным Японским законом о защите персональных данных 2022 года, на этот раз мы обсудим вопросы использования данных и штрафные санкции.

Обзор изменений в Законе о защите персональных данных в 2022 году (4 год эры Рейва)

Изменения в Законе о защите персональных данных в 2022 году касаются следующих шести пунктов:

1. Суть прав индивидуума
2. Суть обязанностей, которые должен соблюдать бизнес
3. Суть механизма поощрения самостоятельных усилий со стороны бизнеса
4. Суть использования данных
5. Суть штрафов
6. Суть применения закона за пределами страны и трансграничной передачи

В статье «Обзор изменений в Законе о защите персональных данных в 2022 году. Обязанности бизнеса[ja]» мы рассмотрели пункты (1) и (2) изменений. Здесь мы рассмотрим пункты (3), (4), (5) и (6).

Связанные статьи: Что такое Закон о защите персональных данных и персональные данные? Объясняет адвокат[ja]

Способы стимулирования самостоятельных инициатив бизнеса

В связи с разнообразием бизнес-практик и прогрессом IT-технологий, растет важность механизмов, стимулирующих самостоятельные инициативы бизнеса. В частности, частные организации разрабатывают собственные правила обработки персональных данных в определенных областях и активно проводят инструктажи для соответствующих предприятий.

В Законе о защите персональных данных Японии (Japanese Personal Information Protection Act), помимо Комиссии по защите персональных данных, предусмотрена защита информации с использованием частных организаций, и установлена система аккредитации. Организации, обрабатывающие жалобы на обработку персональных данных и предоставляющие информацию о правильной обработке персональных данных предприятиям, могут получить аккредитацию от Комиссии по защите персональных данных и стать “Аккредитованной организацией по защите персональных данных”. В соответствии с поправками к закону, система аккредитации теперь позволяет аккредитовать организации, которые работают в определенных областях (отделах) бизнеса (статья 47, пункт 2). Это инициатива, направленная на продвижение использования аккредитованных организаций на уровне предприятий и на продвижение защиты персональных данных с использованием специализированных знаний организаций, работающих в определенных областях бизнеса.

Способы использования данных

Были внесены следующие два изменения в отношении способов использования данных:

Создание “псевдонимизированной информации” и смягчение обязательств (статья 2, пункт 9)

В соответствии с действующим законодательством, информация, просто анонимизированная, по-прежнему считается “персональной информацией”, и операторы обязаны соблюдать различные обязательства в отношении обработки персональной информации. Однако, по отношению к этой “анонимизированной персональной информации”, существует растущий спрос на ее использование для более подробного анализа с помощью относительно простых методов обработки, обеспечивая при этом определенный уровень безопасности и сохраняя полезность данных на уровне, сопоставимом с персональной информацией до обработки.

В ответ на это, в измененном законе была создана “псевдонимизированная информация”, в которой удаляются имена и т.д., и обязательства, такие как ответ на запросы о раскрытии и прекращении использования, смягчаются при условии, что они ограничены внутренним анализом, с целью стимулирования инноваций.

Созданная псевдонимизированная информация – это “информация о личности, полученная путем обработки персональной информации таким образом, что определенное лицо не может быть идентифицировано без сопоставления с другой информацией”. Например, “имя, возраст, дата, время, сумма, магазин” обрабатываются в “псевдо-ID, возраст, дата, время, сумма, магазин”. Предполагаемые примеры использования включают “внутренний анализ для новых целей, которые не соответствуют первоначальной цели использования, или для которых сложно сделать решение” (обучение моделей машинного обучения для исследований в медицинской и фармацевтической областях, обнаружение мошенничества, прогнозирование продаж), “обработка и хранение персональной информации, которая достигла своей цели использования, как псевдонимизированная информация, поскольку она может быть использована для статистического анализа в будущем”.

Что касается метода создания псевдонимизированной информации, как минимум, требуется принять следующие меры:

• Удаление всей или части записи, которая может идентифицировать определенное лицо (например, имя) (включая замену. То же самое далее)
• Удаление всего персонального идентификационного кода
• Удаление записи, которая может привести к материальному ущербу в случае неправомерного использования (например, номер кредитной карты)

Требуется принять такие меры.

Обязательство проверки информации, которая предположительно станет персональными данными у получателя (статья 26-2)

В соответствии с действующим законодательством, даже если предполагается, что информация, которая не является персональными данными у поставщика, станет персональными данными у получателя, она не подпадает под регулирование. Однако, в измененном законе, даже если информация не является персональными данными у поставщика, но предполагается, что она станет персональными данными у получателя, требуется получение согласия субъекта данных и т.д. при передаче такой информации третьим лицам.

Технологии, которые позволяют собирать большое количество пользовательских данных и мгновенно объединять их в персональные данные, развиваются и распространяются, и схемы, которые обходят цели закона о защите персональных данных, предоставляя информацию третьим лицам как неличные данные, зная заранее, что они станут персональными данными у получателя, становятся все более распространенными. Это вызывает опасения, что методы сбора персональной информации без участия субъекта данных будут распространяться.

О штрафных санкциях

Были внесены следующие две поправки в отношении штрафных санкций.

Увеличение уголовного наказания за нарушение приказов Комитета и представление Комитету ложных сведений (статьи 83, 87 и др.)

В свете увеличения случаев нарушения закона, количество случаев, когда требуется сбор отчетов и проведение проверок на месте, также растет. С целью повышения эффективности сбора отчетов и проведения проверок на месте, которые являются ключевыми для понимания деятельности предприятий, в измененном законе уголовное наказание было увеличено.

В настоящее время, “нарушение приказов Японского комитета по защите персональных данных” наказывается лишением свободы на срок до 6 месяцев или штрафом до 300 тысяч иен, но в измененном законе это наказание увеличено до лишения свободы на срок до 1 года или штрафа до 1 миллиона иен. “Незаконное предоставление баз данных персональных данных и т.д.” остается наказуемым лишением свободы на срок до 1 года или штрафом до 500 тысяч иен, но “представление ложных сведений Японскому комитету по защите персональных данных” теперь наказывается штрафом до 500 тысяч иен, вместо прежнего штрафа до 300 тысяч иен.

Увеличение штрафа для юридических лиц (статьи 84, 85 и др.)

В настоящее время, размер штрафа для юридических лиц равен уголовному наказанию для лица, совершившего преступление. Однако, учитывая разницу в финансовых возможностях между юридическими и физическими лицами, в измененном законе максимальный размер штрафа для юридических лиц за нарушение приказов и т.д. был увеличен. Это решение основано на том, что ожидать достаточного эффекта сдерживания от наказания юридического лица штрафом в размере, равном штрафу для лица, совершившего преступление, нереально.

“Нарушение приказов Японского комитета по защите персональных данных” юридическими лицами в настоящее время наказывается штрафом до 300 тысяч иен, равным штрафу для лица, совершившего преступление, но в измененном законе этот штраф увеличен до 100 миллионов иен. “Незаконное предоставление баз данных персональных данных и т.д.” в настоящее время наказывается штрафом до 500 тысяч иен, равным штрафу для лица, совершившего преступление, но в измененном законе этот штраф увеличен до 100 миллионов иен. Однако, “представление ложных сведений Японскому комитету по защите персональных данных” по-прежнему наказывается штрафом до 500 тысяч иен, равным штрафу для лица, совершившего преступление.

Применение закона за пределами территории и перенос данных через границы

В отношении применения закона за пределами территории и переноса данных через границы были внесены следующие два изменения.

Усиление экстерриториального применения (Статья 75)

В действующем законодательстве полномочия, которые могут быть применены к иностранным операторам, подпадающим под экстерриториальное применение, ограничивались полномочиями без принуждения, такими как руководство и советы, а также рекомендации. Однако, существует опасность, что комиссия не сможет адекватно реагировать на инциденты утечки данных за рубежом, поэтому в измененном законе иностранные операторы, обрабатывающие личные данные и т.д., связанные с предоставлением товаров или услуг в Японии, становятся объектом сбора отчетов и приказов, обеспеченных санкциями, усиливая тем самым полномочия Комиссии по защите личных данных.

Улучшение предоставления информации субъекту данных о обработке личных данных у получателя данных (Статья 78)

В некоторых странах начинают появляться государственные регулирующие ограничения, и по мере расширения возможностей для переноса данных через границы, различия в системах между странами и регионами делают предсказуемость для лиц и операторов, обрабатывающих данные, нестабильной, вызывая опасения с точки зрения защиты прав и интересов лиц.

В ответ на это, при предоставлении личных данных третьим лицам за рубежом, требуется улучшение предоставления информации субъекту данных о обработке личных данных у получателя данных, и в качестве условий для предоставления личных данных третьим лицам за рубежом, в действующем законодательстве требование “согласие субъекта данных” было заменено на обязательное “предоставление информации субъекту данных о названии страны получателя, наличии или отсутствии системы защиты личных данных в стране получателя при получении согласия”, а требование “оператор, имеющий систему, соответствующую стандартам”, было заменено на обязательное “регулярная проверка состояния обработки данных получателем + предоставление соответствующей информации по запросу субъекта данных”.

Заключение

Первые изменения в Закон о защите персональных данных (Японский ~) 2022 года, основанные на положении о пересмотре каждые три года, включают расширение остановки использования и удаления, запрет неправильного использования, улучшение предоставления информации, связанной с трансграничной передачей, создание “анонимизированной информации” и т.д. Это направлено на усиление защиты прав и интересов личности, усиление использования, реагирование на новые риски, связанные с увеличением трансграничного обмена данными, и адаптацию к эпохе ИИ и больших данных.

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма Monolith обладает высокой специализацией в области IT, особенно в интернете и праве. Недавно измененный Японский закон о защите личных данных привлекает внимание, и потребность в юридической проверке все больше увеличивается. Наша фирма предлагает решения в области интеллектуальной собственности. Подробности приведены в статье ниже.

https://monolith.law/practices/corporate[ja]