Отношение между Японским законом о защите персональных данных и нарушением приватности

Информация, защищаемая как личная, включает в себя типичные персональные данные, такие как имя, адрес и т.д. Например, есть прецедент, когда студенческий номер, адрес, имя и телефонный номер студента, участвовавшего в лекции, организованной университетом, были признаны информацией, подлежащей юридической защите в качестве личной информации, и действия университета, раскрывшего эту информацию полиции без согласия студента, были признаны незаконными (решение Верховного Суда от 12 сентября 2003 года (Григорианский календарь)).

Хотя право на приватность не регламентируется явно в Законе о защите персональных данных (Японский Закон о защите персональных данных), если персональные данные защищаются как приватность, как мы должны рассматривать связь между незаконными действиями, нарушающими приватность, и Законом о защите персональных данных?

Связь между нарушением Закона о защите персональных данных (Японский Закон о защите персональных данных) и незаконными действиями

В отношении связи между нарушением Закона о защите персональных данных и незаконными действиями обычно принимается точка зрения, известная как “теория строгого разделения”. Даже если обработка персональных данных оператором персональных данных формально нарушает Закон о защите персональных данных, административные меры могут быть приняты Комиссией по защите персональных данных, но это не обязательно означает, что будут признаны требования о возмещении ущерба на основании незаконных действий и т.д. Напротив, действия, которые не формально нарушают Закон о защите персональных данных, такие как предоставление персональных данных третьим лицам, могут быть признаны незаконными действиями, нарушающими приватность.

В случае признания незаконных действий из-за нарушения Закона о защите персональных данных (Японский Закон о защите персональных данных)

Был случай, когда потерпевший в автомобильной аварии обратился в больницу, получил рецепт и купил лекарства в аптеке, которую управлял ответчик. Ответчик без разрешения потерпевшего передал страховой компании автомобильного страхования детализацию медицинских услуг, в которой указаны дата рождения потерпевшего, название медицинского учреждения, в котором он был осмотрен, и название прописанных ему лекарств. В ответ на это, потерпевший потребовал выплаты компенсации за ущерб на основании незаконных действий.

Суд вначале установил, что ответчик является компанией, управляющей аптекой, и является оператором обработки персональных данных в соответствии с Законом о защите персональных данных. Ответчик утверждал, что “обычной практикой является предоставление информации о медицинском обслуживании в ответ на запросы от страховых компаний для облегчения выплаты денег потерпевшим. Таким образом, можно считать, что потерпевший подразумевал свое согласие на раскрытие информации, указанной в детализации медицинских услуг, страховой компании”. Однако, суд, ссылаясь на статью 23, пункт 1 Закона о защите персональных данных, которая гласит: “Операторы обработки персональных данных не должны предоставлять персональные данные третьим лицам без предварительного согласия субъекта данных, за исключением случаев, предусмотренных законом”,

Операторы обработки персональных данных в соответствии с Законом о защите персональных данных, за исключением случаев, предусмотренных законом, не должны предоставлять персональные данные третьим лицам без предварительного согласия субъекта данных (статья 23, пункт 1 этого Закона). Нет достаточных доказательств того, что потерпевший согласился на передачу детализации медицинских услуг, в которой указаны прописанные ему лекарства, страховой компании ответчика. Таким образом, действия ответчика являются незаконными, поскольку они противоречат Закону о защите персональных данных, и ответчик обязан возместить ущерб потерпевшему на основании незаконных действий.

Решение Токийского окружного суда от 24 января 2013 года (2013 год по Григорианскому календарю)

Хотя в решении не упоминается “нарушение приватности”, это можно считать судебным прецедентом, признающим нарушение Закона о защите персональных данных как незаконные действия.

Случаи, когда нарушение Закона о защите персональных данных (Японский Закон о защите персональных данных) не является нарушением приватности

Был случай, когда истец, который использовал копировально-факсовый аппарат в офисе по договору аренды, утверждал, что ответчик, Credit Saison, без его согласия предоставил информацию о его личных данных, такую как стоимость аренды копировально-факсового аппарата и телефона, другому ответчику, Ricoh. Ricoh использовал эту информацию, предоставленную Credit Saison, и истец требовал от обеих компаний выплаты ущерба на основании права на возмещение ущерба от совместного незаконного действия.

Сотрудник Ricoh, A, посетил офис для продажи, и, узнав, что у истца есть претензии к арендуемому копировально-факсовому аппарату, предложил свою модель. Когда он спросил истца о стоимости аренды, истец ответил, что она составляет 12 000 иен в месяц. A записал номер договора, указанный на наклейке на копировально-факсовом аппарате, для проверки и позвонил в Credit Saison. Он узнал, что сумма в 12 000 иен, о которой говорил истец, была стоимостью аренды телефона, арендуемого у Credit Saison, а месячная стоимость аренды копировально-факсового аппарата составляла 14 000 иен.

На основании этой информации, A предложил модель копировально-факсового аппарата за арендную плату в 12 800 иен в месяц. В ответ на замечание истца о том, что это больше, чем текущая стоимость, A сообщил, что он позвонил в Credit Saison и подтвердил, что месячная стоимость аренды копировально-факсового аппарата составляет 14 000 иен. Истец был возмущен тем, что Credit Saison раскрыл содержание его договора с Ricoh, и потребовал извинений от обеих компаний. Не видя искренности в их действиях, он подал иск, требуя выплаты ущерба.

Закон о защите персональных данных и приватность

Суд, ссылаясь на статью 16, пункт 1 Закона о защите персональных данных, которая гласит: “Операторы обработки персональных данных не должны обрабатывать персональные данные без предварительного согласия субъекта данных, превышая необходимый для достижения определенной цели объем”, заявил:

Действия Credit Saison по предоставлению Ricoh информации о договоре на копировально-факсовый аппарат в офисе истца, и действия Ricoh по обработке персональных данных, превышающие необходимый для достижения определенной цели объем, являются нарушением статьи 16, пункт 1 Закона о защите персональных данных, и Ricoh является соучастником в незаконных действиях Credit Saison.

Решение Токийского окружного суда от 28 октября 2015 года (2015 год по Григорианскому календарю)

Однако, суд признал, что на момент предложения обновления договора истец согласился на раскрытие информации о договоре на копировально-факсовый аппарат в рамках необходимого для достижения этой цели объема. Что касается предоставления информации о телефоне, отличном от копировально-факсового аппарата, суд признал, что истец не согласился на предоставление этой информации, но

даже если предоставление информации о месячной стоимости аренды телефона формально противоречит статье 16, пункт 1 Закона о защите персональных данных, это не означает, что оно имеет незаконность, необходимую для незаконного действия.

То же самое

Таким образом, суд отклонил иск истца. Это прецедент, когда нарушение Закона о защите персональных данных не обязательно является незаконным действием, нарушающим приватность.

Случаи, когда не нарушается Закон о защите персональных данных, но нарушается приватность

Был случай, когда истец обратился к провайдеру с требованием раскрыть информацию об отправителе, утверждая, что его право на приватность было нарушено, когда его номер мобильного телефона был опубликован на анонимном интернет-форуме.

В теме “Обсуждение города ХХ” на “Kanto version” сайта Bakusai.com, номер мобильного телефона истца был опубликован шесть раз. Истец требовал раскрытия информации для возможности предъявить иск о возмещении ущерба за нарушение приватности. Однако провайдер отказался, заявив, что “в данном сообщении не указано, что цифры являются номером мобильного телефона истца, и обычный читатель не сможет легко узнать, что это номер мобильного телефона истца”, и “номер мобильного телефона не является персональной информацией в соответствии с пунктом 1 статьи 2 Японского Закона о защите персональных данных, поэтому нельзя утверждать, что право на приватность было явно нарушено”.

Номер мобильного телефона и персональная информация

Суд заявил, что было опубликовано достаточное количество сообщений, оскорбляющих истца, включая часть его имени, такие как “Вы действительно ненавидите Коуяму”, “Я ненавидю Коуяму”, “Развратный Коуяма DQN”, “Компания, где все допустимо… Повседневное сексуальное домогательство и домогательство со стороны Бульдога, собаки Коуямы”, “Женщина-дура, которая притворяется умной, несмотря на свою глупость”, и его место работы было раскрыто вместе с частью его настоящего имени.

Сообщение начинается с чисел “090”, разделенных длинным знаком, который означает дефис, и включает номера, начиная с четвертой цифры, а также комментарий, предполагающий, что эти числа являются номером женщины. Кроме того, после этого сообщения были опубликованы сообщения, которые понимали, что числа в этом сообщении являются номером мобильного телефона. Поэтому можно признать, что обычный читатель понимает, что это сообщение содержит номер мобильного телефона, который использует женщина.

Решение Токийского окружного суда от 6 ноября 2015 года (2015 год по Григорианскому календарю)

Суд заявил, что “в результате этого сообщения, истец получил множество звонков с оскорблениями и шалостями на свой мобильный телефон, и есть опасность злоупотребления этим номером телефона, что может привести к препятствиям в социальной жизни истца”, и приказал раскрыть информацию об отправителе.

Что касается Закона о защите персональных данных,

Этот закон не отрицает, что интересы в непубликации фактов личной жизни, которые не являются персональной информацией, определенной в пункте 1 статьи 2 этого закона, защищены как законные интересы, поэтому аргументы ответчика не могут быть приняты.

То же самое

Суд признал аргументы истца о том, что данное сообщение нарушает его право на приватность. Номер мобильного телефона сам по себе не является персональной информацией, но это прецедент, признающий его как объект защиты приватности.

В случае признания нарушения Закона о защите персональных данных и нарушения приватности

В другой статье нашего офиса мы рассказывали о случае, когда медсестра, работающая в больнице, была диагностирована как ВИЧ-позитивная на основании результатов анализа крови в университетской больнице. Эту информацию без ее согласия передали врачи и персонал больницы, где она работала, и они поделились этой информацией с другими сотрудниками. Это было признано незаконным действием, нарушающим приватность, и был подан иск о возмещении ущерба.

Суд постановил, что в соответствии со статьей 23 пунктом 1 Закона о защите персональных данных (Японский ~), который гласит: “Операторы обработки персональных данных не должны предоставлять персональные данные третьим лицам без предварительного согласия субъекта, за исключением случаев, предусмотренных ниже”, обмен информацией в данном случае был осуществлен от врача-консультанта больницы к врачам, медсестрам и главному администратору внутри больницы, и следовательно, это должно считаться предоставлением информации внутри одного и того же оператора, и не относится к предоставлению информации третьим лицам.

С другой стороны, в отношении пункта 1 статьи 16,

Операторы обработки персональных данных при обработке персональных данных должны определить цель их использования настолько, насколько это возможно (пункт 1 статьи 15), и не должны обрабатывать персональные данные сверх необходимого для достижения этой определенной цели без предварительного согласия субъекта (пункт 1 статьи 16).
Согласно положениям о защите персональных данных ответчика, использование персональных данных должно осуществляться в пределах цели сбора данных и только в той мере, в какой это необходимо для выполнения работы (пункт 1 статьи 9). Кроме того, персональные данные могут использоваться для обычных целей работы (приложение) и для целей, указанных вне обычной работы (статья 10). Если персональные данные используются сверх цели сбора данных, требуется уведомление ответственного за управление персональными данными и согласие пациента или его представителя (пункт 1 статьи 11). Кроме того, целью сбора персональных данных от пациентов, пользователей и заинтересованных сторон является использование их для предоставления медицинской помощи, управления медицинским страхованием, управления госпитализацией и выпиской из больницы, образования и исследований и т.д. (пункт 1 статьи 7).

Решение Куруме отделения Фукуокского окружного суда от 8 августа 2014 года

Суд пришел к выводу, что главная медсестра передала эту информацию главному медсестре и администратору с целью предотвращения инфекции в больнице и обсуждения политики работы истца.

Использование персональных данных вне целей

С другой стороны, суд постановил,

Информация в данном случае была получена от истца, который является субъектом данных, в результате того, что истец обратился в больницу в качестве пациента, и не была предназначена для управления трудовыми отношениями или ведения бизнеса, поэтому ее использование должно ограничиваться предоставлением медицинской помощи и т.д. к пациентам и т.д., как указано в вышеупомянутых положениях. Аргумент ответчика о том, что персональные данные могут использоваться для любых целей, указанных в обнародованных целях использования, независимо от обстоятельств их получения, является неправильным, поскольку это может привести к использованию персональных данных для целей, которые субъект данных не предвидел.

То же самое

Суд пришел к выводу, что это нарушение пункта 1 статьи 16, запрещающего использование данных вне целей, и в то же время признал, что на момент обмена информацией все еще существовали предрассудки и дискриминация против людей, инфицированных ВИЧ, и что информация о том, что человек страдает от ВИЧ, является персональной информацией, которую он не хотел бы раскрывать другим людям. Следовательно, обработка этой информации без согласия субъекта данных и в нарушение закона является незаконным действием, нарушающим приватность.

Хотя ответчик утверждал, что “в данном руководстве предусмотрено ограничение числа лиц, с которыми делится информация, до минимума для строгого управления информацией, и в данном случае информация была поделена только с шестью лицами, которые были еще более ограничены”, в решении суда говорится, что “даже если количество лиц, с которыми делится информация, может влиять на степень незаконности, даже если информация передается только одному человеку, использование такой персональной информации вне целей должно считаться незаконным нарушением приватности”. Это можно считать правильным пониманием Закона о защите персональных данных.

Заключение

Под “бизнесом” операторов обработки персональных данных понимаются не только коммерческие предприятия, такие как управление компанией или магазином, но и некоммерческие организации, такие как больницы, школы, а также волонтерские и экологические проекты. Закон о защите персональных данных применяется к операторам, которые регулярно ведут какую-либо деятельность и при этом собирают персональные данные для продолжения своего бизнеса. Важно правильно понимать Закон о защите персональных данных (Японский ~). Если возникают проблемы, связанные с нарушением персональных данных или приватности, рекомендуется обратиться за советом к опытному адвокату.