Giải thích các điểm cần lưu ý về 'Trách nhiệm của doanh nghiệp' theo Luật bảo vệ thông tin cá nhân sau khi được sửa đổi vào năm Reiwa 4 (2022)

Từ tháng 4 năm 2022 (năm 2022 theo lịch Gregory), Luật bảo vệ thông tin cá nhân Nhật Bản đã được sửa đổi và bắt đầu có hiệu lực. Luật bảo vệ thông tin cá nhân Nhật Bản được thiết kế với mục đích đảm bảo việc xử lý thông tin cá nhân một cách phù hợp, trong khi cân nhắc đến tính hữu ích của thông tin cá nhân và bảo vệ quyền lợi của cá nhân. Vậy cụ thể, điều gì đã thay đổi khi Luật bảo vệ thông tin cá nhân Nhật Bản được sửa đổi và có hiệu lực? Trong bài viết này, chúng tôi sẽ giải thích về cách thức quyền lợi của cá nhân và nghĩa vụ của doanh nghiệp.

Sửa đổi và tiến trình của Luật bảo vệ thông tin cá nhân Nhật Bản

Luật bảo vệ thông tin cá nhân Nhật Bản, được thông qua vào năm 2003 và được thi hành toàn bộ vào năm 2005, đã được sửa đổi vào năm 2015, sau 10 năm thi hành, với lý do “Do sự phát triển của công nghệ thông tin và truyền thông, việc sử dụng dữ liệu cá nhân mà không thể tưởng tượng được vào thời điểm ban hành đã trở nên khả thi” và đã được thi hành toàn bộ vào năm 2017.

Trong luật sửa đổi năm 2017 này, có quy định “xem xét lại nội dung phù hợp với thực tế sau mỗi 3 năm thi hành, dựa trên xu hướng quốc tế, sự tiến bộ của công nghệ thông tin, tình hình tạo ra và phát triển ngành công nghiệp mới” được gọi là “quy định xem xét mỗi 3 năm”.

Quy định liên quan trong phụ lục của Luật sửa đổi bảo vệ thông tin cá nhân Nhật Bản năm 2017 (trích dẫn)

(Thảo luận) Điều 12

(Lược bỏ)

2 Chính phủ, với mục tiêu sau ba năm thi hành luật này, sẽ xem xét cải thiện, dựa trên tình hình của các biện pháp cần thiết để thực hiện hiệu quả việc xây dựng hệ thống nhân sự, bảo đảm nguồn lực tài chính và các biện pháp khác liên quan đến việc xây dựng và thúc đẩy chính sách cơ bản về bảo vệ thông tin cá nhân và các nhiệm vụ thuộc thẩm quyền của Ủy ban bảo vệ thông tin cá nhân. Khi cần thiết, chính phủ sẽ thực hiện các biện pháp cần thiết dựa trên kết quả của việc xem xét.

3 Ngoài các vấn đề quy định trong khoản trước, Chính phủ, với mục tiêu sau ba năm thi hành luật này, sẽ xem xét tình hình thi hành của Luật bảo vệ thông tin cá nhân mới, dựa trên xu hướng quốc tế về bảo vệ thông tin cá nhân, sự tiến bộ của công nghệ thông tin và truyền thông, tình hình tạo ra và phát triển ngành công nghiệp mới sử dụng thông tin cá nhân, v.v. Khi cần thiết, chính phủ sẽ thực hiện các biện pháp cần thiết dựa trên kết quả của việc xem xét.

4,5 (Lược bỏ)

6 Chính phủ, dựa trên tình hình thi hành của Luật bảo vệ thông tin cá nhân mới, tình hình thực hiện các biện pháp quy định trong khoản một và các tình hình khác, sẽ xem xét về hướng đi của hệ thống pháp lý về bảo vệ thông tin cá nhân, bao gồm việc tổng hợp và quy định toàn diện các quy định về bảo vệ thông tin cá nhân và thông tin cá nhân thuộc sở hữu của cơ quan hành chính, v.v., quy định trong Điều 2 Khoản 1 của Luật bảo vệ thông tin cá nhân mới.

Luật sửa đổi bảo vệ thông tin cá nhân Nhật Bản năm Reiwa 4 (2022) là sửa đổi luật đầu tiên dựa trên “quy định xem xét mỗi 3 năm”.

Bài viết liên quan: Luật bảo vệ thông tin cá nhân và thông tin cá nhân là gì? Luật sư giải thích[ja]

Tổng quan về Luật bảo vệ thông tin cá nhân Nhật Bản (Japanese Personal Information Protection Law) sửa đổi năm 2022 (năm thứ 4 của kỷ nguyên Reiwa)

Luật bảo vệ thông tin cá nhân Nhật Bản sửa đổi năm 2022 sẽ tập trung vào 6 điểm chính sau đây:

1. Quyền lợi của cá nhân
2. Trách nhiệm mà doanh nghiệp cần bảo vệ
3. Cơ chế khuyến khích doanh nghiệp tự nguyện tham gia
4. Cách sử dụng dữ liệu
5. Hình thức xử phạt
6. Áp dụng luật ra ngoài lãnh thổ và chuyển giao dữ liệu qua biên giới

Bài viết này sẽ giải thích về điểm sửa đổi thứ 1 và 2.

Bài viết liên quan: Giải thích về ‘Hình thức xử phạt’ trong Luật bảo vệ thông tin cá nhân Nhật Bản sửa đổi năm 2022 (năm thứ 4 của kỷ nguyên Reiwa)[ja]

Cách thức tồn tại của quyền cá nhân

Về cách thức tồn tại của quyền cá nhân, có 5 điểm đã được sửa đổi.

Mở rộng quyền yêu cầu ngừng sử dụng và xóa bỏ của cá nhân (Điều 30 của luật Nhật Bản)

Trong luật hiện hành, quyền yêu cầu ngừng sử dụng và xóa bỏ của cá nhân chỉ được giới hạn trong trường hợp vi phạm pháp luật như “khi sử dụng thông tin cá nhân mục đích ngoài” hoặc “khi thu thập bằng phương tiện bất hợp pháp”. Tuy nhiên, theo luật sửa đổi, ngay cả khi “không cần thiết phải sử dụng dữ liệu cá nhân được giữ” hoặc “khi có rò rỉ thông tin” hoặc “khi có nguy cơ làm hại quyền lợi hoặc lợi ích hợp pháp của người đó”, bạn cũng có thể yêu cầu ngừng sử dụng, xóa bỏ và ngừng cung cấp cho bên thứ ba.

Phương thức tiết lộ dữ liệu cá nhân được giữ (Điều 28 của luật Nhật Bản)

Nếu bạn là người đó, bạn có thể yêu cầu công ty xử lý thông tin cá nhân tiết lộ dữ liệu cá nhân mà họ đang giữ. Khi nhận được yêu cầu, công ty xử lý thông tin cá nhân phải tiết lộ dữ liệu cá nhân mà họ đang giữ theo nguyên tắc. Trong luật hiện hành, việc tiết lộ dữ liệu cá nhân được giữ thường được thực hiện bằng văn bản. Tuy nhiên, khi lượng thông tin lớn, việc cung cấp bằng văn bản có thể không phù hợp, và hơn nữa, có dữ liệu cá nhân như video hoặc dữ liệu âm thanh không phù hợp với việc cung cấp bằng văn bản. Do đó, theo luật sửa đổi, người đó có thể yêu cầu “tiết lộ theo cách mà người đó chỉ định”, chẳng hạn như cung cấp bản ghi từ điện từ. Công ty xử lý thông tin cá nhân có nghĩa vụ tiết lộ theo cách mà người đó yêu cầu.

Các công ty xử lý thông tin cá nhân cần xây dựng hệ thống để đáp ứng yêu cầu tiết lộ thông qua dữ liệu số một cách sớm nhất có thể.

Yêu cầu tiết lộ hồ sơ cung cấp cho bên thứ ba do chính người đó (Điều 28, Điều 5 của luật Nhật Bản)

Công ty xử lý thông tin cá nhân phải tạo hồ sơ theo quy định của pháp luật khi cung cấp dữ liệu cá nhân cho bên thứ ba, và người nhận cung cấp từ bên thứ ba cũng phải tạo hồ sơ theo quy định của pháp luật. Hồ sơ về việc cung cấp dữ liệu cá nhân cho bên thứ ba và hồ sơ về việc xác nhận khi nhận cung cấp dữ liệu cá nhân từ bên thứ ba được gọi chung là “hồ sơ cung cấp cho bên thứ ba”.

Trong luật hiện hành, người đó không thể yêu cầu tiết lộ hồ sơ cung cấp cho bên thứ ba mà công ty đã tạo, nhưng theo luật sửa đổi, người đó có thể yêu cầu tiết lộ hồ sơ cung cấp cho bên thứ ba, điều này đã được xem xét về khả năng theo dõi của người đó.

Bao gồm dữ liệu lưu trữ ngắn hạn trong dữ liệu cá nhân được giữ (Điều 2, Điều 7 của luật Nhật Bản)

Trong luật hiện hành, dữ liệu cá nhân được giữ được định nghĩa là “dữ liệu cá nhân mà công ty xử lý thông tin cá nhân có quyền thực hiện việc tiết lộ, sửa đổi nội dung, thêm hoặc xóa, ngừng sử dụng, xóa và ngừng cung cấp cho bên thứ ba”, “những điều được quy định bởi pháp lệnh mà lợi ích công cộng hoặc lợi ích khác bị hại do việc xác định sự tồn tại của nó” hoặc “những điều sẽ bị xóa trong thời gian quy định bởi pháp lệnh trong vòng một năm”, ngoại trừ “thời gian quy định trong vòng một năm” đã được xác định là 6 tháng.

Tuy nhiên, ngay cả khi nó sẽ bị xóa trong một thời gian ngắn, có khả năng rò rỉ thông tin và những sự cố khác xảy ra trong thời gian từ khi nó bị xóa, do đó, theo luật sửa đổi, dữ liệu lưu trữ ngắn hạn sẽ bị xóa trong vòng 6 tháng cũng được bao gồm trong “dữ liệu cá nhân được giữ”.

Giới hạn phạm vi của quy định về từ chối tùy chọn (Điều 23, Điều 2 của luật Nhật Bản)

Quy định về từ chối tùy chọn là “hệ thống cho phép cung cấp dữ liệu cá nhân cho bên thứ ba mà không cần sự đồng ý của người đó, với điều kiện là người đó có thể yêu cầu ngừng sau khi công bố các mục dữ liệu cá nhân được cung cấp, v.v.”, nhưng trong luật hiện hành, chỉ có thông tin cá nhân cần được xem xét là ngoại lệ.

Theo luật sửa đổi, phạm vi dữ liệu cá nhân có thể cung cấp cho bên thứ ba đã được giới hạn, và “dữ liệu cá nhân được thu thập một cách bất hợp pháp” và “dữ liệu cá nhân được cung cấp theo quy định về từ chối tùy chọn” cũng đã trở thành ngoại lệ.

Trách nhiệm cần được bảo vệ của doanh nghiệp

Về trách nhiệm cần được bảo vệ của doanh nghiệp, có hai điểm đã được sửa đổi như sau:

Bắt buộc báo cáo rò rỉ thông tin (Điều 22, khoản 2 của Luật Bảo vệ thông tin cá nhân Nhật Bản)

Trong luật hiện hành, việc báo cáo rò rỉ thông tin không phải là nghĩa vụ theo pháp luật, do đó có một số doanh nghiệp không chủ động đối phó. Trong trường hợp doanh nghiệp không công bố, có khả năng Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản không thể nắm bắt được vụ việc và không thể đối phó một cách phù hợp. Trong luật sửa đổi, nếu xảy ra rò rỉ thông tin và có nguy cơ gây hại lớn cho quyền lợi của cá nhân, việc báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân và thông báo cho người đó đã trở thành nghĩa vụ.

Các vụ việc mà việc báo cáo rò rỉ thông tin trở thành bắt buộc bao gồm “rò rỉ thông tin cá nhân cần được quan tâm” và “rò rỉ do truy cập trái phép” không phụ thuộc vào số lượng, và “rò rỉ có nguy cơ gây hại về tài sản” và “rò rỉ quy mô lớn” vượt quá 1000 trường hợp.

Cấm sử dụng thông tin cá nhân bằng cách không phù hợp (Điều 16, khoản 2 của Luật Bảo vệ thông tin cá nhân Nhật Bản)

Với sự tiến bộ nhanh chóng của công nghệ phân tích dữ liệu, ngày càng có nhiều hình thức sử dụng thông tin cá nhân có thể dẫn đến việc xâm phạm quyền lợi của cá nhân, làm tăng lo ngại của người tiêu dùng. Đáp lại điều này, trong luật sửa đổi, việc sử dụng thông tin cá nhân bằng cách không phù hợp, như việc thúc đẩy hành vi phạm pháp hoặc bất hợp lý, đã được làm rõ.

“Cách không phù hợp như thúc đẩy hành vi phạm pháp hoặc bất hợp lý” bao gồm “cung cấp thông tin cá nhân cho bên thứ ba đang tiến hành hành vi phạm pháp” và “tập hợp và cơ sở dữ liệu thông tin cá nhân được công bố rải rác thông qua thông báo của tòa án, mặc dù có thể dễ dàng dự đoán rằng điều này có thể gây ra phân biệt đối xử, và công bố nó trên Internet”, đều được coi là trường hợp xấu đến mức đáng kể.”

Tóm tắt

Trong bài viết này, chúng tôi đã giải thích về các điểm sửa đổi 1 và 2. Về các điểm sửa đổi 3, 4, 5, 6, chúng tôi sẽ giải thích trong một bài viết khác.

Bài viết liên quan: Giải thích về ‘Hình phạt’ trong Luật bảo vệ thông tin cá nhân Nhật Bản năm Reiwa 4 (2022)[ja]

Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi

Văn phòng luật sư Monolis, chuyên về IT, đặc biệt là Internet và luật, là một văn phòng luật sư có chuyên môn cao về cả hai mặt. Luật thông tin cá nhân vừa được sửa đổi đang thu hút sự chú ý, và nhu cầu kiểm tra pháp lý ngày càng tăng. Văn phòng luật sư của chúng tôi cung cấp các giải pháp liên quan đến tài sản trí tuệ. Chi tiết được mô tả trong bài viết dưới đây.

https://monolith.law/practices/corporate[ja]