Luật bảo vệ thông tin cá nhân và thông tin cá nhân là gì? Luật sư giải thích

Luật bảo vệ thông tin cá nhân đã được sửa đổi vào năm 2015 (được thực thi từ năm 2017) (chính xác là “Luật về bảo vệ thông tin cá nhân” theo tiếng Nhật) là một quy định pháp lý quan trọng khi xem xét vấn đề thông tin cá nhân trong hoạt động doanh nghiệp, và nó làm rõ nghĩa vụ pháp lý mà những người điều hành thông tin cá nhân phải chịu. Đối với những người điều hành thông tin cá nhân, cho đến năm Heisei 27 (2015), chỉ những thông tin cá nhân nắm giữ vượt quá 5000 người mới bị giới hạn, do đó, có nhiều doanh nghiệp không phải là người điều hành thông tin cá nhân như các doanh nghiệp nhỏ. Tuy nhiên, sau khi sửa đổi vào năm 2015, điều kiện này đã bị loại bỏ, do đó hầu hết tất cả các doanh nghiệp trở thành người điều hành thông tin cá nhân, và trở thành một luật không thể tránh khỏi đối với chủ doanh nghiệp nhỏ. Đối với việc bán hàng trực tuyến, gửi email quảng cáo, phát hành DM, thẻ điểm cho cửa hàng thực tế, v.v., cần phải xử lý thông tin cá nhân như tên và địa chỉ email của khách hàng, vì vậy cần phải nắm vững cơ bản của Luật bảo vệ thông tin cá nhân.

Mục đích và định nghĩa của Luật bảo vệ thông tin cá nhân Nhật Bản

Luật bảo vệ thông tin cá nhân Nhật Bản là gì cụ thể? Hãy cùng xem qua tổng quan. Đầu tiên, mục đích của luật này đã được nêu rõ trong Điều 1.

Điều 1 của Luật bảo vệ thông tin cá nhân Nhật Bản
Luật này nhằm mục đích bảo vệ quyền lợi của cá nhân trong việc xử lý thông tin cá nhân một cách phù hợp, đồng thời xác định các nguyên tắc cơ bản và chính sách cơ bản của chính phủ cùng các biện pháp khác liên quan đến bảo vệ thông tin cá nhân, trong bối cảnh việc sử dụng thông tin cá nhân đang mở rộng đáng kể do sự phát triển của xã hội thông tin cao cấp. Luật này cũng làm rõ trách nhiệm của quốc gia và các tổ chức công cộng địa phương, đồng thời xác định các nghĩa vụ mà các doanh nghiệp xử lý thông tin cá nhân phải tuân thủ, nhằm đảm bảo việc sử dụng thông tin cá nhân một cách phù hợp và hiệu quả, góp phần tạo ra ngành công nghiệp mới, xây dựng một xã hội kinh tế đầy sức sống và cuộc sống dân cư phong phú, trong khi vẫn tôn trọng tính hữu ích của thông tin cá nhân.

Điều này được nêu rõ.

Điều 2 định nghĩa thông tin cá nhân, dữ liệu cá nhân và dữ liệu cá nhân được lưu trữ (Điều 2, khoản 1, 4, 5).
Trong Luật bảo vệ thông tin cá nhân Nhật Bản, “thông tin cá nhân” là “thông tin liên quan đến một cá nhân còn sống”, và là “thông tin có thể xác định một cá nhân cụ thể thông qua tên, ngày tháng năm sinh và các mô tả khác trong thông tin đó (bao gồm cả thông tin có thể xác định một cá nhân cụ thể khi dễ dàng so sánh với thông tin khác.)”. “Dữ liệu cá nhân” là thông tin cá nhân đã được cơ sở dữ liệu hóa bằng máy tính, trong đó, dữ liệu mà doanh nghiệp giữ lưu trữ trong thời gian 6 tháng trở lên được gọi là “dữ liệu cá nhân được lưu trữ”.

Việc cần bảo vệ thông tin cá nhân hay không phụ thuộc vào việc nó đã được cơ sở dữ liệu hóa hay chưa. Dữ liệu cá nhân là thông tin cá nhân đã được cơ sở dữ liệu hóa và được tổ chức một cách hệ thống để dễ dàng tìm kiếm, do đó khả năng vi phạm quyền lợi cao hơn, do đó nó được bảo vệ mạnh mẽ hơn so với thông tin cá nhân nói chung.

Dữ liệu cá nhân được lưu trữ được bảo vệ mạnh mẽ hơn, đây là dữ liệu cá nhân mà doanh nghiệp xử lý thông tin cá nhân có quyền tiết lộ, sửa đổi nội dung, thêm hoặc xóa, ngừng sử dụng, xóa và ngừng cung cấp cho bên thứ ba (Điều 2, khoản 7), đối với dữ liệu cá nhân được lưu trữ, yêu cầu tiết lộ, sửa đổi, ngừng sử dụng, v.v. dựa trên yêu cầu để cá nhân có thể tham gia phù hợp vào thông tin của mình được chấp nhận (sẽ được đề cập sau).

Quy định về việc xử lý thông tin cá nhân

Để thông tin cá nhân không bị sử dụng một cách tùy tiện, bạn phải xác định rõ mục đích sử dụng thông tin cá nhân và giới hạn việc xử lý thông tin đó trong phạm vi cần thiết để đạt được mục đích đó, dưới dạng một quy tắc về việc xử lý đúng đắn.

Vì vậy, những người kinh doanh xử lý thông tin cá nhân phải:

• Xác định mục đích sử dụng thông tin cá nhân càng cụ thể càng tốt khi xử lý thông tin cá nhân (Điều 15, Khoản 1)
• Không được xử lý thông tin cá nhân vượt quá phạm vi cần thiết để đạt được mục đích sử dụng (Điều 16, Khoản 1)
• Không được thu thập thông tin cá nhân bằng cách giả mạo hoặc bất kỳ phương pháp bất hợp pháp nào khác (Điều 17, Khoản 1)
• Khi thu thập thông tin cá nhân, phải thông báo hoặc công bố mục đích sử dụng cho người đó (Điều 18)

Luật bảo vệ thông tin cá nhân yêu cầu chủ doanh nghiệp sử dụng thông tin cá nhân mà họ sở hữu theo mục đích đã xác định và công bố từ trước. Nói cách khác, bạn cần “xác định và công bố mục đích sử dụng thông tin cá nhân”. Ví dụ, việc “sử dụng thông tin cá nhân để hiển thị quảng cáo phù hợp với đặc điểm của người dùng” không phải là bất hợp pháp, nhưng bạn phải công bố mục đích sử dụng trước. Phương pháp công bố không được chỉ định cụ thể, nhưng thường được thực hiện dưới dạng “Chính sách bảo mật” hoặc “Chính sách bảo vệ thông tin cá nhân”.

Mặt khác, đối với thông tin cá nhân cần được xem xét kỹ lưỡng, thông tin nhạy cảm, việc thu thập mà không có sự đồng ý của người đó bị cấm theo nguyên tắc (Điều 17, Khoản 2).

Thông tin cá nhân cần được xem xét kỹ lưỡng là:

Điều 2, Khoản 3
Trong luật này, “thông tin cá nhân cần được xem xét kỹ lưỡng” là thông tin cá nhân bao gồm mô tả được quy định bởi pháp lệnh như chủng tộc, tín ngưỡng, tình trạng xã hội, lịch sử bệnh tật, tiền án, việc bị tổn thương do tội phạm và các sự thật khác có thể dẫn đến phân biệt đối xử, đánh đồng và bất lợi khác đối với người đó, cần được xem xét kỹ lưỡng khi xử lý.

Và cũng bao gồm kết quả của khuyết tật, kiểm tra sức khỏe, hướng dẫn của bác sĩ và các biện pháp khác, việc thực hiện các thủ tục hình sự, và việc thực hiện các thủ tục liên quan đến việc bảo vệ thanh thiếu niên.

Việc thu thập “thông tin cá nhân cần được xem xét kỹ lưỡng” mà không có sự đồng ý của người đó bị quy định nghiêm ngặt, trừ khi có lý do ngoại lệ nhất định. Điều này được cho là do thông tin cá nhân cần được xem xét kỹ lưỡng có thể dẫn đến phân biệt đối xử và đánh đồng nếu được thu thập và xử lý, ngay cả khi không cần thiết để thu thập.

Kỷ luật về quản lý và giám sát

Nhiều người lo lắng và cảm thấy bất an khi thông tin cá nhân bị rò rỉ hoặc bị thay đổi. Đối với dữ liệu cá nhân đã được cơ sở dữ liệu hóa, càng phải chú ý hơn vì có nhiều trường hợp xảy ra vấn đề xã hội như việc rò rỉ thông tin khách hàng trên diện rộng. Do đó, các doanh nghiệp xử lý thông tin cá nhân có nghĩa vụ thực hiện các biện pháp cần thiết và phù hợp để quản lý an toàn dữ liệu cá nhân (biện pháp quản lý an toàn) (Điều 20 của Luật Bảo vệ thông tin cá nhân Nhật Bản).

Vi phạm nghĩa vụ quản lý an toàn

Thực tế, trong các vụ việc thông tin cá nhân bị rò rỉ hoặc bị lộ trên mạng, hầu hết các trường hợp đều được xác nhận vi phạm nghĩa vụ quản lý an toàn, và nội dung của các biện pháp quản lý an toàn phù hợp với đặc điểm của các doanh nghiệp vừa và nhỏ đã được ghi rõ trong “Hướng dẫn về Luật Bảo vệ thông tin cá nhân (Phần chung)” (Ủy ban Bảo vệ thông tin cá nhân Nhật Bản). Việc tuân thủ hướng dẫn này không chỉ giúp tuân thủ Điều 20 của Luật Bảo vệ thông tin cá nhân Nhật Bản, mà còn quan trọng trong việc tránh việc bị kiện vì hành vi phạm pháp dựa trên việc xâm phạm quyền riêng tư do các vụ rò rỉ thông tin trên mạng.

Tuy nhiên, dù hệ thống và quy định được thiết lập như thế nào, việc vận hành đúng đắn cuối cùng vẫn phải dựa vào con người. Do đó, “Các doanh nghiệp xử lý thông tin cá nhân phải thực hiện giám sát cần thiết và phù hợp đối với nhân viên của mình để đảm bảo quản lý an toàn dữ liệu cá nhân” (Điều 21 của Luật Bảo vệ thông tin cá nhân Nhật Bản).

Lưu ý rằng, việc nhân viên bán hoặc mang đi dữ liệu khách hàng không chỉ khiến nhân viên đó phải chịu trách nhiệm hành vi phạm pháp (Điều 709 của Bộ luật Dân sự Nhật Bản), mà còn có thể khiến doanh nghiệp xử lý thông tin cá nhân phải chịu trách nhiệm của người sử dụng (Điều 715 của Bộ luật Dân sự Nhật Bản), nên cần phải cẩn thận.

“Cung cấp cho bên thứ ba” và “Ủy thác”

Trong Luật Bảo vệ thông tin cá nhân Nhật Bản, ngay cả khi mục đích đã được công bố trước đó, việc cung cấp thông tin cá nhân của khách hàng cho “bên thứ ba” là bị cấm nguyên tắc nếu không có sự đồng ý. Tuy nhiên, nếu tiếp tục theo đuổi quy tắc này, “việc đặt cơ sở dữ liệu về khách hàng trên máy chủ cho thuê cũng sẽ trái pháp luật”. Bởi vì máy chủ cho thuê là “bên thứ ba” đối với doanh nghiệp.

Tuy nhiên, trong “cung cấp cho bên thứ ba”, “ủy thác” được chấp nhận như một ngoại lệ, và việc “ủy thác” cho những người không sử dụng thông tin đó được chấp nhận. Ví dụ, máy chủ cho thuê chỉ lưu trữ thông tin mà không sử dụng nó. Việc ủy thác việc xử lý thông tin cá nhân cho bên thứ ba như vậy thường xuyên được thực hiện, nhưng để ngăn chặn tình trạng như việc xử lý không phù hợp từ bên nhận ủy thác, hoặc việc trách nhiệm trở nên mơ hồ do việc ủy thác theo cấp độ, “Các doanh nghiệp xử lý thông tin cá nhân, khi ủy thác toàn bộ hoặc một phần việc xử lý dữ liệu cá nhân, phải thực hiện giám sát cần thiết và phù hợp đối với người nhận ủy thác để đảm bảo quản lý an toàn dữ liệu cá nhân” (Điều 22 của Luật Bảo vệ thông tin cá nhân Nhật Bản).

Chuẩn hóa việc xử lý thông tin cá nhân thông qua sự tham gia của chủ thể

Luật bảo vệ thông tin cá nhân Nhật Bản (Japanese Personal Information Protection Law) cho phép chủ thể thông tin cá nhân yêu cầu các nhà điều hành kinh doanh xử lý thông tin cá nhân tiết lộ (điều 28), sửa đổi, bổ sung, xóa (điều 29), ngừng sử dụng, v.v. (điều 30) dữ liệu cá nhân liên quan đến họ dưới một số điều kiện nhất định. Quyền yêu cầu này của chủ thể thông tin cá nhân được xác định rõ ràng là quyền yêu cầu theo luật dân sự, và nếu nhà điều hành kinh doanh xử lý thông tin cá nhân không đáp ứng yêu cầu, chủ thể có thể thực thi quyền của mình thông qua tòa án.

Nhà điều hành kinh doanh xử lý thông tin cá nhân phải tiết lộ dữ liệu cá nhân mà họ nắm giữ nếu có yêu cầu từ chủ thể thông tin cá nhân, phải đáp ứng yêu cầu sửa đổi, v.v. nếu có lỗi trong nội dung, và phải ngừng sử dụng thông tin nếu vi phạm các nghĩa vụ pháp lý như sử dụng thông tin ngoài mục đích, phương pháp thu thập không phù hợp, hoặc cung cấp thông tin cho bên thứ ba mà không có sự đồng ý của chủ thể. Như vậy, Luật bảo vệ thông tin cá nhân Nhật Bản bảo vệ quyền của công dân bằng cách đặt ra nhiều nghĩa vụ cho những người điều hành kinh doanh xử lý thông tin cá nhân.

Hình phạt vì việc rò rỉ thông tin cá nhân

Luật bảo vệ thông tin cá nhân của Nhật Bản (Japanese Personal Information Protection Law) quy định hình phạt cho trường hợp doanh nghiệp rò rỉ thông tin cá nhân.

Nếu doanh nghiệp vi phạm Luật bảo vệ thông tin cá nhân và để xảy ra rò rỉ thông tin, trước tiên, họ sẽ nhận được “lời khuyên về việc dừng vi phạm và thực hiện các biện pháp cần thiết để khắc phục vi phạm” từ chính phủ (Điều 42). Nếu vi phạm tiếp tục, nhân viên vi phạm có thể bị “phạt tù dưới 6 tháng hoặc phạt tiền dưới 300.000 yên” (Điều 84), và công ty thuê nhân viên đó cũng có thể bị “phạt tiền dưới 300.000 yên” (Điều 85). Ngoài ra, nếu cung cấp hoặc sử dụng trái phép thông tin với mục đích tìm kiếm lợi ích bất chính, họ có thể bị “phạt tù dưới 1 năm hoặc phạt tiền dưới 500.000 yên” mà không cần lời khuyên (Điều 83).

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Tóm tắt

Luật bảo vệ thông tin cá nhân Nhật Bản (Japanese Personal Information Protection Law) đòi hỏi các doanh nghiệp xử lý thông tin cá nhân phải thực hiện các biện pháp cần thiết và phù hợp để quản lý an toàn thông tin. Đây là một luật pháp quan trọng mà hầu hết các doanh nghiệp không thể tránh được.