Việc mua thông tin khách hàng có hợp pháp không? Giải thích về Luật bảo vệ thông tin cá nhân Nhật Bản

Vào ngày 30 tháng 5 năm 2017 (năm 2017 theo lịch Gregory), “Luật bảo vệ thông tin cá nhân sửa đổi” của Nhật Bản đã được thi hành toàn diện, và tất cả các doanh nghiệp xử lý thông tin cá nhân đều được áp dụng như “Doanh nghiệp xử lý thông tin cá nhân” theo Luật bảo vệ thông tin cá nhân.

Điều này cũng được áp dụng cho các công ty đã thu thập thông tin cá nhân thông qua việc mua danh sách, do đó, những người phụ trách đang xem xét việc mua thông tin khách hàng phải biết về các quy trình, nghĩa vụ và hạn chế liên quan đến việc mua bán và sử dụng thông tin cá nhân.

Vì vậy, trong lần này, chúng tôi sẽ giải thích chi tiết về các quy định và điều cần lưu ý của Luật bảo vệ thông tin cá nhân từ việc mua đến sử dụng thông tin khách hàng.

Luật bảo vệ thông tin cá nhân là gì?

Tên chính thức của Luật bảo vệ thông tin cá nhân là “Luật về bảo vệ thông tin cá nhân” (Japanese: 個人情報の保護に関する法律). Luật này đã được ban hành vào năm 2003 (Heisei 15) và đã được sửa đổi một số lần để phù hợp với sự thay đổi của thời đại, như việc số hóa dữ liệu thông tin.

Mục đích chính của luật này không phải là hạn chế việc sử dụng thông tin cá nhân, mà là “bảo vệ” và “sử dụng đúng mục đích”.

Mục đích của Luật bảo vệ thông tin cá nhân

• Bảo vệ quyền lợi của cá nhân và xác định quy tắc sử dụng thông tin cá nhân một cách phù hợp
• Xác định nghĩa vụ và hình phạt cho các doanh nghiệp xử lý thông tin cá nhân

Định nghĩa thông tin cá nhân

Trong Luật bảo vệ thông tin cá nhân, “thông tin cá nhân” được định nghĩa là thông tin liên quan đến một cá nhân còn sống, và là một trong các thông tin sau:

1. Thông tin có thể xác định một cá nhân cụ thể thông qua tên, ngày tháng năm sinh và các mô tả khác trong thông tin
2. Thông tin chứa mã nhận dạng cá nhân

Mã nhận dạng cá nhân là gì?

Mã nhận dạng cá nhân là một ký tự, số, ký hiệu hoặc ký hiệu khác có thể xác định một cá nhân cụ thể, và là một trong những điều sau đây được chỉ định cụ thể bởi sắc lệnh hoặc quy tắc:

• Mã đã chuyển đổi các đặc điểm của một phần cơ thể cho máy tính (DNA, khuôn mặt, mống mắt, dấu vân tay, cách đi bộ, mạch máu ở ngón tay, dấu vân tay / lòng bàn tay, v.v.)
• Mã được phân bổ cho mỗi đối tượng trong việc sử dụng dịch vụ hoặc trong các tài liệu (số hộ chiếu, số hưu trí cơ bản, số giấy phép, mã hộ khẩu, “My Number”, các loại bảo hiểm, v.v.)

Nếu bạn muốn biết thêm về Luật bảo vệ thông tin cá nhân, vui lòng xem bài viết chi tiết dưới đây cùng với bài viết này.

Bài viết liên quan: Luật bảo vệ thông tin cá nhân và thông tin cá nhân là gì? Luật sư giải thích[ja]

Mua bán thông tin khách hàng có hợp pháp không?

Ngoại trừ các cơ quan của chính phủ và tổ chức công cộng, các doanh nghiệp thông thường nếu tuân thủ Luật bảo vệ thông tin cá nhân Nhật Bản (Japanese Personal Information Protection Law) thì việc mua bán thông tin khách hàng không phải là bất hợp pháp.

Thủ tục khi cung cấp thông tin cá nhân cho bên thứ ba

Khi doanh nghiệp cung cấp cơ sở dữ liệu thông tin cá nhân cho bên thứ ba, họ phải tuân thủ các thủ tục sau đây.

Nguyên tắc là phải có sự đồng ý của người đó trước

Tuy nhiên, có các ngoại lệ trong các trường hợp sau đây.

① Trường hợp dựa trên pháp luật
② Trường hợp khó khăn trong việc nhận được sự đồng ý của người đó và cần bảo vệ cuộc sống, cơ thể, tài sản của con người, hoặc vì sức khỏe công cộng và sự phát triển lành mạnh của trẻ em
③ Trường hợp hợp tác với chính phủ hoặc tổ chức công cộng địa phương

Cung cấp cho bên thứ ba thông qua thủ tục từ chối (opt-out)

Trong trường hợp doanh nghiệp dự định cung cấp thông tin cá nhân cho bên thứ ba và nếu người đó yêu cầu, doanh nghiệp phải dừng cung cấp thông tin cho bên thứ ba (opt-out). Khi đó, ngay cả khi không có sự đồng ý của người đó, việc cung cấp thông tin cho bên thứ ba vẫn có thể thực hiện được thông qua các thủ tục sau đây.

Thông báo trước cho người đó về các điều sau đây hoặc đảm bảo rằng người đó có thể dễ dàng biết được thông qua trang web, và sau đó thông báo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản (Japanese Personal Information Protection Commission).

① Mục đích sử dụng việc cung cấp cho bên thứ ba.
② Các mục thông tin cá nhân được cung cấp cho bên thứ ba
③ Phương pháp cung cấp cho bên thứ ba
④ Dừng cung cấp dữ liệu cá nhân cho bên thứ ba theo yêu cầu của người đó.
⑤ Phương pháp nhận yêu cầu từ người đó

Điều cần lưu ý là, đối với “thông tin cá nhân cần quan tâm” có khả năng bị phân biệt đối xử hoặc đánh đồng không công bằng nếu người khác biết, như chủng tộc, tín ngưỡng, địa vị xã hội, hồ sơ bệnh án, tiền án, thì nguyên tắc cung cấp cho bên thứ ba chỉ dựa trên sự đồng ý trước của người đó.

Điều cần tuân thủ khi mua thông tin khách hàng

Nghĩa vụ được quy định bởi pháp luật

Khi mua thông tin khách hàng, người mua cũng trở thành “Người kinh doanh xử lý thông tin cá nhân”, do đó, khi nhận thông tin cá nhân từ bên thứ ba như nhà cung cấp danh sách, họ phải tuân theo các nghĩa vụ sau đây theo pháp luật.

Khi mua thông tin khách hàng, bạn phải xác nhận 2 điểm sau:

• Tên, địa chỉ, người đại diện của nhà cung cấp danh sách
• Quá trình nhà cung cấp danh sách thu thập thông tin cá nhân

Khi mua thông tin khách hàng, bạn phải ghi lại các mục sau và lưu trữ chúng trong 3 năm.

• Ngày tháng năm nhận thông tin cá nhân
• Tên, địa chỉ, người đại diện của nhà cung cấp danh sách
• Quá trình nhà cung cấp danh sách thu thập thông tin cá nhân
• Tên và các thông tin khác đủ để xác định người được xác định bởi thông tin cá nhân đó
• Các mục của thông tin cá nhân đó
• Trong trường hợp cung cấp cho bên thứ ba thông qua quy trình từ chối (opt-out), các mục cần thiết đã được công bố bởi Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản.

※Bạn có thể kiểm tra thông báo về quy trình từ chối (opt-out) tại trang web của Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản[ja].

Xác nhận về việc thu thập thông tin khách hàng

Khi mua thông tin khách hàng, bạn cũng cần kiểm tra phương pháp thu thập thông tin của nhà cung cấp danh sách và những người khác. Ngay cả khi bạn mua thông tin khách hàng một cách hợp pháp, nếu phương pháp thu thập thông tin khách hàng là bất hợp pháp, người sử dụng có thể phải đối mặt với yêu cầu bồi thường thiệt hại.

Việc nhà cung cấp danh sách và những người khác thu thập thông tin khách hàng bằng cách sử dụng phương pháp không chính đáng như giả mạo, v.v. đương nhiên là bị cấm theo pháp luật, nhưng ngoài ra, trước khi mua, hãy chắc chắn kiểm tra các nghĩa vụ sau đây khi thu thập.

• Đã xác định mục đích sử dụng cụ thể chưa
• Đã công bố mục đích sử dụng đã xác định hoặc thông báo cho người đó chưa
• Khi sử dụng thông tin cá nhân đã thu thập cho mục đích khác, đã có sự đồng ý của người đó chưa
• Khi nhận thông tin cá nhân từ bên thứ ba, ngoài tên, địa chỉ, v.v. của người cung cấp, hãy xác nhận quá trình thu thập thông tin cá nhân, ghi lại ngày nhận, các mục cần kiểm tra, v.v. và lưu trữ chúng trong 3 năm
• “Thông tin cá nhân cần quan tâm” mà cần có sự đồng ý của người đó không được bao gồm

Nếu bạn muốn biết thêm về rò rỉ thông tin cá nhân và bồi thường thiệt hại, hãy xem bài viết chi tiết dưới đây cùng với bài viết này.

Bài viết liên quan: Rủi ro rò rỉ thông tin cá nhân của doanh nghiệp và bồi thường thiệt hại[ja]

Điều cần tuân thủ khi sử dụng thông tin khách hàng

Không vượt quá mục đích sử dụng

Các nhà cung cấp danh sách và các bên tương tự không được phép sử dụng thông tin khách hàng vượt quá mục đích mà họ đã nhận được sự đồng ý từ người đó, theo quy định của pháp luật. Nếu bạn muốn sử dụng thông tin cho mục đích khác, bạn phải nhận được sự đồng ý từ người đó một lần nữa.

Khi sử dụng cho cuộc gọi kinh doanh

Khi thực hiện “bán hàng qua điện thoại” với mục đích kêu gọi đăng ký hoặc ký kết hợp đồng mua bán sản phẩm, có các quy định sau đây được đặt ra theo Luật Giao dịch Thương mại cụ thể của Nhật Bản:

Trước khi thuyết phục, hãy chắc chắn thông báo cho người tiêu dùng về các điều sau:

• Tên công ty
• Tên người phụ trách (người thuyết phục)
• Loại sản phẩm (quyền, dịch vụ) muốn bán
• Mục đích thuyết phục để ký kết hợp đồng

Hành vi bị cấm

• Thuyết phục lại người đã từ chối một lần
• Đưa ra lời giải thích không phù hợp với sự thật
• Cố ý không thông báo sự thật
• Đe dọa và làm rối loạn đối tác

Khi sử dụng cho việc gửi email

Khi gửi email cho mục đích quảng cáo hoặc tiếp thị, theo Luật Email Đặc biệt của Nhật Bản, nguyên tắc là không được gửi cho những người không thông báo cho người gửi rằng họ muốn nhận email đặc biệt hoặc đồng ý với việc gửi.

Ngay cả khi các nhà cung cấp danh sách và các bên tương tự đã nhận được thông báo trên, người mua danh sách phải nhận được thông báo mới, vì vậy việc sử dụng email có thể khó khăn.

Nghĩa vụ quản lý an toàn

Khi thu thập thông tin khách hàng, bạn có nghĩa vụ như một doanh nghiệp xử lý thông tin cá nhân để thực hiện các biện pháp cần thiết để ngăn chặn rò rỉ, mất mát hoặc hủy hoại thông tin cá nhân.

Ngoài ra, đối với nhân viên thực sự xử lý thông tin cá nhân, bạn phải thực hiện giám sát cần thiết và thích hợp để đảm bảo quản lý an toàn thông tin cá nhân.

Tổng kết

Lần này, chúng tôi đã giải thích về mối quan hệ giữa việc mua thông tin khách hàng và Luật bảo vệ thông tin cá nhân (Japanese Personal Information Protection Law) theo 4 mục sau:

1. Luật bảo vệ thông tin cá nhân là gì?
2. Việc mua bán thông tin khách hàng có hợp pháp không?
3. Điều cần tuân thủ khi mua thông tin khách hàng
4. Điều cần tuân thủ khi sử dụng thông tin khách hàng

Tuy nhiên, khi giao dịch với người tiêu dùng nước ngoài thông qua internet, bạn không chỉ cần kiểm tra luật pháp trong nước mà còn cần kiểm tra luật pháp của từng quốc gia.

Vì vậy, nếu bạn đang xem xét việc mua và sử dụng thông tin khách hàng, chúng tôi khuyên bạn nên tìm kiếm lời khuyên từ luật sư có kiến thức chuyên môn và kinh nghiệm phong phú thay vì tự quyết định.

Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi

Văn phòng luật sư Monolis, chuyên về IT, đặc biệt là Internet và luật, là một văn phòng luật sư có chuyên môn cao về cả hai mặt. Gần đây, ‘Luật bảo vệ thông tin cá nhân Nhật Bản’ đang thu hút sự chú ý, và nhu cầu kiểm tra pháp lý ngày càng tăng. Chi tiết được mô tả trong bài viết dưới đây.

https://monolith.law/practices/corporate[ja]