Giải thích về 'Hình phạt' trong Luật bảo vệ thông tin cá nhân được sửa đổi năm Reiwa 4 (2022)

Từ tháng 4 năm 2022 (năm 2022 theo lịch Gregory), Luật bảo vệ thông tin cá nhân sau khi được sửa đổi đã được thi hành. Tiếp theo việc giải thích về những điểm cần lưu ý liên quan đến ‘Trách nhiệm của doanh nghiệp’ trong Luật bảo vệ thông tin cá nhân sau khi được sửa đổi năm 2022 của Nhật Bản, lần này chúng tôi sẽ giải thích về cách sử dụng dữ liệu và hình phạt.

Tổng quan về Luật bảo vệ thông tin cá nhân Nhật Bản năm 2022 (năm thứ 4 của kỷ nguyên Reiwa)

Luật bảo vệ thông tin cá nhân Nhật Bản năm 2022 đã được sửa đổi với 6 điểm chính sau:

1. Quyền lợi của cá nhân
2. Trách nhiệm cần được bảo vệ của doanh nghiệp
3. Cơ chế khuyến khích doanh nghiệp tự giác thực hiện
4. Cách sử dụng dữ liệu
5. Hình thức xử phạt
6. Áp dụng luật ra ngoài lãnh thổ và chuyển giao qua biên giới

Trong bài viết “Giải thích về điểm cần lưu ý trong ‘Trách nhiệm của doanh nghiệp’ theo Luật bảo vệ thông tin cá nhân Nhật Bản năm 2022[ja]“, chúng tôi đã giải thích về điểm sửa đổi (1) và (2). Trong bài viết này, chúng tôi sẽ giải thích về điểm sửa đổi (3), (4), (5) và (6).

Bài viết liên quan: Luật bảo vệ thông tin cá nhân và thông tin cá nhân là gì? Luật sư giải thích[ja]

Cách thức tồn tại của cơ chế khuyến khích các doanh nghiệp tự nguyện tham gia

Về cách thức tồn tại của cơ chế khuyến khích các doanh nghiệp tự nguyện tham gia, với sự đa dạng hóa của thực tế kinh doanh và sự tiến bộ của công nghệ IT, tầm quan trọng của việc các tổ chức dân sự xây dựng các quy tắc tự nguyện liên quan đến việc xử lý dữ liệu cá nhân trong các lĩnh vực cụ thể, và việc hướng dẫn tích cực cho các doanh nghiệp mục tiêu đang tăng lên.

Trong Luật Bảo vệ thông tin cá nhân Nhật Bản, ngoài Ủy ban Bảo vệ thông tin cá nhân, cũng đã tạo ra cơ chế bảo vệ thông tin thông qua việc sử dụng các tổ chức dân sự, và đã thiết lập hệ thống tổ chức được chứng nhận. Các tổ chức như các tổ chức pháp nhân thực hiện việc xử lý khiếu nại liên quan đến việc xử lý thông tin cá nhân, cung cấp thông tin về việc xử lý đúng đắn thông tin cá nhân đối với các doanh nghiệp, có thể trở thành “Tổ chức Bảo vệ Thông tin Cá nhân được Chứng nhận” sau khi nhận được sự chứng nhận từ Ủy ban Bảo vệ Thông tin Cá nhân. Trong luật sửa đổi, hệ thống tổ chức được chứng nhận đã được mở rộng để có thể chứng nhận các tổ chức mục tiêu các lĩnh vực (bộ phận) cụ thể của doanh nghiệp như các tổ chức được chứng nhận (Điều 47, Khoản 2). Đây là một nỗ lực nhằm thúc đẩy sự tiến bộ trong việc bảo vệ thông tin cá nhân dựa trên chuyên môn thông qua việc hoạt động của các tổ chức mục tiêu các doanh nghiệp cụ thể, bằng cách công nhận các tổ chức được chứng nhận theo đơn vị doanh nghiệp và thúc đẩy việc sử dụng các tổ chức được chứng nhận.

Cách tiếp cận với việc sử dụng dữ liệu

Cách tiếp cận với việc sử dụng dữ liệu đã được sửa đổi theo hai điểm sau đây.

Thiết lập “Thông tin được xử lý dưới dạng tên giả”, nới lỏng các nghĩa vụ (Điều 2, Khoản 9)

Theo luật hiện hành, thông tin chỉ đơn giản được chuyển đổi thành tên giả vẫn là “thông tin cá nhân”, và các doanh nghiệp phải chịu trách nhiệm về việc xử lý thông tin cá nhân. Tuy nhiên, đối với “thông tin cá nhân đã được chuyển đổi thành tên giả” này, nhu cầu sử dụng nó đang tăng lên như một cách để thực hiện phân tích chi tiết hơn thông tin được xử lý dưới dạng ẩn danh bằng cách duy trì tính hữu ích của dữ liệu ở mức độ tương đương với thông tin cá nhân trước khi xử lý, trong khi đảm bảo một mức độ an toàn nhất định.

Đáp lại điều này, luật sửa đổi đã thiết lập “Thông tin được xử lý dưới dạng tên giả” bằng cách xóa tên và các thông tin khác, và nới lỏng các nghĩa vụ như việc đáp ứng yêu cầu dừng sử dụng và tiết lộ thông tin, dưới điều kiện giới hạn việc phân tích nội bộ, nhằm thúc đẩy sự đổi mới.

Thông tin được xử lý dưới dạng tên giả được thiết lập là “thông tin về cá nhân được thu thập bằng cách xử lý thông tin cá nhân sao cho không thể xác định cá nhân cụ thể nếu không so sánh với thông tin khác”. Ví dụ, “Tên, tuổi, ngày tháng, thời gian, số tiền, cửa hàng” được chuyển đổi thành “ID giả, tuổi, ngày tháng, thời gian, số tiền, cửa hàng”. Các ví dụ về việc sử dụng dự kiến bao gồm “phân tích nội bộ cho mục đích mới mà không phù hợp với mục đích sử dụng ban đầu hoặc khó xác định xem có phù hợp hay không” (học từ mô hình học máy cho nghiên cứu trong lĩnh vực y tế, dược phẩm, phát hiện gian lận, dự đoán doanh thu, v.v.), và “xử lý thông tin cá nhân đã đạt được mục đích sử dụng thành thông tin được xử lý dưới dạng tên giả và lưu trữ nó vì có khả năng sử dụng nó cho phân tích thống kê trong tương lai”.

Về phương pháp tạo thông tin được xử lý dưới dạng tên giả, ít nhất, các biện pháp sau đây được yêu cầu như một quy tắc tối thiểu:

• Xóa tất cả hoặc một phần của các mô tả có thể xác định cá nhân cụ thể (ví dụ: tên) (bao gồm cả việc thay thế. Tương tự dưới đây)
• Xóa tất cả mã nhận dạng cá nhân
• Xóa các mô tả có nguy cơ gây ra thiệt hại tài sản nếu bị sử dụng trái phép (ví dụ: số thẻ tín dụng)

được yêu cầu.

Yêu cầu xác nhận thông tin dự kiến sẽ trở thành dữ liệu cá nhân tại nơi cung cấp (Điều 26, Khoản 2)

Theo luật hiện hành, ngay cả khi thông tin không phải là dữ liệu cá nhân tại nơi cung cấp nhưng dự kiến sẽ trở thành dữ liệu cá nhân tại nơi nhận, nó không phải là đối tượng của quy định. Tuy nhiên, theo luật sửa đổi, việc cung cấp cho bên thứ ba thông tin dự kiến sẽ trở thành dữ liệu cá nhân tại nơi nhận, mặc dù không phải là dữ liệu cá nhân tại nơi cung cấp, đã được yêu cầu xác nhận rằng sự đồng ý của người đó đã được nhận được, v.v.

Do công nghệ thu thập dữ liệu người dùng hàng loạt và kết hợp chúng thành dữ liệu cá nhân ngay lập tức đã phát triển và phổ biến, việc cung cấp thông tin cho bên thứ ba dưới dạng thông tin không cá nhân trong khi biết trước rằng nó sẽ trở thành dữ liệu cá nhân tại nơi nhận, một kế hoạch trốn tránh mục đích của Luật bảo vệ thông tin cá nhân, đang ngày càng trở nên phổ biến. Điều này là do lo ngại rằng phương pháp thu thập thông tin cá nhân mà không có sự tham gia của người đó sẽ lan rộng.

Về hình phạt

Cách thức áp dụng hình phạt đã được sửa đổi theo hai điểm sau đây.

Tăng mức hình phạt theo luật đối với việc vi phạm lệnh của Ủy ban và việc báo cáo giả mạo cho Ủy ban (Điều 83, Điều 87, v.v.)

Trong bối cảnh số vụ vi phạm pháp luật tăng lên, số vụ thu thập báo cáo và kiểm tra tại chỗ cũng tăng lên, và cần tăng cường hiệu quả của việc thu thập báo cáo và kiểm tra tại chỗ, là cơ sở để nắm bắt tình hình thực tế của doanh nghiệp. Trong luật sửa đổi, mức hình phạt theo luật đã được tăng lên.

Đối với hành vi “Vi phạm lệnh của Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản”, theo luật hiện hành, hình phạt là tù dưới 6 tháng hoặc phạt dưới 300.000 yên, nhưng theo luật sửa đổi, hình phạt là tù dưới 1 năm hoặc phạt dưới 1 triệu yên. “Cung cấp không chính xác dữ liệu cơ sở dữ liệu thông tin cá nhân, v.v.” vẫn là tù dưới 1 năm hoặc phạt dưới 500.000 yên, nhưng “Báo cáo giả mạo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản” đã tăng từ phạt dưới 300.000 yên theo luật hiện hành lên phạt dưới 500.000 yên theo luật sửa đổi.

Tăng mức phạt tiền đối với tổ chức (Điều 84, Điều 85, v.v.)

Theo luật hiện hành, mức phạt tiền đối với tổ chức là cùng mức với người thực hiện hành vi, nhưng khi xem xét sự chênh lệch về tài chính giữa tổ chức và cá nhân, theo luật sửa đổi, mức phạt tiền đối với vi phạm lệnh, v.v. đối với tổ chức đã được tăng lên (phạt nặng hơn đối với tổ chức). Đây là quyết định dựa trên việc cho rằng, ngay cả khi áp dụng mức phạt tiền cùng mức với người thực hiện hành vi đối với tổ chức, không thể kỳ vọng vào hiệu quả răn đe đủ mạnh.

Đối với hành vi “Vi phạm lệnh của Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản” của tổ chức, theo luật hiện hành, mức phạt tiền là cùng mức với người thực hiện hành vi, dưới 300.000 yên, nhưng theo luật sửa đổi, mức phạt tiền là dưới 1 tỷ yên. “Cung cấp không chính xác dữ liệu cơ sở dữ liệu thông tin cá nhân, v.v.” theo luật hiện hành, mức phạt tiền là cùng mức với người thực hiện hành vi, dưới 500.000 yên, nhưng theo luật sửa đổi, mức phạt tiền là dưới 1 tỷ yên. Tuy nhiên, “Báo cáo giả mạo cho Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản” vẫn là cùng mức với người thực hiện hành vi, dưới 500.000 yên theo cả luật hiện hành và luật sửa đổi.

Ứng dụng pháp luật ngoại vi và vấn đề chuyển giao qua biên giới

Về vấn đề ứng dụng pháp luật ngoại vi và chuyển giao qua biên giới, hai điểm sau đây đã được sửa đổi.

Tăng cường ứng dụng ngoại vi (Điều 75 của Luật Nhật Bản)

Trong luật hiện hành, quyền hạn mà người ta có thể thực thi đối với các doanh nghiệp nước ngoài, đối tượng của ứng dụng ngoại vi, chỉ giới hạn ở quyền hạn không đi kèm với sức ép như hướng dẫn và tư vấn cũng như khuyến nghị. Tuy nhiên, có nguy cơ Ủy ban không thể xử lý đúng mức đối với các vụ việc rò rỉ thông tin cá nhân ở nước ngoài, do đó, luật sửa đổi đã quy định rằng các doanh nghiệp nước ngoài xử lý thông tin cá nhân liên quan đến cung cấp hàng hóa hoặc dịch vụ y tế cho người ở Nhật Bản sẽ trở thành đối tượng của việc thu thập báo cáo và ra lệnh được bảo đảm bằng hình phạt, và tăng cường việc thực thi quyền hạn của Ủy ban Bảo vệ Thông tin Cá nhân.

Cải thiện việc cung cấp thông tin cho người mà thông tin cá nhân của họ được xử lý tại doanh nghiệp nhận chuyển giao (Điều 78 của Luật Nhật Bản)

Ở một số quốc gia, đã xuất hiện quản lý quốc gia về quy định, và trong bối cảnh cơ hội chuyển giao thông tin cá nhân qua biên giới đang mở rộng, sự khác biệt về hệ thống giữa các quốc gia và khu vực đã làm cho khả năng dự đoán của cá nhân và doanh nghiệp xử lý dữ liệu trở nên không ổn định, và đã phát sinh lo ngại từ góc độ bảo vệ quyền lợi của cá nhân.

Đối với điều này, khi cung cấp dữ liệu cá nhân cho bên thứ ba ở nước ngoài, yêu cầu cải thiện việc cung cấp thông tin cho người mà thông tin cá nhân của họ được xử lý tại doanh nghiệp nhận chuyển giao, và làm điều kiện để có thể cung cấp dữ liệu cá nhân cho bên thứ ba ở nước ngoài, trong luật hiện hành, điều kiện là “sự đồng ý của người đó” đã được thay đổi thành “khi nhận được sự đồng ý, cung cấp thông tin cho người đó về tên của quốc gia nhận chuyển giao, sự tồn tại của hệ thống bảo vệ thông tin cá nhân ở quốc gia nhận chuyển giao, v.v.”, và điều kiện là “doanh nghiệp đã thiết lập hệ thống phù hợp với tiêu chuẩn” đã được thay đổi thành “kiểm tra định kỳ tình hình xử lý của doanh nghiệp nhận chuyển giao + cung cấp thông tin liên quan theo yêu cầu của người đó”.

Tóm tắt

Sửa đổi Luật bảo vệ thông tin cá nhân Nhật Bản năm 2022, là lần đầu tiên sửa đổi dựa trên ‘quy định xem xét mỗi 3 năm’, đã thực hiện việc mở rộng việc ngừng sử dụng, xóa bỏ, cấm sử dụng không phù hợp, cải thiện cung cấp thông tin liên quan đến chuyển giao qua biên giới, và việc tạo ra ‘thông tin đã được xử lý để không xác định được người’. Điều này đã giúp bảo vệ và tăng cường quyền lợi của cá nhân, đối phó với rủi ro mới do tăng lượng dữ liệu qua biên giới, và chuẩn bị cho thời đại AI và Big Data.

Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi

Văn phòng luật sư Monolis, chuyên về IT, đặc biệt là Internet và luật, là một văn phòng luật sư có chuyên môn cao về cả hai mặt. Luật thông tin cá nhân vừa được sửa đổi đang thu hút sự chú ý, và nhu cầu kiểm tra pháp lý ngày càng tăng. Văn phòng luật sư của chúng tôi cung cấp các giải pháp liên quan đến tài sản trí tuệ. Chi tiết được mô tả trong bài viết dưới đây.

https://monolith.law/practices/corporate[ja]