《令和5年(2023年)日本电信业务法的修订是什么?详细解释关于Cookie规定》

预计将在令和5年（2023年）实施的日本《电信业务法》修订案，考虑到围绕电信业务的环境变化，为了顺利提供服务和保护用户，将进行各种规则的变更。其中，特别引人关注的是关于Cookie的规定。

目前，使用Cookie的在线服务非常广泛，电信业务法的修订将如何影响在线服务的运营，已成为众多企业关注的问题。预计未来的网络营销也将发生重大变化。

本文将介绍2022年6月通过的修订案以及预计在2023年6月17日实施的日本《电信业务法》，以及随之制定的《电信业务法实施规则》等。我们也将详细解释备受关注的Cookie规定。

电信业务法修订概述

电信业务法是一部考虑到电信业务的公共性，旨在使其运营合理且公正，促进业务间的公平竞争，保护用户利益的法律（日本电信业务法第1条）。简单来说，该法的目的是为了确保互联网、手机等电信服务的顺畅提供，保障用户利益和国民的便利性。

电信业务者所从事的业务是指提供电话、互联网等信息通信基础设施的业务。在本次修订中，实施了以下的修订，包括扩大目标业务者的范围。

• 将通信服务普及化，如电力、燃气、自来水等
• 将搜索引擎和社交网络等纳入申报对象
• 整顿大型手机运营商和低价SIM等的公平竞争

自2020年以来，远程办公、网络会议、远程教育等迅速普及。现在，互联网环境已经不再是个人选择的服务，而可以说是像电力和燃气一样，任何人都可以访问的基础设施。在本次修订中，为了消除地区间的通信差距，即使在互联网业务者无法盈利的地区，也确保了稳定的服务提供，因此设立了补助金制度。

“电信业务者”的范围也发生了变化。以前不在对象范围内的大型搜索服务和社交网络也成为了监管对象。也就是说，像Google这样的大型搜索引擎，以及Twitter、Instagram等社交网络，只要超过一定规模，就作为电信业务者纳入申报对象。

以下是本次新增的申报对象业务者的条件。

1. 搜索信息电信服务（如Google等搜索引擎）：用户数超过1000万人且提供跨领域搜索服务
2. 媒介相当电信服务（如Twitter等社交网络）：用户数超过1000万人且主要实质性地媒介不特定用户间的交流

此外，为了实现手机大公司和其他MVNO等的竞争公正化，也明确规定了需要提供费用计算方法等义务。

新设立的“特定用户信息”是什么

根据《日本电信业务法实施规则》（Japanese Telecommunications Business Law Enforcement Regulations），新设立了一个名为“特定用户信息”的概念。受到监管的是提供对用户利益影响较大的电信服务的电信业务者。具体来说，每月活跃用户数如果是免费服务则超过1000万人，付费服务则超过500万人的业务者将成为监管对象。固定电话、移动电话、互联网连接服务业者，以及Google等搜索服务，Twitter等社交网络服务等可能会被列为例子。

“特定用户信息”是指邮件或电话记录等通信秘密，用户ID或号码等可以识别用户的信息（电信业务法实施规则[ja]第2条的2，第22条的2的21）。对于这些信息的处理，业务者需要承担以下义务（同实施规则第22条的2的22）。另外，存储在Cookie中的信息也包含在这个特定用户信息中。

1. 制定和报告处理规定
2. 制定和公布处理方针
3. 每个业务年度，自我评估处理情况，反映在处理规定和方针中
4. 选任和报告上述时期的总管理者
5. 泄露时的报告

处理特定用户信息的业务者有义务制定和公布其处理方针。此外，他们还需要进行技术趋势和网络攻击风险等的自我评估，并根据需要对方针进行修订。

此外，还规定了必须选任具有3年以上经验的总管理者，并在超过1000人的用户信息泄露时，必须立即向总务大臣报告。

此外，外部发送规则，即所谓的Cookie规则的设立，可能是这次修订中影响最大的一点。以下，我们将进行详细说明。

明确的Cookie法规

什么是Cookie？它的优点和问题

Cookie是指一种将访问网站的用户信息保存在浏览器中的机制。更详细地解释，当网站的浏览者从PC、智能手机、平板电脑等设备访问Web服务器时，Web服务器会将文件保存在浏览者的设备上。当Web服务器接收到浏览者的访问时，可以参考存储在浏览者设备上的Cookie。

因此，当用户再次访问曾经使用过的Web服务的网站时，系统可以识别出这是曾经访问过的用户。例如，当你在电子商务网站购物时，可能有过这样的经历：“将喜欢的商品放入购物车，浏览其他商品页面一段时间后再次查看购物车，之前放入的商品仍然在”。实际上，这个机制就是使用了Cookie。

简单来说，Cookie是一种集合了用户识别ID、用户访问网站的日期和次数等多种用户信息的数据。由于Cookie可以识别用户，因此当用户第二次或以后访问网站时，可以提供最适合的信息。

通过使用Cookie，也可以在用户不知情的情况下收集个人信息。通过收集哪个用户、从哪个设备、访问了哪个网站的信息，可以分析用户的兴趣和喜好。

然而，大多数用户无法知道Cookie何时记录了哪些数据，以及向服务器发送了哪些数据。Cookie的数据可能被用户不知情的第三方公司用于商业目的。因此，从侵犯隐私的角度出发，根据2022年（公历）4月的《日本个人信息保护法》的修订，Cookie被指定为“个人相关信息”。

到目前为止，许多网站运营者通过Cookie了解用户信息，进行更准确、更有效的市场营销。然而，在欧盟等国家，使用Cookie侵犯隐私的问题已经引起了关注，并采取了相应的措施。特别是在浏览欧盟区域的网站时，可能会注意到显示了要求同意使用Cookie的消息。

第一方Cookie与第三方Cookie

Cookie主要分为两种类型：第一方Cookie和第三方Cookie。

第一方Cookie是指用户访问的网站域名直接发出的Cookie。也就是说，这种Cookie的“发行源域名”等于“访问网站的域名”。第一方（first party）的意思是“当事人”。由于浏览者访问的网站服务器和用户设备之间的Cookie交换在这里完成，所以被称为第一方Cookie。

另一方面，第三方Cookie是指浏览者访问的网站以外的服务器（第三方）发出的Cookie。这种Cookie的交换并未在浏览者访问的网站服务器和用户设备之间完成，而是在其他服务器之间使用Cookie进行数据交换，因此被称为第三方Cookie。

电信业务法（Japanese Telecommunications Business Law）的修订主要针对的是第三方Cookie的使用。

第三方Cookie可以跨多个域获取用户的浏览历史信息等。如果能获取某个设备的浏览历史，就可以对该设备的用户的兴趣进行分析。如果用户在不知情的情况下，他们的兴趣爱好被用于广告等，就会引发用户的不安，从隐私角度看也会产生问题。许多人可能都有过这样的经历，即看到过去访问过的网站的广告或相关产品的广告变得越来越多。

在日本，过去并没有直接规定Cookie使用的法律规则。2010年3月，日本総務省情報通信政策研究所（Japanese Ministry of Internal Affairs and Communications Information and Communications Policy Research Institute）公布的“行为目标广告的经济效果和用户保护研究报告”中，表明了使用目标广告的企业应明确其使用情况，或事先获得同意，这是可取的。如“可取”一词所示，这并没有明确的法律约束力。

这次的电信业务法修订从“可取”进一步发展到“必须”，明确规定了必须这样做，可以认为这是制定直接规定Cookie使用的法律规则的新动向。

Cookie规定的内容

修订后的日本《电信业务法》第27条第12款规定：“在向用户提供电信服务时，如果要进行将用户的电信设备作为传输目标的信息传输指令通信（以下省略），根据总务省令的规定，必须事先通知用户，该信息传输指令通信将启动的信息传输功能将发送的与该用户相关的信息的内容，该信息的传输目标电信设备以及总务省令规定的其他事项，或者使用户能够轻易知道这些信息。”

这是一段有些难解的条文，但简单来说，就是：

• 在向用户提供电信服务（即在线服务）时
• 如果要进行将用户的电信设备（如电脑或智能手机）作为传输目标的信息传输指令通信

必须通知用户规定的事项，或者使用户能够轻易知道这些信息。

那么，需要通知用户的“规定的事项”具体指的是什么呢？

根据修订后的日本《电信业务法》第27条第12款以及修订后的日本《电信业务法》实施规则第22条第2款第29项的规定，如果要进行这样的信息传输指令通信，必须通知用户以下事项，或者使用户能够轻易知道这些信息：

• 要发送的“与用户相关的信息”的内容
• 使用目标服务器处理“与用户相关的信息”的人的姓名/名称
• 发送的“与用户相关的信息”的使用目的

因此，如果要使用受Cookie规定影响的Cookie，必须引入通知用户收集的Cookie信息、传输目标、使用目的等信息的机制，或者公布Cookie政策等，使用户能够轻易知道这些信息。

Cookie规定的四个例外

根据修订后的日本《电信业务法》第27条第12款（Japanese Telecommunications Business Law），在以下四种情况下，无需将规定的事项通知给用户，或使用户能够轻易知晓：

一、为了在用户的电信设备的显示屏上正确显示在电信服务中发送的代码、声音或图像，以及用户在使用电信服务时需要发送的信息，这些信息由总务省规定。

根据修订后的《电信业务法》实施规则第22条第2款第30项（Japanese Telecommunications Business Law Enforcement Regulations），以下信息符合上述规定：

• 为提供服务真正需要的信息
• 用户在使用服务时输入的信息（包括认证信息）需要重新显示的信息
• 检测不正当行为或减轻损害所需的信息
• 为了服务器的适当运行所需的信息

二、电信业务者或第三方业务者在向用户提供电信服务时，发送到用户的电信设备的识别代码（电信业务者或第三方业务者在提供电信服务时，用于区分用户和其他人的文字、数字、符号等）。这是指信息发送指令通信启动的信息发送功能将电信业务者或第三方业务者的电信设备作为发送目标。

虽然有些难以理解，但这是指”自己公司向用户的设备发送的ID被发送到自己公司的服务器”的情况。也就是说，前述的第一方Cookie是例外，只有第三方Cookie才是规定的对象。

三、用户同意发送到其电信设备的信息

我们经常看到的”您同意使用Cookie吗”这样的语句就是为了这个条款。对于同意的用户，不需要这个通知等。

四、如果信息发送指令通信符合以下所有情况，那么用户不需要申请规定的措施的信息

这是指采取所谓的选择退出措施，使用户可以随时拒绝收集或使用Cookie信息的状态。

总结：请咨询专家以应对修订的日本电信业务法

由于在线服务的飞速发展，相关领域的法律修订非常频繁。由于变化剧烈，相关文献很少，掌握最新信息并做出应对可能并不容易。

我们建议您在应对日本电信业务法及其相关规定的修订时，寻求专家的建议。

我們事務所的對策介紹

Monolith法律事務所是一家在IT，特別是互聯網和法律兩方面都有豐富經驗的法律事務所。日本的《電信業法》（Japanese Telecommunications Business Law）修訂後的條文相當複雜，非專業人士很難理解。為了合法經營業務，您需要進行法律審查，歡迎隨時與我們諮詢。我們在下面的文章中詳細說明了這一點。

Monolith法律事務所的業務範疇：IT和創業公司的企業法務[ja]