关于令和4年(2022年)修订的日本《个人信息保护法》中'企业的责任'的注意事项解析
2022年4月(公历2022年)开始,修订后的《日本个人信息保护法》已经开始实施。《日本个人信息保护法》在考虑个人信息的有用性的同时,也旨在保护个人的权益,确保个人信息的适当处理。那么,具体来说,修订后的《日本个人信息保护法》的实施将会带来哪些变化呢?本次我们将对个人权利的变化和企业的责任进行解释。
个人信息保护法的修订及其背景
个人信息保护法于2003年制定并于2005年全面实施。然而,由于“信息通信技术的发展使得在制定时未曾预想到的个人数据的利用成为可能”,所以在施行后的10年,即2015年,该法进行了修订,并于2017年全面实施。
在这个2017年的修订法中,考虑到“国际趋势、信息技术的进步、新产业的创造和发展情况”,规定了“每三年根据实际情况进行一次修订”的“三年一次修订规定”。
2017年实施的个人信息保护法修订法附则中的相关规定(摘录)
(审议)第12条
(略)
2 政府应以本法实施后三年为目标,考虑到为有效执行个人信息保护基本政策的制定和推进以及其他个人信息保护委员会的职责所需的人力结构的建设、资金的保障等措施的情况,对其改善进行审议,并在认为有必要时,根据审议结果采取必要的措施。
3 政府除了上述事项外,还应以本法实施后三年为目标,考虑到个人信息保护的国际趋势、信息通信技术的进步、以及伴随之而来的利用个人信息创造和发展新产业的情况等,对新个人信息保护法的实施情况进行审议,并在认为有必要时,根据审议结果采取必要的措施。
4,5(略)
6 政府应根据新个人信息保护法的实施情况、第一款措施的执行情况以及其他情况,对新个人信息保护法第二条第一款规定的个人信息和行政机关等拥有的个人信息的保护规定进行整合,并包括将其统一规定在内,对个人信息保护的法制现状进行审议。
令和4年(2022年)修订的个人信息保护法是基于这个“三年一次修订规定”的首次法律修订。
令和4年(2022年)日本个人信息保护法修订概述
2022年对日本个人信息保护法的修订主要涉及以下六个方面:
- 个人权利的性质
- 企业应承担的责任的性质
- 鼓励企业主动采取措施的机制的性质
- 数据利用的性质
- 处罚的性质
- 法律的域外适用和跨境转移的性质
本文将对修订的第一和第二点进行解释。
相关文章:令和4年(2022年)日本个人信息保护法修订「处罚」解析[ja]
个人权利的存在方式
关于个人权利的存在方式,以下五点已经进行了修订。
扩大个人的请求权,包括使用停止、删除等(第30条)
在现行法中,个人的请求权,如使用停止、删除等,仅限于“非法使用个人信息”或“通过非法手段获取”的情况。然而,在修订法中,即使在“处理个人数据的企业不再需要使用个人数据”、“发生泄露等情况”或“可能损害个人权利或合法利益”的情况下,也可以请求停止使用、删除、停止向第三方提供。
个人数据的披露方式(第28条)
如果是本人,可以向处理个人信息的企业请求披露个人数据。接到请求后,处理个人信息的企业原则上必须披露个人数据。在现行法中,个人数据的披露原则上是通过书面进行的。然而,如果信息量过大,书面交付可能不适合,此外,如果个人数据是视频或音频数据等,根本不适合书面交付。因此,在修订法中,本人可以请求“通过本人指定的方式披露”,如通过电磁记录的提供等方式。处理个人信息的企业有义务按照本人请求的方式进行披露。
处理个人信息的企业需要尽早建立应对数字数据披露请求的体系。
本人对第三方提供记录的披露请求(第28条第5款)
处理个人信息的企业在向第三方提供个人数据时,必须按照法律规定创建记录,接收第三方提供的人也必须按照法律规定创建记录。这个与个人数据的第三方提供相关的记录和接收个人数据的第三方提供的确认记录统称为“第三方提供记录”。
在现行法中,本人不能请求披露企业创建的第三方提供记录,但在修订法中,本人可以请求披露第三方提供记录,考虑到了本人的追踪可能性。
将短期保存数据包含在个人数据中(第2条第7款)
在现行法中,个人数据是定义为“处理个人信息的企业有权进行披露、内容的修正、添加或删除、使用的停止、删除和停止向第三方提供的个人数据”,并且“通过明确其存在与否可能损害公共利益或其他利益的事项由政令规定”或“在政令规定的一年内删除的事项”以外的事项,其中“政令规定的期间”被规定为6个月。
然而,即使是短期删除的数据,也有可能在删除期间发生泄露等情况,因此,在修订法中,即使是在6个月内删除的短期保存数据也被包含在“个人数据”中。
限制选择退出规定的范围(第23条第2款)
选择退出规定是“在公布个人数据的项目等后,可以在本人请求后停止,前提是可以向第三方提供个人数据的制度”,在现行法中,只有需要考虑的个人信息被排除在外。
在修订法中,限制了可以向第三方提供的个人数据的范围,也将“非法获取的个人数据”和“通过选择退出规定提供的个人数据”排除在外。
企业应承担的责任
关于企业应承担的责任,以下两点已经进行了修订。
泄露等报告的义务化(日本《个人信息保护法》第22条2款)
在现行法中,泄露等的报告并非法律义务,因此部分企业并未积极应对,如果企业没有公开,那么日本个人信息保护委员会可能无法了解情况,也无法适当应对。在修订法中,如果发生泄露等情况,且可能严重损害个人的利益权利,那么向日本个人信息保护委员会报告以及通知本人已经成为义务。
泄露等报告的义务化的目标事件包括,无论数量如何都应包括的“需要注意个人信息的泄露”、“通过非法访问等泄露”、“可能造成财产损失的泄露”,以及超过1000件的“大规模泄露”。
禁止以不适当的方式使用(日本《个人信息保护法》第16条2款)
随着数据分析技术的迅速提高等背景,现在可以看到可能潜在侵犯个人权益的个人信息使用形式,消费者的担忧也在增加。为此,修订法明确了不得以违法或不当行为助长等不适当方式使用个人信息。
“违法或不当行为助长等不适当方式”包括“向从事违法行为的第三方提供个人信息”和“尽管可以充分预见通过法院公告等分散公开的个人信息可能引发歧视,但仍将其集中并数据库化,在互联网上公开”等相当恶劣的情况。
总结
本文对修订点1和2进行了解释。关于修订点3、4、5、6的解释,将在另一篇文章中进行。
相关文章:日本令和4年(2022年)修订的个人信息保护法‘罚款’解释[ja]
我們事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面都具有高度專業性的法律事務所。剛剛修訂的日本《個人信息保護法》引起了廣泛關注,法律審查的必要性也在不斷增加。我們事務所提供有關知識產權的解決方案。詳細內容請參見下文。
