购买客户信息是否合法?解读日本《个人信息保护法》
2017年5月30日(西历2017年),「日本修订个人信息保护法」全面实施,所有处理个人信息的企业都被视为「个人信息处理企业」,并受到个人信息保护法的适用。
这也适用于通过购买名单等方式获取个人信息的企业,因此,负责考虑购买客户信息的人员必须了解个人信息的买卖、使用等相关程序、义务和禁止事项。
因此,本次我们将详细解释关于从购买到使用客户信息的过程中,个人信息保护法的规定和注意事项等。
个人信息保护法是什么样的法律?
个人信息保护法的正式名称为“关于保护个人信息的法律”。自2003年(平成15年)制定以来,随着信息数字化等时代变化,已经经过多次修订至今。
该法并不是限制个人信息的使用,而是以“保护”和“适当利用”为主要目标。
个人信息保护法的目的
- 保护个人的权利和利益,同时规定个人信息的适当使用规则
- 规定处理个人信息的企业的义务和罚则等
个人信息的定义
个人信息保护法中规定的“个人信息”是指关于存活的个人的信息,符合以下任一条件的信息:
- 信息中包含的姓名、出生日期等描述可以识别特定的个人
- 包含个人识别代码的信息
什么是个人识别代码
个人识别代码是指可以识别特定个人的文字、数字、符号等,符合以下任一条件,并由政令或规则单独指定的:
- 为计算机转换身体部分特征的代码(DNA、面部、虹膜、声纹、步态、手指静脉、指纹/掌纹等)
- 在服务使用或文件中为每个对象分配的代码(护照号码、基础养老金号码、驾驶证号码、居民票代码、我的号码、各种保险证等)
如果您想详细了解个人信息保护法,请参阅下面的详细描述,并与本文一起查看。
销售客户信息是否合法?
除了国家机构和公共团体外,一般的企业只要遵守《日本个人信息保护法》,销售客户信息并不违法。
向第三方提供个人信息的程序
当企业向第三方提供个人信息数据库等时,必须遵守以下程序。
原则上需事先获得本人的同意
但是,以下情况除外:
① 根据法律规定的情况
② 在获得本人同意困难的情况下,为了保护人的生命、身体、财产,或者为了公共卫生、儿童的健康成长
③ 协助国家或地方公共团体等
通过选择退出程序向第三方提供
如果企业在向第三方提供个人信息时,如果本人要求,可以停止向第三方提供(选择退出)。在这种情况下,即使没有本人的同意,也可以通过以下程序向第三方提供。
以下的①〜⑤需要事先通知本人,或者在网页等地方让本人容易知道,并向《日本个人信息保护委员会》报告。
① 将向第三方提供作为使用目的。
② 将提供给第三方的个人数据项
③ 向第三方提供的方式
④ 根据本人的要求停止向第三方提供个人数据。
⑤ 接受本人要求的方式
需要注意的是,对于他人知道可能会受到不公平的歧视或偏见的”需要注意的个人信息”,如种族、信仰、社会地位、病史、前科等,只有本人的事先同意才是向第三方提供的原则。
购买客户信息时应遵守的事项
法律规定的义务
购买客户信息后,购买者也将成为“个人信息处理业者”,因此在从名册业者等第三方接收个人信息时,法律规定了以下义务。
购买客户信息时,必须确认以下两点:
- 名册业者的名称、地址、代表人
- 名册业者获取个人信息的经过
购买客户信息时,必须记录以下项目并保存3年:
- 接收个人信息提供的年月日
- 名册业者的名称、地址、代表人
- 名册业者获取个人信息的经过
- 通过该个人信息能够识别的本人的姓名和其他足以识别该本人的事项
- 该个人信息的项目
- 如果是通过选择退出程序向第三方提供的情况,个人信息保护委员会已公布了必要事项。
※选择退出程序的申报可以在个人信息保护委员会的网页[ja]上确认。
关于获取客户信息的确认
购买客户信息时,也需要确认名册业者等的信息获取方法。即使合法购买了客户信息,如果获取客户信息的方法是非法的,使用者可能会面临损害赔偿请求。
名册业者等通过虚假等不正当手段获取客户信息当然是法律所禁止的,但除此之外,在获取时还有以下义务,所以在购买前一定要确认。
- 是否具体指定了使用目的
- 是否公布了特定的使用目的,或者通知了本人
- 如果将获取的个人信息用于其他目的,是否已获得本人的同意
- 在从第三方接收个人信息提供时,除了提供者的姓名、地址等,是否确认了获取个人信息的经过,并记录了接收年月日、确认事项等,并保存了3年
- 是否包含必须获得本人同意的“需要注意的个人信息”
如果您想详细了解个人信息泄露和损害赔偿,请参阅下面的详细描述,并与本文一起查看。
相关文章:企业个人信息泄露和损害赔偿的风险[ja]
使用客户信息时应遵守的规定
不超越使用目的的范围
名册经营者等在未经本人同意的情况下超越使用目的范围使用客户信息是被法律禁止的,因此,如果想要出于其他目的使用,必须重新获得本人的同意。
在商业电话中使用
在进行以电话勧诱销售为目的的商品等的申请或买卖合同的签订时,有《日本特定商业交易法》规定的以下规定。
在勧诱之前必须向消费者传达以下事项
- 公司名称
- 负责人(进行勧诱的人)的姓名
- 打算销售的商品(权利,服务)的种类
- 以勧诱签订合同为目的的事项
禁止行为
- 对曾经拒绝的对象再次进行勧诱
- 做出与事实不符的说明
- 故意不传达事实
- 威胁对方,使其困惑
在邮件发送中使用
在发送广告或宣传的电子邮件时,根据《日本特定电子邮件法》,原则上禁止向除了通知发送者①希望发送特定电子邮件,或者②同意发送的对象以外的人发送。
即使名册经营者等获得了上述的①·②的通知,名册的购买者也必须新获得①·②的通知,因此,使用邮件可能会比较困难。
安全管理措施义务
获取客户信息后,作为个人信息处理业者,有义务采取防止个人信息泄露、丧失或损坏等必要的措施。
此外,对实际处理个人信息的员工,必须进行必要且适当的监督,以确保该个人信息的安全管理。
总结
本次我们分为以下四个部分,解释了购买客户信息以及与日本个人信息保护法的关系。
- 日本个人信息保护法是什么样的法律?
- 购买和销售客户信息是否合法?
- 购买客户信息时应遵守的事项
- 使用客户信息时应遵守的事项
然而,如果通过互联网等方式与海外消费者进行交易,不仅要检查国内法,还要检查各国的法律。
因此,如果您正在考虑购买和使用客户信息,我们建议您不要自行判断,而是事先咨询具有专业知识和丰富经验的律师,并听取他们的建议。
我們事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。近年來,日本《個人信息保護法》引起了廣泛關注,法律審查的必要性也日益增加。詳細內容請參見下文。
