《日本个人信息保护法》与侵犯隐私权的关系
被视为隐私的信息包括典型的个人信息,如姓名、地址等。例如,有一个判例,大学在未经学生许可的情况下,向警方透露参加大学主办的讲座的学生的学籍号码、地址、姓名和电话号码,这被视为侵犯隐私的行为,因此受到法律保护(日本最高法院2003年9月12日(西历2003年)的判决)。
虽然在《日本个人信息保护法》中并未明确规定关于隐私权的条款,但如果个人信息被视为隐私并受到保护,那么我们应该如何看待侵犯隐私这一非法行为与《日本个人信息保护法》之间的关系呢?
https://monolith.law/reputation/privacy-invasion[ja]
个人信息保护法违反与非法行为的关系
关于个人信息保护法违反与非法行为的关系,一般采取的是所谓的”严格区分”观点,即即使个人信息处理业者的个人信息处理行为形式上违反了个人信息保护法,即使个人信息保护委员会采取了行政措施,也不一定会承认基于非法行为等的损害赔偿等请求。相反,像向第三方提供个人信息这样的行为,即使形式上没有违反个人信息保护法,也可能被视为侵犯隐私的非法行为。
由于违反个人信息保护法而确认非法行为的情况
在发生车祸后在医院接受检查,并根据所获得的处方在被告经营的药店购买药品的过程中,被告未经原告许可,将包含原告的出生日期、接受检查的医疗机构名称、被处方的药品名称等信息的医疗费用明细单交给了汽车损害赔偿责任保险的保险公司。对此,原告要求基于非法行为的赔偿。
法院首先确认被告是以经营药店等为目的的公司,并且是日本《个人信息保护法》上的个人信息处理业者。然后,对于被告的主张:“为了使保险公司顺利向受害者支付款项,在药店回答保险公司的查询并提供诊疗信息是常规操作。因此,原告应被认为默示同意将本案的医疗费用明细单上的信息披露给本案的保险公司。”,法院引用了《个人信息保护法》第23条第1款“个人信息处理业者除非在下列情况下,否则不得未经本人同意就向第三方提供个人数据”,并表示:
根据《个人信息保护法》,个人信息处理业者除非法律要求等例外情况外,不得未经本人同意就向第三方提供个人数据(同法第23条第1款)。对于被告将包含原告被处方药品名称等信息的本案医疗费用明细单交给本案保险公司的行为,没有足够的证据证明原告已经同意。
东京地方法院2013年1月24日判决
因此,被告的行为违反了《个人信息保护法》,是非法的,被告应承担基于非法行为对原告的赔偿责任。
虽然没有明确提到“侵犯隐私权”,但这可以被视为确认个人信息保护违规行为为非法行为的判例。
https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
个人信息保护法违反不一定构成侵犯隐私权
在办公室里,原告通过租赁合同使用了复印和传真一体机,被告Credit Saison未经原告同意,将原告的个人信息,即一体机的租金和电话机的租金信息提供给了被告Ricoh,被告Ricoh利用了这些信息并将其提供给了被告Credit Saison,原告主张这是两家公司的共同非法行为,基于此,原告要求被告支付赔偿金。
Ricoh的员工A去办公室销售,因为听说原告对正在租赁的一体机不满意,所以推荐了自家的一体机。当时,当A问原告租金时,原告说每月是12,000日元,于是A为了确认,记下了贴在一体机上的合同号码,然后根据这个号码给Credit Saison打电话,发现原告说的12,000日元并不是一体机的租金,而是原告从Credit Saison那里租赁的电话机的租金,一体机的月租金实际上是14,000日元。
有了这个信息,A提出了以每月12,800日元的租金提供一体机的方案,对于原告指出这比现状要高的问题,A告诉原告他已经打电话给Credit Saison确认了一体机的月租金是14,000日元。
原告对Credit Saison将原告与其的合同内容泄露给Ricoh感到愤怒,要求两家公司道歉,认为没有看到诚意,所以提起诉讼,要求支付赔偿金。
个人信息保护法与隐私权
法院引用了个人信息保护法第16条第1款“个人信息处理业者不得在未经本人同意的情况下,超出前款规定的特定使用目的所必需的范围处理个人信息”,
被告Credit Saison向被告Ricoh提供了原告办公室的一体机合同信息,这是个人信息保护法所说的个人信息处理业者超出特定使用目的所必需的范围处理个人信息的行为,违反了该法第16条第1款,被告Ricoh是被告Credit Saison的非法行为的共犯。
东京地方法院2015年10月28日判决
然而,法院认为,在被要求提出更新合同的时候,原告预见到了为了更新一体机合同而进行的本案信息提供等行为,并在必要的范围内同意了作为个人信息的一体机合同内容的信息被披露。另外,关于除一体机外的电话机的信息被提供的问题,虽然不能认定原告同意了信息提供,但是,
即使电话机的月租金信息的提供在形式上违反了个人信息保护法第16条第1款,也不能说它本身具备非法行为的非法性。
同上
因此,法院驳回了原告的请求。即使违反了个人信息保护法,也不一定构成侵犯隐私权的非法行为,这是一个判例。
不违反个人信息保护法但侵犯隐私权的情况
曾有案例,原告在互联网匿名论坛上的手机号码被公开,认为其隐私权被侵犯,因此向经由提供商要求公开发信人信息。
在爆サイ.com的“关东版”、“〇〇市闲聊”类别的线程中,原告使用的手机号码被连续6次公开。原告为了进行隐私权侵犯的损害赔偿请求程序,要求公开此信息。然而,经由提供商回应说,“在本次发布中,数字并未明确表示为原告的手机号码,一般的浏览者无法轻易识别出这是原告使用的手机号码”,并且,“手机号码并不属于《日本个人信息保护法》第2条第1款所指的个人信息,因此不能明确说这是侵犯隐私权”,因此拒绝了公开。
手机号码与个人信息
法院认为,有大量的帖子含有诽谤原告的内容,如“你们都很讨厌这个人吧”、“我讨厌甲山”、“淫乱的甲山DQN”、“什么都可以的公司…权力骚扰、性骚扰这些都是日常,还有那只狗甲山”、“虽然头脑愚蠢但却装聪明…愚蠢的女人”等,这些帖子公开了原告的部分真实姓名和工作地点,
本次发布以“090”这个数字开头,用长音符号分隔,从第四位开始的号码被公开,此外,还附有暗示这个数字是女性号码的评论。接着,有帖子明确表示理解了本次发布的数字是手机号码。因此,一般的浏览者可以认为,本次发布的是女性使用的手机号码。
东京地方法院2015年11月6日判决
并且,“由于本次发布,原告的手机收到了大量的诽谤、恶作剧等电话,甚至有可能被滥用该电话号码,这无疑会对原告的社会生活造成影响”,因此,法院命令公开发信人的信息。
关于个人信息保护法,
该法并不否定非第2条第1款所规定的个人信息的私生活事实被随意公开的利益受到法律保护,因此,被告的主张不能被接受。
同上
法院认可了原告的主张,即本次发布侵犯了原告的隐私权。虽然手机号码本身并不构成个人信息,但这是一个将其视为隐私并予以保护的判例。
https://monolith-law.jp/reputation/provider-liability-limitation-law[ja]
如果确认违反了《日本个人信息保护法》和侵犯了隐私权
在我们事务所的另一篇文章中,我们介绍了一个案例,一位在医院工作的护士在大学医院进行血液检测后被诊断为HIV阳性,这个信息被大学医院的兼职医生告知了她的工作单位的医生和员工,而这些人在没有得到她的同意的情况下,将这个信息传播给了其他员工。这被认为是侵犯隐私权的非法行为,因此她寻求赔偿。
https://monolith-law.jp/reputation/disease-information-and-privacy-infringement[ja]
法院认为,《日本个人信息保护法》第23条第1款“个人信息处理者在除下列情况外,未经本人事先同意,不得向第三方提供个人数据”并不适用于本案,因为这些信息是由兼职医生提供给医院内部的医生、护士和事务长的,应被视为同一业务者内部的信息提供,因此不属于向第三方提供信息。
另一方面,对于第16条第1款,
个人信息处理者在处理个人信息时,必须尽可能明确其使用目的(第15条第1款),未经本人事先同意,不得超出这个明确的使用目的的范围处理个人信息(第16条第1款)。
福冈地方法院久留米支部2014年8月8日(2014年)判决
并且,根据被告的个人信息保护规定,个人信息的使用应原则上在收集目的的范围内,只在业务执行上必要的范围内进行(第9条第1款),并且,个人信息应在通常业务预期的目的(附表)和在通常业务以外的目的上使用(第10条),如果超出收集目的的范围使用个人信息,需要向个人信息管理负责人报告,并需要患者或患者的代理人的同意(第11条第1款)。此外,上述规定中,从患者、用户、相关人员处获取个人信息的目的是为了提供医疗、护理、医疗保险业务、病房管理如入院和出院等,以及教育研究等所需的事项(第7条第1款)。
法院认为,护士长将这个信息传达给护理部长和事务长是为了防止院内感染,以便讨论原告的工作方针。
个人信息的非目的性使用
另一方面,法院表示,
本案中的信息是从原告(即本人)处获取的,原因是原告作为患者就诊于本案的医院,并非出于雇佣管理或业务运营的目的。因此,其使用目的应限于提供医疗和护理等服务给患者等人。被告方主张,只要是公开的使用目的,无论获取信息的过程如何,都可以使用个人信息,这可能会导致个人信息被用于本人未预料到的目的,这是不妥的。
同上
法院认为,这属于第16条第1款所禁止的非目的性使用,并同时认定,在本案信息共享时,对HIV感染者的偏见和歧视仍然存在,可以说,关于患有HIV感染症的信息是个人不希望他人知道的个人信息。因此,法院认为,未经本人同意,违法处理本案信息,构成了侵犯隐私的非法行为。
此外,被告方主张,“本案的手册为了严格的信息管理,规定了信息共享者的数量应尽可能的最小化,而在本案中,只有6人共享了本案信息。”然而,判决书中指出,“即使本案信息的共享者数量可能会影响非法行为的程度,但即使只对一个人非目的性使用上述个人信息,也应被视为侵犯隐私的非法行为。”这可以说是对《日本个人信息保护法》的正确理解。
总结
“个人信息处理业务者”的“业务”不仅包括公司和商店的营利目的的业务,还包括医院和学校,以及志愿者,环保等非营利业务。只要是反复进行某种业务,并在业务持续过程中获取个人信息的业务者,就适用《日本个人信息保护法》。正确理解《日本个人信息保护法》是必要的。如果可能出现侵犯个人信息、隐私的问题,建议咨询经验丰富的律师并获取建议。
