关于《日本个人信息保护法》令和4年(2022年)修订的'罚则'进行解释
2022年4月起,修订后的日本《个人信息保护法》开始实施。在解释了2022年修订的日本《个人信息保护法》中“企业的责任”部分的注意事项之后,本次我们将解释数据使用的方式以及相关的惩罚措施。
令和4年(2022年)修订的日本个人信息保护法概述
2022年修订的日本个人信息保护法主要涉及以下六个方面:
- 个人权利的性质
- 企业应承担的责任的性质
- 鼓励企业主动采取措施的机制的性质
- 数据利用的性质
- 处罚的性质
- 法律的域外适用和跨境转移的性质
在「2022年修订的日本个人信息保护法中企业的责任及注意事项解析[ja]」中,我们已经对修订内容的(1)和(2)进行了解析。在这里,我们将对修订内容的(3)、(4)、(5)和(6)进行解析。
相关文章:什么是日本个人信息保护法和个人信息?律师解析[ja]
推动企业自主行动的机制
随着业务实际情况的多样化和IT技术的进步,关于推动企业自主行动的机制,民间团体在特定领域制定关于个人数据处理的自主规则,以及积极对目标企业进行指导等,其重要性正在增加。
在《日本个人信息保护法》中,除了个人信息保护委员会外,还利用民间团体进行信息保护,并设立了认证团体制度。处理个人信息相关投诉,向企业提供关于个人信息正确处理的信息等的法人团体,可以获得个人信息保护委员会的认证,成为“认证个人信息保护团体”。在修订法中,关于认证团体制度,可以认证以企业的特定领域(部门)为对象的团体为认证团体(第47条2款)。通过承认以业务单位为对象的认证团体,进一步推进认证团体的利用,这是由专门性的团体针对特定业务进行活动,推进个人信息保护的努力。
数据利用的方式
关于数据利用的方式,以下两点已经被修订。
设立“假名处理信息”,放宽义务(第2条第9款)
在现行法中,仅仅将个人信息假名化的信息仍然是“个人信息”,企业需要承担各种关于个人信息处理的义务。然而,对于这种“假名化的个人信息”,在保证一定的安全性的同时,通过保持与加工前的个人信息相同程度的数据的有用性,相对简便的加工方法可以实现更详细的分析,因此,利用这种信息的需求正在增加。
为了应对这种情况,修订法从促进创新的角度出发,设立了删除姓名等的“假名处理信息”,并在限定为内部分析等条件下,放宽了对披露和停止使用请求等义务的要求。
所设立的假名处理信息是指“除非与其他信息对照,否则无法识别特定个人的个人信息处理得到的个人相关信息”。例如,将“姓名、年龄、日期、时间、金额、店铺”处理为“假ID、年龄、日期、时间、金额、店铺”。预期的利用例子包括“用于初步使用目的不相关的目的或判断是否相关的新目的的内部分析”(如医疗和制药领域的研究或者欺诈检测、销售预测等的机器学习模型的学习),“对于已经实现使用目的的个人信息,因为可能在未来用于统计分析,所以将其处理为假名处理信息并保存”等。
关于假名处理信息的创建方法,作为最低限度的规则,需要采取以下措施:
- 删除(包括替换,以下同)可以识别特定个人的描述等(例如:姓名)的全部或部分
- 删除个人识别码的全部
- 删除可能因为被非法使用而可能造成财产损失的描述等(例如:信用卡号)
这些措施是被要求的。
对可能在提供方成为个人数据的信息的确认义务(第26条之二)
在现行法中,即使在提供方的信息不属于个人数据,但在提供方可能成为个人数据的情况下,也不会成为规制的对象。然而,在修订法中,即使在提供方的信息不属于个人数据,但在提供方可能成为个人数据的情况下,对第三方提供的信息,需要确认是否得到了本人的同意等。
由于用户数据的大量积累和将其瞬间结合成个人数据的技术的发展和普及,即使事先知道在提供方可能成为个人数据,也将其作为非个人信息提供给第三方,这种规避个人信息保护法的目的的方案正在横行。这是因为担心这种无需本人参与的个人信息收集方法的普及。
关于处罚
关于处罚的方式,以下两点已经被修订。
委员会命令违反和对委员会的虚假报告等的法定刑提高(第83条、第87条等)
随着违法案件的增加,进行报告收集和现场检查的案件也在增加,为了提高报告收集和现场检查的实效性,以便更好地了解企业的实际情况,修订法提高了法定刑。
行为人“违反日本个人信息保护委员会的命令”,现行法规定的是不超过6个月的有期徒刑或30万日元以下的罚款,但修订法规定的是不超过1年的有期徒刑或100万日元以下的罚款,“个人信息数据库等的非法提供等”仍然是不超过1年的有期徒刑或50万日元以下的罚款,“对日本个人信息保护委员会的虚假报告等”,现行法规定的是30万日元以下的罚款,但修订法规定的是50万日元以下的罚款。
对法人的罚款刑提高(第84条、第85条等)
在现行法中,对法人的罚款金额与行为人的法定刑相同,但考虑到法人和个人的资力差距等,修订法规定,对于命令违反等的罚款,对法人的罚款刑的最高金额将被提高(法人重科)。即使对法人施以与行为人相同金额的罚款,也不能期待有足够的威慑效果。
法人“违反日本个人信息保护委员会的命令”,现行法规定的是与行为人相同的30万日元以下的罚款,但修订法规定的是不超过1亿日元的罚款,“个人信息数据库等的非法提供等”,现行法规定的是与行为人相同的50万日元以下的罚款,但修订法规定的是不超过1亿日元的罚款。然而,“对日本个人信息保护委员会的虚假报告等”,现行法规定的是与行为人相同的30万日元以下的罚款,但修订法规定的是与行为人相同的50万日元以下的罚款。
法律的域外适用与跨境转移的方式
关于法律的域外适用和跨境转移的方式,以下两点已经进行了修订。
强化域外适用(第75条)
在现行法中,对于成为域外适用对象的外国经营者能够行使的权力,仅限于不具备强制力的指导和建议等权力。然而,由于存在委员会无法适当应对在外国发生的泄露等事件的风险,因此在修订法中,将在日本国内的人员提供物品或药务相关的个人信息等的外国经营者,作为通过罚则保障的报告征收和命令的对象,从而强化了个人信息保护委员会的权力行使。
增强向本人提供关于在转移接收经营者处处理个人信息的信息(第78条)
在一些国家已经出现了国家管理性的规定,随着个人信息跨境转移的机会的增多,国家和地区制度的差异使得个人和数据处理经营者的预见性变得不稳定,从保护个人权益的角度出发,产生了担忧。
针对这一点,要求在向外国的第三方提供个人数据时,增强向本人提供关于在转移接收经营者处处理个人信息的信息等,作为能够向外国的第三方提供个人数据的条件,将现行法中的“本人的同意”条件改为“在获取同意时,向本人提供关于转移接收国的名称、转移接收国是否有关于个人信息保护的制度等信息”的义务,并将“建立符合标准的体制的经营者”的条件改为“定期确认转移接收经营者的处理情况等+根据本人的要求提供相关信息”的义务。
总结
基于“每三年进行一次审查的规定”,2022年(公历2022年)的日本个人信息保护法修订是首次进行的法律修订。修订内容包括扩大停止使用、删除等措施,禁止不适当使用,增强跨境转移相关的信息提供,以及创建“假名处理信息”等。这些修订旨在保护和增强个人的权益,应对跨境数据流通增加带来的新风险,以及应对AI和大数据时代的挑战。
我們事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面都具有高度專業性的法律事務所。剛剛修訂的日本《個人信息保護法》引起了廣泛關注,法律審查的必要性也在不斷增加。我們事務所提供有關知識產權的解決方案。詳細內容請參見下文。
