2023年的日本《電信業法》修訂是什麼?關於Cookie規範的詳細解釋
預計於令和5年(2023年)實施的日本《電信業法》修訂,將根據電信業環境的變化,進行各種規則的變更,以實現服務的順利提供和用戶保護。其中,特別受到關注的是有關Cookie的規定。
目前,使用Cookie的在線服務範疇非常廣泛,因此《電信業法》的修訂將如何影響在線服務的運營,已成為許多企業的關注焦點。預計未來的網路行銷也將發生重大變化。
本文將介紹於2022年6月通過的修訂案,以及預計於2023年6月17日實施的日本《電信業法》,並詳細解釋相關的實施規則,包括受到廣泛關注的Cookie規定。
電信業法修訂概要
電信業法是一部法律,考慮到電信業的公共性,旨在使其經營合理且公正,促進業者間的公平競爭,並保護使用者的利益(日本電信業法第1條)。簡單來說,該法的目的是確保互聯網、手機等電信服務的順暢提供,以保障使用者的利益和國民的便利。
電信業者的業務包括提供電話、互聯網等信息通信基礎設施。本次修訂主要包括以下幾點:
- 將通信服務視為電力、瓦斯、自來水等的普遍服務
- 將搜索引擎和社交網絡等納入申報對象
- 確保大型手機運營商和低價SIM等的公平競爭
自2020年以來,遠程工作、網路會議、遠程教育等已經普及化。現在,互聯網環境已經不再是個人選擇的服務,而是像電力和瓦斯一樣,任何人都可以使用的基礎設施。本次修訂中,為了消除地區間的通信差距,即使在互聯網業者無法盈利的地區,也確保了穩定的服務提供,並創設了補助金制度。
“電信業者”的範疇也有所變化。以前不在規範範圍內的大型搜索服務和社交網絡現在也成為了規範對象。也就是說,像Google這樣的大型搜索引擎,以及Twitter、Instagram等社交網絡,只要規模超過一定程度,就需要作為電信業者進行申報。
以下是本次新增的申報對象業者的條件:
- 搜索信息電信服務(如Google等搜索引擎):使用者數超過1,000萬人,並提供跨領域的搜索服務
- 媒介相當電信服務(如Twitter等社交網絡):使用者數超過1,000萬人,並主要實質上媒介不特定使用者間的交流
此外,為了實現手機大型運營商和其他MVNO等的公平競爭,也明確規定了需要提供費用計算方法等。
新設的「特定使用者資訊」是什麼?
根據日本《電信事業法施行規則》,新設了一個名為「特定使用者資訊」的概念。受到規範的對象是提供對使用者利益影響大的電信服務的電信事業者。具體來說,每月活躍使用者數量如果是免費服務則超過一千萬人,付費服務則超過五百萬人的事業者將成為規範的對象。例如固定電話、手機、網路連接服務提供者,以及Google等搜尋服務,Twitter等社交網路服務等。
「特定使用者資訊」指的是,包括電子郵件和電話記錄等通信秘密,使用者ID和號碼等可以識別使用者的資訊(電信事業法施行規則第2條的2,第22條的2的21),對於這些資訊的處理,事業者需要承擔以下義務(同施行規則第22條的2的22)。另外,儲存在Cookie中的資訊也包含在這個特定使用者資訊中。
- 制定和報告處理規定
- 制定和公開處理方針
- 每個業務年度,自我評估處理狀況,反映在處理規定和方針中
- 選任和報告上述時期的總管理者
- 資訊洩露時的報告
處理特定使用者資訊的事業者有義務制定和公開其處理方針。此外,他們還需要進行技術趨勢和網路攻擊風險等自我評估,並根據需要修訂方針。
此外,事業者還需要選任具有三年以上經驗的總管理者,如果超過一千人的使用者資訊洩露,則必須立即向總務大臣報告。
另外,外部傳送規則,即所謂的Cookie規範的設立,可能是這次修訂中最具影響力的一點。以下,本所將進一步解釋。
明確規定的Cookie法規
什麼是Cookie?其優點與問題點
Cookie是指一種將訪問網站的用戶信息保存在瀏覽器中的機制。更具體地說,當網站的訪問者從PC、智能手機、平板等設備訪問Web服務器時,Web服務器會將一個文件保存在訪問者的設備上。當訪問者訪問時,Web服務器可以參考保存在訪問者設備上的Cookie。
因此,當用戶再次訪問曾經使用過的Web服務網站時,系統可以識別該用戶是曾經訪問過的用戶。例如,當您在電子商務網站購物時,可能有過這樣的經驗:將喜歡的商品加入購物車,瀏覽其他商品頁面一段時間後再次查看購物車,之前加入的商品仍然在購物車中。實際上,這種機制就是使用了Cookie。
簡單來說,Cookie是一種集合了用戶識別ID、用戶訪問網站的日期和次數等多種用戶信息的數據。由於Cookie可以識別用戶,因此當用戶第二次或以後訪問網站時,可以提供最適合的信息。
使用Cookie,也可以在用戶不知情的情況下收集個人信息。通過收集哪些用戶、從哪些設備、訪問了哪些網站的信息,可以分析用戶的興趣和喜好。
然而,大多數用戶無法知道Cookie何時記錄了哪些數據,以及向服務器發送了哪些數據。Cookie的數據可能被用戶不知情的第三方公司用於商業目的。因此,從隱私權侵犯的角度來看,根據2022年4月的《日本個人信息保護法》修訂,Cookie已被指定為「個人相關信息」。
過去,許多網站運營者通過Cookie瞭解用戶信息,進行更準確和有效的市場營銷。然而,包括歐盟在內的許多國家已經開始關注使用Cookie侵犯隱私權的問題,並採取了相應的措施。特別是在瀏覽歐盟地區的網站時,您可能會注意到有提示同意使用Cookie的信息。
第一方Cookie與第三方Cookie
Cookie大致上可以分為第一方Cookie和第三方Cookie兩種。
第一方Cookie是指用戶訪問的網站域名直接發出的Cookie。也就是說,「Cookie的發行源的域名」=「訪問網站的域名」的Cookie。第一方(first party)的意思是「當事者」。由於瀏覽者訪問的網站伺服器與用戶的設備之間的Cookie交換是完整的,因此被稱為第一方Cookie。
另一方面,第三方Cookie是指瀏覽者訪問的網站以外的伺服器(第三方)發出的Cookie。瀏覽者訪問的網站的伺服器與用戶的設備之間的交換並未完成,而是與其他伺服器之間使用Cookie進行數據交換,因此被稱為第三方Cookie。
在電信業法(日本電信業法)的修訂中,主要成為Cookie規範的對象的是第三方Cookie的使用。
第三方Cookie可以跨多個域名獲取用戶的瀏覽歷史信息等。如果能獲取某個設備的瀏覽歷史,就可以對該設備的用戶的興趣進行分析。如果用戶在不知情的情況下,他們的興趣愛好被分析並用於廣告等,這將引起用戶的不安,並從隱私的角度產生問題。許多人可能都有過這樣的經驗,即訪問過的網站的廣告或相關商品的廣告顯示的越來越多。
在日本,到目前為止,並不存在直接規範Cookie使用的法律規則。2010年3月,日本總務省信息通信政策研究所公布的「行為目標廣告的經濟效果和用戶保護的調查研究報告」中,對於使用目標廣告的業者,建議他們應明確說明其使用情況,並事先獲得同意。如「建議」這個詞所示,並沒有明確的法律約束力。
這次的電信業法修訂從「建議」進步到「必須」,從這一點來看,可以認為是在制定新的法律規則來直接規範Cookie的使用。
Cookie規範的內容
修訂後的日本電信事業法第27條的12(日本《電信事業法》)規定,「在向使用者提供電信服務時,如果要進行將該使用者的電信設備作為傳輸目的地的信息傳輸指令通信(中略),根據總務省令的規定,必須事先通知該使用者關於該信息傳輸指令通信將啟動的信息傳輸功能將要傳輸的該使用者的信息的內容,該信息的傳輸目的地的電信設備以及其他由總務省令規定的事項,或者使該使用者能夠輕易獲知這些信息」。
雖然這是一段有些難解的條文,但簡單來說,就是:
- 在向使用者提供電信服務(即在線服務)時
- 如果要進行將使用者的電信設備(如電腦或智能手機)作為傳輸目的地的信息傳輸指令通信
必須將規定的事項通知給使用者,或者使使用者能夠輕易獲知這些信息。
那麼,需要通知使用者的「規定的事項」具體指的是什麼呢?
根據修訂後的日本電信事業法第27條的12和修訂後的日本電信事業法實施規則第22條的2的29(日本《電信事業法實施規則》),在進行這種信息傳輸指令通信時,必須將以下事項通知給使用者,或者使使用者能夠輕易獲知這些信息:
- 要傳輸的「關於使用者的信息」的內容
- 使用傳輸目的地的服務器處理「關於使用者的信息」的人的姓名/名稱
- 傳輸的「關於使用者的信息」的使用目的
因此,如果要進行受Cookie規範管制的Cookie的使用,就必須引入一種機制,通知使用者要收集的Cookie信息、傳輸目的地、使用目的等信息,或者公開Cookie政策等,使使用者能夠輕易獲知這些信息。
Cookie規範的四種例外
根據修訂後的日本《電信事業法》第27條第12項(改正電気通信事業法第27条の12),在以下四種情況下,無需向用戶通知所定事項,或使用戶能輕易獲知該等事項。
一、為了在用戶的電信設備的顯示面上正確顯示該電信服務中傳送的符號、聲音或影像,以及用戶在使用電信服務時需要傳送的其他信息,這些信息由日本總務省令所定。
根據《電信事業法》施行規則第22條第2項第30項(改正電気通信事業法施行規則第22条の2の30),以下情況適用:
- 為提供服務而真正需要的信息
- 用戶在使用服務時輸入的信息(包括認證信息)需要重新顯示的信息
- 為檢測不正行為或減輕損害而需要的信息
- 為適當運營服務器而需要的信息
二、該電信業者或第三方業者在向該用戶提供該電信服務時,向該用戶的電信設備傳送的識別符號(該電信業者或第三方業者在提供電信服務時,用於區分用戶與其他人的文字、數字、符號等),並通過該信息傳送指令通信啟動的信息傳送功能,將該電信業者或第三方業者的電信設備設為傳送目的地。
雖然有些難以理解,但這是指「自家公司將用戶設備上的ID傳送到自家的服務器」的情況。也就是說,前述的第一方Cookie是例外,只有第三方Cookie才是規範的對象。
三、用戶同意傳送到其電信設備的信息
本所經常看到的「您同意使用Cookie嗎?」這種語句就是為了這條條款。對於同意的用戶,無需進行此通知等。
四、該信息傳送指令通信符合以下所有情況,且該用戶未要求適用(中略)規定的措施的信息
這是指採取所謂的選擇退出(Opt-out)措施,使用戶可以隨時拒絕收集或使用Cookie信息的情況。
總結:針對修訂的日本電信業法改革,建議尋求專家諮詢
由於線上服務的飛速發展,該領域的法律修訂頻繁。由於變化劇烈,相關文獻資料稀少,要掌握最新資訊並做出相應的對策並不容易。
本所建議您在制定對策以應對日本電信業法及其相關規定的變動時,尋求專家的建議。
由本事務所提供的對策介紹
MONOLITH法律事務所是一家在IT,特別是網際網路和法律兩方面都有豐富經驗的法律事務所。日本的《電信事業法》(Japanese Telecommunications Business Law)修訂條文複雜,非專家可能難以理解。為了合法經營業務,需要進行法律審查,歡迎隨時與本所諮詢。