網路商店營運與法律:日本《特定電子郵件法》與《個人情報護法》
隨著本所能夠僅透過智能手機就能買賣商品,網路購物已經成為本所生活中不可或缺的一部分。網路商店的營運涉及到許多法律問題。本次,本所將解釋「日本特定電子郵件法」和「日本個人情報保護法」的相關性。
涉及網路商店全盤的法律
與網路商店營運相關的法律包括「涉及網路商店全盤的法律」,如日本《特定商業交易法》、《不正競爭防止法》、《贈品表示法》、《電子合約法》、《特定電子郵件法》和《個人情報保護法》,以及「特定業種相關的法律」。本所已經解釋了《特定商業交易法》和《不正競爭防止法》以及《贈品表示法》和《電子合約法》,這次本所將解釋《特定電子郵件法》和《個人情報保護法》。
特定電子郵件法(正式名稱:關於特定電子郵件的發送的適正化等的法律)
特定電子郵件法是為了應對手機一次性接收的廣告宣傳、虛構請求、詐騙、病毒郵件等垃圾郵件成為社會問題而制定的,規範垃圾郵件發送的法律。
該法於2002年(西元2002年)實施初期,引入了強制標示「未經許可的廣告」的選擇退出方式,並禁止向隨機生成的虛構電子郵件地址發送郵件。隨後,考慮到垃圾郵件的惡化和技術的進步,2005年(西元2005年)的修訂強化了對垃圾郵件發送的禁止和懲罰,2008年(西元2008年)引入了選擇加入方式的規範,並對從國外發出的垃圾郵件採取了對策,至今仍在實施。
關於廣告宣傳郵件,「特定電子郵件法」規定:
- 原則上禁止向未經事先同意的人發送郵件(日本特定電子郵件法第3條第1項)
- 發送者的姓名、接收拒絕通知的電子郵件地址或URL等,必須顯示一定的事項(日本特定電子郵件法第4條)
- 禁止偽造發送者信息或冒充發送源地址(日本特定電子郵件法第5條)
等規定。
違反這些規則的郵件將被視為違法,如果總務大臣和消費者廳長官認為有必要防止郵件的發送和接收上的障礙,他們可以命令發送者採取必要的措施改善郵件的發送方式(日本特定電子郵件法第7條)。如果發送者偽造信息發送郵件,或者不遵守總務大臣和消費者廳長官的命令,將被處以不超過1年的監禁或不超過100萬日元的罰款(日本特定電子郵件法第34條)。對於法人,除了對行為者進行懲罰外,還可以對法人處以不超過3000萬日元的罰款(日本特定電子郵件法第37條)。
個人情報保護法(正式名稱:關於個人情報保護的法律)
個人情報保護法是在考慮企業活動中的個人資料問題時的重要法規,明確規定了處理個人資料的業者(以下簡稱「業者」)應承擔的法律義務。
在2015年(平成27年)之前,只有擁有超過5000人個人資料的企業才被視為業者,但在2015年的法律修訂後,這個條件被取消,因此幾乎所有的企業都成為了業者。
在個人情報保護法中,「個人情報」被定義為「與生存的個人相關的資料」,透過「包含在該資訊中的姓名、出生日期和其他描述等」可以「識別特定的個人(包括可以輕易與其他資訊對照,從而識別特定的個人的資料)」(個人情報保護法第2條第1項、第4項、第5項)。
個人資料是否被數據化,其保護的必要性會有很大的差異。
「個人數據」是指將個人資料透過電腦數據化的資料,其中業者保有超過6個月的資料被稱為「保有個人數據」。個人數據是被數據化並系統化以便於搜尋等操作的個人資料,因其侵權的可能性較高,因此比一般的個人資料獲得更強的保護。
獲得更強保護的是保有個人數據,這是業者具有揭露、修正內容、添加或刪除、停止使用、刪除以及停止向第三方提供的權限的個人數據(個人情報保護法第2條第7項)。對於保有個人數據,允許本人根據對自己的資訊適當參與的要求,提出揭露、修正、停止使用等要求。
為了防止個人資料被隨意使用,必須明確指定使用個人資料的目的,並將其處理限制在達成該目的所必需的範圍內。
因此,業者必須:
- 在處理個人資料時,必須盡可能明確指定使用目的(個人情報保護法第15條第1項)
- 不得超出達成使用目的所必需的範圍處理個人資料(個人情報保護法第16條第1項)
- 不得通過欺騙或其他不正當手段獲取個人資料(個人情報保護法第17條第1項)
- 如果獲得了個人資料,必須通知或公開使用目的(個人情報保護法第18條)
雖然這種公開方式並未特別指定,但通常以「隱私政策」或「個人資料保護政策」的形式進行。
另一方面,所謂的敏感資訊,即需要特別考慮的個人資料,其獲取原則上被禁止,除非獲得本人的同意(個人情報保護法第17條第2項)。
需要特別考慮的個人情報是指:
在本法中,「需要特別考慮的個人情報」是指包含本人種族、信仰、社會地位、病歷、犯罪歷史、受犯罪傷害的事實等,以防止對本人的不公平歧視、偏見和其他不利影響,需要特別考慮其處理的個人資料。
個人情報保護法第2條第3項
這裡指的是包括障礙、健康檢查結果、醫生等的指導、診療、配藥等、進行刑事程序、進行少年保護事件相關程序等。
客戶資訊大量洩露等社會問題經常引起關注。業者有義務採取必要且適當的措施(安全管理措施)來確保個人數據的安全管理(個人情報保護法第20條),並在讓員工處理個人數據時,必須進行必要且適當的監督,以確保該個人數據的安全管理(個人情報保護法第21條)。
員工銷售或攜帶客戶數據等行為,不僅使該員工自身承擔侵權行為責任(民法第709條),業者本身也可能承擔使用者責任(民法第715條)。
個人情報保護法規定了業者洩露個人資料的罰則。
如果業者違反了個人情報保護法並洩露了資訊,首先會收到國家「建議採取必要措施以停止違反行為並糾正違反」(個人資料保護法第42條)。
如果再次違反,對違反的員工將「處以6個月以下的有期徒刑或30萬日元以下的罰金」(個人情報保護法第84條),對雇用該員工的公司也可能「處以30萬日元以下的罰金」(個人情報保護法第85條)。
此外,如果為了不正當利益而提供或盗用資訊,則無需建議就「處以1年以下的有期徒刑或50萬日元以下的罰金」(個人情報保護法第83條)。
個人情報保護法是要求業者適當處理個人資料並採取必要且適當的措施進行安全管理的法律,對於網路商店的經營,這是一項不可避免的重要法律。
總結
在經營網路商店時,必須注意相關的法律,以避免出現問題。
當然,本所必須注意「涉及網路商店的所有法律」,但也需要考慮到「舊物業營業法」或「日本藥機法」等「特定業種相關的法律」。
由本事務所提供的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。近年來,網路購物已經成為本所生活中不可或缺的一部分,因此法律審查的必要性也日益增加。本事務所提供有關網路購物的解決方案。詳細內容已在下面的文章中說明。
Category: IT
Tag: ITTerms of Use
