浅谈日本个人信息保护法（一）

         一、日本个人信息保护法的沿革

        日本于2003年5月30日即颁布了个人信息保护法，于2005年4月1日全面实施。当时该法仅适用于持有5,001人及以上个人信息的经营者。

        2015年，对个人信息保护法进行了修订，自2017年5月30日起全面实施。自此，个人信息保护法的适用对象变更为与个人信息的持有量无关，只要是使用个人信息数据的经营者，均应适用。此外，2015年修订还规定，政府应每三年，结合国际动向、信息通信技术的发展以及使用个人信息的新产业的诞生和发展等情况，讨论新个人信息保护法的实施状况，在必要时，采取一定的措施。

        2020年，再次对个人信息保护法进行修订，自2022年4月1日实施。

        2021年，又一次对个人信息保护法进行修订，其中一部分自2022年4月1日实施，一部分自2023年4月1日实施。

        二、2015年修订的个人信息保护法

     （一）背景

        根据日本内阁官房IT综合战略室公布的资料，此次修订有如下三大背景：

        1.随着信息通信技术的发展，收集、分析海量个人数据的大数据时代已到来；

        2.由于对是否属于个人信息的范畴存在不确定性（灰色地带），导致企业无所适从；

        3.因大型教育出版公司个人信息大量泄露等事件的发生，导致民众对个人信息处理的担忧与日俱增。

     （二）修订要点

        1. 明确个人信息的定义

        修订前的个人信息保护法规定，“个人信息”是指关于生存的个人的信息。通过该信息中含有的姓名、出生日期或其他描述等可识别特定的个人（包括在轻易与其他信息结合后，可识别特定的个人的情况）。

        修订后的个人信息保护法对“个人信息”的定义做了进一步的详细规定，规定“个人信息”是指关于生存的个人的信息。通过该信息中的姓名、出生日期或其他描述等可识别特定的个人（包括在轻易与其他信息结合后，可识别特定的个人的情况，如：与个人信息相关联的行动轨迹、消费记录），或者该信息中含有如下个人识别符号：将特定个人的身体的一部分的特征转换成计算机符号（如：指纹识别数据、人脸识别数据）；为区别不同的人，在服务提供、商品购买或文件中附加的符号（如：护照号码、驾照号码）。

        本次修订，将种族、信仰、社会地位、病史、犯罪记录、因犯罪而受害的事实，以及政令规定的需要特别注意以免对人造成歧视或偏见的个人信息（存在身体残疾、智力残疾、精神疾病等；体检等检查的结果（含基因测试的结果）；健康指导、诊疗/配药信息；作为犯罪嫌疑人或被告人被逮捕、搜查等与刑事案件相关程序的信息；曾因是不良少年或有不良少年的嫌疑，接受保护措施等与未成年人保护案件相关程序的信息）定义为敏感个人信息。

        同时，本次修订还增加了匿名处理信息的概念，规定对个人信息进行适当加工后无法识别特定的个人，且无法还原的信息为匿名处理信息。

         对于一般的个人信息，在承诺应本人要求停止向第三方提供可识别本人的个人数据的情况下，事先告知本人接受本人请求的方法等或本人处于可轻易知道的状态，且向个人信息保护委员会备案的话，无需本人同意，即可向第三方提供该个人数据（以下称为“选择退出模式”）。个人信息保护委员会应披露备案内容。

         但是对于敏感个人信息，在原则上应获得本人的同意才能获取的同时，未事先获得本人的同意，不得将其提供给第三方。

         对于匿名处理信息，在遵守一定规则的前提下（如向被提供方明示该信息为匿名处理信息等），无需获得本人同意，即可将其提供给第三方。

         2. 新设个人信息保护委员会

         本次修订将对个人信息处理者的监督权限由各个领域的主管大臣统一到了个人信息保护委员会的旗下。根据本次修订，于2016年成立了个人信息保护委员会。委员会由1名委员长和8名委员组成。委员长和委员独立行使职权，任期为5年。此外，委员会秘书处还有若干工作人员。
                      

          3. 对第三方提供时的确认、记录义务

          修订后的个人信息保护法规定，在将个人数据提供给第三方时，应记录提供日期、第三方姓名/名称等事项，并将其保存一定的时间。接受第三方提供的个人数据时，应确认第三方的姓名/名称，以及该第三方获取该个人数据的情况，并记录接受日期、确认事项等事项，且将其保存一定的时间。

         但是，在事先获得本人同意向第三方提供的情况下，无需记录提供日期。如果反复持续提供，那么只需要一次性记录即可。此外，如基于与本人之间的合同等提供的，则可以以现有合同等代替，无需记录。关于保存期限，如以合同等代替记录的，则保存期限为自提供个人数据之日起1年。如对于反复持续提供的情况进行一次性记录的，则保存期限为自最后一次提供个人数据之日起3年。其他情况的保存期限统一为自制作记录之日起3年。

         此外，在以下情况下也不承担确认和记录义务：

       （1）为本人提供的情况（如：由本人通过SNS等提供的个人资料）

       （2）替本人提供的情况（如：银行受本人委托向第三方的银行账户汇款，而向该账户的收款银行提供与汇款相关的信息）

       （3）向可视为与本人为一体的关系的人提供的情况（如：金融机构的工作人员向与家人一起前来的客户解释其金融产品的盈亏情况等）

       （4）对接受方来说不属于个人数据的情况（如：个人信息处理者的销售代表以介绍业务伙伴为目的，从其管理的数据库文件夹中取出1张名片的复印件递给其他个人数据处理者的销售代表）

          4. 对境外第三方的提供

         此前，个人信息保护法并未区分境外第三方和境内第三方。2015年修订时，明确要求，向境外第三方提供个人信息的，应该满足如下条件中的任意一个：

      （1）就向境外第三方提供获得本人同意；

      （2）境外第三方已建立符合个人信息保护委员会规则规定标准的体系；

      （3）境外第三方在个人信息保护委员会认可的国家。

        关于（2），解释为个人信息处理者与接受方之间，就接受方对于个人数据的处理，通过合适且合理的方法，确保实施符合个人信息保护法宗旨的措施（如：提供者已获得APEC的CBPR体系认证，接受方代表提供方处理个人信息，提供方满足CBPR的认证取得要件的，可以理解为“合适且合理的方法”），或者第三方获得基于关于个人信息处理的国际框架的认证（如：接受方获得APEC的CBPR体系认证）。

         关于（3），个人信息保护委员会认可的有如下31个国家：

         冰岛、爱尔兰、意大利、英国、爱沙尼亚、奥地利、荷兰、塞浦路斯、希腊、克罗地亚、瑞典、西班牙、斯洛伐克、斯洛文尼亚、捷克、丹麦、德国、挪威、匈牙利、芬兰、法国、保加利亚、比利时、波兰、葡萄牙、马耳他、拉脱维亚、立陶宛、列支敦士登、罗马尼亚、卢森堡。

      （作者：Cherry Wu，女，上海 ，北京市隆安律师事务所上海分所律师。毕业于南京大学、日本名古屋大学）