日本政府在2016年发布的《第五期科学技术基本计划》中首次提出"社会5.0"的概念,旨在提倡通过IoT技术、人工智能、大数据等推动经济发展、解决社会问题 。在该理念的引领下,日本在国内以及全球利用大数据的商业服务布局逐渐形成。与此同时,近年来包括中国企业在内的境外投资人在对日商贸活动中不时面临着数据共享和跨境流动方面的问题,有关日本的个人信息保护与跨境转移的法律规制因而开始受到关注。
本文将结合日本个人信息保护的相关规定,针对数据的本地化保存及跨境转移、匿名化加工和假名化加工等相关问题进行梳理和说明。
一.个人信息的立法情况及基本概念
1.立法情况
2003年日本国会通过了《个人信息保护法》(日语:個人情報の保護に関する法律),同年也通过了《行政机关持有的个人信息保护法》(日语:行政機関の保有する個人情報の保護に関する法律)及《独立行政法人等持有的个人信息保护法》(日语:独立行政法人等の保有する個人情報の保護に関する法律)。根据《个人信息保护法》在2015年修订中确立的规则,日本政府将根据个人信息保护的国际动向、信息通信技术的发展等因素,每隔三年研究和修订个人信息保护相关法令。2020年6月12日,日本公布了《个人信息保护法》修改法案,这次修改旨在促进大数据利用的同时解决数据的跨境流动中面临的风险,该修改法案除个别条款外,计划于法案公布后2年内实施。
2.个人信息与个人数据
《个人信息保护法》项下与个人有关的信息包含以下两个基本概念。
"个人信息"是指①关于自然人的姓名、出生日期等可识别出特定个人的信息,包括与其他信息对照后可容易地识别出特定个人的信息;②个人识别符号(如DNA、面容、虹彩、声纹、身份证号、护照号码等)。
"个人数据"是指企业将所收集的个人信息经过输入、编辑、加工等后生成个人信息数据库时,该个人信息数据库中所包含的个人信息。与"个人信息"不同的是,"个人数据"系可以通过电脑等方式检索的构成一定体系的数据。将个人信息数据库等用于其经营的主体则称为"个人信息处理业者"。
在日本《个人信息保护法》中,"个人信息"这一概念通常被用于信息取得阶段的行为,企业收集个人信息并生成数据库后使用、管理、向第三方提供属于个人信息的数据时,则使用"个人数据"这一概念。
二、个人数据的保存及向第三方提供
1.概要
不论收集个人信息的主体是日本国内企业还是外国企业,《个人信息保护法》均未要求企业将从日本国内收集到的个人信息或个人数据保存在日本国内。但如果企业向日本国内的个人提供商品或服务时从个人取得个人信息,即便是在日本境外处理该等个人信息或者从该等个人信息加工而成的匿名化加工信息,该企业也将作为个人信息处理业者成为《个人信息保护法》域外适用的对象。
此外,将日本国内的个人数据提供给日本境外第三方时原则上需要取得本人的同意,但如果满足个人信息保护委员会规则中规定的标准等,则可以不经本人的同意转移至境外第三方。这一制度设计与欧盟《一般数据保护条例》(GDPR)中的相关规定有着相似之处,但《个人信息保护法》并没有规定如同GDPR般对违反规定者的高额罚金制度。
2.向境外第三方提供个人数据的条件
(1)需要事前取得本人同意
企业在日本开展经营活动时,在日本国内收集个人数据后可能将其提供给境外关联企业或其他第三方以存储或处理,此时,企业作为个人信息处理业者就向日本境外第三方提供个人数据应事前取得本人的同意。在取得本人同意时需要向本人充分披露信息,例如将向哪国、出于何目的提供该等数据,以便其本人判断是否同意向境外第三方提供。此外,法令中并未详细规定取得"本人同意"的具体方法,企业从本人收到同意邮件,或者由本人点击该企业主页中的同意按键均可行。
(2)不需要事前取得本人同意的情形
个人信息处理业者即使向日本境外第三方提供个人数据,在下列情形中可以不经过本人同意。
① 向个人信息保护委员会规则规定的、其个人信息保护制度与日本个人信息保护制度同等的白名单国家的第三方转移个人数据。2019年日本与欧盟相互认定了信息保护的"充分性",只要满足法定条件,日本与欧盟之间的数据转移不需要本人的同意。中日之间尚未相互认定信息保护的"充分性"。
② 境外第三方符合个人信息保护委员会规则中规定的以下标准:
A.基于信息提供方与接收方之间的合同等(与GDPR中"标准合同条款"(Standard Contractual Clauses: SCC)类似的制度设计),或者信息提供方与接收方属于同一公司集团且有共通适用于双方的内部规章、隐私政策等(与GDPR中"有约束力的公司准则"(Binding Corporate Rules, BCR)类似的制度设计),能确保个人数据的保护机制;
B.取得了《APEC跨境隐私规则体系》(Cross Border Privacy Rules: CBPR)的认证等。
三.匿名化加工信息与假名化加工信息
1.匿名化加工信息
通常,作为大数据分析及商业应用的基础数据之一,匿名化加工信息必不可少。例如可以将信用卡消费记录中个人信息部分进行匿名化加工后作为商业应用的数据,常见的方式是信用卡公司将收集的用户特征信息及使用记录进行匿名化处理后交给研究机构,研究机构基于该等信息进行市场分析、商品开发分析,该等分析结果再用于市场营销和宣传活动。由此可见,匿名化加工是促进数据利用的有效方式,因此在利用大数据提供商业服务时有必要了解匿名化加工信息的相关制度。
"匿名化加工信息"是指将个人信息加工为无法从信息中识别出特定个人且无法复原出该等个人信息的信息,因而不属于个人信息。将匿名化加工信息用于其经营的主体则称为"匿名化加工信息处理业者"。
个人信息的匿名化加工需要采取下列5项全部措施。
① 删除全部或部分可以识别出特定个人的表述等;
② 删除全部个人识别符号;
③ 删除能将个人信息与其他信息相关联的符号;
④ 删除特征性表述;
⑤ 基于个人信息与数据库中其他个人信息间的差异等而采取适当措施。
除了注意前述数据加工方法之外,作为匿名化加工信息处理业者的企业还需要采取相应的安全管理措施,例如防止匿名化加工信息的加工方法等信息的泄露、处理与匿名化加工信息相关的投诉等。另外,匿名化加工信息经加工完成时,以及向第三方提供匿名化加工信息时均需要通过公司主页等公示该等匿名化加工信息中包含的与个人相关之信息的条目。
在现行法项下,由于未明确规定需要将个人信息加工至何种程度方能成为匿名化加工信息,因此将匿名化加工信息作为大数据使用仍面临困境,使得利用匿名化加工信息制度开展大数据业务比预想中发展得缓慢。
2.假名化加工信息
鉴于上述匿名化加工信息制度在实务中面临的困境,2020年6月公布的新《个人信息保护法》中新增了"假名化加工信息"这一类型。
"假名化加工信息"是指对个人信息采取一定加工措施后,从该信息本身无法识别出特定个人,即如果不与其他信息相互对照将无法识别出特定个人的信息。假名化加工信息与匿名化加工信息的相同之处在于都需要通过删除、置换个人信息中的部分表述、符号等,但假名化加工信息只需通过相对简单的加工方法便能生成。就假名化加工信息而言,只要从该信息本身无法识别出特定个人,即使将该信息与其他信息相对照后能识别出特定个人也可以使用该信息。
但是,假名化加工信息因包含本应作为个人信息而加以保护的信息,其使用范围应限定于为实现特定使用目的的必要范围并公示其使用目的,且原则上不能向第三方提供。但是,就假名化加工信息而言,由于无法从该信息本身识别出特定个人,个人对此并不享有查询、更正、停止使用等请求权。
匿名化加工信息 (非个人信息) |
假名化加工信息 (属于个人信息或个人数据的情况) |
|
是否应特定并公示使用目的 |
需公示匿名化加工信息中包含的与个人相关之信息的条目,但无需特定使用目的。 |
需要特定并公示使用目的。 |
能否向第三方提供 |
可以向第三方提供。 但需要事先通过主页等公示向第三方提供的匿名化加工信息中包含的与个人相关之信息的条目以及向第三方提供该等信息的方法。 |
原则上不能向第三方提供。 但作为例外,在《个人信息保护法》第23条第5款规定的情形(委托、事业继承、共同利用)下可以向第三方提供。 |
应采取的安全管理措施 |
① 防止匿名化加工信息的加工方法等信息的泄露 ② 处理与匿名化加工信息相关的投诉,及采取其他妥善处理信息所需的措施 ③ 公示①、②中的措施 |
① 防止已删除信息等的泄露 ② 防止假名化加工信息的泄露 ③ 对员工及信息加工等受托方进行监督 ④ 处理与假名化加工信息相关的投诉,及采取其他妥善处理信息所需的措施 |
四.其他
日本的《个人信息保护法》具有域外适用效力,不论个人信息处理业者是日本国内企业还是外国企业,企业向日本国内的个人提供商品或服务时若取得个人信息,就应遵守日本的《个人信息保护法》。为确认其是否遵守了《个人信息保护法》,日本个人信息保护委员会有权要求企业提出报告(如安全管理措施的实施情况,发生信息泄露的具体经过等),也有权向企业发出命令。因此,即便是外国企业,或者即便是在日本境外处理个人信息,一旦从日本收集和使用个人信息,就应关注日本个人信息保护相关法令的动向以及实务规则。
