小程序
公众号

专家观点

弦卷充树、陈天华等:外国企业在日本处理个人信息的法律要点——日本个人信息保护法的详细解读
发布日期:2022-06-24

近年来大量中国企业落户日本,在开展经营管理活动的过程中不可避免地需要对员工、企业客户联系人、用户等各类主体的个人信息进行收集、使用、委托处理、共享、跨境传输等处理活动。尤其在跨境电商、网络游戏等电子商务领域,企业需要处理数量庞大的用户个人信息,如不能对个人信息进行妥善管理,将对企业信誉及在日本市场的稳健发展构成重大风险。因此,全面梳理日本个人信息保护法及实务要求、规范化管理各项个人信息处理活动、进而排除个人信息方面的合规隐患,已成为开展对日业务的中资企业刻不容缓的课题。

日本的个人信息保护法与中国、欧盟等其他国家、地区的个人信息保护规则存在较大差异,尤其在个人信息范围的界定、与第三方的共享、跨境传输等制度方面独具特色。日本个人信息保护法修订案已于2022年4月1日正式实施(下称“新个人信息保护法”)。借此机会,结合我们以往审阅隐私政策、对个人信息的委托处理、第三方提供、跨境传输等业务的风险评估等相关法律服务经验,本文将就外国企业在日本收集、使用个人信息时主要适用的法律规定以及实务中的注意事项进行梳理和说明,希望对开展对日业务的中国企业提供参考和帮助。

01、日本个人信息保护法的基本框架

1. 与个人信息保护相关的各类用语的定义

日本个人信息保护法中个人信息等用语的定义,与中国个人信息保护法存在较大差异。

(1)“个人信息”(personal information),是指属于下列情形之一的关于在世个人的信息:

    • 通过该信息中包含的姓名、出生日期或其他描述可识别特定个人的信息,包括容易与其他信息[1]对照后识别特定个人的信息;

    • 含有个人识别符号(individual identification code)的信息,如驾驶证号码、护照号码等。

(2)“敏感个人信息”(special care-required personal information),是指为避免发生针对本人的不当歧视、偏见或者其他不利而需要在处理时予以特别注意的个人信息,例如种族、信仰、社会身份、病历、犯罪经历、因犯罪受害的事实等。

未事先取得本人的同意,个人信息处理者不得收集敏感个人信息,或向第三方提供敏感个人信息。

(3)“opt-out”方式,是指个人信息处理者无需事先取得本人的同意即可向第三方提供个人信息,但若本人反对,则应停止向第三方提供个人信息的处理方式。在“opt-out”方式下,只要本人没有反对即视为同意向第三方提供,但向第三方提供敏感个人信息时除外。

(4)“个人数据”(personal data),是指用以构成个人信息数据库等的个人信息,即包含于个人数据库等的个人信息。

(5)“个人信息数据库等”(personal information database etc.),是指包含个人信息在内的信息的集合物,是通过检索可容易识别到特定个人的具有一定体系的信息集合物[2]。

(6)“持有个人数据”(retained personal data),是指个人信息处理者持有的根据本人或其代理人的请求,有权限披露、更正、追加或删除、停止使用以及停止向第三方提供(以下合称“披露等”)的“个人数据”,但政令明确规定的、如果进行披露将对公共利益或其他利益造成危害的个人数据除外。例如,政令明确规定,企业为了防止因暴力团伙等反社会势力的违法要求导致的损害等而持有的、用于识别反社会势力成员情况的个人数据等,或取得后6个月内将被删去的个人数据,不属于持有个人数据。

(7)“个人相关信息”(personally referable information),是指与在世个人相关,但不属于个人信息、假名化加工信息(pseudonymously processed information)或匿名化加工信息(anonymously processed information)的任何一种的信息。例如无法识别出特定个人的网络浏览记录、位置信息或cookie属于个人相关信息。

在新个人信息保护法出台前,个人信息处理者持有形成数据库的个人相关信息时,因无法根据该等个人相关信息识别出特定个人,可以不受约束地将个人相关信息提供给第三方,但第三方可能通过其持有的数据与个人相关信息结合而识别出特定个人并形成个人数据。为避免出现这种情况,新个人信息保护法要求,如果信息提供方可以预见第三方会使用其取得的个人相关信息形成可识别出特定个人的个人数据时,应事先确认信息接收方是否就使用其取得的个人相关信息形成可识别出特定个人的个人数据事宜取得了本人的同意,如信息提供方未确认到第三方已取得本人的同意的,不得向第三方提供个人相关信息(参考下图)。信息提供方向境外第三方提供个人相关信息,可以预见该第三方使用其取得的个人相关信息形成可识别出特定个人的个人数据时,除确认信息接收方是否已取得前述同意外,还应事先向本人提供该境外国家或地区有关个人信息保护的制度、境外第三方为保护个人信息采取的措施及其他可供本人参考的信息,否则不得向第三方提供个人相关信息。

2.日本个人信息保护制度的基本框架

(1)个人信息保护法、判例法

日本主要通过个人信息保护法(包括个人信息保护法、个人信息保护法施行令及个人信息保护法施行规则)以及判例法中的隐私权保护制度来规范个人信息处理活动。个人信息一旦被泄露,个人信息处理者不仅会被追究违反个人信息保护法的责任,还可能因侵犯隐私权被要求承担侵权行为的损害赔偿责任。

(2)个人信息保护委员会及相关指南

日本个人信息保护委员会是主管个人信息保护的政府机关。

个人信息保护委员会有权对所有的个人信息处理者进行监管,无论该处理者为设立在日本国内还是国外的主体,具体权限包括要求个人信息处理者提交报告文件、对个人信息处理者进行现场检查、指导、建议、劝告或命令。

个人信息保护委员会就个人信息处理规则发布了具有指导意义的实务指南,其中包含对个人信息保护法、个人信息保护法施行令以及个人信息保护法施行规则等规定的释义。

3.受到个人信息保护法规范的主体

(1)个人信息处理者等

日本的个人信息保护法将个人信息处理者、个人相关信息处理者、假名化加工信息处理者以及匿名化加工信息处理者作为规范对象。本文将重点讨论实务中常见的对“个人信息处理者”的规范内容。

“个人信息处理者”,是指将个人信息数据库等用于其经营业务的主体,但不包括国家机关等。

(2)对外国企业的适用

个人信息保护法规范的是在日本国内处理个人信息的行为。如果日本境外的个人信息处理者向日本境内自然人提供产品或服务,并因此取得日本境内自然人的个人信息、个人相关信息或由个人信息生成的假名化加工信息或匿名化加工信息后,在境外处理该等信息时,日本个人信息保护法的以下相关规定对取得及处理该等信息的行为同样适用,即有域外适用效力。

  • 明确特定使用目的;

  • 基于使用目的的处理限制;

  • 通知或公布使用目的;

  • 确保数据内容的准确性,安全管理措施,个人信息处理者对员工、受托方的监督,向第三方提供的限制,向境外第三方提供的限制,制作向第三方提供的记录等;

  • 未对持有个人数据相关事项的公布、披露、更正、停止使用等行为采取本人请求采取的措施或采取了不同措施时,对其理由的说明,根据本人请求披露个人信息等的相关手续;

  • 个人信息保护委员会对违规者等的指导、建议、劝告;

  • 对个人信息保护委员会的权限的限制;

  • 个人信息保护法的适用除外(新闻媒体、高校、宗教团体等适用除外)。

4.个人信息保护法的主要内容

(1)对个人信息处理行为的规范

个人信息处理者处理个人信息时,将适用以下各项规范。

  • 正当取得个人信息;

  • 明确特定使用目的;

  • 取得个人信息时通知、公布使用目的;

  • 禁止在特定使用目以外使用个人信息;

  • 投诉的应对。

 (2)对个人数据处理行为的规范

个人信息处理者在处理个人数据时,除上述针对个人信息处理行为的规范以外,还适用以下规范。

  • 使用个人数据的特定目的的公布;

  • 确保数据内容的准确性;

  • 安全管理措施;

  • 个人信息处理者对其员工的监督;

  • 个人信息处理者对受托方的监督;

  • 向第三方提供个人数据的限制;

  • 向境外第三方提供个人数据的限制;

  • 向本人披露持有个人数据等。

由此可见,在日本法上,对个人数据的处理行为的规范与对个人信息处理行为的规范不同,前者相比后者其规范内容更宽泛和严格,尤其在安全管理措施及向第三方提供方面有严格的要求。

02、外国企业在日本处理个人信息和个人数据的法律要点

1.个人信息的处理

(1)明确特定使用目的、通知和公布使用目的

个人信息处理者在处理个人信息时,应当尽可能地明确使用个人信息的特定目的(以下称“使用目的”),在取得个人信息后尽快通知本人使用目的或者公布使用目的。“尽可能地”明确,是指个人信息处理者对使用个人信息的特定目的有明确的认知,且应让本人可以通常、合理地预知自己的个人信息被用于何种业务及何种目的。

根据日本个人信息保护法,个人信息处理者在向本人通知、公布的使用目的范围内处理(包括收集、委托处理、向第三方提供和向境外第三方提供)个人信息的,可以使用“opt-out”方式,不需要事先取得本人的同意,但处理敏感个人信息时除外。需要注意的是,当个人信息处理者取得个人信息时已有计划向第三方提供个人信息的,应事先在个人信息的使用目的中明确这一点。

(2)超出使用目的处理个人信息时应另行取得本人的同意

未事先取得本人的同意时,个人信息处理者不得超出使用目的所必要的范围处理个人信息。

“本人的同意”,是指本人作出的、同意个人信息处理者处理其个人信息的意思表示。本人同意的“取得”,是指该个人信息处理者认识到本人做出同意的意思表示,根据业务性质及个人信息的处理情况,该“取得”应当通过合理妥善的方式进行。

(3)处理敏感个人信息应取得本人的同意

处理(包括收集、委托处理、向第三方提供和向境外第三方提供)敏感个人信息时应取得本人的同意,不得采取“opt-out”方式。

2.个人数据的安全管理措施

个人信息处理者应当对其处理的个人数据采取安全管理措施。安全管理措施应考虑到个人数据发生泄露等情况下对本人权益的侵害程度,应根据业务规模及性质、个人数据的处理情况(包括所处理的个人数据的性质及数量)、个人数据的存储介质的性质等引发的风险程度制定必要且妥善的措施。

3.向第三方提供个人数据

(1)取得本人同意的原则

未取得本人的同意时,个人信息处理者不得将个人数据提供给第三方。

但在以下情况下不需要取得本人的同意。

  • 基于法令规定提供个人数据的;

  • 为保护人的生命财产安全而提供个人数据,但难以取得本人的同意的;

  • 为提高公共卫生或促进儿童的健康成长而提供个人数据,但难以取得本人的同意的;

  • 为配合国家机关或地方公共团体或其受托之人执行法令规定的事务而提供个人数据,但若取得本人的同意将对该事务的执行造成障碍的。

实务中,专门从事个人数据处理的个别企业也有采用“opt-out”的方式向第三方提供个人数据的情况。根据规定,按照“opt-out”方式向第三方提供个人数据时,需要将向第三方提供的目的、所提供个人数据的种类、提供方式、回应本人请求的方法等信息事先通知本人或者置于本人能够轻易知悉的状态(但不需要取得同意),并就该通知等事项向个人信息保护委员会进行备案。因相关手续繁杂,实务中采用的不多,在本文中不予赘述。

(2)委托处理

作为取得本人同意的原则的例外,个人信息处理者为达到使用目的在必要的范围内将个人数据的处理业务全部或部分委托给他人,因此需要将个人数据提供给第三方时,该受托处理个人数据的一方不属于“第三方”,关于向受托方提供个人数据不需要取得本人的同意。在此情形下,受托方在受托业务范围内,被视为与作为委托方的个人信息处理者是一体的。

实务中,常见的委托处理个人数据的情况有委托录入数据、百货商店将订购商品的派送业务委托给快递公司而将个人数据交快递公司处理等。需要注意的是,个人信息处理者对受托方应尽到必要且妥善的监督义务。

(3)云服务的使用

个人信息处理者使用云服务保存个人数据时,如果通过云服务合同条款约定云服务提供商不处理保存在服务器上的个人数据,且通过限制访问等妥善措施确保云服务提供商不处理个人数据的,使用云服务保存个人数据的行为不属于向第三方提供个人数据,不需要取得本人的同意。

(4)共同使用

个人信息处理者将可与特定他人共同使用的个人数据提供给该特定他人,且已事先将以下事项通知本人,或者置于本人能够轻易知悉的状态的,该特定他人不属于“第三方”,向其提供个人数据不需要取得本人的同意。

  • 共同使用的情况;

  • 共同使用的个人数据的种类;

  • 共同使用人的范围;

  • 该个人数据共同使用人的使用目的;

  • 该个人数据的管理负责人的姓名或名称、住所、法定代表人的姓名(如为法人)。

 “共同使用”的典型情形如为了提供综合服务而在集团企业内共同使用个人数据。但是,若个人信息处理者与日本境外企业共同使用个人数据时,需要遵守下述“向境外第三方提供个人数据”的规则。

4.向境外第三方提供个人数据

关于接收个人数据的第三方是否属于“境外第三方”,根据其是否将个人数据用于日本国内的业务进行判断。即使个人数据的接收方为外国企业,但如果其在日本国内设立办事处或在日本国内开展经营活动,且该外国企业将个人数据直接用于日本国内的业务的,该外国企业不属于“境外第三方”。需要注意的是,因外国企业的境外员工参与日本国内的业务,需要接触日本国内的个人数据,从而物理上发生个人数据的跨境传输时,向境外员工传输个人数据的行为也可能属于向境外第三方提供个人数据。

向境外第三方提供个人数据时,应遵守如下规则:

(1)取得本人同意的原则

个人信息处理者向境外第三方提供个人数据的,原则上应取得本人的同意,即便是委托境外第三方处理或与境外第三方共同使用个人数据的情况也不例外。

但在以下情况下不需要取得本人的同意。

  • 基于法令规定提供个人数据的;

  • 为保护人的生命财产安全而提供个人数据,但难以取得本人的同意的;

  • 为提高公共卫生或促进儿童的健康成长而提供个人数据,但难以取得本人的同意的;

  • 为配合国家机关或地方公共团体或其受托之人执行法令规定的事务而提供个人数据,但若取得本人的同意将对该事务的执行造成障碍的。

此外,在以下情形下向境外第三方提供个人数据时,不需要本人的事先同意,即可采用“opt-out”方式。

  • 第三方位于欧盟或英国;

  • 第三方建立了符合日本的个人信息保护法施行规则所规定标准的制度,可以持续采取与日本的个人信息处理者应采取的措施相同的措施(见后述“符合标准的制度建立者”)。

 (2)信息的告知及本人同意的取得

个人信息处理者就向境外第三方提供个人数据事宜,拟取得本人的同意时,应事先向本人告知以下信息:

  • 作为接收方的第三方所在国的名称;

  • 通过适当且合理的方式获得的有关该外国的个人信息保护制度的信息,但告知范围仅限于该外国的制度中适用于该境外第三方的内容;

告知有关外国的个人信息保护制度相关信息时,需要关注以下几点:

i. 该外国是否存在个人信息保护制度;

ii. 是否是日本个人信息保护委员会认定的国家或区域(目前英国及欧盟是取得认定的国家及区域),是否是《通用数据保护条例》(GDPR)第45条项下充分性认定的取得国,是否是亚太经济合作组织(APEC)的跨境隐私规则体系(CBPR)的成员国;

iii. 是否有经济合作与发展组织(OECD)隐私基本方针8原则项下经营者的义务或本人的权利相关制度;

iv. 其他可能给本人的权益带来重大影响的制度,如企业对政府广泛收集个人信息的行为是否有协助义务等。

近年来,随着《网络安全法》《数据安全法》《个人信息保护法》等个人信息相关重要法律法规的陆续出台,中国的个人信息保护制度已基本形成,关于个人信息保护的案例也在积累中。从日本向位于中国的第三方提供个人数据时,需要提供前述个人信息保护制度中适用于该第三方的信息。此时需要关注,中国并非是GDPR第45条项下取得充分性认定的国家,不是APEC的CBPR体系和OECD的成员国,以及对来自政府的信息收集要求该第三方是否有协助义务,这些因素在日本法上可能被认为是对本人权益产生影响的因素。

  • 该第三方为保护个人信息所采取的措施。

(3)未取得本人同意时的措施

关于向境外第三方提供个人数据无法事先取得本人同意时,个人信息处理者及境外第三方应满足如下条件,方可向该第三方提供个人数据。

  • 境外第三方应为“符合标准的制度建立者”

    第三方建立了符合个人信息保护法施行规则所规定的标准的制度,可持续采取与日本个人信息处理者应当采取之措施相同的措施(以下将构建该制度的第三方称为“符合标准的制度建立者”)时,向该境外第三方提供个人数据不需要事先取得本人的同意。

    关于为成为符合标准的制度建立者应采取的措施,个人信息保护法只有原则性规定,具体制度尚未落实,也不存在评审制度,因此被诟病缺乏可操作性。实务中,企业可以聘请熟悉个人信息保护法的律师,由律师根据“符合标准的制度建立者”相关制度的宗旨,协助企业起草个人数据提供相关的合同,核查并协助构建境外第三方的个人信息保护体制、对个人数据跨境传输风险进行评估、采取必要的防范措施等,以最大限度地满足该制度的要求,控制个人数据传输的法律风险。

  • 为确保境外第三方维持个人信息保护体制而采取必要措施

    个人信息处理者向符合标准的制度建立者提供个人数据时,为确保该第三方持续采取相应措施而维持个人信息保护体制,应当采取以下必要措施:

    i. 通过适当且合理的方式,定期确认第三方相应措施的实施情况以及其所在国是否存在可能影响到该措施的限制以及该限制的具体内容(包括政府是否有权接触个人信息等)。此处“定期确认”,指至少以每年1次的频率进行确认。

    ii. 当第三方实施相应措施出现障碍时,应采取必要且妥善的措施,如果难以确保该相应措施的持续实施,应停止向该境外第三方提供个人数据。

  • 信息提供

    个人信息处理者向作为符合标准的制度建立者的第三方提供个人数据时,除了前述各项必要措施外,如本人有要求,还应向本人提供该第三方如何构建和完善符合标准的体制、该第三方采取的相应措施的概要、境外第三方所在国名称、影响该第三方持续采取相应措施的因素等相关信息。

5.持有个人数据的处理

(1)信息的告知

个人信息处理者在处理持有个人数据时,应通知本人以下信息或将该等信息置于本人能够轻易知悉的状态:

  • 个人信息处理者的名称、住所、法定代表人的姓名(如为法人);

  • 持有个人数据的使用目的;

  • 本人提出向其告知或披露持有个人数据的使用目的等的程序以及相关费用(如有相关规定);

  • 持有个人数据的安全管理措施;

  • 对持有个人数据的处理行为进行投诉的方式。

(2)持有个人数据的披露

本人可以请求个人信息处理者披露可识别本人的持有个人数据。个人信息处理者收到该请求后,应立即按照个人信息处理者指定的方式中本人选择的方式向其披露持有个人数据。

(3)更正不准确的持有个人数据

可识别本人的持有个人数据的内容不准确或不属实时,本人可以请求个人信息处理者对该持有个人数据的内容进行更正、追加或删除。

6.隐私政策的制定与变更

隐私政策是对个人信息的收集、使用、管理及保护等事项在内的个人信息处理方针予以明文规定的文件,虽然在法律层面并没有关于隐私政策的定义以及与个人信息处理者制定隐私政策的义务相关的规定,但根据个人信息保护法,以处理个人信息为目的开设、经营网页等情况下,应履行个人信息的使用目的等必要信息的通知、公布、明示等义务,实务中通过提示隐私政策的方式履行这些义务时,隐私政策应符合个人信息保护法的要求,例如以“opt-out”形式向第三方提供个人数据时应履行的通知义务,若以提示隐私政策的方式履行,则应将隐私政策持续登载在操作一次便能跳转到的页面中。

中日两国之间关于个人信息跨境传输的安排,目前在两国均有加入的Regional Comprehensive Economic Partnership Agreement(以下简称“RCEP”)中有原则性的规定。RCEP在允许缔约方存在内部监管规定的基础上,要求缔约方不得妨碍商业活动中通过电子方式进行的数据跨境传输,但有两项豁免,即基于本国的合法公共政策(legitimate public policy)[3]以及基本的安全利益(essential security interest)保障之目的进行的跨境传输限制[4]。在该两项豁免上,中国国内立法基本与RCEP的方针一致,对数据跨境传输的限制是相对严格的。日本的个人信息保护法虽然对个人信息处理活动的规范相对宽松,但近几年也在加快国家经济安全保障方面的立法。由于两国之间并无相对自由的数据跨境传输安排,不论是从中国传输到日本还是从日本传输到中国,都将给经营者带来较大的合规成本和挑战。

脚注:

[1] 关于此处“其他信息”是指个人信息处理者自己持有的信息还是指公开信息或第三方持有的信息,法律并无明确规定。实务中,某项信息容易与个人信息处理者自己持有的其他信息、公开信息相对照,并基于一般人的判断能力及理解能力可以识别出特定个人时,该信息属于个人信息。某项信息与第三方持有的信息相对照而可以识别出特定个人时,根据新个人信息保护法的规定,该信息不属于“个人信息”,但属于“个人相关信息”,个人信息处理者向第三方提供个人相关信息时受到限制。

[2] 如存储在电子邮件软件中的电子邮件地址簿(如录入到地址簿的信息为电子邮件与姓名相结合的信息时)、在互联网服务中,根据用户ID整理并存储的、反映用户的服务使用情况的日志信息的电子文件(如用户ID与个人信息可易于对照时)、员工使用工作用电脑的电子表格软件等录入、整理的名片信息、人才派遣公司按照员工姓名的五十音顺序整理的附索引的文件等属于个人信息数据库。

[3] 公共政策如果与RCEP促进区域贸易流动、降低贸易壁垒的理念相违背,形成了变相对其他缔约方的歧视或限制,则无法豁免。

[4] 目前RCEP中关于数据跨境传输方面的争议仅规定秉持诚意协商解决,并不适用RCEP第19章的争议解决机制。

来源:金杜律师事务所

作者

  • 弦卷充树,合伙人,东京办公室,yoshiki.tsurumaki@jp.kwm.com,业务领域:数据合规、并购融资、资本市场、一般公司法律事务及争议解决
  • 陈天华,合伙人,东京办公室,chentianhua@jp.kwm.com,业务领域:国际贸易合规、外商投资、并购重组
  • 崔文英,国际合伙人,东京办公室,cuiwenying@jp.kwm.com,业务领域:数据合规、并购重组及知识产权许可

免责声明及版权等信息,请查看此处

电话咨询

在线咨询

留言咨询