日本个人信息保护法的新发展
2018/4/10 17:23:21 点击率[41] 评论[0]
【法宝引证码】
    【学科类别】侵权法
    【出处】微信公众号:互联网法学
    【写作时间】2017年
    【中文关键字】个人信息保护法;日本
    【全文】

      为应对信息化时代下个人信息保护工作中遇到的一系列难题,日本于2015年颁布了《个人信息保护法修正案》,并已于2017年5月30日施行。随着该修正案的实施,所有操作个人信息的机构、部门及从业者都被纳入《个人信息保护法》的管理之下。本法作为在个人信息保护、公民权利行使与个人数据的实际应用等要素之间维持多元平衡关系的重要手段,值得我国法学界借鉴。
     
      一、日本《个人信息保护法》与其修正案综述
     
      本法所谓“个人信息”,实际表示“与自然人个体存在关联并可以识别特定个人的信息”。此类信息在社会生活中有其自身作用,但若被滥用则会严重损害公民权利。本法与修正案即明确个人信息处理中须遵守的规程,明确国家与地方行政机关等的责任与义务,规范个人信息的使用。最终使得信息安全得到保护的同时,将个人信息的社会功能最大化。
     
      二、《个人信息保护法修正案》的部分修改
     
      (一)设立了个人信息保护委员会。监督个人信息处理机构的权力原本属于分管各部门的主务大臣(例如外务省、防卫省分别监督其分管企业)。本法将监督权集中于个人信息保护委员会,该委员会监督所有企业。
     
      (二)明确了个人信息的定义,主要对个人信息的含义进行了更加细致的描述。原规定的个人信息表述为“姓名、出生日期及其它信息”,修正案将“其它信息”细化为“被以文字、图片或电磁方式(包括电子存储介质和磁介质等无法被直接读取的存储方式)记录或存储的,或以声音、动作等方式表示的,能用于识别自然人个体或易与其他信息共同识别自然人个体的一切信息(不包括姓名等个人识别符号)。
     
      (三)个人信息还包括记录”个人识别符号“的一切信息。其中”个人识别符号“包括数字化的身体信息,即DNA、视网膜特征、脸型、步态、声纹、手指静脉特征、指纹(掌纹)等;还包括一些社会信息,如护照号、保险号、驾照编号等。
     
      (四)明确了个人信息操作机构的操作规程。包括个人信息的取得与使用规程、保存规程、限制提供第三人规程、限制提供国外第三人规程、本人请求信息公开规程。
     
      在信息取得与使用方面,主要要求机构明确使用个人信息的目的,该目的须在事前公示或告知当事人;严格限定所取得的个人信息被使用在该目的的操作范围内,并在可能超出操作范围时须取得本人同意。
     
      此外,对于一些可能造成不利影响,引发偏见的信息,即”易引发关注的个人信息“,规定原则上须经本人同意才可被取得。此类信息包括人种、信仰、社会地位、病史、犯罪前科与犯罪被害信息。
     
      此外,另一些可能导致偏见的信息也在政府制定的法规中得到限制,须被各机构特别关注,如身心残疾、体检结果及医师指导过程、作为被告人或犯罪嫌疑人的刑事处理记录、作为或疑似作为非行少年的记录(日本社会中成为审判对象的犯罪少年、有触犯法律的不满14岁少年、有犯罪可能的少年的总称),接受保护处分(日本法律体系下使不良少年能健康成长,避免刑法措施而宣告的处分)的记录。
     
      在信息安全方面,要求相关机构必须做到安全管理。记录顾客信息的纸质文件须加锁保管,电子文档须设置密码,并安装防病毒软件等。过期的无用信息应及时删除,保证数据库内的个人信息准确性。此外,应对员工或委托操作个人信息的机构进行必要且适当的监督。
     
      三、关于限制提供信息给第三人规定的新特点
     
      (一)有关机构向第三人提供个人信息时,原则上须取得本人同意。但有下列状况时除外:①已有相关法律法规规定,如警察根据《刑事诉讼法》进行搜查。②有必要立即采取措施保障相关人员生命、财产安全,并难以取得本人同意。如:发生重大自然灾害时,医疗机构获得伤者血型;严重的产品召回事件发生时,工厂从商店处获得顾客个人信息。③有必要采取措施以保护公共卫生或保障儿童健康成长,并难以取得本人同意。如:发生传染病时地方公共团体从医疗机构处获得相关个人信息;发生虐待儿童事件时相关机构获得信息。④协助国家与地方公共团体工作。如税务机关要求商店提供某顾客消费信息;国家机构进行人口普查等调查行为时获得合理的允许。
     
      (二)在没有取得本人同意的情况下,提供个人信息给第三人时须执行下列程序(即 ”否决程序“)。但前述的”易引发关注的个人信息“不可经由此方法提供。
     
      1.确认能随时根据本人的要求,停止向第三人提供信息。
     
      2.将以下5项用易被本人得知的方式公示:①向第三人提供信息的目的。②所提供的个人信息项目。③提供信息的方式。④明确表示本机构可按照本人的请求停止提供信息。⑤本人查询相关信息的方式。
     
      3.将已通知到本人的各项消息向个人信息保护委员会备案,委员会也将公示这些项目。
     
      (三)在有关业务分包与委托、产业继承、共同使用基础设施等情况下,不能将信息提供给第三人。
     
      (四)在向第三人提供信息时,须记录取用者姓名等必要信息,并封存一段时间。
     
      (五)从第三人中获得个人信息时,须确认并记录提供者姓名、获得信息的过程与确切时间、双方认定的事项等,并封存一段时间。
     
      本法及修正案对上述(四)、(五)点中有关确认、记录义务的描述甚为详尽。
     
      个人信息保护委员会的规定中要求,在本人同意提供信息给第三人的情况下,可以不记录提供信息的时间;原则上提供信息的记录须封存3年,但提供与本人相关的物品并经本人同意的情况下,可减为1年;若提供的个人信息与本人的合同、契约关系有关,则可使用既有的合同作为记录;多次提供个人信息的情况应合并记录。
     
      实务中,下列情形不能被认定为与确认、记录义务有关:本人提供信息的情形(例:社交网络账号的个人信息);相关机构代替本人提供信息的情形(例:银行转账);向本人家庭内部成员等提供信息的情形;不能被认定为提供了”个人信息“的情形(例:1张名片)。
     
      (六)向外国第三人提供信息时,相关信息提供方须遵守下列三项规定:
     
      1.向外国第三人提供信息时须取得本人同意。
     
      2.外国第三人须具有符合个人信息保护委员会规定的体制、资质。
     
      3.外国第三人的所在地须为个人信息保护委员会承认并确认存在的国家。
     
      对于”2“中”符合个人信息保护委员会规定的体制、资质“,一般指在操作个人信息的过程中,能通过适当且合理的方式,保证贯彻落实《个人信息保护法》的宗旨,并且国际上普遍认可其拥有安全操作个人信息的能力。
     
      四、《个人信息保护法修正案》的其它特点
     
      (一)相关机构应对信息公开请求的注意事项。个人信息操作机构应根据本人请求,公开、修正或停止使用个人信息;并用易被本人得知的方式公示机构名称、使用个人信息的目的、向机构提出申请的方式、投诉方式。已加入”受认可的个人信息保护集团“(民间企业与机构自发组织的、以保障个人信息能得到合法操作的的民间团体)的机构,还应提供该集团的名称及投诉方式。上述”受认可的个人信息保护集团“为个人信息保护委员会推进《个人信息保护法》的实施,以促进个人信息操作机构自觉维护信息安全的一项手段。
     
      (二)相关处罚条例。个人信息保护委员会将监督相关机构是否遵守规定,并在有必要时通过国家力量要求机构对其行为做出解释,或对该机构实施搜查。并可根据实际情况对其发出命令或进行指导。在违反命令时可判处6个月以下有期徒刑或30万日元(约合人民币1.8万元)以下罚金,在解释报告中弄虚作假最高可判处30万日元罚金。公司职员等传播或盗用个人信息牟利的,将处以1年以下有期徒刑或最高50万日元罚金。
     
      综上所述,日本通过个人信息保护法的一系列修正案,基本建立了较为完善的个人信息保护制度。本法的基本精神和原则对我国相关法律体系的建立有积极意义。

    【作者简介】
    丁嘉语,浙江大学光华法学院互联网法律研究中心。

    本网站文章仅代表作者个人观点,不代表本网站的观点与看法。
    转载请注明出自北大法律信息网
0
北大法律信息网
www.chinalawinfo.com
法律动态
网站简介
合作意向
网站地图
资源导航
版权声明
北大法宝
www.pkulaw.cn
法宝动态
法宝优势
经典客户
免费试用
产品服务
专业定制
购买指南
邮件订阅
法律会刊
北大英华
corp.chinalawinfo.com
英华简介
主要业务
产品列表
英华网站
诚聘英才
联系我们
用户反馈
返回顶部
二维码