文章分类
日本制定数据隐私法已有20年。APPI与GDPR有显著差异,最近一次修订是在2020年。
APPI简介
虽然欧盟的GDPR可能是国际隐私法中最著名的,但它绝不是第一个。日本的《个人信息保护法》(2003年第57号法案)于2003年通过,比GDPR生效早了15年。
然而,APPI并不是人工制品。与2000年生效的加拿大《个人信息保护和电子文件法》(PIPEDA)一样,该法也进行了多次修订和更新,以反映不断变化的社会和技术。事实上,现在有一项法律要求定期更新,最近一轮修正案已于2020年通过。
日本的数据隐私法与GDPR或巴西的LGPD等法律有一些相似之处。但与美国的州级法律也有相似之处,特别是在其域外范围和规范特定类别个人信息处理的各种同意要求方面。
日本的个人信息保护法是什么?
日本的APPI是一项联邦个人信息保护法,旨在规范个人和组织(包括政府机构、企业和非营利组织)对个人信息的处理。该法案由个人信息保护委员会(PPC)监督,该委员会是一个独立的行政机构,成立于2005年,在APPI生效两年后。
APPI要求希望收集个人信息的组织在收集、使用或共享个人信息之前,必须征得个人的同意,但仅限于某些情况,如信息敏感或将被转移给第三方或日本境外。更符合美国法律的是,在许多情况下,APPI不需要同意就可以收集或使用不敏感或符合其他标准的个人信息。
该法案对采取安全措施以保护已收集的所有个人信息有一些要求。但总的来说,与许多法律相比,它对数据泄露情况下所需的具体行动等问题没有那么严格。最近修订的APPI正在改变这一点,而且这种要求很可能会继续发展。
《个人信息保护法》的适用范围
APPI的原始版本于2003年生效,仅适用于在过去六个月内拥有至少5000名可识别个人个人信息数据库的企业经营者。
然而,最近的修正案取消了这一限制。所有出于商业目的处理个人信息的经营者都要遵守APPI,无论他们处理了多少个人的个人信息。
《个人信息保护法》的治外法权
APPI适用于任何收集或使用日本公民个人信息的“个人信息控制者”(PIC)。该公司或其他组织是否设在日本并不重要,因为法律适用于域外。APPI确实专门适用于出于商业或商业目的处理个人信息,有各种豁免类别和用途,包括政府、新闻等。
跨境数据传输
2020年对APPI的最新修订引入了对跨境信息传输的额外监管。现在,受日本法律管辖的企业在将个人信息转移到日本境外之前,必须获得个人的知情同意,或者与接收个人信息的外国实体一起建立“个人信息保护系统”。
作为个人信息保护系统的一部分,在日本境外转移个人信息的企业必须与外国的接收实体签订合同。这保证了遵守合同中规定的安全和数据保护措施,并符合APPI要求。
- 为了使跨境转移的选择加入同意有效,必须告知个人:
- 个人信息传输国家的隐私和数据保护法规
- 企业实施和维护的安全措施,以确保个人信息的保护
- 个人信息保护委员会(PPC)认为相关的任何其他信息
如果个人信息再次转移到外国的第三方,发起PIC必须确保任何第三方遵守PIC和原始安全和隐私措施。
定义和相关方
数据主体
个人信息的主体(通常是来源)。
个人信息
根据日本的数据隐私法,个人信息(与其他一些法律中的“个人数据”相同)包括可以通过单个数据点或组合数据点用于识别在世个人的任何信息。它包括数字和物理形式的信息,以及手动处理的信息或经过自动处理的信息。
示例包括姓名、电子邮件地址或出生日期等数据,但它也适用于包含或链接到“个人识别码”的信息,“个人识别代码”是一个单独的类别,包括计算机生成并用于识别的数字、代码或符号。这可能包括广泛的信息,从个人记录的数据库ID等唯一标识符到指纹扫描。
在PICs收集此类信息之前,不需要征得选择加入同意,除非信息要跨境传输。然而,PICs必须就收集的信息和目的发出通知。他们还必须允许选择同意。
敏感个人信息
与最近的其他一些隐私法一样,APPI在其最新修正案中对敏感个人信息(也称为“需要特别注意的个人信息”)进行了澄清。这是指如果被滥用,可能被用于歧视或造成其他伤害的个人信息。这包括种族、医疗或健康信息、犯罪记录、信用记录等信息。
与其他一些法律相比,APPI的定义更倾向于社会和种族信息,不包括财务、生物特征和/或位置信息等细节。
个人相关信息
在最近的修正案中,个人相关信息与个人有关,但其识别性不足以被视为个人信息(但如果与其他数据结合在一起,则可能被视为),且不足以被认为是假名/匿名信息。
在实体收集个人相关信息之前,也不需要征得其同意。但是,PICs必须就收集的信息和目的发出通知。他们还必须能够做出同意的选择。
个人数据
包含在数据库(“个人信息数据库”,电子或其他)中的个人信息,使其中的个人信息能够轻松检索。
假名处理信息
以防止识别数据主体的方式处理的个人信息(仅基于该数据)。与“匿名信息”不同的是,在这种情况下,普遍接受的理解是,即使与其他信息相结合,也无法识别数据主体。使用假名处理的信息,如果数据与其他信息相结合,就可以识别数据主体。
个人信息控制器(PIC)
使用个人信息数据库进行业务操作的业务运营商。有时也显示为“处理个人信息的经营者”。
有趣的是,“数据处理器”虽然是其他隐私法中的常见术语,但在APPI中并没有具体定义。然而,它确实指的是在特定的使用范围内,为实现特定的、明确的目的,例如广告、邮寄服务等,受托代表PIC处理个人数据的实体。
有效同意的条件日本的《个人信息保护法》
个人信息控制者必须在收集个人信息之前通知数据主体“使用目的”。如果个人信息是敏感的、将被跨境转移和/或如果数据将被转移到第三方,PIC必须在收集之前获得同意,尽管该要求有一些例外。
这些要求使APPI比欧盟的GDPR更接近美国法律,例如,在收集非敏感个人信息之前不需要征得同意,但在许多情况下,只需要通知和选择退出。APPI不会像GDPR那样使用法律依据,如同意或其他合法利益来证明数据收集的正当性。
《个人信息保护法》最近的修正案
2015年《个人信息保护法》修正案
2015年修正案于2017年5月生效,其中最显著的变化是成立了个人信息保护委员会(PPC),并引入了每三年对APPI进行一次审查的要求。APPI的域外适用范围也得到了扩大。
2020年《个人信息保护法》修正案
2020年修正案于2021-22年生效,其中包括对个人信息识别能力的澄清,即“与个人有关”而非个人信息,以及假名信息。它禁止事先知情同意利用个人信息为非法或不当行为提供潜在便利。它增加了关于治外法权的进一步澄清,并引入了在向第三方转让个人信息之前必须征得用户同意的要求,扩大了PPC的职能,并对违规行为引入了更严格的处罚。
日本《个人信息保护法》规定的个人权利是什么?
数据主体有权及时以书面形式访问个人信息控制者掌握的有关其的数据。这包括向第三方传输数据的记录,但不包括经过假名处理的信息。如果出现以下情况,则可以拒绝访问:
- 数据主体或任何第三方或其财产的安全或伤害风险
- 会对PIC的业务运营造成重大干扰
- 将违反任何其他禁止披露的日本法律
- 危害国家安全或外交关系
- 妨碍刑事调查
数据主体有权修改、更正、修改或删除其数据。如果修改请求在提出后两周内没有得到解决,数据主体可以通过民事诉讼强制执行。
如果PIC将个人数据用于所述目的之外的目的,或者数据是通过欺诈获得的,则数据主体有权要求PIC停止使用其个人数据或将其转移给第三方。如果事先知情同意人不再需要使用数据,发生数据泄露,或者有侵犯数据主体权利或利益的指控,该权利也适用。
这也不包括以假名处理的信息,事先知情同意人可以拒绝停止使用个人数据的请求,除非该请求不合理或成本不合理或困难,例如召回已经分发的材料。
PICs必须立即通知数据主体,如果他们的请求已经得到解决,或者如果没有,尽其所能通知原因。
《日本个人信息保护法》有哪些豁免规定?
日本法律适用于个人和组织,如商业企业,但仅适用于在经营过程中处理个人信息。因此,“商业”被定义为出于特定目的的重复活动,并被视为社会惯例下的商业。虽然通常是为了盈利,但它并不一定是,而且APPI确实包括非营利实体。
新闻、专业写作/新闻活动、学术和政治活动都不受APPI的约束,因此这将包括广播公司、报纸出版商或其他新闻组织、大学或其他学术机构、宗教机构和政党。联邦和地方政府组织以及行政机构也可以豁免。
不遵守日本《个人信息保护法》的处罚是什么?
截至2020年APPI修正案,个人罚款最高可达100万日元(约7000欧元),企业罚款最高可达1亿日元(约70万欧元),但违规罚款可能因违规的严重程度、范围等而异。
基于收入的罚款,如GDPR大纲(例如,公司全球年营业额的4%)被考虑在内,但最终没有包括在内,因为之前的APPI中只略微涵盖了罚款。
谁负责执行日本的《个人信息保护法》?
日本个人信息保护委员会(PPC)于2005年随APPI修正案成立,是日本数据和隐私保护的主要顾问、调查员和执行者。其主要职责和权力是:
- 确保根据APPI要求适当处理个人信息,以保护个人及其个人信息
- 接收数据泄露报告并启动调查
- 启动对事先知情同意活动的调查,包括对匿名数据或个人的信息控制者的调查
- 如果怀疑或指控侵权,则向PIC发布命令并提供建议
- 要求PIC在调查过程中提供报告、文件等
- 向外国数据保护监管机构提供信息
- 允许信息以有限的能力用于海外刑事调查
- 在有限的情况下将调查权下放给相关部长
数据泄露通知
与许多其他国家的法律相比,日本APPI对数据泄露和协议的要求稍微不那么严格。通常由PICs根据每种情况决定具体行动,尽管法律确实规定了这些事件的最佳实践行动原则。最近的修正案也增加了一些法律要求。
无论是否有法律要求,数据安全事件处理不当都会对公司的声誉、收入、合作伙伴关系、客户关系等产生重大影响,因此快速、彻底、专业地处理此类事件的动机在任何国家都是有效的。
如果PIC雇佣的第三方(如数据处理方)违约,则PIC有义务通知和补救事件。
APPI有数据丢失指南,涵盖个人信息的破坏、损坏或泄露事件,或发生任何此类事件的可能性。同样,这是最佳实践,而不是法律要求:
- 在PIC内报告事件
- 调查事件的原因和相关信息
- 识别PIC受影响的系统
- 确定受影响的数据主体
- 采取措施防止对数据主体的损害或对第三方的影响变得更糟
- 及时计划和实施措施,以防止由于最初事件的安全漏洞而再次发生或发生其他事件
- 通知可能受影响的数据主体,除非:
- 受影响的数据在高级别加密
- 向数据主体提供有关事件的信息,目的是防止对他们或相关第三方造成进一步损害
- 公开宣布事件的相关信息以及为防止事件再次发生而采取的措施
- 立即通知PPC(通过网络表格完成),除非:
- 所涉及的数据是加密的
- 在第三方访问之前,PIC已经恢复了数据
- 受影响的数据不存在个人身份识别或对数据主体造成伤害的风险
- 该事件仅发生在PIC内部,没有任何数据泄露到外部
- 泄漏微不足道,不太可能造成伤害
请注意,根据最新的修正案,如果违规行为包括:
1000多个人的个人信息
- 敏感信息
- 可能导致重大经济损失的财务信息
- 恶意,即攻击是出于勒索软件等“不公正目的”
- 随着时间的推移,对于满足某些要求的违规行为,也有额外的特定通知要求。
数据保护官员
与其他一些在许多情况下要求任命数据保护官员(DPO)的法律不同,APPI没有具体包括这一要求或类似要求。然而,这样做可能有助于满足该法案《一般准则》的要求,该准则确实要求实施和维护处理个人信息的适当安全措施。这种安全措施的一个著名例子是,“任命一名负责处理个人信息的人员并定义该人员的责任”,这听起来有点像DPO。
根据APPI,各种安全措施是否具有强制性取决于数据主体在发生违约时可能遭受的潜在风险或损害程度,以及业务的规模和性质以及数据处理的性质和数量。这是一项常见的规定,这些考虑因素也往往会影响对违规行为的处罚。
一些行业有自己的指导方针和资格,个别组织也是如此,法律没有要求,也没有任何认证,但旨在加强数据隐私。
《个人信息保护和同意管理法》
APPI要求在收集数据主体的个人信息之前通知他们。它并不是在所有情况下都需要同意,但在一些重要情况下需要同意,即使数据收集不需要明确同意,也需要选择退出。通知和同意选项都是同意管理平台的功能。
用户将清楚地了解他们的数据将如何收集和使用,这些信息将保持最新。用户将有同意选项,他们的偏好将被安全存储,并可以随着时间的推移进行更新。值得注意的是,这些功能是自动化的,这对于像APPI这样频繁更新的法律来说非常有用。
结论
与其他一些法律一样,已经符合GDPR的公司将在APPI合规方面处于有利地位,甚至在某些方面超出了要求。在许多情况下,在收集数据之前可能不需要征得同意,但在发出通知的同时,这一点仍然很重要,应该被视为最佳做法,即使不是明确的法律依据。
APPI的跨境数据传输要求比一些法律更深入,因此,如果这是相关的,就像许多在线公司一样,应该仔细审查这些信息。
良好的数据安全做法,如最新的加密和系统,以及限制数据/系统访问和传输,总是一个好主意。虽然并不总是需要任命一名数据保护官员,但在许多方面,有一名合格的数据安全专业人员来监督这些操作和举措,既有助于实现合规性,也有助于加强PICs的数据保护战略。
每三年审查一次APPI的要求为公司提供了一个可靠的时间表来审查数据安全运营和合规性,包括该法律和其他法律。它确实给公司带来了额外的维护负担,增加了同意管理平台(CMP)等自动化工具的价值。近年来对APPI的修订侧重于各行业的改进,比如更加关注同意。
- 登录 发表评论