跳转到主要内容

文章分类

《个人信息保护法》(2003年第57号法案,2015年修订)(“APPI”)的最新修正案于2020年推出(“2020年修正案”),于2022年4月1日生效。2020年修正为日本隐私法引入了新的“假名化”概念,并规定了如何处理此类信息。Baker McKenzie东京知识产权技术实践小组的Kensaku Takase和Hayato Higa概述了如何根据《应用程序保护法》使用假名信息,以及企业需要了解的规则,以保持遵守修正案。

上下文

虽然化名信息在其他司法管辖区作为一个概念存在,但根据2020年修正案处理化名信息的方式对日本来说是独特的,而且相当狭窄。本文概述了使用假名信息的各种好处。然而,存在重大限制,特别是假名信息只能用于企业内部目的,不能转让给第三方。因此,希望使用假名数据的企业需要仔细了解修订内容,以及他们允许和不允许的内容。

快速概述APPI下的个人信息类型

根据APPI,有几个与个人信息相关的关键术语,如个人信息、个人数据和敏感数据。此外,APPI规定了不同于个人信息的数据类型,包括匿名和假名信息。

匿名信息于2017年引入APPI匿名信息定义为根据相关法规进行编辑以防止识别个人的信息对于被视为“匿名”的数据,重要的是不能恢复此类数据。因此,匿名信息不被视为个人信息,并受到与适用于个人信息的要求不同的要求的约束。例如,只要企业符合某些披露要求,匿名信息可以在未经数据主体同意的情况下转让给第三方

APPI下匿名信息的一个主要缺点是,为了将数据视为“匿名”,数据主体需要在匿名发生之前(例如,通过在网站上发布)通知其数据将被“匿名”。对于许多企业来说,这实际上是一个挑战。

引入假名信息的背景

考虑到使用上述匿名信息的障碍,使用匿名信息的情况不如最初预期的重要。

日本政府的意图是,APPI将不断发展,以平衡个人信息的保护和使用。由于与个人信息相关的技术创新一方面有助于经济增长,另一方面也有助于保护个人权利,因此引入了假名信息的概念,以鼓励企业更容易、更容易地处理其拥有的个人数据集,超出了最初获得这些数据集的范围。

处理假名信息的要求概述

假名化信息被定义为与个人有关的信息,该信息已通过擦除或替换个人信息的全部或部分标识符进行处理,除非与其他信息组合,否则该个人不再可识别。APPI规定,可以使用以下方法删除或替换假名信息:

  • 可以识别个人信息中包含的特定个人的全部或部分描述,如姓名(例如,用随机字符串替换姓名、地址和其他类似信息);
  • 个人信息中包含的所有个人识别码;或
  • 可能导致财产损失的个人信息中包含的描述,如信用卡号。

如果企业使用这些方法适当地创建假名信息,那么可以看出数据主体的潜在风险降低了。因此,通常适用的一些义务将被放宽,包括:

目的和限制

根据APPI,企业有义务通知数据主体处理数据主体个人数据的目的。在未经数据主体同意的情况下,禁止在通知数据主体的目的之外处理数据。然而,如果企业将个人信息转换为假名信息,则后者可以在未经数据主体同意的情况下超出通知目的的范围使用。当然,这允许企业更改收集的个人数据的使用目的,并且在企业希望以最初预期的方式处理数据的情况下非常有用。

对管理局和数据主体的通知义务

虽然2020年修正案规定了数据保护局的通知义务,以及个人数据违规的数据主体,但这些义务不适用于仅涉及假名信息的违规情况。

数据主体披露、更正和停止使用数据的权利

APPI授予数据主体请求企业采取某些行动的权利,包括披露、更正和停止使用个人数据的权利。关于此类个人权利的规定不适用于假名信息。

假名信息的一个主要限制是,通常不能将其转让给第三方。APPI仅允许在基于法律法规的有限情况下转让化名信息。公司不能依赖通常的例外情况来传输个人数据,如外包、实体转换(如合并和公司拆分)和联合使用。

下表总结了个人、假名和匿名信息之间的差异。

 

 

个人信息

假名信息

匿名信息

目的和限制

可应用的

可应用的但是,关于改变目的的限制放宽了。

不需要。

更改数据性质前是否需要通知?

不适用。

在将个人信息转换为假名信息之前,不需要通知。

在将数据主体的个人数据转换为匿名信息之前,必须对其进行通知(例如,通过在网站上发布)。

向隐私管理机构和数据主体通知数据泄露事件等的义务?

对适用(根据2020年修正案引入)。

No.

No.

向第三方传输个人数据?

在获得数据主体的同意时,或在某些例外情况下,允许进行传输。

只有在有限的情况下才允许转让。

允许无限制地向第三方转让。

数据主体的请求

根据数据主体根据APPI提出的请求,必须做出回应。

没有义务。

没有义务。

 

建议的行动

虽然范围有限,但假名信息确实为企业提供了一定的额外灵活性,以处理超出原始目的的个人数据。重要的是要知道如何将个人数据转换为假名信息,以及如何对其进行处理。

本文:https://cioctocdo.com/japan-pseudonymisation-under-amended-appi

文章链接