日本《个人信息保护法》于2005年4月1日起施行。随着信息技术的急速发展与利用,该法于2015年进行了大幅修正,2017年5月30日起施行。
近年来,依信息通信技术的活用而生的大量且多样的个人信息的流通、积存及利用,使营业者实现了针对个人需求提供准确且迅速的服务等。个人信息的利用,无论是对现今的商业活动,还是对国民生活都变得不可或缺。但是,另一方面,由于处理个人信息状况,个人权利和利益受到损害的可能性也在增大。在日本,包含企业或政府等团体的住址在内,泄露的个人信息数量超过了1000万件。
因此,考虑个人信息的有用性,以保障个人权利和利益为目的,规定关于正确处理个人信息的基本原则、个人信息处理业者的义务、政府应构建的措施等基本事项就尤为重要。
以下将围绕《个人信息保护法》的立法宗旨;法律的概要及基本方针;个人信息的利用;个人信息保护的监督制度进行分析。
立法宗旨
制定该法律的目的是“鉴于随着高度信息通信社会的不断发展,对个人信息的利用显著扩大,本法特就个人信息的正当处理,对其基本理念、政府制定的基本方针以及其他个人信息保护措施的基本事项作出规定,对国家及地方公共团体的职责等予以明确,同时,对个人信息处理业者应遵守的义务等作出规定,以期在确保个人信息有效利用(例如,一些对个人信息正当且有效的利用,有助于创造出新的产业,并实现富有活力的经济社会及富庶的国民生活等)的同时,对个人的权利和利益加以保护。”
那么,个人信息,应当如何定义呢?具体来说是指,与生存着的个人有关的信息中,姓名、出生日期等可以识别出特定个人的部分,包括可以比较容易地与其他信息相比照并可以借此识别出特定个人的信息(《个人信息保护法》第2条第1项)。
日本经济产业省颁布了《针对个人信息保护相关法律以经济产业领域为对象的指南》,依据该指南,“个人相关信息”不限于姓名、性别、出生日期等识别个人的信息,与个人的身体、财产、职业、地位等属性相关,表示事实、判断、评价的信息,以及在评价信息、公开刊物等公示的信息、影像或声音中的信息均包含在内,且不论是否以暗号等形式进行了匿名化处理。此外,与死者相关的信息以及遗属等生存的个人相关的信息,就指该生存个人的信息。并且,“生存的个人”不仅限于日本国民,也包含外国人,但由于法人等团体不能成为“个人”,故法人等团体的相关信息不包含在内(但是,职员、从业者等的相关信息为个人信息)。
《个人信息保护法》的概要及基本方针
《个人信息保护法》体系如下:1.“总则”,规定基本理念,规定了“国家及地方公共团体的职责等”,规定了“个人信息保护的措施等”;2.以民间事业者为对象,规定了“个人信息处理者的义务等”;3.“个人信息保护委员会的设置·业务内容”;4.杂则及罚则。
在日本,《个人信息保护法》基本上以民间领域为对象。但是,《个人信息保护法》的基本理念在公共领域也必须遵守。此外,在公共领域还制定了以国家行政机关为对象的《行政机关个人信息保护法》,以独立行政法人为对象的《独立行政法人个人信息保护法》,以地方公共团体等为对象的《个人信息保护条例》。
在个人信息保护相关法律的基础上,政府为确保经营者适当处理个人信息以及确保这些经营者构筑的措施能得到适当且有效的实施,制定了《关于个人信息保护的基本方针》。
对于个人信息处理业者的义务,基本方针规定如下:1.根据利用目的的限制,已经正当的获取;2.适当的管理(确保个人数据内容的正确性及最新性等);3.向第三方提供个人信息的限制;4.公开利用目的,公开对个人信息的保存具有责任的从业者的名称;5.本人要求开示自己的个人信息时应向本人开示;6.本人要求自己的个人信息的内容正确,且有最新的事实时,对个人信息进行订正;7.本人基于一定理由要求停止使用自己的个人信息时应停止使用;8.设立力求适当且迅速地处理投诉的制度;9.认定以处理投诉为目的、由个人信息处理从业者构成的团体等。
个人信息的利用
获取·利用规则
在“获取·利用”个人信息时,必须注意利用目的特定且在该范围内使用及通知或公布使用目的。在获取“需注意个人信息”时也有必须遵守的事项。所谓“需注意个人信息”是指,由法律或政府命令确定,为避免造成不公正的歧视、偏见和其他不利情况而需要考虑处理的信息,例如,种族、信仰、社会地位、病史、犯罪史、犯罪被害事实和身体残疾等。
保存规则
“保存”个人信息应当遵守的事项是,1.安全管理以免泄露;2.对从业者·委托方进行彻底的安全管理。“安全管理”的方法取决于要处理的个人信息的性质和数量,例如,确定处理的基本规则,培训从业者,以纸质形式进行管理时将其保存于锁定的抽屉中,利用计算机等进行管理,给文件设置密码,导入安全对策软件等等。
“提供”个人信息应当遵守的事项
在向第三方提供时,应事先征得本人的同意。此外,信息提供给第三方时或收到第三方的提供时,也要记录一定事项。但是,也有不需要本人同意或记录的例外情况:1.基于法律(例如警方、法院、税务局等的查询);2.为保护人的生命·身体·财产所必要(例如向家庭、地方政府等提供有关灾害受害者的信息);3.为公共卫生·儿童健康发展所必要(例如儿童学生拒绝去学校或虐待儿童有关的信息由相关组织分享);4.国家机关等的法令规定的行政事务合作(例如国家和地方政府的统计调查等的答复);5.委托、业务继承、共同使用等。
记录事项·保存期限
基本记录项目原则上保存期限为3年。所须记录的事项为:提供时,向谁在何时提供了何人的何种信息;收到时,由谁在何时提供了何人的何种信息,以及对方获得的经过。
向外国第三方提供时需要遵守的事项
向外国第三方提供时需得到本人的同意。外国第三方根据《个人信息保护法》的目的实施措施,需要提供委托合同、共同内部法规以及提供个人数据者需被APEC跨境隐私规则系统认证等担保。
对个人信息的“披露请求应对”时应遵守的事项
应对披露请求时应当注意:经营者名称,使用目的,请求程序,投诉地址,被认可的认定组织·个人信息保护组织的名称·投诉请求方需处于“可为本人所获知的状态”,如在网站主页发布,在商业机构发布等。
罚则
经营者的法律遵守情况由个人信息保护委员会进行监督。若有必要,该委员会可以现场检查或要求报告,并按照实际情况进行指导、建议、劝告或命令。具体罚则为:违反国家的命令时,处以6个月以下或30万日元以下罚款;虚伪报告时,处以30万日元以下的罚款;员工以非法获利为目的提供窃取个人信息数据库时,处以1年以下有期徒刑或50万日元以下的罚款(同时对公司课以罚款)。
个人信息保护委员会的监督制度
作为确保个人信息保护的机关,个人信息保护委员会于2016年1月设立。该委员会是在考虑个人信息有用性的同时,确保妥善处理个人信息而设立的具有高度独立性的机关。
具体来说,其基于《个人信息保护法》及《个人号码法》进行以下业务:
1.监视·监督特定个人信息:对行政机关或经营者等特定个人信息的处理者进行必要的指导·建议或要求报告·现场检查,在违反法令的情况下进行劝告·命令等。
2.处理投诉等相关事项:对特定个人信息处理等相关的投诉申请进行必要的斡旋,设立投诉处理咨询窗口。此外,为回答关于《个人信息保护法》的解释或制度的一般性疑问,设置询问窗口接受咨询。
3.特定个人信息保护评价的相关事项:特定个人信息保护评价是指,利用个人号码的行政机关等对其综合性的风险对策进行自我评价并公布。委员会则制定该评价的内容或程序的指导方针等。
4.个人信息保护的相关基本方针的决策·推进:基于《个人信息保护法》制定《关于个人信息保护的基本方针》等,推进官方、民间个人信息保护的相关对策。
5.国际合作。
6.宣传·启发。
7.其他事项。
伴随着信息通信技术的发展,消费者和经营者所涉入的环境变得多样化且在飞速变化着。为应对这样的环境变化,保护消费者的个人信息,使经营者不局限于“个人信息”,而将个人的行动·状态等相关数据也能有效活用,并对新产业·新服务的创造也有所贡献,成为了《个人信息保护法》的立法目的。
《个人信息保护法》的大幅修订已经过去了1年。现在,日本国内对该法关注极高,并为促进其普及和正确运用而开展着各种各样的活动。
转自:人民法院报 |