北京网路畅想科技发展有限公司

首页
|
公司简介
|
首席科学家
|
新闻动态
|
联系我们
|

日本《个人信息保护法》的最新修订


 2022-01-17 23:51

一、 扩大域外适用

经修订的APPI将扩大其域外适用范围,其原本仅适用于因向日本境内人员提供商品或服务而直接从数据主体获取个人信息并在国外处理个人信息的外国企业经营者。然而,根据最新的APPI规定,域外适用将包括因向日本境内人员提供商品或服务而获取个人信息并在日本境内处理个人信息的外国企业经营者。当外国企业经营者间接从第三方获得个人信息时也可以适用域外管辖。因此,一些原本未受APPI管辖的外国公司现在将面临域外适用。

此外,经修订的APPI还赋予日本的数据保护机构——个人信息保护委员会(Personal Information Protection Commission)权力,要求国外的数据处理企业经营者向其日本境内的经营者发送处理报告。

二、 数据泄露报告并通知数据主体

根据原APPI,向PPC提交数据泄露报告只是一项“不完全义务”,通知数据主体仅为一项建议。根据修订后的APPI,在发生数据泄露或可能存在泄露的情况下,企业经营者必须向PPC报告泄露情况,并通知受影响的个人。对于涉及个人敏感信息、财产损失风险、网络攻击和涉及超过1,000个数据主体的违规事件或其他潜在违规情况时,企业经营者必须完成报告义务。

在发生数据泄露时,指南要求企业(1)向适当的业务负责人报告内部数据泄露,并采取措施减少损失,(2)调查相关事实并确定原因,(3)确定影响范围,以及(4)检查并采取措施防止再次发生。

1.  初步报告的实际截止日期

报告义务有两个阶段:初步报告和最终报告。修订后的APPI要求企业经营者“在确认潜在数据泄露事件发生后”立即提交初步报告。如果经营者是一家公司,一般来说,初步报告必须在确认数据泄露后的三到五天内提交。

2. 最后报告的内容

修订后的APPI要求经营者在确认数据泄露后的30天内提交最终报告(60天适用于因不正当目的(如网络攻击)发生数据泄露的截止日期)。根据PPC的执行规则,最终报告必须包含九项内容。然而,准则进一步明确,如果尽管做出了合理努力,某些项目仍未在截止日期前确定,则允许企业经营者仅提交确定的项目,并在确定未决项目后尽快完成最终报告。

三、 数据主体权利的扩大

修订后的APPI将扩大个人停止使用、删除和停止向第三方提供保留个人数据的权利。这些权利只能在APPI规定的特定情况下行使:

1. 企业经营者不再需要使用个人数据;

2. 发生需要强制报告的数据泄露;

3. 数据主体的权利或合法利益可能受到侵害。

四、 有关个人可识别信息的规定

根据修订后的APPI,数据提供者提供个人数据时有义务确定数据接收方得到了数据主体的同意。

指南对这一新规定作了进一步说明。

1. “将所提供的信息作为个人信息接收”的含义

指南指出,“将所提供的信息作为个人信息接收”是指数据接收方打算将所提供的信息当作个人信息进行使用,例如将所提供的信息与其持有的其他个人信息相结合识别个体。

在数据接收方不直接将所提供的信息与其持有的其他个人信息相结合时,即使所提供的信息可以很容易地与个人信息进行核对,也不一定属于“接收类个人信息”的概念。因此,此时数据提供方不需要确认数据接收方获得了同意。

2. “预期”的含义

“预期”一词指的是数据提供者能否实际上预测到接收人“将所提供的信息作为个人数据接收”。

如果数据提供者和数据接收方之间的合同规定接收方不会将所提供的信息用作个人信息,通常情况下,接收方不会“将所提供的信息作为个人数据接收”。但是,如果存在会使数据提供者怀疑接收方打算将所提供的信息用作个人数据的情况,则有必要确认数据接收方将如何处理所提供的信息,并判断数据提供者是否能预判接收方将“将所提供的信息作为个人数据接收”

3. 在获得同意时应向数据主体提供的信息

当数据接收方获得同意时,需要向数据主体提供适当信息。具体而言,有必要使个人知道(1)数据接收方的身份,(2)要提供的个人信息的类别,以及(3)信息使用目的。

4. 获得同意的实体

原则上,应获得同意的实体是数据接收方。但是,也允许数据提供者代表接收方获得同意,条件是以同等方式保护个人权利。在实践中,请注意有必要显示接收方的具体姓名。

五、 跨境转移的监管

目前,在获得数据主体的同意或个人信息保护系统的基础上可以进行跨境数据传输。修订后的APPI加强了对向日本以外第三方传输数据的监管。

1. 基于数据主体同意的机制

执行规则规定了在获得同意时必须向数据主体提供的第一项信息项目的例外规则。如果第1项(由数据输入者建立的个人信息保护系统)未明确,企业经营者应当说明原因并提供对数据主体有利的其他信息。

PPC问答还说明,当企业经营者计划将数据处理外包(即委托)给外国的第三方,但由于受托方尚未确定,无法确定接受国家时,应适用这一例外规定。此外,如果有可能提供对个人有帮助的信息,如候选受托方国家的信息,也必须提供此类信息。

关于第2项(即接收国的个人信息保护系统),企业可以参考前面提到的31个国家和地区的PPC调查结果。

对于除欧盟和英国以外的未列出的其他国家,指南解释了在提供信息时应考虑的因素:

1) 该国是否存在保护个人信息的制度。

2) 有关该国个人信息保护系统指标的信息。

3) 是否存在符合经济合作与发展组织隐私八项原则的企业经营者义务或个人权利。

4) 是否存在可能对个人权益产生重大影响的其他制度。

2. 个人信息保护系统的机制

关于建立基于个人信息保护系统的跨境转移,经修订的APPI规定“定期监测建立情况”。指南将明确要求频率为一年一次或更多。因此,依赖这种机制的企业经营者必须确保进行定期监测。此外,还必须根据数据主体的要求向其解释保护系统的机制。

©2000-2023 北京网路畅想科技发展有限公司 版权所有

京公安网备:11011402011290 京ICP备12046739号-10