2021年9月10日,日本個(gè)人信息保護(hù)委員會(huì)(PPC)宣布更新關(guān)于《個(gè)人信息保護(hù)法》指南的問(wèn)答(Q&A),新增了人臉識(shí)別信息使用、個(gè)人數(shù)據(jù)泄露報(bào)告、假名化處理信息和個(gè)人參考信息、個(gè)人數(shù)據(jù)跨境傳輸?shù)认嚓P(guān)具體規(guī)定。這些具體規(guī)定從總體上擴(kuò)大了個(gè)人信息的保護(hù)范圍,明確了人臉識(shí)別信息的保護(hù)要求,增加了數(shù)據(jù)處理者泄露報(bào)告和通知個(gè)人的法律義務(wù),解析了假名化處理信息和個(gè)人參考信息的概念和用法,加強(qiáng)了個(gè)人數(shù)據(jù)跨境傳輸中的安全監(jiān)管。
由于修訂后的《個(gè)人信息保護(hù)法》預(yù)計(jì)將于2022年4月1日生效,更新后的問(wèn)答現(xiàn)在也處于尚未生效的狀態(tài)。問(wèn)答的這次更新旨在與《個(gè)人信息保護(hù)法》及其指南之前的修訂相配套,增強(qiáng)法案在具體實(shí)踐中的可操作性,防范化解大數(shù)據(jù)時(shí)代進(jìn)行個(gè)人信息保護(hù)的潛在風(fēng)險(xiǎn),具體有以下四大焦點(diǎn)問(wèn)題值得關(guān)注。
一、重點(diǎn)關(guān)注人臉識(shí)別信息使用
數(shù)據(jù)處理者采集人臉識(shí)別信息需要遵守修訂后的《個(gè)人信息保護(hù)法》規(guī)定進(jìn)行適當(dāng)處理。商場(chǎng)等公共場(chǎng)所出于預(yù)防犯罪目的采集顧客人臉識(shí)別信息的,應(yīng)當(dāng)在入口或攝像頭安裝位置,提前公告或顯著標(biāo)識(shí)。數(shù)據(jù)處理者應(yīng)當(dāng)明確人臉識(shí)別信息的數(shù)據(jù)內(nèi)容、使用目的、聯(lián)系方式等,并根據(jù)達(dá)到使用目的所需的最小范圍設(shè)定數(shù)據(jù)保留期限。
此外,數(shù)據(jù)處理者還應(yīng)當(dāng)根據(jù)最小必要原則,向公共人臉識(shí)別系統(tǒng)注冊(cè),確定責(zé)任人并采取安全措施,保障注冊(cè)的必要性和準(zhǔn)確性。經(jīng)過(guò)注冊(cè)后,符合預(yù)防犯罪目的的人臉識(shí)別信息可以在合理范圍內(nèi)共享使用,人臉識(shí)別系統(tǒng)中的相關(guān)信息會(huì)不時(shí)更新以保證準(zhǔn)確性。數(shù)據(jù)處理者如果想將出于預(yù)防犯罪目的采集的人臉識(shí)別信息用于商業(yè)營(yíng)銷目的,應(yīng)當(dāng)事前取得個(gè)人同意。
二、完善細(xì)化數(shù)據(jù)泄露報(bào)告制度
與現(xiàn)行法律下的自愿報(bào)告制度完全不同,修訂后的《個(gè)人信息保護(hù)法》建立了強(qiáng)制性數(shù)據(jù)泄露報(bào)告制度。問(wèn)答詳細(xì)地列舉了在不同具體場(chǎng)景下,是否需要根據(jù)修訂后的《個(gè)人信息保護(hù)法》向PPC報(bào)告數(shù)據(jù)泄露事件,以及在個(gè)人數(shù)據(jù)權(quán)益可能受到損害的情形下通知個(gè)人的不同形式。
根據(jù)修訂后的法案及其指南,出現(xiàn)或可能出現(xiàn)以下四種數(shù)據(jù)泄露事件時(shí),數(shù)據(jù)處理者應(yīng)當(dāng)承擔(dān)向PPC的數(shù)據(jù)泄露報(bào)告義務(wù)。一是涉及敏感個(gè)人信息的數(shù)據(jù)泄露,二是具有財(cái)產(chǎn)損失風(fēng)險(xiǎn)的數(shù)據(jù)泄露,三是可能出于不正當(dāng)目的而導(dǎo)致的數(shù)據(jù)泄露(例如網(wǎng)絡(luò)攻擊),四是超過(guò)1000名個(gè)人的數(shù)據(jù)泄露。數(shù)據(jù)處理者向PPC的報(bào)告分為初步報(bào)告和最終報(bào)告兩個(gè)階段,有不同的時(shí)限要求。初步報(bào)告必須在確認(rèn)潛在數(shù)據(jù)泄露發(fā)生后立即進(jìn)行,最終報(bào)告必須在30天內(nèi)完成(除第三種情形外,可以延長(zhǎng)至60天)。
此外,數(shù)據(jù)處理者應(yīng)當(dāng)在任何數(shù)據(jù)泄露事件發(fā)生后采取必要措施,通過(guò)內(nèi)部溝通和強(qiáng)化保護(hù)防止事態(tài)擴(kuò)大,進(jìn)一步調(diào)查數(shù)據(jù)泄露的事實(shí)和原因。向PPC的數(shù)據(jù)泄露報(bào)告中應(yīng)當(dāng)包含九方面的詳細(xì)信息:一是數(shù)據(jù)泄露事件概況,二是受影響或可能受影響的個(gè)人信息類型,三是受影響或可能受影響的個(gè)人數(shù)量,四是數(shù)據(jù)泄露原因,五是數(shù)據(jù)泄露導(dǎo)致的二次損害風(fēng)險(xiǎn)及其性質(zhì),六是向受影響個(gè)人的通知情況,七是數(shù)據(jù)泄露事件是否被公開以及公開原因,八是為防止數(shù)據(jù)泄露再次發(fā)生而采取的措施,九是可作為有用參考的其他事項(xiàng)。
三、引入兩類新的信息類型
一是“假名化處理信息”概念。問(wèn)答詳細(xì)解答了“假名化處理信息”與“匿名化處理信息”兩者之間的區(qū)別?!凹倜幚硇畔ⅰ笔且环N與個(gè)人有關(guān)的信息,除非與其他信息進(jìn)行比對(duì),否則無(wú)法識(shí)別出特定個(gè)人。如果數(shù)據(jù)處理者處理被視為假名信息的個(gè)人數(shù)據(jù),他們將不需要遵守《個(gè)人信息保護(hù)法》下的某些義務(wù),例如回應(yīng)披露請(qǐng)求或停止使用已收集的個(gè)人數(shù)據(jù)等。
法案新增“假名化處理信息”這一概念背后的用意有二:一方面,假名化處理信息僅適用于數(shù)據(jù)處理者內(nèi)部,鼓勵(lì)數(shù)據(jù)處理者將假名化處理信息用于內(nèi)部目的,包括業(yè)務(wù)分析、計(jì)算模型開發(fā)等;另一方面,經(jīng)過(guò)假名化處理的個(gè)人信息可以加以保留而不是刪除,不再用于個(gè)人信息原始的采集目的,為未來(lái)潛在的統(tǒng)計(jì)分析用途做數(shù)據(jù)儲(chǔ)備,兼顧安全與發(fā)展。
值得注意的是,法案明確要求,同時(shí)或分別處理“假名化處理信息”和“已刪除個(gè)人信息”的數(shù)據(jù)處理者,具有對(duì)個(gè)人信息提供增強(qiáng)型安全性保護(hù)的特定義務(wù),具體要求有以下七方面內(nèi)容。一是禁止通過(guò)可識(shí)別特定個(gè)人的方式將假名化處理信息與其他數(shù)據(jù)(例如已刪除的個(gè)人信息)進(jìn)行核對(duì);二是對(duì)假名化處理信息的使用要嚴(yán)格適用目的限制原則和必要性原則;三是禁止使用假名化處理信息中包含的任何聯(lián)系信息,例如通過(guò)電話、郵件、電子郵件或其他方式聯(lián)系到特定個(gè)人;四是禁止將假名化處理信息向第三方(法案第23條第5款規(guī)定的“受委托”的數(shù)據(jù)處理者除外)進(jìn)行任何形式的轉(zhuǎn)讓;五是如果假名化處理信息被收購(gòu)或有意改變其使用目的,數(shù)據(jù)處理者具有發(fā)布通知的披露義務(wù);六是在數(shù)據(jù)泄漏情形下,如果已刪除的個(gè)人信息沒有收到數(shù)據(jù)泄漏影響,那么無(wú)須對(duì)假名化處理信息履行泄漏通知義務(wù)。七是個(gè)人對(duì)于假名化處理信息僅保留投訴和獲得及時(shí)適當(dāng)回應(yīng)的權(quán)利。
二是“個(gè)人參考信息”概念。盡管對(duì)于cookie政策仍然沒有明確的具體要求,指南指出,通過(guò)cookie獲得的個(gè)人瀏覽歷史、個(gè)人位置數(shù)據(jù)、購(gòu)買歷史和偏好等,均屬于個(gè)人參考信息,除非該類信息明確屬于個(gè)人信息、假名處理信息或匿名處理信息。僅憑個(gè)人參考信息無(wú)法識(shí)別到特定個(gè)人,因此并不構(gòu)成個(gè)人信息。但是,數(shù)據(jù)處理者如果將個(gè)人參考信息轉(zhuǎn)移給擁有額外相關(guān)數(shù)據(jù)的數(shù)據(jù)處理者,兩相對(duì)照可以識(shí)別到特定個(gè)人的情形下,個(gè)人參考信息可能被納入個(gè)人信息范疇。指引問(wèn)答指出,在特定情形下數(shù)據(jù)處理者與第三方共享個(gè)人參考信息前,需要確認(rèn)個(gè)人是否同意第三方接收其信息、取得同意的方式等。
四、加強(qiáng)數(shù)據(jù)跨境傳輸監(jiān)管
修訂后的《個(gè)人信息保護(hù)法》從兩方面增加了向日本境外第三方傳輸數(shù)據(jù)的限制要求。一方面,在個(gè)人同意的情況下進(jìn)行數(shù)據(jù)跨境傳輸時(shí),數(shù)據(jù)輸出方應(yīng)當(dāng)向數(shù)據(jù)主體提供以下信息:一是數(shù)據(jù)輸入的國(guó)家名稱;二是相關(guān)國(guó)家的個(gè)人信息保護(hù)制度,并以適當(dāng)、合理的方式予以確認(rèn);三是數(shù)據(jù)輸入方應(yīng)當(dāng)采取的安全保障措施。與此同時(shí),數(shù)據(jù)輸出方應(yīng)當(dāng)采取的必要措施包括以下三項(xiàng):一是定期確認(rèn)數(shù)據(jù)輸入方處理個(gè)人信息的狀態(tài),以及數(shù)據(jù)輸入方所在國(guó)家是否存在可能影響個(gè)人信息處理狀態(tài)的情況;二是在正確處理個(gè)人信息過(guò)程中出現(xiàn)問(wèn)題時(shí)應(yīng)采取的措施;三是數(shù)據(jù)輸入方為確保個(gè)人信息的持續(xù)正確處理而采取的安全保障措施。
另一方面,采取數(shù)據(jù)傳輸合同的方式進(jìn)行數(shù)據(jù)跨境傳輸時(shí),合同必須采用與《個(gè)人信息保護(hù)法》等效的數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)和必要措施,持續(xù)確保數(shù)據(jù)輸入方對(duì)個(gè)人數(shù)據(jù)的正確適當(dāng)處理。具體包括以下三項(xiàng),一是定期檢查數(shù)據(jù)輸入方設(shè)立的與《個(gè)人信息保護(hù)法》等效的安全保護(hù)措施,以及措施的實(shí)施情況和內(nèi)容,并通過(guò)適當(dāng)合理方法評(píng)估可能影響此類措施實(shí)施的外國(guó)法律情況;二是采取必要和適當(dāng)行動(dòng)及時(shí)補(bǔ)救發(fā)現(xiàn)的任何障礙;三是如果數(shù)據(jù)輸入方繼續(xù)執(zhí)行《個(gè)人信息保護(hù)法》等效措施變得困難,應(yīng)當(dāng)暫停向其傳輸所有個(gè)人信息。
同時(shí),數(shù)據(jù)處理者在收到個(gè)人提出的數(shù)據(jù)請(qǐng)求時(shí),必須立即向個(gè)人提供以下七方面的必要安全保障信息:一是數(shù)據(jù)輸入方實(shí)施的個(gè)人信息保護(hù)制度,二是數(shù)據(jù)輸入方將實(shí)施的等效安全保護(hù)措施的概要,三是數(shù)據(jù)輸入方個(gè)人信息處理系統(tǒng)的確認(rèn)頻率和方法,四是數(shù)據(jù)輸入方所在的國(guó)家名稱,五是可能影響等效安全保護(hù)措施實(shí)施的國(guó)外制度概況,六是實(shí)施等效安全保護(hù)措施可能存在的障礙,七是為應(yīng)對(duì)第六項(xiàng)中提到的障礙而采取的必要措施。
總體而言,修訂后的《個(gè)人信息保護(hù)法》及其框架更加接近于歐盟GDPR的強(qiáng)監(jiān)管架構(gòu),體現(xiàn)出日本迎合大數(shù)據(jù)時(shí)代技術(shù)創(chuàng)新要求、強(qiáng)化個(gè)人信息保護(hù)監(jiān)管力度、趕超全球數(shù)據(jù)安全立法進(jìn)度的決心。