近年来,随着欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的正式实施,隐私保护和数据合规引起全球广泛关注。今年两会期间,人大代表呼吁加快个人信息保护的立法进程,把个人信息保护议题再度炒热。基于长期对国内外环境的思考,笔者认为,隐私保护和数据合规将成为法律行业的蓝海市场。目前,市面上存在研究隐私保护和数据合规的文章,但大多追随热点,分散式、片段式文章居多,系统性、全局性文章较少。基于此种思考进路,笔者计划今后一段时间,通过系统梳理各个国家或地区的隐私保护和数据合规情况,陆续推出各个国家或地区个人信息保护情况的文章,旨在为对隐私保护和数据合规有需求的个人或企业提供帮助。
笔者此次梳理的是日本的隐私保护与数据合规情况。日本作为亚洲地区的发达国家,其发达的经济水平,完善的基础设施和优越的生活环境,吸引我国企业和个人赴日发展和生活。同时,日本相对完善的法制水平也值得我们学习和借鉴。因此,研究日本个人信息的保护情况,不仅有利于我国企业赴日发展,也有利于吸收其优秀的法律设计,完善我国的信息保护制度。
一、个人信息保护的发展历程
(一)个人信息保护的酝酿阶段(1970年至1987年)
日本关注个人信息保护的问题最早可追溯至20世纪70年代。1970年,日本中央政府为了提高政府机构处理政务的效率,决定引进“国民总编号制度”。即要求全日本国民每个人均设立一个独属个人的暗码,以方便各中央政府机构统一处理政务。由于该方案涉及个人敏感信息的收集,因此激起了全社会普遍的反对,日本政府不得不最终停止实施该项方案。[1]但是如果不能有效收集国民数据,日本政府在国民年金、税收等问题的处理上将耗费大量的社会资源,为因应此种困局,日本政府在1976年制定了《电子计算机处理数据保护管理准则》,开始着手运用计算机收集个人数据,以提高处理政务事务的效率。[2]
随着计算机技术的发展,日本政府收集和处理个人数据的能力大大增强,但同时也带来数据泄露的问题。数据泄露事件的不断曝光加剧了国民对日本政府的不信任和厌恶,加上1980年经济合作与发展组织(Organization for Economic Co-operation and Development,简称OECD)发布《隐私保护和个人数据跨境流通的指南》,要求成员国应保障数据主体的合法权益,内外因素倒逼日本政府开始着手构建个人信息保护制度。[3]该阶段,日本政府建构的个人信息保护制度主要有:日本政府在1981年设置“保护隐私研究会”,1982年发表“处理个人数据的隐私权保护对策”,1984年成立“数据、隐私保护专门委员会”、1985年设置“行政机关个人数据信息保护研究会”,并着手拟定个人信息保护制度的法案。[4]该阶段笔者称其为“个人信息保护的酝酿阶段”。
(二)个人信息保护的发展阶段(1988年至2003年)
1988年伊始,日本率先在行政领域出台相应法律法规,以规范行政机关收集个人信息的行为。例如,1988年12月,日本立法机构出台《有关行政机关电子计算机自动化处理个人信息保护法》,要求行政机关在运用计算机处理个人信息时应保障数据主体的合法权益。[5]该部法律的出台使得政府部门收集个人信息的行为开始走向规范化和法制化。
除了行政机关积极立法保障个人信息安全外,民间组织也加强了对个人信息的保护力度。1999年财团法人金融信息组织中心(FISC)修订了“金融机关个人信息保护指导方针”,要求金融机关要规范处理个人信息问题;1999年日本通商产业省出台了日本工业标准《个人信息保护管理体系要求事项》及隐私标志认证制度,向保护措施得力的企业颁发隐私认证标识;2001年日本政府出台了安全管理系统评估制度,并配合ISO/IEC17799-1(BS7799)国际标准加强信息管理。[6]日本隐私标志认证制度及相关标准的出台,使得民间企业在收集个人信息时统一了处理信息的标准,以及民间企业为获得隐私标志认证,也规范了自身的信息处理行为。总体上,民间组织出台的制度规范也在一定程度上保障了数据主体的合法权利。
(三)个人信息保护的成文法阶段(2003年至今)
1980年经济合作与发展组织(Organization for Economic Co-operation and Development,简称OECD)发布《隐私保护和个人数据跨境流通的指南》之后,各成员国纷纷开始制定《个人信息保护法》,日本在此时已有专门立法保护个人信息的意图。1995年欧盟颁布《数据保护指令》规定限制个人数据的跨境流动以及日本国民对个人信息泄漏事件的强烈反对,最终使得日本下定决心制定《个人信息保护法》专法。
制定《个人信息保护法》的历程并非一帆风顺,2000年日本个人信息保护法制化专门委员会制定《个人信息保护基本法制大纲》,并于第二年向国会提出制定《个人信息保护法案》。然而由于日本全国律师协会施压,该法案并未获得通过。2003年立法委员认为立法时机已经成熟,于是再次向国会提出《个人信息保护法》等相关五法案。为审议五法案,国会专门设立了关于个人信息保护的特别委员会,历经80个小时的审议,国会最终通过了五法案。其中,《个人信息保护法》前三章于颁布日起实施,后三章在2005年4月开始全面实施。《个人信息保护法》五法案包括《个人信息保护法》、《行政机关持有个人信息保护法》、《独立行政法人等持有个人信息保护法》、《信息公开、个人信息保护审查委员会设置法》以及《伴随<行政机关持有个人信息保护法>等实施的有关法律的准备法》。[7]
随着技术的发展以及社会的变化,《个人信息保护法》有些规定逐渐不适应社会的发展需求,例如《个人信息保护法》过度重视数据主体的权利保护导致实务中数据的流动受阻,严重窒碍社会的整体进步。同时监管主体职能分散的问题也导致实务中监管效果不佳。为了解决此类问题,日本国会在2015年通过了《个人信息保护法》修正案,对原法律不足之处做了修改和完善。
二、《个人信息保护法》的核心内容
《个人信息保护法》共7章66条,分为总则、国家及地方公共团体的职责、个人信息保护的政策、个人信息处理业者的义务、杂则、罚则以及附则。接下来,笔者主要从立法原则、适用主体、数据主体权利、数据处理者义务、监管及惩罚措施等五个方面对《个人信息保护法》作简要的介绍。
(一)《个人信息保护法》的立法原则
《个人信息保护法》设置的立法原则与欧盟、美国等其他国家所制定的原则大致相近,主要有利用限制原则、信息质量原则、安全保障原则、公开原则、目的确定原则、权利保护原则、责任保护原则等。
在利用限制原则上,《个人信息保护法》第16条规定,数据处理者在收集个人信息时不得超过目的规范的范围,第23条规定转让给数据处理者时要征得数据主体的同意;在信息质量原则上,《个人信息保护法》第19条规定,数据处理者要保证收集的数据及时、准确、完整;在安全保障原则上,《个人信息保护法》第20条规定,数据收集者和处理者要确保个人数据的安全,第21条规定要监督数据从业者对数据的处理;在公开原则上,《个人信息保护法》第18条规定,数据收集者在收集数据后,应尽可能公开数据的利用目的,变更利用目的的,还需要另行通知数据主体或者公布;在目的确定原则上,《个人信息保护法》第15条规定,数据收集者在收集数据时应将收集目的特定化;在权利保护原则上,《个人信息保护法》第25条、26条和27条分别规定了数据主体享有知情权、修正权和停止利用权;在责任保护原则上,《个人信息保护法》第31条规定了数据处理者须妥善处理数据主体的投诉。
(二)《个人信息保护法》的适用主体
《个人信息保护法》在立法模式上采用混合式立法,即采用基本法与一般法并存的双重结构。[8]《个人信息保护法》第1章至第3章主要规定涉及国家管理重要领域的政策、对策和方针等内容,涉及的主体有国家和地方公共团体。第4章则是规定民间数据处理者以及数据从事认证业务的财团法人等内容,涉及的主体主要有独立行政法人、民间部门的个人数据处理者以及认定个人数据保护团队等。综上可以看出,《个人信息保护法》的适用范围既包括国家、地方公共团体,还包括独立行政法人、民间部门的数据处理者和数据保护团体。
(三)《个人信息保护法》的数据主体权利
《个人信息保护法》关于数据主体的权利规定主要在第25条、第26条和第27条。第25条规定,数据主体有权请求数据处理者公开可识别该本人的所持有的个人数据,数据处理者有权就公开措施收取适当的手续费;第26条规定,如果数据主体认为该本人的数据不真实,可以请求数据处理者对该所持有的个人数据进行订正、追加或者删除。数据处理者必须在实现利用目的的范围内,毫不迟疑地进行调查,并根据调查结果,对该请求作出订正等。数据处理者作出订正等行为后,应及时告知数据主体;第27条规定,如果数据处理者违法收集数据,数据主体有权请求数据处理者停止利用或者销毁本人的相关数据。数据处理者在接到请求后,应及时调查,发现数据主体理由合法时,应主动停止利用或者销毁数据,并及时告知数据主体。
(四)《个人信息保护法》的数据处理者义务
一般来说,权利的对立面即是义务,数据主体权利的对立面即是数据处理者的义务。例如,数据主体请求数据处理者公开必要数据,即意味着数据处理者应按照数据主体的请求公开数据;数据主体请求数据处理者订正、删除、停止利用数据,即意味着数据处理者要履行相关的法定义务。此外,数据处理者除了以上的法定义务外,《个人信息保护法》还规定数据处理者在数据地收集、处理和使用上都应遵循相应的义务。例如,数据处理者收集数据的目的应当特定、需经数据主体的同意,要履行告知义务,要确保数据内容的正确、完整和及时。同时数据处理者还需采取安全管理措施保障数据的安全,在向第三人提供数据时,要经过数据主体同意,并要妥善处理数据主体的投诉,接受主管大臣的监督等。
(五)《个人信息保护法》的监管及惩罚措施
《个人信息保护法》规定数据处理者及认证团体应接受主管大臣的监督。其中,主管大臣的类型很多,根据数据处理者所从事的数据处理活动,主管大臣主要有国土交通大臣、国家公安委员会等,此几类大臣都有在不同领域监管个人数据的权力。主管大臣有权指导数据处理者的业务,有权要求数据处理者和认证团体提交关于数据处理和认定报告,当数据处理者和认定团体有违法行为时,主管大臣有权劝告和命令数据处理者采取必要措施中止或者纠正违法行为,有权撤销认定团体的认定资格。而如果数据处理者无视主管大臣的劝告和命令,执意从事违法行为时,对于此种数据处理者,公权力机关可采取自由刑或者罚金刑的惩罚措施。
三、《个人信息保护法》的增订内容
随着科技水平的进步,2003年制定的《个人信息保护法》部分条款开始滞后于社会发展。2015年《个人信息保护法》修正案正式通过,新的《个人信息保护法》对不合时宜的旧法条款做了部分调整和改动。新《个人信息保护法》的增订内容主要有:扩大“个人信息”的保护范围、促进“个人信息”的有效利用、设置专门监管机构。
(一)扩大“个人信息”的保护范围
新《个人信息保护法》扩大了“个人信息”的保护范围。例如,新《个人信息保护法》在第2条关于“个人信息”的定义中加入个人身体的特征和商品的符号内容,使得个人信息的定义得到了扩大。在新《个人信息保护法》生效施行后,个人信息的保护范围将包括原来法律所未规定的指纹等个人身体特征,互联网的用户ID的账号和密码等个人信息。新《个人信息保护法》还规定“敏感信息”问题,敏感信息主要包括人种、宗教信仰、病史及犯罪前科等。新《个人信息保护法》除了增加旧法所未规定的内容外,还修改了旧法的内容。比如,旧法原本将5000人以下小规模的数据处理者排除在适用范围内,新法将5000人以下的数据处理者也纳入规范对象之中。
(二)促进“个人信息”的有效利用
旧法侧重于保护数据主体的权利,一定程度上忽视了数据的流通,不利于社会经济的整体发展。新《个人信息保护法》意识到该问题后,规定凡是匿名化处理的数据都允许其流通使用,从而大大提高了个人数据的有效利用率。匿名化,是指对个人数据进行处理,使数据无法进行特定个人的识别,并且处理后的数据无法再还原到可识别特定个人的状态。[9]判断数据是否符合匿名化的要求,主要看数据的匿名处理是否符合个人信息保护委员会的要求;匿名化信息处理项目是否公示;在向第三人提供匿名化处理信息时,是否公示,是否向第三人明示该信息为匿名化处理后的信息。
(三)设置专门监管机构
旧《个人信息保护法》规定由主管大臣负责监督数据处理者和认证团体的相关活动,但是由于不同的数据处理由不同的分管大臣负责,监管机构职能分散,责任不清,无法作出高效决议。为了解决该问题,新《个人信息保护法》明确了监管主体和惩罚措施,将分散的主管大臣所拥有的劝告和命令等权力统一集中到同一个专门监管机构——个人信息保护委员会。新《个人信息保护法》的设置使得个人信息保护的监管特定化,有利地降低了监管主体责任不清,职能分散的问题。
四、小结
日本以专法的形式保障个人隐私和数据合规,这一立法模式具有鲜明的欧盟特色。与此同时,无论是日本规定的隐私认证标识制度,还是数据处理的标准法律化,都可以看出日本重视行业在个人信息保护中的自律管理。此方式同时具有鲜明的美国立法特色。可见,日本并非单纯模仿欧盟或者美国,而是立足实际,博采众长,为己所用。
根据我国“十三届全国人大常委会立法规划”的规定,《个人信息保护法》将在十三届全国人大常委会期间获得通过。由于日本与我国的法律体系具有相似性,日本《个人信息保护法》的诞生和发展对我国制定个人信息保护法具有重要的借鉴和参考意义。同时,日本作为亚洲地区的发达国家,我国在与之交往的过程中必然涉及数据的处理、交换问题,了解日本的个人信息保护历程,也有助于我国企业在日本的落地化。
[1] [台]林素凤.日本个人资讯保护法制之展望与课题[J].警察大学法学论丛,2003,(8):6.
[2] [台]谢永志.个人数据保护法立法研究[M].北京:人民法院出版社,2013.108.
[3] 黄晨.日本《个人信息保护法》立法研究(硕士学位论文)[D].重庆大学,2014.2-4.
[4] [台]谢永志.个人数据保护法立法研究[M].北京:人民法院出版社,2013.108.
[5] 张苑.日本《个人信息保护法》的实施及其对中国的启示(硕士学位论文)[D].对外经济贸易大学,2006.6-12.
[6] 个人信息保护课题组.个人信息保护国际比较研究[M].北京:中国金融出版社,2017.328-329
[7] 李欣欣.论个人信息保护与合理利用——以日本个人信息保护法为中心(硕士学位论文)[D].中国人民大学,2005.12-14.
[8] 李欣欣.论个人信息保护与合理利用——以日本个人信息保护法为中心(硕士学位论文)[D].中国人民大学,2005.15-16.
[9] 个人信息保护课题组.个人信息保护国际比较研究[M].北京:中国金融出版社,2017.343.
