近年來,隨著歐盟《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)的正式實施,隱私保護和數據合規引起全球廣泛關注。今年兩會期間,人大代表呼吁加快個人信息保護的立法進程,把個人信息保護議題再度炒熱。基于長期對國內外環境的思考,筆者認為,隱私保護和數據合規將成為法律行業的藍海市場。目前,市面上存在研究隱私保護和數據合規的文章,但大多追隨熱點,分散式、片段式文章居多,系統性、全局性文章較少。基于此種思考進路,筆者計劃今后一段時間,通過系統梳理各個國家或地區的隱私保護和數據合規情況,陸續推出各個國家或地區個人信息保護情況的文章,旨在為對隱私保護和數據合規有需求的個人或企業提供幫助。
筆者此次梳理的是日本的隱私保護與數據合規情況。日本作為亞洲地區的發達國家,其發達的經濟水平,完善的基礎設施和優越的生活環境,吸引我國企業和個人赴日發展和生活。同時,日本相對完善的法制水平也值得我們學習和借鑒。因此,研究日本個人信息的保護情況,不僅有利于我國企業赴日發展,也有利于吸收其優秀的法律設計,完善我國的信息保護制度。
一、個人信息保護的發展歷程
(一)個人信息保護的醞釀階段(1970年至1987年)
日本關注個人信息保護的問題最早可追溯至20世紀70年代。1970年,日本中央政府為了提高政府機構處理政務的效率,決定引進“國民總編號制度”。即要求全日本國民每個人均設立一個獨屬個人的暗碼,以方便各中央政府機構統一處理政務。由于該方案涉及個人敏感信息的收集,因此激起了全社會普遍的反對,日本政府不得不最終停止實施該項方案。[1]但是如果不能有效收集國民數據,日本政府在國民年金、稅收等問題的處理上將耗費大量的社會資源,為因應此種困局,日本政府在1976年制定了《電子計算機處理數據保護管理準則》,開始著手運用計算機收集個人數據,以提高處理政務事務的效率。[2]
隨著計算機技術的發展,日本政府收集和處理個人數據的能力大大增強,但同時也帶來數據泄露的問題。數據泄露事件的不斷曝光加劇了國民對日本政府的不信任和厭惡,加上1980年經濟合作與發展組織(Organization for Economic Co-operation and Development,簡稱OECD)發布《隱私保護和個人數據跨境流通的指南》,要求成員國應保障數據主體的合法權益,內外因素倒逼日本政府開始著手構建個人信息保護制度。[3]該階段,日本政府建構的個人信息保護制度主要有:日本政府在1981年設置“保護隱私研究會”,1982年發表“處理個人數據的隱私權保護對策”,1984年成立“數據、隱私保護專門委員會”、1985年設置“行政機關個人數據信息保護研究會”,并著手擬定個人信息保護制度的法案。[4]該階段筆者稱其為“個人信息保護的醞釀階段”。
(二)個人信息保護的發展階段(1988年至2003年)
1988年伊始,日本率先在行政領域出臺相應法律法規,以規范行政機關收集個人信息的行為。例如,1988年12月,日本立法機構出臺《有關行政機關電子計算機自動化處理個人信息保護法》,要求行政機關在運用計算機處理個人信息時應保障數據主體的合法權益。[5]該部法律的出臺使得政府部門收集個人信息的行為開始走向規范化和法制化。
除了行政機關積極立法保障個人信息安全外,民間組織也加強了對個人信息的保護力度。1999年財團法人金融信息組織中心(FISC)修訂了“金融機關個人信息保護指導方針”,要求金融機關要規范處理個人信息問題;1999年日本通商產業省出臺了日本工業標準《個人信息保護管理體系要求事項》及隱私標志認證制度,向保護措施得力的企業頒發隱私認證標識;2001年日本政府出臺了安全管理系統評估制度,并配合ISO/IEC17799-1(BS7799)國際標準加強信息管理。[6]日本隱私標志認證制度及相關標準的出臺,使得民間企業在收集個人信息時統一了處理信息的標準,以及民間企業為獲得隱私標志認證,也規范了自身的信息處理行為。總體上,民間組織出臺的制度規范也在一定程度上保障了數據主體的合法權利。
(三)個人信息保護的成文法階段(2003年至今)
1980年經濟合作與發展組織(Organization for Economic Co-operation and Development,簡稱OECD)發布《隱私保護和個人數據跨境流通的指南》之后,各成員國紛紛開始制定《個人信息保護法》,日本在此時已有專門立法保護個人信息的意圖。1995年歐盟頒布《數據保護指令》規定限制個人數據的跨境流動以及日本國民對個人信息泄漏事件的強烈反對,最終使得日本下定決心制定《個人信息保護法》專法。
制定《個人信息保護法》的歷程并非一帆風順,2000年日本個人信息保護法制化專門委員會制定《個人信息保護基本法制大綱》,并于第二年向國會提出制定《個人信息保護法案》。然而由于日本全國律師協會施壓,該法案并未獲得通過。2003年立法委員認為立法時機已經成熟,于是再次向國會提出《個人信息保護法》等相關五法案。為審議五法案,國會專門設立了關于個人信息保護的特別委員會,歷經80個小時的審議,國會最終通過了五法案。其中,《個人信息保護法》前三章于頒布日起實施,后三章在2005年4月開始全面實施。《個人信息保護法》五法案包括《個人信息保護法》、《行政機關持有個人信息保護法》、《獨立行政法人等持有個人信息保護法》、《信息公開、個人信息保護審查委員會設置法》以及《伴隨<行政機關持有個人信息保護法>等實施的有關法律的準備法》。[7]
隨著技術的發展以及社會的變化,《個人信息保護法》有些規定逐漸不適應社會的發展需求,例如《個人信息保護法》過度重視數據主體的權利保護導致實務中數據的流動受阻,嚴重窒礙社會的整體進步。同時監管主體職能分散的問題也導致實務中監管效果不佳。為了解決此類問題,日本國會在2015年通過了《個人信息保護法》修正案,對原法律不足之處做了修改和完善。
二、《個人信息保護法》的核心內容
《個人信息保護法》共7章66條,分為總則、國家及地方公共團體的職責、個人信息保護的政策、個人信息處理業者的義務、雜則、罰則以及附則。接下來,筆者主要從立法原則、適用主體、數據主體權利、數據處理者義務、監管及懲罰措施等五個方面對《個人信息保護法》作簡要的介紹。
(一)《個人信息保護法》的立法原則
《個人信息保護法》設置的立法原則與歐盟、美國等其他國家所制定的原則大致相近,主要有利用限制原則、信息質量原則、安全保障原則、公開原則、目的確定原則、權利保護原則、責任保護原則等。
在利用限制原則上,《個人信息保護法》第16條規定,數據處理者在收集個人信息時不得超過目的規范的范圍,第23條規定轉讓給數據處理者時要征得數據主體的同意;在信息質量原則上,《個人信息保護法》第19條規定,數據處理者要保證收集的數據及時、準確、完整;在安全保障原則上,《個人信息保護法》第20條規定,數據收集者和處理者要確保個人數據的安全,第21條規定要監督數據從業者對數據的處理;在公開原則上,《個人信息保護法》第18條規定,數據收集者在收集數據后,應盡可能公開數據的利用目的,變更利用目的的,還需要另行通知數據主體或者公布;在目的確定原則上,《個人信息保護法》第15條規定,數據收集者在收集數據時應將收集目的特定化;在權利保護原則上,《個人信息保護法》第25條、26條和27條分別規定了數據主體享有知情權、修正權和停止利用權;在責任保護原則上,《個人信息保護法》第31條規定了數據處理者須妥善處理數據主體的投訴。
(二)《個人信息保護法》的適用主體
《個人信息保護法》在立法模式上采用混合式立法,即采用基本法與一般法并存的雙重結構。[8]《個人信息保護法》第1章至第3章主要規定涉及國家管理重要領域的政策、對策和方針等內容,涉及的主體有國家和地方公共團體。第4章則是規定民間數據處理者以及數據從事認證業務的財團法人等內容,涉及的主體主要有獨立行政法人、民間部門的個人數據處理者以及認定個人數據保護團隊等。綜上可以看出,《個人信息保護法》的適用范圍既包括國家、地方公共團體,還包括獨立行政法人、民間部門的數據處理者和數據保護團體。
(三)《個人信息保護法》的數據主體權利
《個人信息保護法》關于數據主體的權利規定主要在第25條、第26條和第27條。第25條規定,數據主體有權請求數據處理者公開可識別該本人的所持有的個人數據,數據處理者有權就公開措施收取適當的手續費;第26條規定,如果數據主體認為該本人的數據不真實,可以請求數據處理者對該所持有的個人數據進行訂正、追加或者刪除。數據處理者必須在實現利用目的的范圍內,毫不遲疑地進行調查,并根據調查結果,對該請求作出訂正等。數據處理者作出訂正等行為后,應及時告知數據主體;第27條規定,如果數據處理者違法收集數據,數據主體有權請求數據處理者停止利用或者銷毀本人的相關數據。數據處理者在接到請求后,應及時調查,發現數據主體理由合法時,應主動停止利用或者銷毀數據,并及時告知數據主體。
(四)《個人信息保護法》的數據處理者義務
一般來說,權利的對立面即是義務,數據主體權利的對立面即是數據處理者的義務。例如,數據主體請求數據處理者公開必要數據,即意味著數據處理者應按照數據主體的請求公開數據;數據主體請求數據處理者訂正、刪除、停止利用數據,即意味著數據處理者要履行相關的法定義務。此外,數據處理者除了以上的法定義務外,《個人信息保護法》還規定數據處理者在數據地收集、處理和使用上都應遵循相應的義務。例如,數據處理者收集數據的目的應當特定、需經數據主體的同意,要履行告知義務,要確保數據內容的正確、完整和及時。同時數據處理者還需采取安全管理措施保障數據的安全,在向第三人提供數據時,要經過數據主體同意,并要妥善處理數據主體的投訴,接受主管大臣的監督等。
(五)《個人信息保護法》的監管及懲罰措施
《個人信息保護法》規定數據處理者及認證團體應接受主管大臣的監督。其中,主管大臣的類型很多,根據數據處理者所從事的數據處理活動,主管大臣主要有國土交通大臣、國家公安委員會等,此幾類大臣都有在不同領域監管個人數據的權力。主管大臣有權指導數據處理者的業務,有權要求數據處理者和認證團體提交關于數據處理和認定報告,當數據處理者和認定團體有違法行為時,主管大臣有權勸告和命令數據處理者采取必要措施中止或者糾正違法行為,有權撤銷認定團體的認定資格。而如果數據處理者無視主管大臣的勸告和命令,執意從事違法行為時,對于此種數據處理者,公權力機關可采取自由刑或者罰金刑的懲罰措施。
三、《個人信息保護法》的增訂內容
隨著科技水平的進步,2003年制定的《個人信息保護法》部分條款開始滯后于社會發展。2015年《個人信息保護法》修正案正式通過,新的《個人信息保護法》對不合時宜的舊法條款做了部分調整和改動。新《個人信息保護法》的增訂內容主要有:擴大“個人信息”的保護范圍、促進“個人信息”的有效利用、設置專門監管機構。
(一)擴大“個人信息”的保護范圍
新《個人信息保護法》擴大了“個人信息”的保護范圍。例如,新《個人信息保護法》在第2條關于“個人信息”的定義中加入個人身體的特征和商品的符號內容,使得個人信息的定義得到了擴大。在新《個人信息保護法》生效施行后,個人信息的保護范圍將包括原來法律所未規定的指紋等個人身體特征,互聯網的用戶ID的賬號和密碼等個人信息。新《個人信息保護法》還規定“敏感信息”問題,敏感信息主要包括人種、宗教信仰、病史及犯罪前科等。新《個人信息保護法》除了增加舊法所未規定的內容外,還修改了舊法的內容。比如,舊法原本將5000人以下小規模的數據處理者排除在適用范圍內,新法將5000人以下的數據處理者也納入規范對象之中。
(二)促進“個人信息”的有效利用
舊法側重于保護數據主體的權利,一定程度上忽視了數據的流通,不利于社會經濟的整體發展。新《個人信息保護法》意識到該問題后,規定凡是匿名化處理的數據都允許其流通使用,從而大大提高了個人數據的有效利用率。匿名化,是指對個人數據進行處理,使數據無法進行特定個人的識別,并且處理后的數據無法再還原到可識別特定個人的狀態。[9]判斷數據是否符合匿名化的要求,主要看數據的匿名處理是否符合個人信息保護委員會的要求;匿名化信息處理項目是否公示;在向第三人提供匿名化處理信息時,是否公示,是否向第三人明示該信息為匿名化處理后的信息。
(三)設置專門監管機構
舊《個人信息保護法》規定由主管大臣負責監督數據處理者和認證團體的相關活動,但是由于不同的數據處理由不同的分管大臣負責,監管機構職能分散,責任不清,無法作出高效決議。為了解決該問題,新《個人信息保護法》明確了監管主體和懲罰措施,將分散的主管大臣所擁有的勸告和命令等權力統一集中到同一個專門監管機構——個人信息保護委員會。新《個人信息保護法》的設置使得個人信息保護的監管特定化,有利地降低了監管主體責任不清,職能分散的問題。
四、小結
日本以專法的形式保障個人隱私和數據合規,這一立法模式具有鮮明的歐盟特色。與此同時,無論是日本規定的隱私認證標識制度,還是數據處理的標準法律化,都可以看出日本重視行業在個人信息保護中的自律管理。此方式同時具有鮮明的美國立法特色。可見,日本并非單純模仿歐盟或者美國,而是立足實際,博采眾長,為己所用。
根據我國“十三屆全國人大常委會立法規劃”的規定,《個人信息保護法》將在十三屆全國人大常委會期間獲得通過。由于日本與我國的法律體系具有相似性,日本《個人信息保護法》的誕生和發展對我國制定個人信息保護法具有重要的借鑒和參考意義。同時,日本作為亞洲地區的發達國家,我國在與之交往的過程中必然涉及數據的處理、交換問題,了解日本的個人信息保護歷程,也有助于我國企業在日本的落地化。
[1] [臺]林素鳳.日本個人資訊保護法制之展望與課題[J].警察大學法學論叢,2003,(8):6.
[2] [臺]謝永志.個人數據保護法立法研究[M].北京:人民法院出版社,2013.108.
[3] 黃晨.日本《個人信息保護法》立法研究(碩士學位論文)[D].重慶大學,2014.2-4.
[4] [臺]謝永志.個人數據保護法立法研究[M].北京:人民法院出版社,2013.108.
[5] 張苑.日本《個人信息保護法》的實施及其對中國的啟示(碩士學位論文)[D].對外經濟貿易大學,2006.6-12.
[6] 個人信息保護課題組.個人信息保護國際比較研究[M].北京:中國金融出版社,2017.328-329
[7] 李欣欣.論個人信息保護與合理利用——以日本個人信息保護法為中心(碩士學位論文)[D].中國人民大學,2005.12-14.
[8] 李欣欣.論個人信息保護與合理利用——以日本個人信息保護法為中心(碩士學位論文)[D].中國人民大學,2005.15-16.
[9] 個人信息保護課題組.個人信息保護國際比較研究[M].北京:中國金融出版社,2017.343.
