在全球化与数字化浪潮下,个人信息的跨境流动已成为企业国际化运营的关键环节。日本对个人信息的收集、使用及跨境传输设置了严格要求。本文将从信息分类、跨境传输机制、法律责任及合规操作等方面,梳理日本的数据合规框架,帮助企业识别风险、制定应对措施。
一
立法与执法体系
1. 立法框架
(1)核心法律:《个人信息保护法》(Act on the Protection of Personal Information, 简称“APPI”);
(2)配套规范:个人信息保护施行令、施行规定、PPC关于个人信息保护的指南等;
(3)国际衔接:日本与欧盟、英国之间已达成充分性认定。
2. 执法与处罚
(1)监管机构:个人信息保护委员会(PPC),有权进行指导、检查、命令。
(2)法律责任:违法处理或传输个人信息可能导致行政命令、罚金、甚至刑事处罚。严重违规最高可判处1年以下有期徒刑或100万日元以下罚金,法人罚金最高可达1亿日元。
趋势:虽然处罚上限低于GDPR,但PPC近年来在跨境传输和数据泄露方面的执法趋严,企业需警惕。
二
信息分类与“个人信息”的范围
1. 个人信息(APPI第2条第1款)
关于在世个人的信息,符合以下情形的:
含有姓名、出生日期等可识别个人的记述(包括文字、图画、电磁记录、声音、动作等),单独或与其他信息比对后可识别个人;
含有“个人识别符号”的信息(如身份证号、驾照号、生物识别数据、银行卡号等)。
2. 需特别注意处理的个人信息(敏感信息,APPI第2条第3款)
涉及本人种族、信仰、社会地位、病史、犯罪经历、因犯罪受害事实等,因其处理可能导致不当歧视、偏见或其他不利益,而需要特别注意处理。企业收集此类信息,必须事先取得本人明确同意。
3. 其他信息类别
APPI还规定了以下与跨境和合规紧密相关的概念:
仮名加工情報(仮名化信息):通过删除或替换部分信息,使其在不与其他数据对照的情况下无法识别个人。
匿名加工情報(匿名化信息):以不可逆方式处理,使其无法识别个人,且不能复原。匿名化信息的关键在于无法识别个人,因此其处理和提供不适用第27/28条的跨境同意与披露规则,但仍需遵守APPI第43—46条关于匿名化信息的制作加工与提供的公表义务、禁止再识别、安全管理等要求。
個人関連情報(个人相关信息):关于个人,但不属于“个人信息/仮名化/匿名化”的信息。如果与其他信息结合后可识别个人,则转提供行为也受APPI限制。
4.个人数据
个人信息数据库等(APPI第16条第1款)
指通过电子计算机可系统性检索特定个人信息的集合体。
个人数据(APPI第16条第1款)
指构成“个人信息数据库等”的个人信息。
换言之,并非所有“个人信息”都等于“个人数据”,个人数据主要是指,个人信息处理经营者所持有的个人信息数据库等中包含的个人信息。
相较中国《个人信息保护法》(PIPL),日本对“个人相关信息”“个人数据”的概念划分和监管比较特别,实务中应注意厘清。
三
个人信息跨境传输机制
APPI对向境外第三者提供“个人数据”制定了专门规则。企业在开展跨境业务时,应重点关注以下三类路径(APPI第28条):
1. 基本原则
企业向境外第三者提供个人数据,应当事先充分告知并取得本人同意。同意必须建立在充分透明的信息披露之上,确保数据主体能够在知情的情况下作出决定。
2. 豁免情形
符合两类情况的,可以不经本人同意而跨境提供个人数据:
(1)向第三者提供个人数据可豁免同意的情形:
即第APPI第27条第1款所列情形,如法律义务、紧急保护生命财产、公共卫生/儿童成长、政府机关事务协助、学术研究相关的情形等;
(2)替代路径:
接收方所在国被个人信息保护委员会(PPC)认定为“白名单国家”;
或接收方已建立符合PPC认定标准的体制,并能持续采取与APPI规定相当的措施。
3. 实务适用
白名单:PPC公布的白名单(2023年4月18日更新)仅包括欧盟、英国,中国不在名单范围内。因此企业向中国传输数据通常需通过“告知+同意”路径。
符合标准的体制及相当措施:法律允许企业以“符合标准的体制及相当措施”替代同意,但目前尚未出台具体的认证或评估机制。实践中,单一措施可能不足以证明合规。企业通常需要同时采取多重安排。
日本对跨境监管的重点在于透明披露+本人同意,涉及中国等非白名单国家时,企业要格外谨慎,确保同意机制和合同等多重保障到位。
四
合规操作要点
1. 同意与披露义务
企业应在征得同意前,提供以下信息:
(1)接收方所在国的名称;
(2)接收国的个人信息保护制度,与日本法律的差异;必须是使该人能够合理认识其与日本法律之间本质区别的信息。
(3)接收方采取的保护措施;该信息必须能够让个人合理地认识到第三方措施和日本法律规定的措施之间的本质区别。
(4)可能影响个人权益的风险
(5)个人数据传输的必要性与风险评估结果。
披露形式应通过邮件、书面文件、网站公告或其他适当方法完成。
2. 合同与技术措施
参见上文第二节第3部分。
3. 特殊注意事项
敏感信息:处理需事先明确同意,不能提前开始收集、处理。
个人相关信息:企业若要提供可能与其他信息比对后识别到个人的个人相关信息,给第三方广告商或分析服务商,也可能触发同意与披露义务。
日本的跨境数据监管框架以第27条的一般提供规则与第28条的境外提供专门规则为核心,基本原则强调透明披露和本人知情同意,同时执行白名单与“符合标准的体制和相当措施”的替代机制。考虑同意认定及其替代机制的复杂性,企业计划跨境提供日本用户数据时,务必完善告知与同意流程,同时建立合同保障和持续监督机制,确保合规运营,降低跨境法律风险。
连锁品牌方若需更加详尽的指南,或有关具体合同及具体操作问题,可以扫码下方二维码,与中申连锁外服联系。
后续中申将持续更新介绍各国家及地区的法律规范,如果您希望了解更多品牌出海相关内容,请继续关注本公众号!