日本数据保护要求

1. 前言

日本的《个人信息保护法》（APPI）是国际隐私法的重要组成部分，尽管欧盟的GDPR更为人所知，但APPI自2003年实施，实际上比GDPR早了15年。该法律与加拿大的《个人信息保护和电子文件法》（PIPEDA）一样，经历了多次修订，以适应不断变化的社会和技术环境。最新的一轮修正案于2022年通过。
日本的APPI与GDPR、巴西的《通用数据保护法》（LGPD）等法律存在一定的相似性，尤其是在跨境数据传输和处理特殊类别个人信息的同意要求上。同时，APPI与美国的州级隐私法在域外适用性和特殊类别信息处理的同意规定方面也有一定的共通之处。
APPI的目标是规范个人和组织（包括政府机构、企业和非营利组织）对个人信息的处理。该法由独立的个人信息保护委员会（PPC）监督，该委员会成立于2005年。2015年，APPI进行了重大修订，随后在2022年和2023年进一步扩展了数据保护的范围，涵盖政府和行政机构。
2015年和2022年的修订大幅扩展了APPI的适用范围，尤其是2022年的修订涵盖了政府和行政机构的个人信息处理，并进一步明确了对数据传输（特别是向海外实体的传输）和数据泄露应对的更广泛义务。随着数字社会的演进和个人信息使用的扩展，数据保护成为日本法律体系中发展最为活跃的领域之一。

1.1. 主要法案、法规、指令

• 《个人信息保护法》（2003 年第 57 号法案，经修订）（“APPI”）。除非另有说明，否则以下讨论涉及 2023 年 6 月 7 日生效的最新修订版 APPI。

• 《关于在行政程序中使用号码识别特定个人的法律》（经修订的2013年第27号法律）（“我的号码法律”）。

1.2. 指导原则

个人信息保护委员会(PPC)是根据 APPI 设立的监管机构，负责监督 APPI 的遵守情况，以下列出了相关部委提供的主要指南 。其中一些指南以“问答”或“评论”为准，这些问答或评论为指南提供了实用指导。APPI 将要求个人信息控制者 (PIC)（定义见下文关键定义部分）提交报告的权力委托给监管每个商业部门的部长或指定部长等。因此，每个部委与 PPC 联合或单独提供与相关商业部门相关的指南、问答和评论。
PPC 发布的指南提供了有关 APPI 条款的范围和含义以及某些术语的详细指导，并提供了应用示例，但这些示例并未扩大或限制 APPI 的范围。指南还明确指出，违反以义务而非建议形式表达的指南将被视为违反 APPI。
PPC 发布的有关 APPI 的指南如下：

• APPI 一般准则（此处仅提供日语版本）（“一般准则”）；

• 《APPI 向外国第三方转移》指南；

• 《APPI 指南》（用于检查和记录向第三方的转移）；以及

• APPI（针对假名/匿名信息）指南。

请注意，上面列出的内容并不全面，对于需要更严格保护个人信息的企业和行业，已经发布了额外的指南。
具体来说，PPC 发布了以下附加指导：
有关适当处理特定个人信息的指南（定义见下文的关键定义部分）（正文和单独卷：有关特定个人信息的安全措施）；以及
关于金融业务中特定个人信息的适当处理的指南。
医疗领域
对于医疗领域，厚生劳动省 （“MHLW”）发布了以下指导：

• 医疗或护理相关服务提供者妥善处理个人信息的指南；

• 有关医疗信息系统安全管理的指南；

• 关于针对人类的医学研究的伦理指南；

• 有关基因治疗临床研究的指南；以及

• 关于产生受精胚胎的辅助生殖技术研究的伦理指南。

电信行业
对于电信行业，内务和通信部 （“MIC”）发布了以下指导意见：

• 《电信业务个人信息保护指南》；

• 关于电信业务个人信息保护的指南的评论；

• 关于广播接收者个人信息保护的指南；

• 《邮政业务领域个人信息保护指南》；以及

• 有关信件投递业务领域个人信息保护的指南。

2. 适用范围

APPI适用于收集或使用日本公民个人信息的任何“个人信息控制者”（PIC），无论其位于日本境内还是境外。

3. 数据保护机构 | 监管机构

3.1. 数据保护的主要监管机构

PPC 是 APPI 和《我的号码法案》的主要监管机构。

3.2. 主要权力、职责和责任

PPC：

• 负责确保个人信息和特定个人信息得到适当处理，以保护个人的权利和利益；

• 根据 APPI 和《我的号码法》，拥有主要的调查、咨询和执法权力，包括调查 PIC、匿名信息控制者（见下文关于关键定义的部分）、处理特定个人信息的人员的活动，并在某些情况下，在个人重大权利或利益即将受到侵犯时，向他们提供建议和作出命令；

• 关于 APPI 规定的个人信息保护，可以在有限的情况下将其调查权委托给相关部长等，但不得委托其咨询权或执法权；以及

• 可以向外国数据保护监管机构提供信息，并且在有限的情况下可以允许信息用于海外的刑事调查。

4. 关键定义

• 数据控制者：APPI 没有定义数据控制者。个人信息控制者（“PIC”）是使用个人信息数据库开展业务的企业经营者。（英文直译为“处理个人信息的企业经营者”）。

• 数据处理者：APPI 没有定义数据处理者。

• **敏感数据： **敏感信息包括与种族、信仰、宗教、身体或精神残疾、医疗记录、医学和药物治疗、逮捕、拘留或刑事诉讼（无论是作为成年人还是未成年人）或犯罪受害等事项有关的个人信息。行业指南可能会应用其他类别的敏感信息。

• 健康数据：健康数据没有定义，但很可能属于敏感信息的范围。

• 假名化：对个人信息进行处理后，仅凭数据无法识别数据主体的信息。虽然 PPC 尚未发布指南草案或评论来阐明假名化处理的信息和匿名化信息的区别，但目前实践中的理解是，假名化处理的信息是如果参考或结合其他信息仍可识别主体的信息，因此仍构成个人信息，而匿名化信息则不构成个人信息。

• 个人信息：有关在日本生活的个人的信息，可根据该信息确定个人身份（包括可通过简单参考或与其他信息结合而识别身份的信息）；“个人信息”包括“个人识别码”，其中包括字符、数字、符号和/或其他计算机使用的代码，代表某些特定的个人身体特征（例如 DNA 序列、面部外观、指纹和掌纹），足以识别特定个人，以及某些识别号码，例如护照、驾驶执照和居民卡上的识别号码，以及“我的号码”个人社会保障 ID 号码。

• 匿名化信息：简而言之，就是对个人的信息进行处理，删除信息（或用无法恢复为原始信息的信息替换），使其无法用于识别个人。

• 选择退出：一种系统，通过该系统，委托人会收到其个人信息拟转移给第三方的通知，并有机会反对该转移。

• 假名化处理信息处理业务经营者：使用假名化处理信息数据库开展业务的经营者。

5. 法律依据

APPI 的基本原则要求 PIC 在收集个人数据之前通知数据主体使用目的，除非其已以数据主体易于访问的方式提前公布了使用目的，并且未经数据主体同意不得将个人数据用于任何其他目的。

5.1. 同意

在获取委托人的敏感信息之前，PIC 必须取得委托人的同意，除非该获取属于下文“法律允许的转让”部分所列的例外情况之一。

5.2. 与数据主体签订的合同

上述法律依据部分中指定的原则可以通过 PIC 和数据主体之间的合同来处理。

5.3. 法律义务

除了按照上文法律依据部分概述的原则处理个人信息外，数据控制者还可以在极少数有限的情况下处理个人信息。如果日本法律或法规明确要求或授权转移个人信息，则无需事先征得数据主体同意。

5.4. 数据主体的利益

对于上述法律依据部分中提到的个人信息使用的基本要求，并不存在这样的“数据主体的利益”例外。

5.5. 公共利益

在下列情况下，无需事先征得数据主体同意即可转移其个人数据（包括敏感信息）：

• 为了保护个人的生命、健康或财产有必要，但又很难获得数据主体的同意；

• 为改善公共卫生、促进儿童健康成长所必需，但又很难获得数据主体同意的；

• 是公共当局或受公共当局委托的人员履行职责所必需的，而获得数据主体的事先同意可能会妨碍履行这些职责（例如，警方调查违法行为时要求披露）。

否则，对于上述法律依据部分中提到的个人信息使用的基本要求，不存在“公共利益”例外。

5.6. 数据控制者的合法利益

对于上述法律依据部分中提到的使用个人信息的基本要求，不存在这样的“合法利益”例外。

6. 原则

日本颁布的 APPI 是为执行经济合作与发展组织(OCED)理事会于 1980 年 9 月 23 日提出的建议中采纳的隐私保护八项基本原则(OECD 八项原则) 而制定的：

1. 收集限制原则；

2. 数据质量原则；

3. 目的规范原则；

4. 使用限制原则；

5. 安全保障原则；

6. 开放原则；

7. 个人参与原则；以及

8. 问责原则。

日本在保护个人权利方面具有很强的核心价值观，日本数据保护法的基本原则是保护隐私权，但同时也认识到个人数据的范围、性质和数量不断增加，以及企业以各种形式不断扩大对个人信息的使用。该立法的关键要素是将个人信息的使用限制在数据主体已知的目的范围内，保护敏感信息，并限制未经数据主体同意传播个人信息。