【关键词】日本 个人信息保护 企业管理

为了冲破各领域和产业间的壁垒、激发数据相关的交易,日本经济产业省和总务省设置了“IoT推进财团·数据流通促进工作组”,为解决初创型企业构筑个人隐私管理的相关问题,又在工作组下设置了一个“企业隐私管理模式研讨会”。

近日,日本经济产业省、总务省围绕“Society5.0时代企业的作用”、“关于个人隐私保护的构思”、“企业隐私管理的重要性”、以“经营者应致力的三大要件”和“隐私管理的重要事项”为中心进行了充分探讨。在今年7月公开草案基础上,根据相关讨论和募集到的意见,颁布了新的《DX[1]时代企业的隐私管理指南1.0》(以下简称《指南》)。

经济产业省、总务省在颁布指南的同时表示,在整个社会的DX进程中,本指南将为企业的隐私保护活动提供帮助,其最终目标是提高企业商品和服务的价值,以及该企业自身的经济和社会价值。当前,个人隐私的意义或个人隐私可能产生的影响不仅取决于对象商品和服务,也与技术进步和社会关心等方面密切相关。今后本《指南》也会时刻关注社会动向,并据此进行适当的更新。

一、背景

(一)国际动向:隐私对企业价值的影响增大

  • 英国根据《通用数据保护条例》(以下简称GDPR)从基本人权出发,美国根据FTC法(第5条)从消费者保护的出发,认识到经营者通过执行巨额罚款和制裁金,将隐私问题作为经营性问题来处理。

  • 在GDPR中,还将设置独立的DPO(Data Protection Office)等企业所需的体制考虑在内。

  • 在这样的环境下,有企业将隐私作为经营战略的一环,通过适当应对隐私问题,获得社会信任,从而提高企业价值。

(二)国内动向:应对国内企业在全球范围内活跃的动向、《个保法》制度修改大纲的制定

  • 从为了达成“通过国际数据流通来实现经济成长”的目标来看,通过安全性和个人隐私的确保,来实现用户、企业之间的信赖是必要的。国内企业也需要着眼于追求海外要求的企业隐私保护水平。

  • 《个保法》制度修改大纲中,特别是在活用了数字技术的领域,需要进一步推进民间主导的措施。作为其中一环,推荐设置负责个人数据处理的负责人和实施PIA等的自主措施。

二、《指南》的前提

(一)Society5.0和企业的重要性

当前,随着数字技术的发展和网络空间的扩展,社会形态迎来了急剧的结构转换。主要通过高度发达的传感器、照相机等进行信息获取技术,以及将所有物体连接到网络的IoT(Internet of Things),可以将现实世界(物理空间)的人和地上的各种各样的物品连接到互联网,这些信息可以被集中在云等虚拟空间(网络空间)中。另外,近年来,随着人工智能(AI)等技术的发展,可以推测出物理空间的各种状况。结果就是,物理空间可以通过网络空间中的数据来掌握和分析。日本政府把“利用将网络空间和物理空间高度融合的、使经济发展和社会问题解决并举的、以人类为中心的社会系统”命名为“Society5.0”,并将“Society5.0”作为日本的目标社会形态。为了实现“Society5.0”,在企业经营和规章制度两方面,一体推进数字传输(DX)被认为是很重要的。此外,从日本“同时实现革新和获得社会信赖的模式”出发,数字治理改革的讨论也在进行中。这样的社会革新,一方面有可能为包括隐私问题在内的社会问题提供解决方案,另一方面也有可能因革新而产生新的风险。新的风险中也有涉及新的隐私相关问题,如果放任这种风险的话,有可能社会无法接受革新本身。为了使革新扎根于社会,使持续性经济发展成为可能,社会需要适应当地管理革新带来的风险。从这个角度考虑,作为社会革新中心存在的企业,必须积极推进创造社会价值和经济价值两方面的措施,同时也要降低由创新本身产生的风险。也就是说,企业保护个人权利和利益,在获得社会信赖的同时推进事业是很重要的。

(二)关于个人隐私的构想

Society5.0实现的核心数据的高度利用,与以往的质和量有很大的不同。特别是个人数据的利用、活用,使准确地获得个人喜好和需求成为可能,这对企业来说是商业的源泉。而且,准确地获得个人信息也与社会问题的解决息息相关。另一方面,个人数据的利用发展也给个人隐私带来多样化的影响。个人隐私一直以来被认为是“与私生活息息相关的、不公开的、没有法律保障的权利”和“被放任不管的权利”,随着信息通信技术的发展,信息隐私这一概念产生后,人们才逐渐理解尊重个人权利的必要性,随后认识到要进行个人信息的管理。随着IoT和AI等技术的发展,到目前为止还没有显现出来的涉及个人隐私的新问题会逐渐产生,例如数据解析的结果受到算法的不正当的差别对待、数据解析结果介入了个人的政治选择等。个人隐私相关问题会给个人和社会带来显在化的风险,如果企业无法妥善应对,其结果将作为给经营带来不良影响的经营风险反弹回企业。在企业推进隐私保护措施的基础上,要认识到隐私风险是企业风险之前也是个人的风险,所以其有可能对整个社会产生影响,把对个人隐私的相关讨论和实施保护措施作为企业日常工作是十分重要的。

(三)企业隐私管理的重要性

灵活利用个人数据推动革新、创造社会价值的主体大多由企业来担任,因此在处理个人隐私问题方面,企业也有望承担起核心作用。现在日本规定个人隐私问题相关的法律主要为《个人信息保护法》(平成15年法律第57号)(以下简称《个保法》)。因此,到目前为止,企业在进行商务活动考虑到个人隐私问题时,要在遵守法令的基础上,来展开事业。另一方面,在新的隐私问题不断发生和人们的隐私保护意识高涨的情况下,企业只是单纯的遵守《个保法》是远远不够的,应根据事业中个人数据的活用情况,考虑到其对个人权利、利益和对社会价值的影响,而采取更积极的措施。也就是说,企业在遵守法令的基础上,还需要积极地与消费者和利益相关者进行沟通,主动地应对个人隐私问题。

三、经营者应致力的三大要件

为了实现隐私管理,经营者应该首先完成以下三点:

(一)隐私治理相关事项的明文化

经营者必须认识到保护消费者的隐私、提高商品和服务的品质、获得消费者和社会的信赖是运营中的重要事项,并将此以明文的形式规定,向组织内外告知,作为能够贯彻始终的、应对隐私保护的核心想法和主动应对隐私风险的态度。让这种核心想法和应对隐私风险的态度在企业上下渗透,使整个企业对隐私问题的认识根深蒂固。另外,不仅限于企业内部,对消费者、利益相关者等企业外部也进行公开,作为提高社会信赖的依据。

(二)指名隐私保护负责人

为了将企业隐私管理明文化的内容实现,具体实践是不可欠缺的。为此,经营者应指名负责应对整个企业隐私问题的负责人为 “隐私保护负责人”。经营者通过接受隐私保护负责人的报告并进行评价的工作方式,使企业内部隐私管理更加有效。此时,必须明确隐私保护负责人的责任范围,并给予其应对隐私问题发生的必要执行权限。

(三)对隐私的处理投入资源

经营者为了隐私管理明文化内容的实践,需要投入足够的经营资源(人、物、钱)。构筑应对个人隐私问题的体制机制,在此基础上,配置充分的人员、进行人才培养是必要的。涉及个人隐私的措施不是事后追加,而是应该事先讨论并纳入战略、事业、系统。另外,隐私问题不一定依赖于经营状况和外部环境,随时可能发生。因此,应持续地投入与隐私措施相关的资源,提高措施本身的持续性。

四、企业隐私管理的重要事项

(一)体制的构筑

为了使个人隐私管理功能发挥作用,在汇总各部门的信息、总结经营中涉及的隐私问题的同时,尽可能实现对象事业的风险管理,需要多角度地探讨对策。为了实现上述目标,希望以被指名的隐私保护负责人为中心,在企业内设置核心组织。核心组织在隐私保护负责人的领导下,承担着实质性的隐私保护功能。其一个任务就是从企业内的各部门汇集新事业和服务内容相关的各种信息,在不遗漏的情况下发现隐私问题在消费者和社会中产生的风险;另外需要经常收集相关信息(市场动向、技术、制度等),根据情况的不同,进行隐私风险管理提案;在实际业务中发生隐私问题时与其他部门合作积极采取应急处理措施和之后的被害救济等事后应对措施、进行原因分析和改善对应。核心组织之外事业部门对本部门经营的产品、服务以及数据等也应进行隐私调查。另外,还应设置由第三方立场的专业人员组成的关于隐私保护的咨询组、咨询委员会等,从专业的角度对核心组织的工作进行监视和评价。这样企业就能构筑一个相对完整的隐私管理体制。

(二)运用规则的制定和通知

为了上述体制实质上发挥作用,在服务和技术开发和提供之前,隐私风险必须由隐私保护负责人和隐私保护组织掌握,并进行适当的讨论。在隐私保护责任人的领导下,在组织内制定彻底实施这些的运用规则是十分重要的。隐私保护负责人和隐私保护组织需要将制定好的规则让整个企业周知。

(三)企业内关于隐私的文化养成

为了实质性地发挥个人隐私管理体制的作用,对于经营者明文化规定的内容,必须使之渗透到整个企业,企业整体养成恰当应对个人隐私风险的意识并形成一种企业文化是十分重要的。这样的企业文化的养成,需要持续性的努力,经营者和隐私保护负责人必须不断地对全体员工进行相关教育,积极发布相关信息,培养隐私管理专业人才,并根据最新的事业内容不断更新教育内容。

(四)与消费者进行交流

企业个人隐私管理需要和消费者建立持续的沟通。企业在实时把握消费者和社会观念变化的同时,关于企业如何主动地致力于创新和个人隐私风险的管理,以及在实际问题发生时如何应对,都应积极、浅显易懂地对消费者进行说明。为此,企业构建与消费者的信赖关系是不可缺少的。为了消除消费者的顾虑,企业应定期汇总并发布己方提供的服务的相关信息,使消费者可以放心使用服务。在定期向消费者进行报告的同时,企业也应持续地进行个人隐私问题相关的意识调查等,并将意识调查的结果反映到本公司的措施中。在实际发生隐私问题时,企业更应与消费者及时交流,积极解决隐私问题,以避免对消费者权益的二次损害。

(五)与其他关联方进行交流

在个人隐私治理方面,要与利益相关者持续进行沟通,积极向利益相关者说明企业积极主动的在创新、个人隐私风险管理方面采取措施,以确保企业的信任。这里的企业利益相关者包括商务合作伙伴、集团内的子公司、投资者与股东、相关行政机关、业界团体、员工等。

五、总结

今后,包括预期的Society5.0在内,在企业活动中,利用、活用数据特别是个人信息是创造的源泉,将成为商业的核心。而另一方面,作为推进、实现DX和确保信任的重要一环,企业的个人隐私保护是很重要的。当然,日本的企业一直致力于保护个人隐私,但大多数都是针对个别事例的应对处理。今后,随着处理数据的扩大,预计涉及个人隐私的问题将多样化、复杂化,以往的对应方法将产生局限性,需要企业有某种组织性的应对方法。当前社会整体对个人隐私的关注度越来越高,包括消费者在内的社会各方从个人隐私保护的角度出发开始对企业进行评价和严格区分。因此,如果企业在某种活动中引起与个人隐私相关的问题,不仅是该活动,也会给整个企业带来严重影响。相反,妥善处理个人隐私问题的企业会得到社会的高度信赖,这也会使企业产生商业上的优越性。也就是说,对于企业来说,个人隐私的处理是不可缺少的一环,是商品和服务的品质提高的途径之一,是相比其他公司的重要差别化要素。

《指南》是在正在进行的企业DX化中,为企业的隐私保护活动和个人隐私管理提供指引,以提高企业的商品和服务的价值,从而提高企业自身的经济和社会价值。另外,随着技术的进步和社会的变化,本指南也应适应社会需要进行相应的变更和加注。

信息来源:

[1]https://www.meti.go.jp/press/2020/08/20200828012/20200828012.html

[2]https://www.meti.go.jp/press/2020/08/20200828012/20200828012-1.pdf

[3]https://www.meti.go.jp/press/2020/08/20200828012/20200828012-2.pdf

[1] Digital transformation简称,指数字化转型。

作者:李雅文,中国信通院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。