6月27日,日本个人信息保护委员会(以下简称“委员会”)公布了《个人信息保护法修订临时摘要》,概述了委员会根据迄今为止的讨论和审查情况提出的当前意见。
根据日本《个人信息保护法》的补充条款,每三年对是否修订《个人信息保护法》进行一次审查,经修订的法律草案将于2025年公布,并于2027年生效。
本文将根据该文件对日本个人信息保护立法的最新动向进行重点分析。
01 生物识别数据
委员会正考虑制定处理生物识别数据的有效规则。
根据欧盟《通用数据保护条例》(GDPR)和其他一些司法管辖区的数据保护条例,生物识别数据被归类为敏感个人信息。然而,日本现行法律并未将其归类为敏感个人信息,也没有为处理生物识别数据制定其他特别规则。
02 不当使用和未经授权获取个人信息
虽然日本现行法律禁止不正当使用和未经授权获取个人信息,但现行法律缺乏明确规定和划分法规的适用范围。
委员会将考虑如何适用有关非法获取和不当使用个人信息的法规,以界定什么是“超出实现预期目的、非必需获取和使用个人信息”的范围;并且个人应当可以查询到自己有哪些信息被服务提供商获取。
原则上,处理个人信息的运营商在向第三方提供个人信息前,应当取得个人信息当事人的明确同意。然而,如果运营商已经通知有关拒绝的相关事宜,或者有关事宜易于查询,且委员会已获通知,则运营商可以在没有获得个人信息当事人的情况下向第三方提供相关数据。
为打击利用个人信息犯罪的情况,如利用老年人的财务信息进行诈骗或其他犯罪,委员会要求对恶意个人信息提供者进行强化监管。
03 儿童个人信息
在日本现行法律下,基本上没有如何处理儿童的个人信息的明确规定,而《个人信息保护法》亦没有界定儿童的年龄。委员会指出,被认为是儿童的具体年龄可以根据所涉及的个人信息类型和业务性质而有所不同,但一般来说,15岁及以下的个人被认为是儿童。
虽然儿童具有脆弱性且需要保护,但是还必须考虑到儿童个人信息对于教育和学习有较高的可用性。由于主要国家都制定了有关儿童个人信息的规则而且有很多执行案例,因此委员会将深化对保护儿童权益规则的审查。
委员会特别列出了以下考虑因素:
在法律条文中明确规定,在需要征得数据主体同意或通知数据主体的情况下,应就儿童个人信息征得监护人的同意或向其提供信息。
加强对儿童个人数据采取安全保护措施的义务。
条例应规定个人信息处理者的责任,如优先考虑儿童的最大利益并给予特别关照。
15岁及以下者应被认定为儿童。
04 强化执法
目前,《个人信息保护法》的执行主要依靠行政指导和委员会的建议。只有在违反委员会命令的情况下,才会实施刑事处罚。因此,委员会正在考虑从以下四个方面加强执法力度:
►建立新的禁令救济(Injuctive Relief)和组织损失恢复制度
数据泄露事件导致的损害赔偿索赔被认为单笔金额极小,但总金额巨大,并且在索赔举证方面存在问题。因此,委员会将审慎考虑禁令救济和损失恢复制度,平衡企业负担和保护个人权益。
这些制度在日本其他领域的立法中几乎没有制度化,但如果能在个人信息保护方面得到实施,将会产生相当大的影响。
►改革委员会的建议和命令制度
目前,委员会在发布命令之前原则上必须提出建议。虽然有一种紧急命令制度,可以在没有事先建议的情况下发布命令,但这只适用于极其特殊的情况。目前委员会正在考虑扩大无需事先建议即可签发停止令的情况。
行政措施的必要性不仅将考虑到违法处理个人信息的经营者,也应考虑到参与违法行为的第三方。
►实施行政罚款制度
委员会将根据日本其他法律法规的使用实例和国际趋势,在平衡企业负担和保护个人权益的前提下,研究行政罚款制度。行政罚款制度在《反垄断法》等多部法律中已经制度化,日本过去也曾考虑过在《反垄断法实施条例》下实施该制度。
如果认为有必要实施行政罚款制度,委员会将细化行政罚款的违法行为类型、罚款的计算方法、确定最低罚款额度,并在满足一定条件的情况下确定罚款的加减幅度。
►扩大刑事处罚的范围
根据目前的《个人信息保护法》,直接受到刑事处罚的违法行为相当有限。鉴于个人信息被不当处理的恶性案件种类繁多,公诉方应扩大刑事处罚的适用范围。
05 无需数据主体同意的数据使用
与GDPR和类似法规不同,《个人信息保护法》并不要求所有个人信息的处理都要有法律依据。它一般要求事先征得数据主体的同意,但如果获取敏感个人信息或向第三方提供个人数据的范围超出了实现指定使用目的所必需的范围,那么即便获得了同意也不合理。
随着人工智能等技术和服务的高速发展,个人信息(包括高度敏感信息)的相关需求日益增长,委员会将会为诸如大模型训练这样的场景设立例外情况。
来源|日本个人信息保护委员会官网
编译|尚健
审核|张羽翔
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。