日本个人信息保护法修改案例研究

吕梦达

摘要：大数据为人们描绘出一幅信息通畅、高效便捷的美好景象，但背后的交易市场仍处于初期粗放阶段。宽松的监管、用户对隐私的忽视，使数据市场乱象丛生。在个人信息保护方面，日本自2003年以来形成了一套非常行之有效的个人信息法律体系，随着网络技术的不断发展和个人信息外延的不断拓展，日本在17年对原有的法律进行了修正和优化，使其更能适应时代的发展需求，成为了日本个人信息保护立法的最新成果。由于日本法律体系的特殊性，其对我国有着相当强的学习和借鉴意义。

关键词：大数据  日本《个人信息保护法》

一、基本案情

日本是亚洲国家中较早颁布个人信息保护法的国家，早在2003年5月颁布了《个人信息保护法案》（简称“APPI”），于2005年4月实施。2015年9月9日，日本公布了APPI的修订案。2016年下半年，日本相继出台了一系列文件，包括实施规则、内阁令、指南等，为修订后的APPI的实施做好准备工作。最终，修订后的APPI将于2017年5月30日正式生效。

APPI修改的重要内容之一，是将“个人信息”概念细化。法律修改后，将与身体特性相关的信息列入保护，比如面部识别信息、 DNA、声纹信息和笔迹。另外，前科、信仰、等“私密性信息”禁止企业收集使用，此举是为了避免歧视。

APPI修改的另一个重要内容，是首次对数据跨境传输进行了限制。修订后的APPI规定，若日本境内的持有数据者向境外传输个人信息等数据时，必须获得信息所有者的同意，除非个人信息保护委员会（简称“PPC”）的规定。

二、知识要点

（一）日本《个人信息保护法》的诞生

随着通讯技术的不断发展，借助于便捷的互联网，整个社会对于个人信息的处理量持续增加。企业泄露并非法买卖客户信息的案例在日本时有发生，而且已经存在许久。日本国内的报纸与信息保护相关的报道，在2003年一年间就有316件，都是个人信息的泄露和非法使用。因为频繁的被垃圾短信和营销电话骚扰，民众对个人信息的安全产生了严重怀疑。加之媒体对通讯公司、邮电局、银行、保险公司、商场及网络供应商等各个行业对于客户名单泄漏事件的不断报道，这种不安和怀疑与日俱增。日本国内的民众对个人信息的安全问题和关注越来越高，要求增加个人信息保护的建议也越来越多，在此国内背景下，《个人信息保护法》的被提上了日程。

（二）大数据和个人信息安全

大数据是一把双刃剑，带来便利却也使得信息安全问题慢慢凸显。被媒体曝光过的信息泄露事件显示，这是一条产业链，只要肯出钱，个人资产、开房记录甚至网吧记录都能查到。换句话说，在信息时代，我们每个人都在“裸奔”，这种说法让人不寒而栗。

大数据是现今社会发展的新“燃料”，如果运用不当会造成严重“污染”。在巨额的利益诱惑之下，信息侵犯的黑色产业链逐渐形成，甚至出现了“第三方担保平台”。这也意味着个人信息买卖的市场规模已经大到了需要细分配套产业的地步。在对我们造成巨大的经济损害之余，信息更改、删除也浪费了大量的时间。因此，个人信息的安全问题越来越重要。

三、案例分析

（一）日本紧跟国际趋势，修改个人信息保护法

日本此次修改个人信息保护法，是为了适应现代科技发展带来的个人信息保护问题以及国际大趋势，主要基于以下三个方面。

首先，随着大数据等互联网技术的飞速发展，充分分析大数据，就可以了解消费者的喜好。个人信息数据中哪些涉及违法的界限仍然比较模糊。企业方希望能够自由使用的“个人数据”，而消费者，则担心使用“大数据”时将自己的隐私泄露。为此日本对APPI进行了修正。

其次，日本曾經的个人信息泄露的事件。影响最大是日本最大的移动通信公司“都客梦”，其从2013年10月起向第三方出售通过手机定位收集到的个人信息。虽然“都客梦”提供的信息无法指向具体个人，不违反日本2003年颁布的《个人信息保护法》，但还是遭到了日本大量用户的强烈反对，因此，修改APPI是最佳选择。

最后，随着国际化进程加快，跨国信息交换越来越频繁。各国都制定了针对跨国交易的法规，欧美都有相应的调整。因此，日本积极考虑与他国制度的调和性，选择了更新原有的APPI，充分保证日本企业能够顺利与外国企业间交换并共享个人数据。

（二）将个人信息概念细化，不同信息进行区别对待

此次修改过的APPI将个人信息细分为了三种：个人信息、个人敏感信息、去识别化信息。

首先，明确“个人识别码”属于个人信息范畴。如今，每个人都拥有多套数字化代号，如信用卡号、驾驶证号、护照号等，均是个人识别码。

其次，首次引入了“个人敏感信息”的概念，包括疾病史、犯罪记录、种族、宗教等这些可能引起不合理的歧视或偏见的信息。和欧盟的《数据隐私指令》相类似。

最后，新加入“去识别化信息”一项。规定，无法利用其进行个人身份识别，而且不能恢复身份识别性的去识别化信息，在向第三方提供时不需取得信息主体同意。

分析后可以发现，修改后的APPI对个人敏感信息、一般个人信息、去识别化信息的保护程度依次递减。从企业的立场出发，细化个人信息种类，对企业的数据保护体系建设提出了更高的要求，但与此同时，信息细化分级有助于信息分类管理，使大数据的利用效率大大提高。

（三）日本的数据跨境传输规则进一步明确

修改后的APPI提出了“选择进入”与“选择退出”两个规则。“选择进入”指的是持有数据者需要取得信息主体的同意后，才能向第三方传输个人信息，信息主体有权拒绝;而“选择退出”则相反，持有数据者，并不需要征求信息主体同意，便可向第三方传输个人信息，但信息主体有权要求停止传输。

对于数据的跨境传输，“选择退出”规则并不能适用。此次修改后的APPI首次对数据跨境传输做出了限制。APPI规定，日本境内的数据持有者向境外传输个人信息等数据时，必须事先获得信息主体的同意。

除此之外，修改后的APPI对数据传输的记录也进行了规定，要求数据传输双方对双方名称、传输日期等进行具体记录，且必须按照PPC的规定保存一定期限。

四、案例启示

（一）国内应当尽快推出个人信息保护法

立法是为了更好地推进经济稳定发展和市场交易。日本的APPI案例就是最好的证明。从最初的颁布到15年的修正，都是因为日本国内企业强烈的交易需求。日本在促进企业符合国际规范、建立完备的市场环境等方面的努力，非常值得国内立法借鉴。

首先，从国际来说，在国际贸易中，如果对于个人信息的保护不完善，会给其他国家设置贸易壁垒提供借口。对我国的进出口贸易做出限制，而这将会对我国的国际贸易产生巨大影响。

其次，国内的公共部门和非公共部门对于个人信息的处理也很常见。但是我国现有的法律对于预防和打击个人信息的犯罪行为效果非常有限，个人信息被泄露并滥用已经成为严重的社会问题。

因此，当务之急是立足国情与法律传统，充分借鉴、吸收日本的立法经验，尽快出台我国的APPI，用专门的法律来保护个人信息。

（二）监管部门要发挥作用，协助个人信息保护

加强个人信息安全，相关监管部门责无旁贷。监管方面主要有三个问题：监管机构不明确、无强制性的管理标准、行政处罚较低。对策如下。

首先，要明确相关监管部门的职责，划清权力和职责，这样才能保证监管的有效性。

其次，有关监管部门应进一步加强对企业关于用户个人信息安全工作的监督管理，做好事前、事中、事后的审查，督促企业建立健全的用户信息保护体系。

最后，应该将个人信息的保护检查和电信业务的年检、网络安全防护以及用户权益保护等工作相结合，从市场准入、业务办理、投诉处理等环节，增加违法成本，从而加强用户信息保护。

（三）公民个人要加强信息保护意识

大部分公民保护意识薄弱也是一个不可忽视的因素，他们会在无意间泄露自己的个人信息。因此个人应做好以下几点。

首先，提高安全意识。要主动学会自我保护。当他人索取个人信息时，要充分考虑是否安全合法，否则应当拒绝。

其次，养成良好习惯。在注册网站或者其他服务时，尽量不提供个人信息;使用电脑时，减少个人信息暴露。在办理公共业务而不得不提供个人信息时，明确对方的使用规则、保密责任。

最后，勇于维护权利。如果发现自己的个人信息被泄露和滥用，要及时维权。如果有损失，应积极解决，必要时可采取法律手段。

参考文献：

[1]唐冰洁.中日比较立法视野下的网络银行个人信息泄露预防法律机制研究[D].重庆大学，2017.

[2]池建新.日韩个人信息保护制度的比较与分析[J].情报杂志，2016，35（12）：63-68.

[3]黄晨. 日本APPI立法问题研究[D].重庆大学，2014.

[4]张娟.个人信息的公法保护研究[D].中国政法大学，2011.

[5]张苑.日本APPI的实施及其对中国的启示[D].对外经济贸易大学，2006.

[6]李欣欣.论个人信息保护与合理利用[D].中国人民大學，2005.

（作者单位：兰州财经大学）