2021年9月10日,日本個人信息保護委員會(PPC)宣布更新關于《個人信息保護法》指南的問答(Q&A),新增了人臉識別信息使用、個人數(shù)據(jù)泄露報告、假名化處理信息和個人參考信息、個人數(shù)據(jù)跨境傳輸?shù)认嚓P具體規(guī)定。這些具體規(guī)定從總體上擴大了個人信息的保護范圍,明確了人臉識別信息的保護要求,增加了數(shù)據(jù)處理者泄露報告和通知個人的法律義務,解析了假名化處理信息和個人參考信息的概念和用法,加強了個人數(shù)據(jù)跨境傳輸中的安全監(jiān)管。
由于修訂后的《個人信息保護法》預計將于2022年4月1日生效,更新后的問答現(xiàn)在也處于尚未生效的狀態(tài)。問答的這次更新旨在與《個人信息保護法》及其指南之前的修訂相配套,增強法案在具體實踐中的可操作性,防范化解大數(shù)據(jù)時代進行個人信息保護的潛在風險,具體有以下四大焦點問題值得關注。
一、重點關注人臉識別信息使用
數(shù)據(jù)處理者采集人臉識別信息需要遵守修訂后的《個人信息保護法》規(guī)定進行適當處理。商場等公共場所出于預防犯罪目的采集顧客人臉識別信息的,應當在入口或攝像頭安裝位置,提前公告或顯著標識。數(shù)據(jù)處理者應當明確人臉識別信息的數(shù)據(jù)內(nèi)容、使用目的、聯(lián)系方式等,并根據(jù)達到使用目的所需的最小范圍設定數(shù)據(jù)保留期限。
此外,數(shù)據(jù)處理者還應當根據(jù)最小必要原則,向公共人臉識別系統(tǒng)注冊,確定責任人并采取安全措施,保障注冊的必要性和準確性。經(jīng)過注冊后,符合預防犯罪目的的人臉識別信息可以在合理范圍內(nèi)共享使用,人臉識別系統(tǒng)中的相關信息會不時更新以保證準確性。數(shù)據(jù)處理者如果想將出于預防犯罪目的采集的人臉識別信息用于商業(yè)營銷目的,應當事前取得個人同意。
二、完善細化數(shù)據(jù)泄露報告制度
與現(xiàn)行法律下的自愿報告制度完全不同,修訂后的《個人信息保護法》建立了強制性數(shù)據(jù)泄露報告制度。問答詳細地列舉了在不同具體場景下,是否需要根據(jù)修訂后的《個人信息保護法》向PPC報告數(shù)據(jù)泄露事件,以及在個人數(shù)據(jù)權益可能受到損害的情形下通知個人的不同形式。
根據(jù)修訂后的法案及其指南,出現(xiàn)或可能出現(xiàn)以下四種數(shù)據(jù)泄露事件時,數(shù)據(jù)處理者應當承擔向PPC的數(shù)據(jù)泄露報告義務。一是涉及敏感個人信息的數(shù)據(jù)泄露,二是具有財產(chǎn)損失風險的數(shù)據(jù)泄露,三是可能出于不正當目的而導致的數(shù)據(jù)泄露(例如網(wǎng)絡攻擊),四是超過1000名個人的數(shù)據(jù)泄露。數(shù)據(jù)處理者向PPC的報告分為初步報告和最終報告兩個階段,有不同的時限要求。初步報告必須在確認潛在數(shù)據(jù)泄露發(fā)生后立即進行,最終報告必須在30天內(nèi)完成(除第三種情形外,可以延長至60天)。
此外,數(shù)據(jù)處理者應當在任何數(shù)據(jù)泄露事件發(fā)生后采取必要措施,通過內(nèi)部溝通和強化保護防止事態(tài)擴大,進一步調(diào)查數(shù)據(jù)泄露的事實和原因。向PPC的數(shù)據(jù)泄露報告中應當包含九方面的詳細信息:一是數(shù)據(jù)泄露事件概況,二是受影響或可能受影響的個人信息類型,三是受影響或可能受影響的個人數(shù)量,四是數(shù)據(jù)泄露原因,五是數(shù)據(jù)泄露導致的二次損害風險及其性質(zhì),六是向受影響個人的通知情況,七是數(shù)據(jù)泄露事件是否被公開以及公開原因,八是為防止數(shù)據(jù)泄露再次發(fā)生而采取的措施,九是可作為有用參考的其他事項。
三、引入兩類新的信息類型
一是“假名化處理信息”概念。問答詳細解答了“假名化處理信息”與“匿名化處理信息”兩者之間的區(qū)別。“假名化處理信息”是一種與個人有關的信息,除非與其他信息進行比對,否則無法識別出特定個人。如果數(shù)據(jù)處理者處理被視為假名信息的個人數(shù)據(jù),他們將不需要遵守《個人信息保護法》下的某些義務,例如回應披露請求或停止使用已收集的個人數(shù)據(jù)等。
法案新增“假名化處理信息”這一概念背后的用意有二:一方面,假名化處理信息僅適用于數(shù)據(jù)處理者內(nèi)部,鼓勵數(shù)據(jù)處理者將假名化處理信息用于內(nèi)部目的,包括業(yè)務分析、計算模型開發(fā)等;另一方面,經(jīng)過假名化處理的個人信息可以加以保留而不是刪除,不再用于個人信息原始的采集目的,為未來潛在的統(tǒng)計分析用途做數(shù)據(jù)儲備,兼顧安全與發(fā)展。
值得注意的是,法案明確要求,同時或分別處理“假名化處理信息”和“已刪除個人信息”的數(shù)據(jù)處理者,具有對個人信息提供增強型安全性保護的特定義務,具體要求有以下七方面內(nèi)容。一是禁止通過可識別特定個人的方式將假名化處理信息與其他數(shù)據(jù)(例如已刪除的個人信息)進行核對;二是對假名化處理信息的使用要嚴格適用目的限制原則和必要性原則;三是禁止使用假名化處理信息中包含的任何聯(lián)系信息,例如通過電話、郵件、電子郵件或其他方式聯(lián)系到特定個人;四是禁止將假名化處理信息向第三方(法案第23條第5款規(guī)定的“受委托”的數(shù)據(jù)處理者除外)進行任何形式的轉(zhuǎn)讓;五是如果假名化處理信息被收購或有意改變其使用目的,數(shù)據(jù)處理者具有發(fā)布通知的披露義務;六是在數(shù)據(jù)泄漏情形下,如果已刪除的個人信息沒有收到數(shù)據(jù)泄漏影響,那么無須對假名化處理信息履行泄漏通知義務。七是個人對于假名化處理信息僅保留投訴和獲得及時適當回應的權利。
二是“個人參考信息”概念。盡管對于cookie政策仍然沒有明確的具體要求,指南指出,通過cookie獲得的個人瀏覽歷史、個人位置數(shù)據(jù)、購買歷史和偏好等,均屬于個人參考信息,除非該類信息明確屬于個人信息、假名處理信息或匿名處理信息。僅憑個人參考信息無法識別到特定個人,因此并不構成個人信息。但是,數(shù)據(jù)處理者如果將個人參考信息轉(zhuǎn)移給擁有額外相關數(shù)據(jù)的數(shù)據(jù)處理者,兩相對照可以識別到特定個人的情形下,個人參考信息可能被納入個人信息范疇。指引問答指出,在特定情形下數(shù)據(jù)處理者與第三方共享個人參考信息前,需要確認個人是否同意第三方接收其信息、取得同意的方式等。
四、加強數(shù)據(jù)跨境傳輸監(jiān)管
修訂后的《個人信息保護法》從兩方面增加了向日本境外第三方傳輸數(shù)據(jù)的限制要求。一方面,在個人同意的情況下進行數(shù)據(jù)跨境傳輸時,數(shù)據(jù)輸出方應當向數(shù)據(jù)主體提供以下信息:一是數(shù)據(jù)輸入的國家名稱;二是相關國家的個人信息保護制度,并以適當、合理的方式予以確認;三是數(shù)據(jù)輸入方應當采取的安全保障措施。與此同時,數(shù)據(jù)輸出方應當采取的必要措施包括以下三項:一是定期確認數(shù)據(jù)輸入方處理個人信息的狀態(tài),以及數(shù)據(jù)輸入方所在國家是否存在可能影響個人信息處理狀態(tài)的情況;二是在正確處理個人信息過程中出現(xiàn)問題時應采取的措施;三是數(shù)據(jù)輸入方為確保個人信息的持續(xù)正確處理而采取的安全保障措施。
另一方面,采取數(shù)據(jù)傳輸合同的方式進行數(shù)據(jù)跨境傳輸時,合同必須采用與《個人信息保護法》等效的數(shù)據(jù)安全保護標準和必要措施,持續(xù)確保數(shù)據(jù)輸入方對個人數(shù)據(jù)的正確適當處理。具體包括以下三項,一是定期檢查數(shù)據(jù)輸入方設立的與《個人信息保護法》等效的安全保護措施,以及措施的實施情況和內(nèi)容,并通過適當合理方法評估可能影響此類措施實施的外國法律情況;二是采取必要和適當行動及時補救發(fā)現(xiàn)的任何障礙;三是如果數(shù)據(jù)輸入方繼續(xù)執(zhí)行《個人信息保護法》等效措施變得困難,應當暫停向其傳輸所有個人信息。
同時,數(shù)據(jù)處理者在收到個人提出的數(shù)據(jù)請求時,必須立即向個人提供以下七方面的必要安全保障信息:一是數(shù)據(jù)輸入方實施的個人信息保護制度,二是數(shù)據(jù)輸入方將實施的等效安全保護措施的概要,三是數(shù)據(jù)輸入方個人信息處理系統(tǒng)的確認頻率和方法,四是數(shù)據(jù)輸入方所在的國家名稱,五是可能影響等效安全保護措施實施的國外制度概況,六是實施等效安全保護措施可能存在的障礙,七是為應對第六項中提到的障礙而采取的必要措施。
總體而言,修訂后的《個人信息保護法》及其框架更加接近于歐盟GDPR的強監(jiān)管架構,體現(xiàn)出日本迎合大數(shù)據(jù)時代技術創(chuàng)新要求、強化個人信息保護監(jiān)管力度、趕超全球數(shù)據(jù)安全立法進度的決心。
