日本個人信息保護法修改案例研究

呂夢達

摘要：大數據為人們描繪出一幅信息通暢、高效便捷的美好景象，但背后的交易市場仍處于初期粗放階段。寬松的監管、用戶對隱私的忽視，使數據市場亂象叢生。在個人信息保護方面，日本自2003年以來形成了一套非常行之有效的個人信息法律體系，隨著網絡技術的不斷發展和個人信息外延的不斷拓展，日本在17年對原有的法律進行了修正和優化，使其更能適應時代的發展需求，成為了日本個人信息保護立法的最新成果。由于日本法律體系的特殊性，其對我國有著相當強的學習和借鑒意義。

關鍵詞：大數據? 日本《個人信息保護法》

一、基本案情

日本是亞洲國家中較早頒布個人信息保護法的國家，早在2003年5月頒布了《個人信息保護法案》（簡稱“APPI”），于2005年4月實施。2015年9月9日，日本公布了APPI的修訂案。2016年下半年，日本相繼出臺了一系列文件，包括實施規則、內閣令、指南等，為修訂后的APPI的實施做好準備工作。最終，修訂后的APPI將于2017年5月30日正式生效。

APPI修改的重要內容之一，是將“個人信息”概念細化。法律修改后，將與身體特性相關的信息列入保護，比如面部識別信息、 DNA、聲紋信息和筆跡。另外，前科、信仰、等“私密性信息”禁止企業收集使用，此舉是為了避免歧視。

APPI修改的另一個重要內容，是首次對數據跨境傳輸進行了限制。修訂后的APPI規定，若日本境內的持有數據者向境外傳輸個人信息等數據時，必須獲得信息所有者的同意，除非個人信息保護委員會（簡稱“PPC”）的規定。

二、知識要點

（一）日本《個人信息保護法》的誕生

隨著通訊技術的不斷發展，借助于便捷的互聯網，整個社會對于個人信息的處理量持續增加。企業泄露并非法買賣客戶信息的案例在日本時有發生，而且已經存在許久。日本國內的報紙與信息保護相關的報道，在2003年一年間就有316件，都是個人信息的泄露和非法使用。因為頻繁的被垃圾短信和營銷電話騷擾，民眾對個人信息的安全產生了嚴重懷疑。加之媒體對通訊公司、郵電局、銀行、保險公司、商場及網絡供應商等各個行業對于客戶名單泄漏事件的不斷報道，這種不安和懷疑與日俱增。日本國內的民眾對個人信息的安全問題和關注越來越高，要求增加個人信息保護的建議也越來越多，在此國內背景下，《個人信息保護法》的被提上了日程。

（二）大數據和個人信息安全

大數據是一把雙刃劍，帶來便利卻也使得信息安全問題慢慢凸顯。被媒體曝光過的信息泄露事件顯示，這是一條產業鏈，只要肯出錢，個人資產、開房記錄甚至網吧記錄都能查到。換句話說，在信息時代，我們每個人都在“裸奔”，這種說法讓人不寒而栗。

大數據是現今社會發展的新“燃料”，如果運用不當會造成嚴重“污染”。在巨額的利益誘惑之下，信息侵犯的黑色產業鏈逐漸形成，甚至出現了“第三方擔保平臺”。這也意味著個人信息買賣的市場規模已經大到了需要細分配套產業的地步。在對我們造成巨大的經濟損害之余，信息更改、刪除也浪費了大量的時間。因此，個人信息的安全問題越來越重要。

三、案例分析

（一）日本緊跟國際趨勢，修改個人信息保護法

日本此次修改個人信息保護法，是為了適應現代科技發展帶來的個人信息保護問題以及國際大趨勢，主要基于以下三個方面。

首先，隨著大數據等互聯網技術的飛速發展，充分分析大數據，就可以了解消費者的喜好。個人信息數據中哪些涉及違法的界限仍然比較模糊。企業方希望能夠自由使用的“個人數據”，而消費者，則擔心使用“大數據”時將自己的隱私泄露。為此日本對APPI進行了修正。

其次，日本曾經的個人信息泄露的事件。影響最大是日本最大的移動通信公司“都客夢”，其從2013年10月起向第三方出售通過手機定位收集到的個人信息。雖然“都客夢”提供的信息無法指向具體個人，不違反日本2003年頒布的《個人信息保護法》，但還是遭到了日本大量用戶的強烈反對，因此，修改APPI是最佳選擇。

最后，隨著國際化進程加快，跨國信息交換越來越頻繁。各國都制定了針對跨國交易的法規，歐美都有相應的調整。因此，日本積極考慮與他國制度的調和性，選擇了更新原有的APPI，充分保證日本企業能夠順利與外國企業間交換并共享個人數據。

（二）將個人信息概念細化，不同信息進行區別對待

此次修改過的APPI將個人信息細分為了三種：個人信息、個人敏感信息、去識別化信息。

首先，明確“個人識別碼”屬于個人信息范疇。如今，每個人都擁有多套數字化代號，如信用卡號、駕駛證號、護照號等，均是個人識別碼。

其次，首次引入了“個人敏感信息”的概念，包括疾病史、犯罪記錄、種族、宗教等這些可能引起不合理的歧視或偏見的信息。和歐盟的《數據隱私指令》相類似。

最后，新加入“去識別化信息”一項。規定，無法利用其進行個人身份識別，而且不能恢復身份識別性的去識別化信息，在向第三方提供時不需取得信息主體同意。

分析后可以發現，修改后的APPI對個人敏感信息、一般個人信息、去識別化信息的保護程度依次遞減。從企業的立場出發，細化個人信息種類，對企業的數據保護體系建設提出了更高的要求，但與此同時，信息細化分級有助于信息分類管理，使大數據的利用效率大大提高。

（三）日本的數據跨境傳輸規則進一步明確

修改后的APPI提出了“選擇進入”與“選擇退出”兩個規則?！斑x擇進入”指的是持有數據者需要取得信息主體的同意后，才能向第三方傳輸個人信息，信息主體有權拒絕;而“選擇退出”則相反，持有數據者，并不需要征求信息主體同意，便可向第三方傳輸個人信息，但信息主體有權要求停止傳輸。

對于數據的跨境傳輸，“選擇退出”規則并不能適用。此次修改后的APPI首次對數據跨境傳輸做出了限制。APPI規定，日本境內的數據持有者向境外傳輸個人信息等數據時，必須事先獲得信息主體的同意。

除此之外，修改后的APPI對數據傳輸的記錄也進行了規定，要求數據傳輸雙方對雙方名稱、傳輸日期等進行具體記錄，且必須按照PPC的規定保存一定期限。

四、案例啟示

（一）國內應當盡快推出個人信息保護法

立法是為了更好地推進經濟穩定發展和市場交易。日本的APPI案例就是最好的證明。從最初的頒布到15年的修正，都是因為日本國內企業強烈的交易需求。日本在促進企業符合國際規范、建立完備的市場環境等方面的努力，非常值得國內立法借鑒。

首先，從國際來說，在國際貿易中，如果對于個人信息的保護不完善，會給其他國家設置貿易壁壘提供借口。對我國的進出口貿易做出限制，而這將會對我國的國際貿易產生巨大影響。

其次，國內的公共部門和非公共部門對于個人信息的處理也很常見。但是我國現有的法律對于預防和打擊個人信息的犯罪行為效果非常有限，個人信息被泄露并濫用已經成為嚴重的社會問題。

因此，當務之急是立足國情與法律傳統，充分借鑒、吸收日本的立法經驗，盡快出臺我國的APPI，用專門的法律來保護個人信息。

（二）監管部門要發揮作用，協助個人信息保護

加強個人信息安全，相關監管部門責無旁貸。監管方面主要有三個問題：監管機構不明確、無強制性的管理標準、行政處罰較低。對策如下。

首先，要明確相關監管部門的職責，劃清權力和職責，這樣才能保證監管的有效性。

其次，有關監管部門應進一步加強對企業關于用戶個人信息安全工作的監督管理，做好事前、事中、事后的審查，督促企業建立健全的用戶信息保護體系。

最后，應該將個人信息的保護檢查和電信業務的年檢、網絡安全防護以及用戶權益保護等工作相結合，從市場準入、業務辦理、投訴處理等環節，增加違法成本，從而加強用戶信息保護。

（三）公民個人要加強信息保護意識

大部分公民保護意識薄弱也是一個不可忽視的因素，他們會在無意間泄露自己的個人信息。因此個人應做好以下幾點。

首先，提高安全意識。要主動學會自我保護。當他人索取個人信息時，要充分考慮是否安全合法，否則應當拒絕。

其次，養成良好習慣。在注冊網站或者其他服務時，盡量不提供個人信息;使用電腦時，減少個人信息暴露。在辦理公共業務而不得不提供個人信息時，明確對方的使用規則、保密責任。

最后，勇于維護權利。如果發現自己的個人信息被泄露和濫用，要及時維權。如果有損失，應積極解決，必要時可采取法律手段。

參考文獻：

[1]唐冰潔.中日比較立法視野下的網絡銀行個人信息泄露預防法律機制研究[D].重慶大學，2017.

[2]池建新.日韓個人信息保護制度的比較與分析[J].情報雜志，2016，35（12）：63-68.

[3]黃晨. 日本APPI立法問題研究[D].重慶大學，2014.

[4]張娟.個人信息的公法保護研究[D].中國政法大學，2011.

[5]張苑.日本APPI的實施及其對中國的啟示[D].對外經濟貿易大學，2006.

[6]李欣欣.論個人信息保護與合理利用[D].中國人民大學，2005.

（作者單位：蘭州財經大學）