近年來,隨著歐盟《通用數(shù)據(jù)保護條例》(General Data Protection Regulation,簡稱GDPR)的正式實施,隱私保護和數(shù)據(jù)合規(guī)引起全球廣泛關(guān)注。今年兩會期間,人大代表呼吁加快個人信息保護的立法進程,把個人信息保護議題再度炒熱。基于長期對國內(nèi)外環(huán)境的思考,筆者認為,隱私保護和數(shù)據(jù)合規(guī)將成為法律行業(yè)的藍海市場。目前,市面上存在研究隱私保護和數(shù)據(jù)合規(guī)的文章,但大多追隨熱點,分散式、片段式文章居多,系統(tǒng)性、全局性文章較少。基于此種思考進路,筆者計劃今后一段時間,通過系統(tǒng)梳理各個國家或地區(qū)的隱私保護和數(shù)據(jù)合規(guī)情況,陸續(xù)推出各個國家或地區(qū)個人信息保護情況的文章,旨在為對隱私保護和數(shù)據(jù)合規(guī)有需求的個人或企業(yè)提供幫助。
筆者此次梳理的是日本的隱私保護與數(shù)據(jù)合規(guī)情況。日本作為亞洲地區(qū)的發(fā)達國家,其發(fā)達的經(jīng)濟水平,完善的基礎(chǔ)設施和優(yōu)越的生活環(huán)境,吸引我國企業(yè)和個人赴日發(fā)展和生活。同時,日本相對完善的法制水平也值得我們學習和借鑒。因此,研究日本個人信息的保護情況,不僅有利于我國企業(yè)赴日發(fā)展,也有利于吸收其優(yōu)秀的法律設計,完善我國的信息保護制度。
一、個人信息保護的發(fā)展歷程
(一)個人信息保護的醞釀階段(1970年至1987年)
日本關(guān)注個人信息保護的問題最早可追溯至20世紀70年代。1970年,日本中央政府為了提高政府機構(gòu)處理政務的效率,決定引進“國民總編號制度”。即要求全日本國民每個人均設立一個獨屬個人的暗碼,以方便各中央政府機構(gòu)統(tǒng)一處理政務。由于該方案涉及個人敏感信息的收集,因此激起了全社會普遍的反對,日本政府不得不最終停止實施該項方案。[1]但是如果不能有效收集國民數(shù)據(jù),日本政府在國民年金、稅收等問題的處理上將耗費大量的社會資源,為因應此種困局,日本政府在1976年制定了《電子計算機處理數(shù)據(jù)保護管理準則》,開始著手運用計算機收集個人數(shù)據(jù),以提高處理政務事務的效率。[2]
隨著計算機技術(shù)的發(fā)展,日本政府收集和處理個人數(shù)據(jù)的能力大大增強,但同時也帶來數(shù)據(jù)泄露的問題。數(shù)據(jù)泄露事件的不斷曝光加劇了國民對日本政府的不信任和厭惡,加上1980年經(jīng)濟合作與發(fā)展組織(Organization for Economic Co-operation and Development,簡稱OECD)發(fā)布《隱私保護和個人數(shù)據(jù)跨境流通的指南》,要求成員國應保障數(shù)據(jù)主體的合法權(quán)益,內(nèi)外因素倒逼日本政府開始著手構(gòu)建個人信息保護制度。[3]該階段,日本政府建構(gòu)的個人信息保護制度主要有:日本政府在1981年設置“保護隱私研究會”,1982年發(fā)表“處理個人數(shù)據(jù)的隱私權(quán)保護對策”,1984年成立“數(shù)據(jù)、隱私保護專門委員會”、1985年設置“行政機關(guān)個人數(shù)據(jù)信息保護研究會”,并著手擬定個人信息保護制度的法案。[4]該階段筆者稱其為“個人信息保護的醞釀階段”。
(二)個人信息保護的發(fā)展階段(1988年至2003年)
1988年伊始,日本率先在行政領(lǐng)域出臺相應法律法規(guī),以規(guī)范行政機關(guān)收集個人信息的行為。例如,1988年12月,日本立法機構(gòu)出臺《有關(guān)行政機關(guān)電子計算機自動化處理個人信息保護法》,要求行政機關(guān)在運用計算機處理個人信息時應保障數(shù)據(jù)主體的合法權(quán)益。[5]該部法律的出臺使得政府部門收集個人信息的行為開始走向規(guī)范化和法制化。
除了行政機關(guān)積極立法保障個人信息安全外,民間組織也加強了對個人信息的保護力度。1999年財團法人金融信息組織中心(FISC)修訂了“金融機關(guān)個人信息保護指導方針”,要求金融機關(guān)要規(guī)范處理個人信息問題;1999年日本通商產(chǎn)業(yè)省出臺了日本工業(yè)標準《個人信息保護管理體系要求事項》及隱私標志認證制度,向保護措施得力的企業(yè)頒發(fā)隱私認證標識;2001年日本政府出臺了安全管理系統(tǒng)評估制度,并配合ISO/IEC17799-1(BS7799)國際標準加強信息管理。[6]日本隱私標志認證制度及相關(guān)標準的出臺,使得民間企業(yè)在收集個人信息時統(tǒng)一了處理信息的標準,以及民間企業(yè)為獲得隱私標志認證,也規(guī)范了自身的信息處理行為。總體上,民間組織出臺的制度規(guī)范也在一定程度上保障了數(shù)據(jù)主體的合法權(quán)利。
(三)個人信息保護的成文法階段(2003年至今)
1980年經(jīng)濟合作與發(fā)展組織(Organization for Economic Co-operation and Development,簡稱OECD)發(fā)布《隱私保護和個人數(shù)據(jù)跨境流通的指南》之后,各成員國紛紛開始制定《個人信息保護法》,日本在此時已有專門立法保護個人信息的意圖。1995年歐盟頒布《數(shù)據(jù)保護指令》規(guī)定限制個人數(shù)據(jù)的跨境流動以及日本國民對個人信息泄漏事件的強烈反對,最終使得日本下定決心制定《個人信息保護法》專法。
制定《個人信息保護法》的歷程并非一帆風順,2000年日本個人信息保護法制化專門委員會制定《個人信息保護基本法制大綱》,并于第二年向國會提出制定《個人信息保護法案》。然而由于日本全國律師協(xié)會施壓,該法案并未獲得通過。2003年立法委員認為立法時機已經(jīng)成熟,于是再次向國會提出《個人信息保護法》等相關(guān)五法案。為審議五法案,國會專門設立了關(guān)于個人信息保護的特別委員會,歷經(jīng)80個小時的審議,國會最終通過了五法案。其中,《個人信息保護法》前三章于頒布日起實施,后三章在2005年4月開始全面實施。《個人信息保護法》五法案包括《個人信息保護法》、《行政機關(guān)持有個人信息保護法》、《獨立行政法人等持有個人信息保護法》、《信息公開、個人信息保護審查委員會設置法》以及《伴隨<行政機關(guān)持有個人信息保護法>等實施的有關(guān)法律的準備法》。[7]
隨著技術(shù)的發(fā)展以及社會的變化,《個人信息保護法》有些規(guī)定逐漸不適應社會的發(fā)展需求,例如《個人信息保護法》過度重視數(shù)據(jù)主體的權(quán)利保護導致實務中數(shù)據(jù)的流動受阻,嚴重窒礙社會的整體進步。同時監(jiān)管主體職能分散的問題也導致實務中監(jiān)管效果不佳。為了解決此類問題,日本國會在2015年通過了《個人信息保護法》修正案,對原法律不足之處做了修改和完善。
二、《個人信息保護法》的核心內(nèi)容
《個人信息保護法》共7章66條,分為總則、國家及地方公共團體的職責、個人信息保護的政策、個人信息處理業(yè)者的義務、雜則、罰則以及附則。接下來,筆者主要從立法原則、適用主體、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者義務、監(jiān)管及懲罰措施等五個方面對《個人信息保護法》作簡要的介紹。
(一)《個人信息保護法》的立法原則
《個人信息保護法》設置的立法原則與歐盟、美國等其他國家所制定的原則大致相近,主要有利用限制原則、信息質(zhì)量原則、安全保障原則、公開原則、目的確定原則、權(quán)利保護原則、責任保護原則等。
在利用限制原則上,《個人信息保護法》第16條規(guī)定,數(shù)據(jù)處理者在收集個人信息時不得超過目的規(guī)范的范圍,第23條規(guī)定轉(zhuǎn)讓給數(shù)據(jù)處理者時要征得數(shù)據(jù)主體的同意;在信息質(zhì)量原則上,《個人信息保護法》第19條規(guī)定,數(shù)據(jù)處理者要保證收集的數(shù)據(jù)及時、準確、完整;在安全保障原則上,《個人信息保護法》第20條規(guī)定,數(shù)據(jù)收集者和處理者要確保個人數(shù)據(jù)的安全,第21條規(guī)定要監(jiān)督數(shù)據(jù)從業(yè)者對數(shù)據(jù)的處理;在公開原則上,《個人信息保護法》第18條規(guī)定,數(shù)據(jù)收集者在收集數(shù)據(jù)后,應盡可能公開數(shù)據(jù)的利用目的,變更利用目的的,還需要另行通知數(shù)據(jù)主體或者公布;在目的確定原則上,《個人信息保護法》第15條規(guī)定,數(shù)據(jù)收集者在收集數(shù)據(jù)時應將收集目的特定化;在權(quán)利保護原則上,《個人信息保護法》第25條、26條和27條分別規(guī)定了數(shù)據(jù)主體享有知情權(quán)、修正權(quán)和停止利用權(quán);在責任保護原則上,《個人信息保護法》第31條規(guī)定了數(shù)據(jù)處理者須妥善處理數(shù)據(jù)主體的投訴。
(二)《個人信息保護法》的適用主體
《個人信息保護法》在立法模式上采用混合式立法,即采用基本法與一般法并存的雙重結(jié)構(gòu)。[8]《個人信息保護法》第1章至第3章主要規(guī)定涉及國家管理重要領(lǐng)域的政策、對策和方針等內(nèi)容,涉及的主體有國家和地方公共團體。第4章則是規(guī)定民間數(shù)據(jù)處理者以及數(shù)據(jù)從事認證業(yè)務的財團法人等內(nèi)容,涉及的主體主要有獨立行政法人、民間部門的個人數(shù)據(jù)處理者以及認定個人數(shù)據(jù)保護團隊等。綜上可以看出,《個人信息保護法》的適用范圍既包括國家、地方公共團體,還包括獨立行政法人、民間部門的數(shù)據(jù)處理者和數(shù)據(jù)保護團體。
(三)《個人信息保護法》的數(shù)據(jù)主體權(quán)利
《個人信息保護法》關(guān)于數(shù)據(jù)主體的權(quán)利規(guī)定主要在第25條、第26條和第27條。第25條規(guī)定,數(shù)據(jù)主體有權(quán)請求數(shù)據(jù)處理者公開可識別該本人的所持有的個人數(shù)據(jù),數(shù)據(jù)處理者有權(quán)就公開措施收取適當?shù)氖掷m(xù)費;第26條規(guī)定,如果數(shù)據(jù)主體認為該本人的數(shù)據(jù)不真實,可以請求數(shù)據(jù)處理者對該所持有的個人數(shù)據(jù)進行訂正、追加或者刪除。數(shù)據(jù)處理者必須在實現(xiàn)利用目的的范圍內(nèi),毫不遲疑地進行調(diào)查,并根據(jù)調(diào)查結(jié)果,對該請求作出訂正等。數(shù)據(jù)處理者作出訂正等行為后,應及時告知數(shù)據(jù)主體;第27條規(guī)定,如果數(shù)據(jù)處理者違法收集數(shù)據(jù),數(shù)據(jù)主體有權(quán)請求數(shù)據(jù)處理者停止利用或者銷毀本人的相關(guān)數(shù)據(jù)。數(shù)據(jù)處理者在接到請求后,應及時調(diào)查,發(fā)現(xiàn)數(shù)據(jù)主體理由合法時,應主動停止利用或者銷毀數(shù)據(jù),并及時告知數(shù)據(jù)主體。
(四)《個人信息保護法》的數(shù)據(jù)處理者義務
一般來說,權(quán)利的對立面即是義務,數(shù)據(jù)主體權(quán)利的對立面即是數(shù)據(jù)處理者的義務。例如,數(shù)據(jù)主體請求數(shù)據(jù)處理者公開必要數(shù)據(jù),即意味著數(shù)據(jù)處理者應按照數(shù)據(jù)主體的請求公開數(shù)據(jù);數(shù)據(jù)主體請求數(shù)據(jù)處理者訂正、刪除、停止利用數(shù)據(jù),即意味著數(shù)據(jù)處理者要履行相關(guān)的法定義務。此外,數(shù)據(jù)處理者除了以上的法定義務外,《個人信息保護法》還規(guī)定數(shù)據(jù)處理者在數(shù)據(jù)地收集、處理和使用上都應遵循相應的義務。例如,數(shù)據(jù)處理者收集數(shù)據(jù)的目的應當特定、需經(jīng)數(shù)據(jù)主體的同意,要履行告知義務,要確保數(shù)據(jù)內(nèi)容的正確、完整和及時。同時數(shù)據(jù)處理者還需采取安全管理措施保障數(shù)據(jù)的安全,在向第三人提供數(shù)據(jù)時,要經(jīng)過數(shù)據(jù)主體同意,并要妥善處理數(shù)據(jù)主體的投訴,接受主管大臣的監(jiān)督等。
(五)《個人信息保護法》的監(jiān)管及懲罰措施
《個人信息保護法》規(guī)定數(shù)據(jù)處理者及認證團體應接受主管大臣的監(jiān)督。其中,主管大臣的類型很多,根據(jù)數(shù)據(jù)處理者所從事的數(shù)據(jù)處理活動,主管大臣主要有國土交通大臣、國家公安委員會等,此幾類大臣都有在不同領(lǐng)域監(jiān)管個人數(shù)據(jù)的權(quán)力。主管大臣有權(quán)指導數(shù)據(jù)處理者的業(yè)務,有權(quán)要求數(shù)據(jù)處理者和認證團體提交關(guān)于數(shù)據(jù)處理和認定報告,當數(shù)據(jù)處理者和認定團體有違法行為時,主管大臣有權(quán)勸告和命令數(shù)據(jù)處理者采取必要措施中止或者糾正違法行為,有權(quán)撤銷認定團體的認定資格。而如果數(shù)據(jù)處理者無視主管大臣的勸告和命令,執(zhí)意從事違法行為時,對于此種數(shù)據(jù)處理者,公權(quán)力機關(guān)可采取自由刑或者罰金刑的懲罰措施。
三、《個人信息保護法》的增訂內(nèi)容
隨著科技水平的進步,2003年制定的《個人信息保護法》部分條款開始滯后于社會發(fā)展。2015年《個人信息保護法》修正案正式通過,新的《個人信息保護法》對不合時宜的舊法條款做了部分調(diào)整和改動。新《個人信息保護法》的增訂內(nèi)容主要有:擴大“個人信息”的保護范圍、促進“個人信息”的有效利用、設置專門監(jiān)管機構(gòu)。
(一)擴大“個人信息”的保護范圍
新《個人信息保護法》擴大了“個人信息”的保護范圍。例如,新《個人信息保護法》在第2條關(guān)于“個人信息”的定義中加入個人身體的特征和商品的符號內(nèi)容,使得個人信息的定義得到了擴大。在新《個人信息保護法》生效施行后,個人信息的保護范圍將包括原來法律所未規(guī)定的指紋等個人身體特征,互聯(lián)網(wǎng)的用戶ID的賬號和密碼等個人信息。新《個人信息保護法》還規(guī)定“敏感信息”問題,敏感信息主要包括人種、宗教信仰、病史及犯罪前科等。新《個人信息保護法》除了增加舊法所未規(guī)定的內(nèi)容外,還修改了舊法的內(nèi)容。比如,舊法原本將5000人以下小規(guī)模的數(shù)據(jù)處理者排除在適用范圍內(nèi),新法將5000人以下的數(shù)據(jù)處理者也納入規(guī)范對象之中。
(二)促進“個人信息”的有效利用
舊法側(cè)重于保護數(shù)據(jù)主體的權(quán)利,一定程度上忽視了數(shù)據(jù)的流通,不利于社會經(jīng)濟的整體發(fā)展。新《個人信息保護法》意識到該問題后,規(guī)定凡是匿名化處理的數(shù)據(jù)都允許其流通使用,從而大大提高了個人數(shù)據(jù)的有效利用率。匿名化,是指對個人數(shù)據(jù)進行處理,使數(shù)據(jù)無法進行特定個人的識別,并且處理后的數(shù)據(jù)無法再還原到可識別特定個人的狀態(tài)。[9]判斷數(shù)據(jù)是否符合匿名化的要求,主要看數(shù)據(jù)的匿名處理是否符合個人信息保護委員會的要求;匿名化信息處理項目是否公示;在向第三人提供匿名化處理信息時,是否公示,是否向第三人明示該信息為匿名化處理后的信息。
(三)設置專門監(jiān)管機構(gòu)
舊《個人信息保護法》規(guī)定由主管大臣負責監(jiān)督數(shù)據(jù)處理者和認證團體的相關(guān)活動,但是由于不同的數(shù)據(jù)處理由不同的分管大臣負責,監(jiān)管機構(gòu)職能分散,責任不清,無法作出高效決議。為了解決該問題,新《個人信息保護法》明確了監(jiān)管主體和懲罰措施,將分散的主管大臣所擁有的勸告和命令等權(quán)力統(tǒng)一集中到同一個專門監(jiān)管機構(gòu)——個人信息保護委員會。新《個人信息保護法》的設置使得個人信息保護的監(jiān)管特定化,有利地降低了監(jiān)管主體責任不清,職能分散的問題。
四、小結(jié)
日本以專法的形式保障個人隱私和數(shù)據(jù)合規(guī),這一立法模式具有鮮明的歐盟特色。與此同時,無論是日本規(guī)定的隱私認證標識制度,還是數(shù)據(jù)處理的標準法律化,都可以看出日本重視行業(yè)在個人信息保護中的自律管理。此方式同時具有鮮明的美國立法特色。可見,日本并非單純模仿歐盟或者美國,而是立足實際,博采眾長,為己所用。
根據(jù)我國“十三屆全國人大常委會立法規(guī)劃”的規(guī)定,《個人信息保護法》將在十三屆全國人大常委會期間獲得通過。由于日本與我國的法律體系具有相似性,日本《個人信息保護法》的誕生和發(fā)展對我國制定個人信息保護法具有重要的借鑒和參考意義。同時,日本作為亞洲地區(qū)的發(fā)達國家,我國在與之交往的過程中必然涉及數(shù)據(jù)的處理、交換問題,了解日本的個人信息保護歷程,也有助于我國企業(yè)在日本的落地化。
[1] [臺]林素鳳.日本個人資訊保護法制之展望與課題[J].警察大學法學論叢,2003,(8):6.
[2] [臺]謝永志.個人數(shù)據(jù)保護法立法研究[M].北京:人民法院出版社,2013.108.
[3] 黃晨.日本《個人信息保護法》立法研究(碩士學位論文)[D].重慶大學,2014.2-4.
[4] [臺]謝永志.個人數(shù)據(jù)保護法立法研究[M].北京:人民法院出版社,2013.108.
[5] 張苑.日本《個人信息保護法》的實施及其對中國的啟示(碩士學位論文)[D].對外經(jīng)濟貿(mào)易大學,2006.6-12.
[6] 個人信息保護課題組.個人信息保護國際比較研究[M].北京:中國金融出版社,2017.328-329
[7] 李欣欣.論個人信息保護與合理利用——以日本個人信息保護法為中心(碩士學位論文)[D].中國人民大學,2005.12-14.
[8] 李欣欣.論個人信息保護與合理利用——以日本個人信息保護法為中心(碩士學位論文)[D].中國人民大學,2005.15-16.
[9] 個人信息保護課題組.個人信息保護國際比較研究[M].北京:中國金融出版社,2017.343.
