2020年6月5日,日本第二次修改个人信息保护法(APPI)。企业适应新规定的截止日期是 2022 年 4 月 1 日。
主要变化包括向第三方和海外传输个人数据的新程序,以及数据泄露时的通知要求。在本文中,我们提供了 APPI 的概述、最新修订的说明以及遵循这些修订的方法。
《个人信息保护法》的内容是什么?
《个人信息保护法》 (APPI) 于 2003 年发布,此后于 2015 年和 2020 年进行了两次修订。APPI 的目标是保护日本个人的个人信息。
确保履行 APPI 的主要监管机构是个人信息保护委员会(PPC)。PPC 也是日本负责监督、监管合规和评估以及缓解投诉的主要调查和执法机构。
APPI 重点关注只有在主体同意的情况下才能处理的两类数据:
- 个人信息,包括姓名、出生日期、联系方式和个人识别码;
- 特殊护理所需信息包括敏感信息,如病史、种族、犯罪记录等。
生物识别技术没有定义,但这可能属于特殊护理所需信息的范围。
根据APPI规定,主体可以索取有关个人数据处理目的的信息,并有权对其进行修改和删除。
谁受到影响?
一般来说,所有在日本经营并处理个人数据的企业都必须遵守 APPI,无论其规模或收入如何。虽然该法案的原始版本并未将拥有少量数据主体的企业纳入其中,但 2015 年的修正案将合规要求扩大到了所有企业。
该法案还适用于与日本市场有联系的外国企业。这意味着在日本境外运营但从日本境内收集数据的企业也必须遵守 APPI。
唯一的例外是政府组织、行政机构和教育机构。
2020年修正案
2020 年 APPI 修正案扩大了数据主体在数据保护方面的权利范围。企业的主要变化涉及向第三方传输信息和数据泄露通知。
将个人信息转移给第三方
之前:在2020年修正案实施之前,企业可以在未经主体同意的情况下转移个人数据。相反,企业只需向数据主体提供有关传输的信息,而数据主体可以在之后选择退出传输。之后:自 2022 年 4 月 1 日起,企业需要获得数据主体的同意才能传输其个人数据。如果个人信息的转移涉及国家安全、法律事务或公共利益,则此规则有例外。如果企业在数据传输之前通知第三方详细信息,则可能会避免获得同意。此选项不适用于需要转移需要特别注意的个人信息的情况。本文的“如何遵守”部分提供了所需的第三方详细信息。
将个人相关信息传输给第三方
之前: APPI 没有个人相关信息部分。
之后:最新修订包括一种称为个人相关信息(PRI)的新型个人信息。PRI 是指与个人事务相关的信息。此类信息可能包括购买历史记录或网页浏览历史记录。PRI 不包含个人数据,例如姓名或出生日期。
现在,企业在将此类信息传输给第三方之前需要获得主体的同意(如果该信息可以与第三方获取的其他信息一起用于识别主体)。
将假名信息转移给第三方
之前: APPI 没有假名信息部分。
之后:新版APPI引入了假名信息部分。这类信息不会泄露主体的身份,但仍然可以与其他信息交叉比较来确定身份。
假名信息是为了保护主体而进行加密的个人信息。新版本的 APPI 确保此类信息在未经主体同意或传输原因不属于例外情况的情况下不能传输给第三方。
将信息传输给日本境外的第三方
之前: PPC 无权监管向在日本境外运营的第三方传输信息的操作。
之后:修正案改变了向日本以外的第三方传输信息的程序,赋予 PPC 监督此类程序的权力。要发起此类转移,企业必须确保接收外国第三方:
- 具有与日本同等的保护水平(称为“同等行动”);
- 是 PPC 提供的日本充分性决定清单(类似于欧盟版本)的一部分,该清单会定期更新。
当将此类信息传输到国外时,企业需要通知数据主体有关预期目的地的信息。这包括:
- 目的地国家的名称;
- 对国家数据保护制度的解释;
- 接收第三方为保护其数据而采取的措施。
主体的数据权利
之前:受试者可以请求访问、更改或删除他们提供的数据。然而,该规则仅适用于长期数据,这些数据应该使用六个月或更长时间。受试者只有在以下情况下才能修改或删除其数据:
- 以不正当手段收集的;
- 用于超出收集数据时约定的目的。
之后:受试者现在也有权访问和修改短期数据。最新修正案出台后,如果提供的数据可能对他们产生负面影响,受试者还可以要求修改或删除其数据。
数据泄露通知
之前:这只是通知主体有关数据泄露的建议。
之后:企业需要将数据泄露事件通知 PPC 以及数据泄露的主体。如果企业无法通过常规方式接触到受影响的对象,则必须找到替代解决方案。
企业现在必须两次通知 PPC:1)通过简短的通知,必须在违规发生时立即发出;2) 通过稍后提交的二次报告,其中包含有关事件的广泛信息。
欧盟和英国的转移克减
为了确保欧盟和日本之间顺利的相互数据传输,对与欧盟或英国市场有联系的日本企业施加了额外的规则。这涉及确保与欧盟 GDPR 和英国 GDPR 相同的保护水平,该法规比 APPI 更严格。
在日本收到来自欧盟和英国的特殊类别数据时,应根据 APPI 需要特殊照顾的个人信息的规则进行处理。
如何遵守
在处理主体数据之前,企业应记录、映射和分析是否有任何传输给第三方的情况。
企业在传输主体数据时,未经主体同意,不得向第三方提供个人信息,但以下情况除外:
- 根据法律法规;
- 为保护人的生命、财产安全而有必要且难以征得本人同意时;
- 当特别需要保护公众和儿童的健康时;
- 与中央政府机构或地方政府或其委托执行法律法规规定的事务的人需要合作的情况。
企业在将信息传输给第三方之前,需要向数据主体提供有关第三方的详细信息。第三方详细信息包括:
- 姓名;
- 数据传输的目的;
- 个人数据类别;
- 获取个人数据并将其提供给第三方的方法;
- 获取主体请求的方法;
- 竞价排名规则规定的其他为保护主体权益所必需的问题。
这些详细信息应传达给数据主体,并在适用的情况下传达给 PPC。
如果有关第三方的信息发生更改,企业必须将此情况通知主体或为数据主体轻松访问此信息创造条件。企业还应向当局报告这些变化。
罚款和处罚
之前版本的 APPI 对不合规企业采取了温和的制裁措施。此前,企业最高罚款为 50 万日元(约合 3,900 美元),而现在企业可能面临高达 1 亿日元(约合 781,500 美元)的罚款。同时,这些企业的代表可能面临最高一年的监禁和最高 100 万日元(约合 7,815 美元)的罚款。
要点
最新的 APPI 修正案表明,数据保护对日本特别重要,特别是当日本公民的信息在海外提供时。因此,企业应特别关注APPI的修订版本,并确保其符合数据传输要求。为此,企业需要彻底了解其处理活动,并采用技术来保护自己免受数据泄露。企业还需要确保在将数据传输给第三方时获得同意。