我有海外纠纷需要指导频道目录
产业要点观察 > 日本的数据安全和网络犯罪
日本的数据安全和网络犯罪
日本的数据安全和网络犯罪
2018-07-30 14:31:16 阅读次
法律情况概述
趋势和舆论——日本的数据保护法是领先还是落后于国际发展?
在日本,关于个人信息和数据的主要立法是日本个人信息保护法(57/2003)(The Act on the Protection of Personal Information(57/2003))。
2017年5月30日生效的最近修改法案,为了顺应现代社会和国际数据保护有关法律,已经在这方面做了更新。包括成立日本个人信息保护委员会(Personal Information Protection Commission简称PPC)作为日本的个人资料私隐管理部门,引入措施限制日本以外的个人数据转移。
通过日本个人信息保护委员会发布的详细指导方针,日本的国家数据保护法在一定程度上赶上了国际发展趋势。
在不久的将来,日本现有的数据保护司法体系是否还会发生改变?
除最近的修正案外,没有其他拟议或可预期的修改。
法律框架
立法——在日本个人数据的收集、储存和使用由哪部法律管理?
在日本,管理收集、储存和使用个人信息的主要法律是个人信息保护法。该法对私人领域的个人信息保护做出了总体规定,并规范了个人信息的使用行为。
适用范围——谁受到日本个人信息保护法的管辖?
日本个人信息保护法适用于“处理个人信息的经营者”,即任何使用个人信息数据库进行经营业务的人(之后的问题中有更详细的说明)。本法不适用于:
*国家机关;
*地方政府;
*行政法人和类似机构;和
*地方独立行政机构。
外国机构如在日本收集和处理个人信息,根据该法亦属于“处理个人信息的经营者”。此外,即使外国机构不在日本境内,也不收集或处理日本境内的个人数据,但如果该机构向在日本的个人提供商品或服务,并获得此类个人的个人信息,则也将适用该法案的某些规定。
哪些数据受到日本个人信息保护法管辖?
日本个人信息保护法适用于三类信息和数据,每一类都适用不同的法规:
*“个人信息”——还未死亡的个人的下列任何一项信息:
·记载有姓名、出生日期或其他可识别某一特定个人的信息(包括可简单查询到其他可据此识别某一特定个人的信息的信息);或
·包含个人识别代码的信息,该代码可包含字符、数字字符和标记,可用于识别特定的个人,具体内容由内阁法令规定(例如,指纹数据或人脸识别数据等生物特征识别信息、护照或驾驶执照号码)。
*“个人数据”——包含个人信息的个人信息数据库。“个人信息数据库”是一种信息集合,包括:
·一种通过系统排序,从而可以通过电脑调取特定个人信息的,信息集合;和
·内阁法令指定的任何其他的,通过系统排序,使特定的个人信息便于检索,的信息集合(即,如果个人信息按照一定的规则排序,或者具有检索目录、索引等其他辅助措施,能够检索个人信息)。
*“被储存的个人数据”——受日本个人信息保护法管辖的经营者对于个人数据可以:
·公开;
·修改;
·增加或删减;
·停止使用;
·消除;或
·停止向第三方提供。
内阁法令详细列明了不属于“被储存的个人数据”的数据——因为公开这些数据会对公众、其他利益不利,或者这些数据将在6个月内被删除。
此外,该法还包含了处理匿名信息的方法和手段,这些信息被定义为“经过处理而无法用于识别特定个人的个人信息”,并且这些个人信息不能被恢复。根据日本个人信息保护法和个人信息保护委员会的规则,经过匿名处理的信息不被视为“个人信息”。因此,处理匿名信息不受个人信息或个人数据的限制。
数据所有人在处理数据前是否需要向有关部门登记?
没有这样的规定。
已注册的数据所有人的信息是否公开?
不公开。
是否需要指定一名数据保护员?
根据日本个人信息保护法及适用指引,法律并未要求指定一名数据保护员。但是,受该法管辖的经营者必须对个人数据采取一定的安全保障措施,而指定一名数据保护员属于“采取措施”的行为,这也是一些指导方针推荐的安全保障措施之一。
执行——哪个部门负责执行数据保护法规,该部门的权力有哪些?
根据新修订的日本个人信息保护法,日本个人信息保护委员会将负责私人领域的法律执行。个人信息保护委员会可以要求报告,颁布操作建议和法令,并进行现场检查。
不遵守委员会要求或违反法令,可导致罚款、监禁,或两者皆有。
数据的收集和存储
收集和管理——在什么情况下可收集、储存及处理个人数据?
处理
受日本个人信息保护法管辖的经营者必须(尽可能地)说明其处理的个人资料的使用目的,并遵守下列要求:
*如需要改变使用目的,新的使用目的与使用的原始目的需要有合理的关键联系;和
*在没有取得个人事前同意的情况下,不得使用超出达到使用目的必要范围以外的个人信息。
收集
受日本个人信息保护法管辖的经营者在收集个人信息时,受下列限制:
*正当取得——经营者不得以欺骗或其他不正当手段取得个人信息;
*在取得时告知使用目的——一旦商业经营者获得个人信息,它必须通知或公开宣布使用目的,除非已经公开使用目的,或有下列情况之一适用:
·该通知或公告可能会对个人或第三方的生命、身体、财产、权利或利益造成损害;
·这样的通知可能会损害经营者的权利或合法权益;
·必须与国家机关、地方政府或受国家或地方机关委托的第三方合作,进行法律、法规规定的某些事务,而通知或公告使用目的可能会妨碍执行这些事务;或
·使用的目的从收集个人信息的情况来看是很明显的。
个人信息保护委员会发布的指导方针中还对商业经营者如何作出公告做了示例,例如在其网站上张贴公告,或在其营业地点内便于浏览的地方张贴公告。未经个人事先同意,经营者不得获取敏感信息。敏感信息主要指下列个人信息:委托人的种族、信仰、社会地位、病史、犯罪记录,及由于犯罪行为遭受的损害,或者其他内阁政令提及的,为避免对委托人造成不公平歧视、偏见或其他不利,而需要特别注意的情况。
储存
受日本个人信息保护法管辖的经营者,必须就个人数据采取安全管理措施。该法案对经营者提出了一个宽泛的义务“采取必要和适当的措施,防止个人数据的泄漏、损失或损害,以及对个人数据的其他安全保护”。该法没有列明任何满足这一要求的具体措施。但是,一般的理解是,这种安全控制措施包括:
*组织措施;
*员工措施(如人员培训);
*物理措施;和
*技术措施。
个人信息保护委员会发布的各类指导方针中规定了每一种措施所采取的具体行动。
信息记录储存是否可以(或必须)有时间限制?
一旦不再需要使用,受日本个人信息保护法管辖的经营者必须尽力立即删除个人数据。
个人是否有权获取组织持有的自己的个人信息?
受日本个人信息保护法管辖的经营者,必须向存有其数据的个人公开以下信息和权限:
*名字;
*使用目的(在特定情况下除外);
*要求改正、停止使用、共用或删除保留的个人数据的程序,以及其他要求的程序;和
*内阁令为确保妥善处理所保留的个人数据而规定的其他事项。
此外,在以下情况下,受日本个人信息保护法管辖的经营者必须立即披露任何有关的个人数据:
*个人要求经营者披露其是否保留任何可能确认其具体身分的个人数据;或
*个人要求商业经营者发布不持有某类个人数据的通知。
个人是否有权要求删除其数据?
如个人因储存的个人数据不准确而要求受日本个人信息保护法管辖的经营者修改、扩大或删除其储存的个人信息,经营者必须立即进行调查。根据调查结果,经营商必须修改、扩充或删除个人数据,并且向该个人发布其对该项要求的回应通知。
此外,个人以违反日本个人信息保护法为由,要求营办商停止使用或披露保留的个人数据的,若该要求合理,则经营者必须停止使用或披露该个人数据。
同意义务——在处理个人信息前,是否需要同意书?
一般情况下,受日本个人信息保护法管辖的经营者不能在未取得个人事先同意的情况下,获取超出使用目的必要范围的个人信息。
一般情况下,受日本个人信息保护法管辖的经营者不得在未获得个人事先同意的情况下向第三方提供此类信息。
如果没有事先同意,是否有其他情况允许进行数据处理?
上述一般规则的例外情况:
*法律、法规要求的个人信息;
*处理个人信息对保护其生命、身体或财产是必要的,而要取得他或她的同意则是困难的;
*处理个人信息对改善公众健康或促进儿童的健康成长是必要的,而取得他或她的同意则是困难的;或
*必须同国家机关、地方政府或受国家或地方机关委托的第三方合作,进行法律和法规规定的某些事务,取得个人的同意可能会妨碍这些事务的执行。
收集个人数据时,必须向个人提供什么信息?
一般来说,受日本个人信息保护法管辖的经营者一旦获得个人信息,必须通知个人或公开宣布其使用目的。
数据安全和事故通知
安全义务——有哪些具体的安全义务必须遵守?
受日本个人信息保护法管辖的经营者有宽泛的义务“采取必要和适当的措施,防止个人信息的泄漏、损失或损害,以及对个人信息的其他安全保护”。
事故通知——当发生信息安全事故时,数据所有人/处理人是否需要通知相关个人?
日本个人信息保护法并没有要求在发生信息安全事故时通知个人。然而,日本个人信息保护委员会发布的指导方针建议,最好将事故情况通知个人,或使受影响的个人随时了解事故情况,以防止意外的二次伤害或事件再度发生。此外,日本个人信息保护委员会针和日本金融厅(Financial Services Agency(FSA))在针对金融部门个人信息安全保护的指引中指出,如果发生信息安全事故,个人信息处理者和经营者应立即通知有关事故情况。
数据拥有者/处理者有否需要在发生信息安全事故时通知相关机构?
日本个人信息保护法不要求这样做。然而,日本个人信息保护委员会发布的指导方针认为,一般而言,处理个人信息的经营者,应尽力即时将信息安全事故及所采取的应对措施通知个人信息保护委员会。此外,日本个人信息保护委员会针和日本金融厅(Financial Services Agency(FSA))在针对金融部门个人信息安全保护的指引中指出,如果发生信息安全事故,个人信息处理者和经营者应立即报告金融厅,并及时公布——尤其是——泄露情况和采取的措施,以防止同样的情况再次发生。
电子营销和互联网使用
电子营销——是否有专门的规定管理非经请求的电子营销(垃圾邮件(spam))?
日本特定商业交易法(第57/1975号)(Act on Specified Commercial Transactions(57/1975))禁止公司在未经客户事先要求或同意的情况下通过电子邮件宣传其商品信息。此外,日本特定电子邮件传送法(2002年6月26日)(Act on the Regulation of Transmission of Specified Electronic Mail(26/2002))规定,电子邮件的传送是销售活动的广告手段。根据该法,原则上公司不得在未征得客户同意或同意的情况下发送此类电子邮件。
因此,日本特定商业交易法和日本特定电子邮件传送法禁止发送未经请求的电子邮件营销信息(即垃圾邮件)。
Cookies(储存在用户本地终端上的数据)——是否有关于Cookies使用的规定?
关于使用cookies或类似技术,没有特别的规定。
数据传输和第三方
跨国界数据传输——在管辖范围之外的数据传输有哪些规则?
原则上,日本个人信息保护法规定,未经当事人事先同意,不得向外国第三方提供其个人数据。
上述限制的例外情况包括:
*对于接收个人数据的第三方,如该营业者的管理制度符合个人信息保护委员会所订的标准,则不适用事先同意的规定。个人信息保护委员会制定的规则目前提供了两类可豁免的经营者:
·接收方经营者与向接收方经营者转让个人数据的另一经营者一起,通过双方采取适当和合理的措施,确保遵守日本个人信息保护法的有关规定;和
·基于个人信息处理国际规则,获得认可的接收方经营者(如亚太经合组织跨境隐私规则(the APEC Cross-Border Privacy Rules)的认可)。
*如果接收方经营者所在国家属于日本个人信息保护委员会法规中规定的,已经拥有与日本法律要求相当的个人信息保护系统的国家,则可以免除事先同意要求。尽管如此,直到2017年11月1日,日本个人信息保护委员会的法规还没有列出任何一个这样的国家。关于这个问题,个人信息保护委员会于2017年7月4日宣布,将尽快启动一项程序,修改其委员会规则,以期在2018年初的目标时限内,将欧盟成员国指定为豁免国家。
对数据的地理传输有限制吗?
日本个人信息保护法和大多数指导方针都不限制数据的地理传输。但是,有关医疗信息系统的指导方针规定,医疗信息系统(如包含医疗信息的服务器)和医疗数据不得传出日本法律可以执行的地区。
第三方——在将个人信息传输第三方时,是否有对数据所有人有特定规定?
一般而言,受日本个人信息保护法管辖的经营者在未征得个人事先同意的情况下,不得向第三方提供个人信息。
此外,日本个人信息保护法规定,向第三方提供个人数据的经营者须记录:
*提供信息的日期;
*第三方的名称;和
*个人信息保护委员会规则规定的其他事项。
反之,若经营者从第三者接收该个人数据,则必须确认:
*第三方的名字、地址;
*代表的姓名;和
*第三方取得个人信息的方式。
此外,经营者必须记录所提供信息的日期,以及任何与此有关的事项,和个人信息保护委员会规定的其他事项。
例外——以上一般规则的例外有:
*处理法律、法规要求的个人数据;
*处理个人数据对保护其生命、身体或财产是必要的,而要取得他或她的同意则是困难的;
*处理个人数据对改善公众健康或促进儿童的健康成长是必要的,而取得他或她的同意则是困难的;或
*必须同国家机关、地方政府或受国家或地方机关委托的第三方合作,进行法律和法规规定的某些事务,取得个人的同意可能会妨碍这些事务的执行。
下列例外也适用:
*如果已经事先通知个人以下信息,或者个人极容易获取此信息,则受日本个人信息保护法管辖的经营者可以,未经个人事先同意,就向第三方(不包括地址在日本境外的)提供个人数据(不含敏感信息)。此外,它还必须将下列所有信息通知日本个人信息保护委员会:
·向第三方提供个人数据的属于使用目的范围内;
·将向第三方提供个人数据;
·向第三方提供个人数据的手段或方法;
·若提供个人数据会引致第三方识别该个人,若该个人要求不提供,该信息将会被终止提供;和
·个人提出退出请求的方式。
日本个人信息保护法一旦修订,还将要求企业经营者就个人提出退出申请的方式,和将上述所有信息通知个人信息保护委员会的方式,提供意见。经营者也将被禁止通过选择退出的方式向第三方提供敏感信息。
*如因合并、收购或类似的继承交易而转移个人数据的,接收者不构成第三方。
*如果个人数据转移,是由于第三方服务提供者受到经营者委托,为了达到使用数据的目的,而处理个人信息,并且服务提供者对数据的处理和使用没有自身目的,这样的服务提供者不构成第三方。
*如果已经事先通知个人以下信息,或者个人极容易获取此信息,则受日本个人信息保护法管辖的经营者可以,未经个人事先同意,同其他个人或机构共同使用个人信息:
·个人数据可由其他个人或机构共同使用;
·将被共同使用的个人数据的内容;
·共同使用者的范围;
·使用个人数据的目的;和
·负责管理个人数据的共同使用者(个人或操作企业)的名称。
处罚和赔偿
处罚——对不遵守数据保护规定的潜在处罚是什么?
根据日本个人信息保护法,如果经营者泄露了个人隐私或者违反了该法,个人信息保护委员会可要求有关处理个人信息的报告,并可发出整改建议或纠正令。
在发出纠正令之前,个人信息保护委员会可以采取一种渐进的方式,指导、建议并向受该法管辖的经营者提出改进意见。违反订正令即属刑事犯罪,该负责人可被判处最长可达6个月的监禁,或最高30万日元的罚款,或两者并罚。该公司还将被处以最高30万日元的罚款。
赔偿——个人是否有权就信息泄露或不遵守信息保护规则而遭受的损失,向数据所有人提出赔偿?
如个人因日本个人信息保护法管辖的经营者的行为造成数据泄露或不遵守数据保护规定,从而使得个人隐私遭到损害的,可以向经营者以侵权或者违反合同为由,提出赔偿请求。
网络安全
网络安全立法、法规和执法——在你的管辖范围内是否有专门涉及网络犯罪和/或网络安全的立法?
若干法律涉及不同类型的网络犯罪和网络安全,例如:
2011年修订的刑法(第45/1907号),规范“非法编程”其中包括恶意软件(第168-2和168-3条);
1999年颁布并于2012年修订的关于禁止未经授权入侵算机法(The Act on the Prohibition of Unauthorised Computer Access)(第128/1999号),内容包括网络钓鱼和未经授权获取识别资料(如密码);和
反不正当竞争法(The Unfair Competition Prevention Act)(第47/1993号)禁止非法获取商业秘密,并于2015年修订,以加强处罚力度。
在你的管辖范围内,是否还有其他维持网络安全法律法规(包括已经采用的国际标准)?
2014年11月通过了网络安全基本法案(The Basic Act on Cybersecurity)(第104/2014号),以促进和提高日本的网络安全。该法案规定了国家和地方政府的总体网络安全政策、角色定位和各自的责任。该法案还规定,网络企业和与基础设施有关的企业应努力采取自主措施加强网络安全,并与政府合作实施相关措施(第7条)。
在你的管辖范围内,哪些网络活动属于犯罪行为?
以下网络活动在日本被定为刑事犯罪,其中包括:
在另一个人或机构的电子设备中制造、提供、释放、获取和存储恶意软件,并意图使用该等恶意软件(刑法第168-2条和168-3条);
网络钓鱼,及未经授权而取得识别资料(如密码及指纹资料)(禁止未经授权入侵计算机法第2、3、4及7条);
未经授权入侵计算机系统或网络系统(禁止未经授权入侵计算机法第2和第3条);和
未经授权的获取、使用或披露商业秘密(包括以电子方式储存的),以获取非法获利或损害业主的意图(反不正当竞争法第2条)。
哪些机构负责执行网络安全法律法规?
网络安全基本法案将网络安全战略总部指定为促进国家网络安全战略的控制机构,并将国家网络安全准备和战略中心指定为其秘书处。
关于网络犯罪,警察局和检察院负责执行适用的法律。
网络安全最佳应对措施和报告——公司能够因网络安全漏洞获取保险吗?
是的,但这并不常见,尤其是对于中小型企业。
公司是否需要保存网络犯罪威胁、攻击和破坏的记录?
没有这样的法律义务。但是,禁止未经授权入侵计算机法中规定,计算机和网络系统管理者应该努力长期检查访问控制功能的完整性(第八条)。因此,公司应当努力保存这些记录以更好地管理自己的计算机系统。
是否要求公司向有关部门报告网络犯罪的威胁、攻击和违法行为?
没有这样的法律义务。如果网络犯罪导致个人数据泄露,公司将被要求按照适用指南向主管部门进行报告。
公司是否需要公开报告网络犯罪威胁、攻击和攻击情况?
没有这样的法律义务。如果网络犯罪导致个人数据泄露,公司将被要求按照适用指南向有关人士进行报告。
刑事处罚——对网络犯罪可能的刑事处罚有哪些?
对日本主要类型的网络犯罪的刑事处罚如下:
*制作、提供或传播恶意软件可判处最长三年的有期徒刑,或最高50万日元的罚款(刑法第168-2条)。
*获取或储存恶意软件可判处最长两年的有期徒刑,或最高30万日元的罚款(刑法第168-3条)。
*网络钓鱼及未经授权而透过网上系统获取身分资料的行为,可判处最高一年的有期徒刑,或最高50万元的罚款(禁止未经授权入侵计算机条例第12条)。
*未经授权而入侵计算机系统或网络的人,最高可判处3年有期徒刑,或最高100万日元的罚款(禁止未经授权入侵计算机法第11条)。
*未经授权获取、使用或披露商业秘密,可判处最高10年的有期徒刑,或最高2000万日元的罚款,或两者并罚(反不正当竞争法第21条)。
如果不遵守网络安全法规,可能会受到什么惩罚?
并么有相应的惩罚。但是,该行为同时也属于不遵守数据保护规定的情况,有关部长可发布整改建议和纠正令,违反纠正令是刑事犯罪。
作者:Nishimura & Asahi - Hitomi Iwase, Hiroko Shibata and Mitsukuni Terada
文章来源:https://www.lexology.com/library/detail.aspx?g=aaea9a4f-6216-4cce-95ee-e889cb306b91&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-05-30&utm_term=
趋势和舆论——日本的数据保护法是领先还是落后于国际发展?
在日本,关于个人信息和数据的主要立法是日本个人信息保护法(57/2003)(The Act on the Protection of Personal Information(57/2003))。
2017年5月30日生效的最近修改法案,为了顺应现代社会和国际数据保护有关法律,已经在这方面做了更新。包括成立日本个人信息保护委员会(Personal Information Protection Commission简称PPC)作为日本的个人资料私隐管理部门,引入措施限制日本以外的个人数据转移。
通过日本个人信息保护委员会发布的详细指导方针,日本的国家数据保护法在一定程度上赶上了国际发展趋势。
在不久的将来,日本现有的数据保护司法体系是否还会发生改变?
除最近的修正案外,没有其他拟议或可预期的修改。
法律框架
立法——在日本个人数据的收集、储存和使用由哪部法律管理?
在日本,管理收集、储存和使用个人信息的主要法律是个人信息保护法。该法对私人领域的个人信息保护做出了总体规定,并规范了个人信息的使用行为。
适用范围——谁受到日本个人信息保护法的管辖?
日本个人信息保护法适用于“处理个人信息的经营者”,即任何使用个人信息数据库进行经营业务的人(之后的问题中有更详细的说明)。本法不适用于:
*国家机关;
*地方政府;
*行政法人和类似机构;和
*地方独立行政机构。
外国机构如在日本收集和处理个人信息,根据该法亦属于“处理个人信息的经营者”。此外,即使外国机构不在日本境内,也不收集或处理日本境内的个人数据,但如果该机构向在日本的个人提供商品或服务,并获得此类个人的个人信息,则也将适用该法案的某些规定。
哪些数据受到日本个人信息保护法管辖?
日本个人信息保护法适用于三类信息和数据,每一类都适用不同的法规:
*“个人信息”——还未死亡的个人的下列任何一项信息:
·记载有姓名、出生日期或其他可识别某一特定个人的信息(包括可简单查询到其他可据此识别某一特定个人的信息的信息);或
·包含个人识别代码的信息,该代码可包含字符、数字字符和标记,可用于识别特定的个人,具体内容由内阁法令规定(例如,指纹数据或人脸识别数据等生物特征识别信息、护照或驾驶执照号码)。
*“个人数据”——包含个人信息的个人信息数据库。“个人信息数据库”是一种信息集合,包括:
·一种通过系统排序,从而可以通过电脑调取特定个人信息的,信息集合;和
·内阁法令指定的任何其他的,通过系统排序,使特定的个人信息便于检索,的信息集合(即,如果个人信息按照一定的规则排序,或者具有检索目录、索引等其他辅助措施,能够检索个人信息)。
*“被储存的个人数据”——受日本个人信息保护法管辖的经营者对于个人数据可以:
·公开;
·修改;
·增加或删减;
·停止使用;
·消除;或
·停止向第三方提供。
内阁法令详细列明了不属于“被储存的个人数据”的数据——因为公开这些数据会对公众、其他利益不利,或者这些数据将在6个月内被删除。
此外,该法还包含了处理匿名信息的方法和手段,这些信息被定义为“经过处理而无法用于识别特定个人的个人信息”,并且这些个人信息不能被恢复。根据日本个人信息保护法和个人信息保护委员会的规则,经过匿名处理的信息不被视为“个人信息”。因此,处理匿名信息不受个人信息或个人数据的限制。
数据所有人在处理数据前是否需要向有关部门登记?
没有这样的规定。
已注册的数据所有人的信息是否公开?
不公开。
是否需要指定一名数据保护员?
根据日本个人信息保护法及适用指引,法律并未要求指定一名数据保护员。但是,受该法管辖的经营者必须对个人数据采取一定的安全保障措施,而指定一名数据保护员属于“采取措施”的行为,这也是一些指导方针推荐的安全保障措施之一。
执行——哪个部门负责执行数据保护法规,该部门的权力有哪些?
根据新修订的日本个人信息保护法,日本个人信息保护委员会将负责私人领域的法律执行。个人信息保护委员会可以要求报告,颁布操作建议和法令,并进行现场检查。
不遵守委员会要求或违反法令,可导致罚款、监禁,或两者皆有。
数据的收集和存储
收集和管理——在什么情况下可收集、储存及处理个人数据?
处理
受日本个人信息保护法管辖的经营者必须(尽可能地)说明其处理的个人资料的使用目的,并遵守下列要求:
*如需要改变使用目的,新的使用目的与使用的原始目的需要有合理的关键联系;和
*在没有取得个人事前同意的情况下,不得使用超出达到使用目的必要范围以外的个人信息。
收集
受日本个人信息保护法管辖的经营者在收集个人信息时,受下列限制:
*正当取得——经营者不得以欺骗或其他不正当手段取得个人信息;
*在取得时告知使用目的——一旦商业经营者获得个人信息,它必须通知或公开宣布使用目的,除非已经公开使用目的,或有下列情况之一适用:
·该通知或公告可能会对个人或第三方的生命、身体、财产、权利或利益造成损害;
·这样的通知可能会损害经营者的权利或合法权益;
·必须与国家机关、地方政府或受国家或地方机关委托的第三方合作,进行法律、法规规定的某些事务,而通知或公告使用目的可能会妨碍执行这些事务;或
·使用的目的从收集个人信息的情况来看是很明显的。
个人信息保护委员会发布的指导方针中还对商业经营者如何作出公告做了示例,例如在其网站上张贴公告,或在其营业地点内便于浏览的地方张贴公告。未经个人事先同意,经营者不得获取敏感信息。敏感信息主要指下列个人信息:委托人的种族、信仰、社会地位、病史、犯罪记录,及由于犯罪行为遭受的损害,或者其他内阁政令提及的,为避免对委托人造成不公平歧视、偏见或其他不利,而需要特别注意的情况。
储存
受日本个人信息保护法管辖的经营者,必须就个人数据采取安全管理措施。该法案对经营者提出了一个宽泛的义务“采取必要和适当的措施,防止个人数据的泄漏、损失或损害,以及对个人数据的其他安全保护”。该法没有列明任何满足这一要求的具体措施。但是,一般的理解是,这种安全控制措施包括:
*组织措施;
*员工措施(如人员培训);
*物理措施;和
*技术措施。
个人信息保护委员会发布的各类指导方针中规定了每一种措施所采取的具体行动。
信息记录储存是否可以(或必须)有时间限制?
一旦不再需要使用,受日本个人信息保护法管辖的经营者必须尽力立即删除个人数据。
个人是否有权获取组织持有的自己的个人信息?
受日本个人信息保护法管辖的经营者,必须向存有其数据的个人公开以下信息和权限:
*名字;
*使用目的(在特定情况下除外);
*要求改正、停止使用、共用或删除保留的个人数据的程序,以及其他要求的程序;和
*内阁令为确保妥善处理所保留的个人数据而规定的其他事项。
此外,在以下情况下,受日本个人信息保护法管辖的经营者必须立即披露任何有关的个人数据:
*个人要求经营者披露其是否保留任何可能确认其具体身分的个人数据;或
*个人要求商业经营者发布不持有某类个人数据的通知。
个人是否有权要求删除其数据?
如个人因储存的个人数据不准确而要求受日本个人信息保护法管辖的经营者修改、扩大或删除其储存的个人信息,经营者必须立即进行调查。根据调查结果,经营商必须修改、扩充或删除个人数据,并且向该个人发布其对该项要求的回应通知。
此外,个人以违反日本个人信息保护法为由,要求营办商停止使用或披露保留的个人数据的,若该要求合理,则经营者必须停止使用或披露该个人数据。
同意义务——在处理个人信息前,是否需要同意书?
一般情况下,受日本个人信息保护法管辖的经营者不能在未取得个人事先同意的情况下,获取超出使用目的必要范围的个人信息。
一般情况下,受日本个人信息保护法管辖的经营者不得在未获得个人事先同意的情况下向第三方提供此类信息。
如果没有事先同意,是否有其他情况允许进行数据处理?
上述一般规则的例外情况:
*法律、法规要求的个人信息;
*处理个人信息对保护其生命、身体或财产是必要的,而要取得他或她的同意则是困难的;
*处理个人信息对改善公众健康或促进儿童的健康成长是必要的,而取得他或她的同意则是困难的;或
*必须同国家机关、地方政府或受国家或地方机关委托的第三方合作,进行法律和法规规定的某些事务,取得个人的同意可能会妨碍这些事务的执行。
收集个人数据时,必须向个人提供什么信息?
一般来说,受日本个人信息保护法管辖的经营者一旦获得个人信息,必须通知个人或公开宣布其使用目的。
数据安全和事故通知
安全义务——有哪些具体的安全义务必须遵守?
受日本个人信息保护法管辖的经营者有宽泛的义务“采取必要和适当的措施,防止个人信息的泄漏、损失或损害,以及对个人信息的其他安全保护”。
事故通知——当发生信息安全事故时,数据所有人/处理人是否需要通知相关个人?
日本个人信息保护法并没有要求在发生信息安全事故时通知个人。然而,日本个人信息保护委员会发布的指导方针建议,最好将事故情况通知个人,或使受影响的个人随时了解事故情况,以防止意外的二次伤害或事件再度发生。此外,日本个人信息保护委员会针和日本金融厅(Financial Services Agency(FSA))在针对金融部门个人信息安全保护的指引中指出,如果发生信息安全事故,个人信息处理者和经营者应立即通知有关事故情况。
数据拥有者/处理者有否需要在发生信息安全事故时通知相关机构?
日本个人信息保护法不要求这样做。然而,日本个人信息保护委员会发布的指导方针认为,一般而言,处理个人信息的经营者,应尽力即时将信息安全事故及所采取的应对措施通知个人信息保护委员会。此外,日本个人信息保护委员会针和日本金融厅(Financial Services Agency(FSA))在针对金融部门个人信息安全保护的指引中指出,如果发生信息安全事故,个人信息处理者和经营者应立即报告金融厅,并及时公布——尤其是——泄露情况和采取的措施,以防止同样的情况再次发生。
电子营销和互联网使用
电子营销——是否有专门的规定管理非经请求的电子营销(垃圾邮件(spam))?
日本特定商业交易法(第57/1975号)(Act on Specified Commercial Transactions(57/1975))禁止公司在未经客户事先要求或同意的情况下通过电子邮件宣传其商品信息。此外,日本特定电子邮件传送法(2002年6月26日)(Act on the Regulation of Transmission of Specified Electronic Mail(26/2002))规定,电子邮件的传送是销售活动的广告手段。根据该法,原则上公司不得在未征得客户同意或同意的情况下发送此类电子邮件。
因此,日本特定商业交易法和日本特定电子邮件传送法禁止发送未经请求的电子邮件营销信息(即垃圾邮件)。
Cookies(储存在用户本地终端上的数据)——是否有关于Cookies使用的规定?
关于使用cookies或类似技术,没有特别的规定。
数据传输和第三方
跨国界数据传输——在管辖范围之外的数据传输有哪些规则?
原则上,日本个人信息保护法规定,未经当事人事先同意,不得向外国第三方提供其个人数据。
上述限制的例外情况包括:
*对于接收个人数据的第三方,如该营业者的管理制度符合个人信息保护委员会所订的标准,则不适用事先同意的规定。个人信息保护委员会制定的规则目前提供了两类可豁免的经营者:
·接收方经营者与向接收方经营者转让个人数据的另一经营者一起,通过双方采取适当和合理的措施,确保遵守日本个人信息保护法的有关规定;和
·基于个人信息处理国际规则,获得认可的接收方经营者(如亚太经合组织跨境隐私规则(the APEC Cross-Border Privacy Rules)的认可)。
*如果接收方经营者所在国家属于日本个人信息保护委员会法规中规定的,已经拥有与日本法律要求相当的个人信息保护系统的国家,则可以免除事先同意要求。尽管如此,直到2017年11月1日,日本个人信息保护委员会的法规还没有列出任何一个这样的国家。关于这个问题,个人信息保护委员会于2017年7月4日宣布,将尽快启动一项程序,修改其委员会规则,以期在2018年初的目标时限内,将欧盟成员国指定为豁免国家。
对数据的地理传输有限制吗?
日本个人信息保护法和大多数指导方针都不限制数据的地理传输。但是,有关医疗信息系统的指导方针规定,医疗信息系统(如包含医疗信息的服务器)和医疗数据不得传出日本法律可以执行的地区。
第三方——在将个人信息传输第三方时,是否有对数据所有人有特定规定?
一般而言,受日本个人信息保护法管辖的经营者在未征得个人事先同意的情况下,不得向第三方提供个人信息。
此外,日本个人信息保护法规定,向第三方提供个人数据的经营者须记录:
*提供信息的日期;
*第三方的名称;和
*个人信息保护委员会规则规定的其他事项。
反之,若经营者从第三者接收该个人数据,则必须确认:
*第三方的名字、地址;
*代表的姓名;和
*第三方取得个人信息的方式。
此外,经营者必须记录所提供信息的日期,以及任何与此有关的事项,和个人信息保护委员会规定的其他事项。
例外——以上一般规则的例外有:
*处理法律、法规要求的个人数据;
*处理个人数据对保护其生命、身体或财产是必要的,而要取得他或她的同意则是困难的;
*处理个人数据对改善公众健康或促进儿童的健康成长是必要的,而取得他或她的同意则是困难的;或
*必须同国家机关、地方政府或受国家或地方机关委托的第三方合作,进行法律和法规规定的某些事务,取得个人的同意可能会妨碍这些事务的执行。
下列例外也适用:
*如果已经事先通知个人以下信息,或者个人极容易获取此信息,则受日本个人信息保护法管辖的经营者可以,未经个人事先同意,就向第三方(不包括地址在日本境外的)提供个人数据(不含敏感信息)。此外,它还必须将下列所有信息通知日本个人信息保护委员会:
·向第三方提供个人数据的属于使用目的范围内;
·将向第三方提供个人数据;
·向第三方提供个人数据的手段或方法;
·若提供个人数据会引致第三方识别该个人,若该个人要求不提供,该信息将会被终止提供;和
·个人提出退出请求的方式。
日本个人信息保护法一旦修订,还将要求企业经营者就个人提出退出申请的方式,和将上述所有信息通知个人信息保护委员会的方式,提供意见。经营者也将被禁止通过选择退出的方式向第三方提供敏感信息。
*如因合并、收购或类似的继承交易而转移个人数据的,接收者不构成第三方。
*如果个人数据转移,是由于第三方服务提供者受到经营者委托,为了达到使用数据的目的,而处理个人信息,并且服务提供者对数据的处理和使用没有自身目的,这样的服务提供者不构成第三方。
*如果已经事先通知个人以下信息,或者个人极容易获取此信息,则受日本个人信息保护法管辖的经营者可以,未经个人事先同意,同其他个人或机构共同使用个人信息:
·个人数据可由其他个人或机构共同使用;
·将被共同使用的个人数据的内容;
·共同使用者的范围;
·使用个人数据的目的;和
·负责管理个人数据的共同使用者(个人或操作企业)的名称。
处罚和赔偿
处罚——对不遵守数据保护规定的潜在处罚是什么?
根据日本个人信息保护法,如果经营者泄露了个人隐私或者违反了该法,个人信息保护委员会可要求有关处理个人信息的报告,并可发出整改建议或纠正令。
在发出纠正令之前,个人信息保护委员会可以采取一种渐进的方式,指导、建议并向受该法管辖的经营者提出改进意见。违反订正令即属刑事犯罪,该负责人可被判处最长可达6个月的监禁,或最高30万日元的罚款,或两者并罚。该公司还将被处以最高30万日元的罚款。
赔偿——个人是否有权就信息泄露或不遵守信息保护规则而遭受的损失,向数据所有人提出赔偿?
如个人因日本个人信息保护法管辖的经营者的行为造成数据泄露或不遵守数据保护规定,从而使得个人隐私遭到损害的,可以向经营者以侵权或者违反合同为由,提出赔偿请求。
网络安全
网络安全立法、法规和执法——在你的管辖范围内是否有专门涉及网络犯罪和/或网络安全的立法?
若干法律涉及不同类型的网络犯罪和网络安全,例如:
2011年修订的刑法(第45/1907号),规范“非法编程”其中包括恶意软件(第168-2和168-3条);
1999年颁布并于2012年修订的关于禁止未经授权入侵算机法(The Act on the Prohibition of Unauthorised Computer Access)(第128/1999号),内容包括网络钓鱼和未经授权获取识别资料(如密码);和
反不正当竞争法(The Unfair Competition Prevention Act)(第47/1993号)禁止非法获取商业秘密,并于2015年修订,以加强处罚力度。
在你的管辖范围内,是否还有其他维持网络安全法律法规(包括已经采用的国际标准)?
2014年11月通过了网络安全基本法案(The Basic Act on Cybersecurity)(第104/2014号),以促进和提高日本的网络安全。该法案规定了国家和地方政府的总体网络安全政策、角色定位和各自的责任。该法案还规定,网络企业和与基础设施有关的企业应努力采取自主措施加强网络安全,并与政府合作实施相关措施(第7条)。
在你的管辖范围内,哪些网络活动属于犯罪行为?
以下网络活动在日本被定为刑事犯罪,其中包括:
在另一个人或机构的电子设备中制造、提供、释放、获取和存储恶意软件,并意图使用该等恶意软件(刑法第168-2条和168-3条);
网络钓鱼,及未经授权而取得识别资料(如密码及指纹资料)(禁止未经授权入侵计算机法第2、3、4及7条);
未经授权入侵计算机系统或网络系统(禁止未经授权入侵计算机法第2和第3条);和
未经授权的获取、使用或披露商业秘密(包括以电子方式储存的),以获取非法获利或损害业主的意图(反不正当竞争法第2条)。
哪些机构负责执行网络安全法律法规?
网络安全基本法案将网络安全战略总部指定为促进国家网络安全战略的控制机构,并将国家网络安全准备和战略中心指定为其秘书处。
关于网络犯罪,警察局和检察院负责执行适用的法律。
网络安全最佳应对措施和报告——公司能够因网络安全漏洞获取保险吗?
是的,但这并不常见,尤其是对于中小型企业。
公司是否需要保存网络犯罪威胁、攻击和破坏的记录?
没有这样的法律义务。但是,禁止未经授权入侵计算机法中规定,计算机和网络系统管理者应该努力长期检查访问控制功能的完整性(第八条)。因此,公司应当努力保存这些记录以更好地管理自己的计算机系统。
是否要求公司向有关部门报告网络犯罪的威胁、攻击和违法行为?
没有这样的法律义务。如果网络犯罪导致个人数据泄露,公司将被要求按照适用指南向主管部门进行报告。
公司是否需要公开报告网络犯罪威胁、攻击和攻击情况?
没有这样的法律义务。如果网络犯罪导致个人数据泄露,公司将被要求按照适用指南向有关人士进行报告。
刑事处罚——对网络犯罪可能的刑事处罚有哪些?
对日本主要类型的网络犯罪的刑事处罚如下:
*制作、提供或传播恶意软件可判处最长三年的有期徒刑,或最高50万日元的罚款(刑法第168-2条)。
*获取或储存恶意软件可判处最长两年的有期徒刑,或最高30万日元的罚款(刑法第168-3条)。
*网络钓鱼及未经授权而透过网上系统获取身分资料的行为,可判处最高一年的有期徒刑,或最高50万元的罚款(禁止未经授权入侵计算机条例第12条)。
*未经授权而入侵计算机系统或网络的人,最高可判处3年有期徒刑,或最高100万日元的罚款(禁止未经授权入侵计算机法第11条)。
*未经授权获取、使用或披露商业秘密,可判处最高10年的有期徒刑,或最高2000万日元的罚款,或两者并罚(反不正当竞争法第21条)。
如果不遵守网络安全法规,可能会受到什么惩罚?
并么有相应的惩罚。但是,该行为同时也属于不遵守数据保护规定的情况,有关部长可发布整改建议和纠正令,违反纠正令是刑事犯罪。
作者:Nishimura & Asahi - Hitomi Iwase, Hiroko Shibata and Mitsukuni Terada
文章来源:https://www.lexology.com/library/detail.aspx?g=aaea9a4f-6216-4cce-95ee-e889cb306b91&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-05-30&utm_term=
