2021年9月10日,日本個人信息保護委員會(PPC)宣布更新關于《個人信息保護法》指南的問答(Q&A),新增了人臉識別信息使用、個人數據泄露報告、假名化處理信息和個人參考信息、個人數據跨境傳輸等相關具體規定。這些具體規定從總體上擴大了個人信息的保護范圍,明確了人臉識別信息的保護要求,增加了數據處理者泄露報告和通知個人的法律義務,解析了假名化處理信息和個人參考信息的概念和用法,加強了個人數據跨境傳輸中的安全監管。
由于修訂后的《個人信息保護法》預計將于2022年4月1日生效,更新后的問答現在也處于尚未生效的狀態。問答的這次更新旨在與《個人信息保護法》及其指南之前的修訂相配套,增強法案在具體實踐中的可操作性,防范化解大數據時代進行個人信息保護的潛在風險,具體有以下四大焦點問題值得關注。
一、重點關注人臉識別信息使用
數據處理者采集人臉識別信息需要遵守修訂后的《個人信息保護法》規定進行適當處理。商場等公共場所出于預防犯罪目的采集顧客人臉識別信息的,應當在入口或攝像頭安裝位置,提前公告或顯著標識。數據處理者應當明確人臉識別信息的數據內容、使用目的、聯系方式等,并根據達到使用目的所需的最小范圍設定數據保留期限。
此外,數據處理者還應當根據最小必要原則,向公共人臉識別系統注冊,確定責任人并采取安全措施,保障注冊的必要性和準確性。經過注冊后,符合預防犯罪目的的人臉識別信息可以在合理范圍內共享使用,人臉識別系統中的相關信息會不時更新以保證準確性。數據處理者如果想將出于預防犯罪目的采集的人臉識別信息用于商業營銷目的,應當事前取得個人同意。
二、完善細化數據泄露報告制度
與現行法律下的自愿報告制度完全不同,修訂后的《個人信息保護法》建立了強制性數據泄露報告制度。問答詳細地列舉了在不同具體場景下,是否需要根據修訂后的《個人信息保護法》向PPC報告數據泄露事件,以及在個人數據權益可能受到損害的情形下通知個人的不同形式。
根據修訂后的法案及其指南,出現或可能出現以下四種數據泄露事件時,數據處理者應當承擔向PPC的數據泄露報告義務。一是涉及敏感個人信息的數據泄露,二是具有財產損失風險的數據泄露,三是可能出于不正當目的而導致的數據泄露(例如網絡攻擊),四是超過1000名個人的數據泄露。數據處理者向PPC的報告分為初步報告和最終報告兩個階段,有不同的時限要求。初步報告必須在確認潛在數據泄露發生后立即進行,最終報告必須在30天內完成(除第三種情形外,可以延長至60天)。
此外,數據處理者應當在任何數據泄露事件發生后采取必要措施,通過內部溝通和強化保護防止事態擴大,進一步調查數據泄露的事實和原因。向PPC的數據泄露報告中應當包含九方面的詳細信息:一是數據泄露事件概況,二是受影響或可能受影響的個人信息類型,三是受影響或可能受影響的個人數量,四是數據泄露原因,五是數據泄露導致的二次損害風險及其性質,六是向受影響個人的通知情況,七是數據泄露事件是否被公開以及公開原因,八是為防止數據泄露再次發生而采取的措施,九是可作為有用參考的其他事項。
三、引入兩類新的信息類型
一是“假名化處理信息”概念。問答詳細解答了“假名化處理信息”與“匿名化處理信息”兩者之間的區別。“假名化處理信息”是一種與個人有關的信息,除非與其他信息進行比對,否則無法識別出特定個人。如果數據處理者處理被視為假名信息的個人數據,他們將不需要遵守《個人信息保護法》下的某些義務,例如回應披露請求或停止使用已收集的個人數據等。
法案新增“假名化處理信息”這一概念背后的用意有二:一方面,假名化處理信息僅適用于數據處理者內部,鼓勵數據處理者將假名化處理信息用于內部目的,包括業務分析、計算模型開發等;另一方面,經過假名化處理的個人信息可以加以保留而不是刪除,不再用于個人信息原始的采集目的,為未來潛在的統計分析用途做數據儲備,兼顧安全與發展。
值得注意的是,法案明確要求,同時或分別處理“假名化處理信息”和“已刪除個人信息”的數據處理者,具有對個人信息提供增強型安全性保護的特定義務,具體要求有以下七方面內容。一是禁止通過可識別特定個人的方式將假名化處理信息與其他數據(例如已刪除的個人信息)進行核對;二是對假名化處理信息的使用要嚴格適用目的限制原則和必要性原則;三是禁止使用假名化處理信息中包含的任何聯系信息,例如通過電話、郵件、電子郵件或其他方式聯系到特定個人;四是禁止將假名化處理信息向第三方(法案第23條第5款規定的“受委托”的數據處理者除外)進行任何形式的轉讓;五是如果假名化處理信息被收購或有意改變其使用目的,數據處理者具有發布通知的披露義務;六是在數據泄漏情形下,如果已刪除的個人信息沒有收到數據泄漏影響,那么無須對假名化處理信息履行泄漏通知義務。七是個人對于假名化處理信息僅保留投訴和獲得及時適當回應的權利。
二是“個人參考信息”概念。盡管對于cookie政策仍然沒有明確的具體要求,指南指出,通過cookie獲得的個人瀏覽歷史、個人位置數據、購買歷史和偏好等,均屬于個人參考信息,除非該類信息明確屬于個人信息、假名處理信息或匿名處理信息。僅憑個人參考信息無法識別到特定個人,因此并不構成個人信息。但是,數據處理者如果將個人參考信息轉移給擁有額外相關數據的數據處理者,兩相對照可以識別到特定個人的情形下,個人參考信息可能被納入個人信息范疇。指引問答指出,在特定情形下數據處理者與第三方共享個人參考信息前,需要確認個人是否同意第三方接收其信息、取得同意的方式等。
四、加強數據跨境傳輸監管
修訂后的《個人信息保護法》從兩方面增加了向日本境外第三方傳輸數據的限制要求。一方面,在個人同意的情況下進行數據跨境傳輸時,數據輸出方應當向數據主體提供以下信息:一是數據輸入的國家名稱;二是相關國家的個人信息保護制度,并以適當、合理的方式予以確認;三是數據輸入方應當采取的安全保障措施。與此同時,數據輸出方應當采取的必要措施包括以下三項:一是定期確認數據輸入方處理個人信息的狀態,以及數據輸入方所在國家是否存在可能影響個人信息處理狀態的情況;二是在正確處理個人信息過程中出現問題時應采取的措施;三是數據輸入方為確保個人信息的持續正確處理而采取的安全保障措施。
另一方面,采取數據傳輸合同的方式進行數據跨境傳輸時,合同必須采用與《個人信息保護法》等效的數據安全保護標準和必要措施,持續確保數據輸入方對個人數據的正確適當處理。具體包括以下三項,一是定期檢查數據輸入方設立的與《個人信息保護法》等效的安全保護措施,以及措施的實施情況和內容,并通過適當合理方法評估可能影響此類措施實施的外國法律情況;二是采取必要和適當行動及時補救發現的任何障礙;三是如果數據輸入方繼續執行《個人信息保護法》等效措施變得困難,應當暫停向其傳輸所有個人信息。
同時,數據處理者在收到個人提出的數據請求時,必須立即向個人提供以下七方面的必要安全保障信息:一是數據輸入方實施的個人信息保護制度,二是數據輸入方將實施的等效安全保護措施的概要,三是數據輸入方個人信息處理系統的確認頻率和方法,四是數據輸入方所在的國家名稱,五是可能影響等效安全保護措施實施的國外制度概況,六是實施等效安全保護措施可能存在的障礙,七是為應對第六項中提到的障礙而采取的必要措施。
總體而言,修訂后的《個人信息保護法》及其框架更加接近于歐盟GDPR的強監管架構,體現出日本迎合大數據時代技術創新要求、強化個人信息保護監管力度、趕超全球數據安全立法進度的決心。
