淺析日本個人信息保護相關立法及制度

唐軼晴

摘要：日本是非常重視個人隱私、個人信息保護的國家，國民的隱私保護意識也很高，因此，日本的相關立法和制度的建立起步也很早。早在1988年（昭和63年）12月就公布了《關于行政機關保有的與電子計算機處理相關的個人信息保護的法律》，于平成15年（2003年）公布和部分實施了《個人信息保護法》，于平成17年（2005年）全面實施。日本的個人信息保護相關立法和制度，逐步完善，社會效果顯著。在此，筆者力圖通過對日本相關立法和制度的整理，分析其對我國立法的借鑒意義。

關鍵詞：日本;個人信息保護;保護制度

一、日本個人信息保護相關立法的現狀

國際上大部分已制定了個人信息保護法相關法律的國家，大多以OECD《關于隱私保護與個人資料跨國流通的指南》中提出的八項原則1為立法主旨，日本也不例外。日本的《個人信息保護法》在上述八項原則的基礎上，根據本國的實際情況，相應的在立法中確認了相關業者的義務2，并在立法中細化定義了“個人信息”、“個人識別符號”“個人敏感信息”、“個人信息數據庫”、“個人信息處理業者”、“個人數據”、“匿名化加工信息”3等。從立法的基本理念看，日本希望通過立法在尊重人格權利的基礎上，適當的、慎重的使用個人信息。同時公布的還有《關于行政機關保有的個人信息保護相關的法律》4、《關于獨立行政法人等保有的個人信息保護的相關法律》5、《信息公開·個人信息保護審查會設立法》6等針對國家行政機關、專門機構設立的一系列法律。從上述立法的內容上分析，日本很重視國家行政機關，在執行政府公共事務時，所獲取的大量的公民個人信息如何高效的、合理合法的利用，以及在收集、分析、利用、匿名化處理等的過程中，如何避免個人信息的泄露的問題。對國家行政機關利用公權力獲取的個人信息應盡到何種義務、受到何種監督是日本在個人信息保護立法中重點關注的。

隨著信息化社會進程的加快，智能手機、網絡運用的普及，隱私權保護意識極高的日本，進一步制定出臺了一系列特別法，如《關于在行政手續中獲取的識別特定個人的號碼的利用等相關的法律》7（以下簡稱“號碼法”）、《關于評價特定個人信息保護相關的規則》8。從整體立法體系角度分析，日本以基本法律《個人信息保護法》作為個人信息保護相關立法的基本方針，將適用法律的主體區分為民間主體和公權力主體，又分別適用其領域內的特別法令、規則、指南。如下圖9所示：

綜上，日本在個人信息保護相關的法律、法規的框架如圖所示。該體系的建立是隨著社會信息化的加深、個人信息的收集不可避免，而如何高效利用收集的個人信息，提高社會福祉，為公共利益服務，克服其中的利益沖突問題，使公眾對其個人信息不會被濫用、泄露，從法律、政策的層面，制定專門的外部監督機構、通報等機制是日本立法和施策的特點。

二、日本針對個人信息保護相關的制度

（一）個人信息保護委員會（Personal Information Profection Commission）（以下稱“PPC”）

依據日本的《個人信息保護法》第四章第三節（監督）的相關內容，PPC是在規定的限度內，根據需要可以要求個人信息處理業者或匿名化加工信息處理業者，提出必要的報告或其他資料，進入其經營場所進行檢查、詢問、以及查看賬簿等文件;提供指導及建議;提出勸戒或命令;為保證個人信息（包括特定個人信息）被適當使用而設置的，具有高度獨立性的機構。其主要職責為（1）推進和制定個人信息保護相關的基本方針（2）對個人信息等的處理進行監督（3）開展與認定個人信息保護團體的相關事務（4）監查監督特定個人信息處理（5）開展與認定特定個人信息保護評價相關的事務（6）負責投訴、調解等事務（7）國際協作（8）開展宣傳、推廣活動（9）其他。

（二）個人信息保護團體認定制度

個人信息保護團體認定制度是指為了按照各業務領域推進民間團體參與個人信息保護，以發展自發組織為目的，由PPC認定法人、非法人團體為個人信息保護團體的制度。被認定的個人信息保護團體開展《個人信息保護法》第47條規定的各項業務，根據行業特性自主制定《個人信息保護指南》，依據該指南尋求對該行業內相關業者進行指導。如，一般社團法人日本交互廣告協會（JIAA）發布的《行為軌跡目標廣告指南》，該指南為協會會員在獲取網絡用戶在使用網頁、APP或其他網絡瀏覽行為痕跡信息后，利用該數據投放目標廣告時，應遵守的基本事項做出規定，為營造安全放心的網絡廣告環境而制定。

（三）隱私保護標識制度

隱私保護制度是對符合日本產業規格（“JISQ15001個人信息保護管理系統要求事項”），的要求，評價業者針對個人信息保護具有適當的保護措施及體制，頒發象征隱私權保護的標識，認可其在業務活動中使用隱私權保護標識的制度。

實施該制度的機構是一般財團法人日本信息經濟社會推進協會（JIPDEC）下設的隱私權保護標識委員會。委員會成員有學者、事業團體代表、消費者代表以及法律界人士，相關規則指南由其進行審議、制定相關制度、決定頒發或取消、暫停隱私權保護標識的使用。標識的使用期限為2年。該制度是為了讓消費者提高個人信息保護意識，激勵相關業者提高社會信用度的舉措。截止筆者調查網站信息（2020年1月16日），共計16385家團體取得了隱私權保護標識。

（四）信息銀行制度

信息銀行制度最早是為了體現《官民數據活用推進基本法》10第12條（涉及個人的情況下，通過多種主體靈活利用官民數據）的宗旨而經日本總務省、經濟產業省等相關部門召開相關研討會，制定公布了《關于認定信息信托職能的指南ver1.0》11（以下稱“指南”），指南中將“信息銀行（PDS12）”定義為根據與個人之間訂立的數據利用相關合同，在PDS等系統中利用管理個人數據的同時，根據個人的指示及事前指定的條件，替代個人做出適當性與否的判斷后，將數據提供給第三方的業務。指南中制定了①認定基準②合同模板的必要記載事項③認定流程等內容。認定由一般社團法人日本IT團體聯盟信息銀行推進委員會負責。最新的《關于認定信息信托職能的指南ver2.0》13于平成31年10月由經濟產業省公布。

三、對我國的借鑒意義

上述介紹了日本在個人信息保護方面的立法及目前的相關制度。對比我國目前的個人保護立法，我國目前尚未有專門的個人信息保護法律，我國對個人信息保護相關的法律，都散落在其他相關法律中，如《消費者權益保護法》14、《民法總則》15等。

目前，全球的信息化程度，遠非傳統貿易的概念，更多的是數據信息的交流和使用。但這都急需建立在各國完備的信息保護立法之上。根據日本貿易振興機構（JTERO）2018年11月21日公布的統計報告16，國際電信聯盟（ITU）依據使用的跨境網絡帶寬計算的世界跨境數據流通量，2001年為每秒1608千兆位，2016年則增長至2001年的165倍26.5萬千兆位。世界數據流通量的國別統計上，截止2016年，跨境數據流通量最多的前五個國家和地區依次為中國香港、美國、英國、中國臺灣、中國。這些數據流通中，包含大量的個人信息。PPC于平成31年（2019年）4月25日發布的《關于個人信息保護法暨每3年期回顧研討情況的中期整理》17對日本個人信息跨境轉移的現狀面向PPC的會員企業進行了調查，關于跨境轉移的個人信息的內容及對象國的調查顯示，內容上從業人員的個人信息占比超過76%為最多，其次是交易方的個人信息占比超過43%。在消費者的個人信息方面，對內（外國→日本）19%，對外（日本→外國）12.1%，而跨境轉移的對象國流通量最大的就是中國，對內71.5%、對外67.7%，其次是美國、歐盟。報告中還提到在對象國中，中國尚未有完備的法律保護體系。

因此，沒有系統完備的個人信息保護相關法律，對我國的對外貿易，全球信息化數據交換、利用等方面會產生很不利的影響。我國作為新興市場，在跨境電商等信息化新產業方面，無論是交易量還是用戶數量，數據數量都是巨大的，其利用、跨境轉移都存在個人信息泄露等風險。目前我國在有關數據跨境轉移方面，僅僅主要在《網絡安全法》18中進行規制是不足的。

日本的個人信息保護立法，也同樣經歷了從單獨領域個別立法，逐步過渡到專門立法的過程。筆者認為日本目前建立的個人信息保護立法及制度，很值得我國借鑒。如通過立法更加明確國家、地方行政機關、與個人信息處理相關業者等根據其行政職權或依據其業態能夠收集到大量個人信息的團體，在處理、利用、轉移、編輯收集到的個人信息時，應盡到的告知、保密、妥善保管、謹慎處理等義務，以及更為明確其在處理個人信息時應履行的相關程序，受到何種外部監督，應在何種范圍內收集和利用。這樣可以使得公眾對相關企業和行政機關收集到本人的個人信息后如何使用，依法取得知情權，并增強公眾對企業的信賴，增加政府機關的公信力。例如，在進入大學的圖書館，甚至一般的辦公大樓時，都會被要求登記公民身份證號，但在中國，公民的身份證號碼是可以識別特定個人的號碼，且每一公民僅可以取得唯一的終身不變的一個身份證號碼19，有關單位及其工作人員在履職過程中，獲取的公民身份證信息應當予以保密20。但實際上，登記時只是使用簡單的一張表格自行記錄上姓名和身份證號，進行登記時，很輕易就可以看到同一張登記表格中其他人員登記的身份證信息，談不上采取了任何保密措施，而登記的依據又是什么，相應的保密、妥善保管義務的履行情況又受到哪些檢查和監督，收集了大量信息后進行了何種處理，公民個人或有關單位都沒有具體的法律依據可以明確權利義務。

四、結語

隨著2016年12月15日國務院發布《關于印發“十三五”國家信息化規劃的通知》21，我國在國家戰略層面制定了信息化發展的目標、原則和主要任務。近年來，我國在各個單獨領域以及互聯網發達的浙江、廣東等省都以地方法規的形式，對數據保護、網絡安全、個人信息保護方面的立法及制度制定上，有了顯著的明確化、具體化的趨勢。法律根本上是服務于社會經濟生活的，公眾需要法律為避免個人信息泄露，或盡可能地降低泄露的風險，提供事前評估的防范措施，事后追責，獲得賠償的依據。

因此，在借鑒其他國家經驗的基礎上，建立符合我國國情的法律法規，在個人信息利用和公共利益的沖突中取得平衡，增加數據大國的優勢。同時，個人信息保護還需要充分調動民間團體及企業的社會責任;提高公民的個人信息保護意識，共同建立安全、可信賴的法制環境。

參考文獻：

[1] 經濟合作與發展組織 Organisation for Economic Co-operation and Development（OECD）。OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 八項原則分別為（1）限制收集原則（2）資料內容完整正確原則（3）資料利用目的明確化原則（4）限制利用原則（5）安全保護原則（6）公開原則（7）個人參與原則（8）責任原則。

[2] 《個人信息保護法》「個人情報の保護に関する法律」平成15年法律第57號第四章（個人信息處理業者的義務等）

[3] 《個人信息保護法》第一章第二條（定義），筆者譯

[4] 《關于行政機關保有的個人信息保護相關的法律》「行政機関の保有する個人情報の保護に関する法律」平成十五年法律第五十八號（全面修改了1988年制定的「關于行政機關保有的與電子計算機處理相關的個人信息保護的法律」的相關內容

[5] 《關于獨立行政法人等保有的個人信息保護的相關法律》「獨立行政法人等の保有する個人情報の保護に関する法律」平成十五年 法律第五十九號

[6] 《信息公開·個人信息保護審查會設立法》「情報公開·個人情報保護審査會設置法」平成十五年法律第六十號

[7] 《關于在行政手續中獲取的為識別特定個人的號碼的利用等相關的法律》「行政手続における特定の個人を識別するための番號の利用等に関する法律」平成二十五年法律二十七號，平成二十七年法律第65號部分修正

[8] 《關于評價特定個人信息保護相關的規則》「特定個人情報保護評価に関する規則」平成二十六年特定個人信息保護委員會規則第一號

[9] 出處：https：//www.ppc.go.jp/files/pdf/personal_framework.pdf個人信息保護委員會網站

[10] 《官民數據活用推進基本法》（官民データ活用推進基本法）平成二十八年法律第103號

[11] 《關于認定信息信托職能的指南ver1.0》「情報信託機能の認定に係る指針ver1.0」

[12] PDS：Personal Data Store的略寫

[13] 來源：經濟產業省網站：https：//www.meti.go.jp/press/2019/10/20191008003/20191008003.html

[14] 《中華人民共和國消費者權益保護法》（2013修正）發布日期：2013.10.25 生效日期：2014.03.15 第二十九條 經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。經營者應當采取技術措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時，應當立即采取補救措施。

[15] 經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息。《中華人民共和國民法總則》主席令第六十六號 發布日期：2017.03.15 生效日期：2017.10.01第一百一十一條 自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

[16] 來源：https：//www.jetro.go.jp/biz/areareports/2018/380fd5f0d9c4bb4d.html急増する世界の「データ」流通量 激增的世界數據流通量

[17] 來源：https：//www.ppc.go.jp/news/press/2019/20190425/

（作者單位：北京君泰律師事務所）