背景
2020年伊始,一场新型冠状病毒感染肺炎在武汉爆发,并迅速蔓延全国,甚至波及到世界多个国家和地区。1月30日,世卫组织(WHO)宣布新型冠状病毒感染肺炎疫情为国际关注的突发公共卫生事件。
为防控疫情,全国上下群策群力,众志成城。在此期间,诸多企事业单位积极参与到疫情防控的工作中,综合应用人工智能、大数据、云计算、区块链等新技术,更加实时、准确、全面地为疫情防控提供了强有力的决策支撑,在疫情防控工作中发挥了不可或缺的重要作用。[1]其中,个人信息的收集、分析、应用等为疫情排查,预测疫情的发展和防控措施决策的制定等提供了重要的支持。国家卫生健康委员会于2020年2月3日发布并实施《国家卫生健康委办公厅关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,要求强化数据采集分析应用,利用大数据技术对疫情发展提供数据支撑。
另一方面,侵犯个人信息的违法犯罪活动也频繁发生。2020年1月,湖南益阳市某区卫生健康局某干部因通过微信将内部工作文件转发给无关人员进而传播,违反疫情防控工作纪律并侵害他人隐私[2];2月1日山西省临汾市一男子因在微信群中传播“35名密切接触者名单”文件(名单内容涉及姓名、身份证号、家庭住址等公民个人信息)被依法行政拘留[3];2月7日江苏省淮安市破获全省首起利用疫情非法获取公民个人信息的案件,嫌疑人薛某某利用虚假口罩购买网站骗取五千余条的个人信息[4]等等,不一而足。 因此,中央网络安全和信息化委员会制定部门规范性文件《中央网络安全和信息化委员会办公室关于做好个人信息保护利用大数据支撑联防联控工作的通知》,对疫情中个人信息收集、使用等有关问题再次做出了明确规定。
兼顾个人信息的充分合理利用和个人信息权益保护的重要性在疫情下显现无疑。
笔者注意到日本个人信息保护委员会于2月12日公布了《个人信息保护法3年修正制度改订大纲》(以下简称“修订大纲”)征求意见期间收到的公众意见。修订大纲中涉及的修订内容,特别是基于兼顾和平衡个人信息的充分利用和个人权利保护的立法考虑,以及立法修订和监管层面的方式方法等,对我国正在积极推进的个人信息保护法律体系的构建以及个人信息保护法等相关法律法规的立法工作都具有重要的参考和借鉴意义。本文试图通过对日本个人信息保护法的立法修订、修订大纲的主要修订事项等的介绍,浅谈对我国个人信息保护法的几点思考,希望为企业在与日本经济文化交流中涉及个人信息保护的合规工作提供参考借鉴。
一、 日本个人信息保护法立法修订概要
(1) 日本个人信息保护法立法修订大事记
1988年,日本发布《关于行政机关保管电子计算机处理涉及个人信息保护法》,该法是日本关于个人信息保护立法的开端,但是涉及范围只限于行政机关。
1999年,日本执政三党就着手研究个人信息保护立法,力争3年内实现立法目标达成一致意见。
2000年12月,日本个人信息保护立法专门委员会制定《个人信息保护法基本法制大纲》。
2001年3月,日本《个人信息保护法草案》初次提交国会审议。
2003年5月,日本国会通过《个人信息保护法》。
2004年4月,日本内阁会议通过《个人信息保护基本方针》。
2005年4月,《个人信息保护法》全面施行。
2008-2009年,先后两次修改《个人信息保护基本方针》。
2015年9月,修订并通过修订后的《个人信息保护法》。
2017年5月,修订后的《个人信息法》全面施行。
2019年1月,个人信息保护委员会发表《关于3年修订的研究着眼点》。4月,发表中间整理报告,并进行意见征集。12月13日,发表修订大纲,并再次进行意见征集。2020年2月12日,公布意见征集结果。根据修订大纲的说明,个人信息保护委员会将在本次征集意见的基础上,起草完成《个人信息保护法》修正案并力争在今年提交日本国会审议。
(2) 现行日本个人信息保护法的体系框架
《个人信息保护法》作为个人信息保护领域的基础性法律,在第一至第三章中规定了个人信息保护的基本理念、国家以及地方公共团体的职责义务以及个人信息保护的措施政策等总体内容。在第四至第七章中则以民间经营者为对象规定了个人信息处理经营者的义务、法律责任等内容;
根据《个人信息法》的规定,政府制定发布了《个人信息保护基本方针》,其中规定推进个人信息保护措施政策的基本方向,国家、地方公共团体、独立行政法人、地方独立行政法人的应采取措施的基本事项,以及信访投诉等重要事项;
专门制定《行政机关个人信息保护法》、《独立行政法人个人信息保护法》以及针对地方公共团体等的《个人信息保护条例》,主要对涉及公权力机构的个人信息保护等进行单独规定;
依据2017年正式实施的《个人信息保护法修订》(以下称“2017个法修订”),个人信息保护委员会开始统一负责个人信息保护的监管职责,由其制定发布指南包括通则、跨境第三方提供、确认记录义务、匿名加工信息等内容,用以指导个人信息保护的具体工作实施;
此外,涉及金融、医疗、通信等相关领域的个人信息保护也有专门的参考指南。
二、 日本修订大纲中的主要修订事项
(1) 加强个人权利的保护
① 充实个人信息保护法咨询热线制度。
个人信息保护咨询热线是伴随2017个法修订将个人信息保护监管权限统一到个人信息保护委员会的基础上设立的制度。修订大纲肯定了咨询热线制度在接受处理公众举报投诉以及收集监管业务相关事例的积极作用,并考虑通过增加人工智能实现24小时自动接听电话处理简单常见问题,以及在重视保密的前提下,对于公众提出的意见以及咨询较多的内容以指南或者Q&A的形式向公众公示等方式,进一步充实咨询热线制度。
② 放宽个人提出停止使用、删除、停止向第三方提供的条件。
修订大纲计划放宽对于个人请求停止使用、删除、停止向第三方提供的条件要求,扩大个人权利的范围。但是,从减轻经营者负担的角度,在经营者难于停止使用、删除个人信息或者停止向第三方提供时,考虑允许经营者采取保护个人权益的必要替代措施作为例外事项。
③ 落实个人信息的应请求查询制度。
修订大纲认识到个人信息查询制度对于增强个人信息处理的透明度、保护个人参与个人信息保护权益具有重要作用,考虑继续关注经营者的实际对应情况并努力推进企业对该制度的了解。为了增加个人的便利性,修订大纲对于查询结果方式,准备要求经营者原则应按照个人要求的包括电子文档等形式提供,但在可能大幅增加经营者费用等确有困难时,允许经营者采取书面交付的方式,并通知本人。同时,修订大纲计划扩大查询制度的对象范围,把原先排除在外的6个月内删除的短期保管的个人信息纳入到对象范围之内。
④ 强化“Opt-Out”制度。
“Opt-Out制度”是在2017个法修订中为了兼顾经营者的经营效率和实务困难新增加手续的制度,具体指对于经营者从第三人间接收集的个人信息,在按照法定要件向个人信息保护委员会备案后,可以不经本人同意向第三人提供,但经委员会公示个人可以要求停止提供。修订大纲认为该制度发挥了一定的作用,但也存在相应的实操问题,提出要限定不经本人同意可以向第三方提供个人信息的范围,增加备案内容(如地址等)和备案信息发生变更时追加备案的要求,对第三方提供以及从第三方收集个人信息的记录应当作为应请求查询的对象等计划措施。
(2) 强化经营者责任
① 泄露报告制度的法定义务化。
泄露报告制度在现行法律中作为经营者努力义务,修订大纲结合实际履行情况并兼顾实务操作,提出将要求经营者在发生一定数量个人信息或者个人敏感信息等泄露时应当迅速向个人信息保护委员会进行报告,并将此作为经营者的法定义务。为了判明发生原因以及研究防止再次发生策略的需要,在要求发生时迅速报告的同时,要求在一定期限内提交准确报告。且将提交对象明确限定为个人信息委员会或经授权委托的政府机关。此外,修订大纲中还提出在发生上述情况时,原则上应该告知本人,作为例外,在确有困难时,允许采取保护个人信息权益必要的替代方式。
② 适当使用义务的明确化。
针对在技术和产业快速发展的背景下,对于不违反现行法律,但是有违个人信息保护立法目的,容易诱发或助长违法或不当行为的使用情况,修订大纲提出要明确禁止对于难以认定以适当的使用方式使用个人信息的行为。
(3) 促进经营者自发性举措
① 强化认定个人信息保护团体制度。
认定个人信息保护团体制度是为了提高民间经营者的自发性保护措施而制定的日本独有的制度。该制度是指由个人信息保护委员会对民间团体进行认定并公布,经认定的团体在各个行业领域可以根据行业特点制定本行业的个人信息保护指针和制度,对本行业经营者进行指导,对违法行为进行劝告,同时接受来自经营者的投诉和咨询。修订大纲提出要加强个人信息委员会对于认定团体的支持,同时为了增强认定团体的多样性,应当扩充对于可以从事特定经营活动团体的认定工作。
② 推进民间的自发性举措。
修订大纲提出通过推荐个人信息保护评估(PIA)、设置责任人、充实保管个人信息公开事项等推进民间的自发性举措。
(4) 其他主要修订事项
① 数据活用相关举措。
修订大纲提出通过发布具体使用事例等促进对于匿名加工信息制度的理解,创设假名化信息处理(类似于我国去标识化处理),明确以公益目的使用个人信息例外规定的操作问题,处理终端可识别信息的规则,充实兼顾个人信息保护和利用的咨询机制,加强国际性举措等多项促进数据活用的相关举措。
② 加强处罚力度。
针对目前最高1年以下有期徒刑或50万日元以下罚款的处罚措施,为了增强法律的强制效果,修订大纲提出考虑实施包括对法人处以重罚在内的必要修改。
③ 扩大域外适用的范围。
修订大纲提出将处理日本国内个人信息或匿名加工信息的外国经营者作为适用罚则、可实施通知罚款及命令的对象。该经营者不遵守命令时,个人信息保护委员会可以进行公示,必要时可以请求外国政府协助执行。修订大纲还计划规定领事送达、公示送达等关于送达的具体手续。
④ 强化个人信息跨境传输的限制
修订大纲提出将要求对于跨境传输对象经营者及经营者所在国状况的最低限注意。另外,对于未经本人同意提供转移个人信息的,经本人要求经营者应提供传输对象个人信息处理的有关信息。但是,修订大纲同时提出为了避免对经营者造成过重的负担,对于提供信息的内容和方法等应当具体研究。
⑤ 统一规则
修订大纲提出致力于民间经营者、行政机关、独立行政法人等不同主体个人信息保护法律法规的统一以及主管部门(个人信息保护委员会)统一的研究。
三、 几点思考
(1) 立法和修订过程、内容的可预期性和公开性
信息技术的快速发展变化、数据和个人信息资源属性的认知以及各种应用场景的创新和演变等决定了个人信息法律所要调整社会关系的复杂性和多变性。虽然法律的制定必然落后于现实社会的发展是法律的天然局限性,但是维护社会关系的秩序,提供可供预见的指导也是法律的自然使命。我国也在加紧关于个人信息保护的立法和法律体系构建的工作。特别是自2017年《网络安全法》正式实施后,包括基础性法律的《个人信息法》立法工作,以及配套法规、规范性文件、标准等的制定和修改也非常活跃。以国家推荐性标准《信息技术安全 个人信息安全规范》为例,目前生效版本自2018年开始实施,仅2019年一年内就发布了一次修订草案,二次修订征求意见稿。我国在立法和修订过程中,也越来越重视适时的信息披露,意见的征集、反馈和总结。但是总体仍存在对于立法阶段难以预期,对立法修订的内容和思路难以理解的地方。这固然有我国所处的立法阶段、立法需求以及社会接受程度等多方面因素,但也有一定的改善空间。
日本2017个法修订的附则中设置了明确的制度,规定法律施行后每3年,根据个人信息保护领域国际立法情况、信息通信技术的发展、个人信息利用产业创新发展状况以及法律施行状况、监管部门的实施情况等,应当对是否有必要采取措施以及法律本身的修订进行研究和判断。在保证法律基本稳定性和严谨性的基础上,明确了法律修订机制和参考依据的原则,为立法工作提供了明确的指引,也为立法部门以及社会公众提供了明确的预期指示。
此外,日本的个人信息保护法在修订过程中,经过了重点修订关注事项的总结、调查整理报告的意见征集、修订大纲的发布和再次意见征集等过程,在修订大纲中较详细的记述和说明了修订的原因、历程、关注事项、调查及意见征集情况和修订事项及其原因等,有利于公众了解立法和修订的实际情况,并针对性的提出意见。
(2) 立法修订出发点的整理和确认
我国的立法和修订实践中更多关注实用性,在开宗明义明确立法目的、目标的同时,往往直接以法条草案或者征求意见稿的形式出现。这种方式注重了效率,一定程度上也是我国实际立法需求和公众习惯的反应。但是对于个人信息保护这种社会公众认知程度目前相对较低,存在相当复杂性的问题时,不免有时会出现让人感觉立法意图不明,前后矛盾等问题。
日本的修订大纲在总论部分,首先整理和确认了以下关于修订的出发点,在此基础上提出修订的关注事项和修订方向,就此经过意见征集,最终形成法条修订草案。笔者认为这些出发点具有一定的普遍性,该内容及其整理、发布的过程,对于我国目前的立法研究、进程和实践都有一定的参考价值。在此也将修订大纲中出发点的主要内容介绍如下:
① 基于公众对个人信息处理的关心和期待参与程度的提高,对整理、完备对个人权利保护的必要措施;
② 继续关注保护与利用的平衡,努力制定可以将个人信息相关技术革新成果惠及兼顾经济成长与个人权利权益保护两方面的制度;
③ 随着个人信息数字化且在诸多领域的广泛利用已跨越国界并愈来愈呈现出全球化的态势,在修订相关制度时必然要关注与国际上相关制度之间的协调、接轨等;
④ 随着接受国外提供服务以及需要处理、利用个人信息的国际间的贸易、事务的增加,个人所面临和承担的风险在不断发生着变化;
⑤ 处在AI和大数据的时代,人们的个人信息不断地被运用在越来越多的领域,每个人很难对自己的个人信息是如何被处理和应用的有比较清晰的认识和把握。这就要求有关部门、相关企业在处理个人信息时首先应该承担说明责任,即对将要使用的个人信息与其本人的权力利益有何关系进行说明,以有助于个人信息在其本人能够预测的范围内合理合法地被使用,从而共同改善个人信息处理、利用的大环境;
⑥ 鉴于技术层面、社会层面急剧的变化,希望建立可以灵活对应的的机制,另外,希望从促进新兴产业创新的角度,将经营者结合自身情况针对个人信息保护的自发性举措与法律制度进行有机融合,实现经济社会的活力和人民生活的富裕。
(3) 兼顾保护和利用的立法实践和部分制度的借鉴
兼顾个人信息的保护和利用是包括我国在内世界几乎所有国家在个人信息保护领域立法的根本出发点,特别如本文前言所述在疫情下兼顾个人信息的保护和利用就显得尤为重要。但是,立法中的实践是非常复杂的,这也是由个人信息保护问题的复杂性、各国实际发展状况、需求等决定的。
笔者认为如前文对于日本修订大纲中主要修订事项的介绍,日本在修订中比较充分的考虑和平衡了保护与利用的问题。基于对守法、执法情况调查的基础上,修订大纲一方面强调或充实了对于个人权益的保护,例如“放宽个人提出停止使用、删除、停止向第三方提供的条件”“落实个人信息的应请求查询制度”等,为个人维护和参与个人信息保护提供便利;同时,修订大纲为经营者也强化了经营者责任,明确了合规边界,例如“泄露报告制度的法定义务化”“适当使用义务的明确化”“加强处罚力度”等。另一方面,考虑到了经营者实务中的操作难度,从化解和避免过重增加企业负担以及促进产业发展的角度,进行了制度上的安排和处理,例如在个人提出停止使用、删除、停止向第三方提供以及应请求查询制度的例外情况的认可、“Opt-Out制度”本身以及对个人信息跨境传输中经营者提供信息的内容和方法等的考虑等等。
此外,立法中保护关键法益,明确合规边界与关注现实保证法律实际执行效果同样重要。日本个人信息保护法中的“Opt-Out制度”“个人信息跨境传输制度”等也值得参考。笔者特别建议参考日本个人信息法中“公益目的对个人信息使用的例外”,在我国个人信息保护法明确个人信息处理的例外情况,这对于解决当前疫情下合理使用个人信息的法律依据和边界问题尤为重要。
(4) 监管的统一和基层化
我国目前涉及个人信息保护的监管部门主要有中央网信办、工信部、公安部和市场监督管理总局,此外各个行业主管部门也分别进行行业立法和监管工作。各个部门从主管领域、历史等角度各有一定的分工和监管侧重,有时也采取联合行动对重点问题进行监管。例如2019年1月中央网信办、工信部、公安部、市场监督总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理公告》,成立专项治理工作组,开展App收集个人信息的专项治理行动。但是在实务中仍然难以避免九龙治水、职责权限不清的问题。
日本在2017个法修订中将个人信息保护的监管统一到了个人信息保护委员会,由该委员会统一负责涉及民间经营者个人信息保护实施过程的立法、监管、调查、举报投诉和日常咨询等各项事务。在修订大纲中进一步提出将研究行政机关、独立行政法人等主体统一监管的问题。同时,个人信息保护委员实施认定个人信息保护团体制度,在总体统一的基础上,将行业规则的制定、管理和问题协调解决进行基层化对应,由个人信息保护委员会对各团体进行支援。这种总体统一、基层落实、官民共治的监管方式,以及个人信息保护委员会设立咨询热线、深入到小学向小学生宣传讲解个人信息保护法有关内容的具体做法,都对我国结合我国国情和发展阶段进行部分参考和借鉴具有实际意义。
结语
疫情下反映出的问题和需求也正是对我国个人信息保护领域立法的要求和挑战。 “山川异域,风月同天”。各国立法和制度必须基于各自的实际情况,但是个人信息保护和利用是全球性课题,需要更多了解和借鉴其他国家地区的立法情况。相较而言,日本由于文化以及法律体系思维与中国更为接近,笔者希望通过本文的介绍和分析能够为我国个人信息保护领域立法和制度设计提供参考,也希望对从事跨境业务特别是与日本相关的企业了解和借鉴日本的有关制度提供帮助。
注释:
[1] 《2020 数字医疗:疫情防控新技术安全应用分析报告》http://117.128.6.10/cache/www.caict.ac.cn/kxyj/qwfb/ztbg/202002/P020200214323373397880.pdf?ich_args2=462-21161718006208_e3eed933ce37c8063b68dbda42b5ec1c_10001002_9c896c2ed5c4f2d19238518939a83798_5344d86c43518ddfa2242a3f442ed978
[2]新浪新闻中心,“湖南益阳一区卫生局副局长泄露患者隐私被查处”,网址:http://news.sina.com.cn/2020-01-30/doc-iimxxste7675435.shtml
[3]中国新闻网百家号,“泄漏涉疫情人员个人隐私 山西一人被拘留多人被行政处罚”,网址:https://baijiahao.baidu.com/s?id=1657423336315228890&wfr=spider&for=pc。
[4] 参见淮安公安局官网http://gaj.huaian.gov.cn/col/9065_651712/art/202002/1581395903934A5LVMKw6.html。
