前言
经济全球化是当代世界经济运行的重要特征之一。虽然近年来贸易保护主义有所抬头,但是商品、技术、信息、服务、人员、资金等生产要素的跨国、跨地区流动,以及各个经济体之间相互联系、相互依存的状况无法改变,经济全球化的发展趋势不可阻挡。互联网和信息技术应用的迅猛发展为经济全球化提供了便利,作为信息技术应用的基础,包括个人信息在内的各种数据已经成为最重要的资源之一。另一方面,正是由于数据的重要性,数据安全也关乎国家安全、关乎社会公共利益,尤其是个人信息更是与所有人的个人权益息息相关。因此,许多国家或地区都对数据特别是个人信息的跨境传输进行了立法和监管,其中许多法律规范还设定了所谓域外适用规则。
对于从事跨境经济及社会活动交往的企业和个人,除了在本国法律规范框架下的合规之外,也应该而且很有必要关注交往对象所在国家或地区的法律规范要求,以防范法律风险,保证经济和社会活动交往的顺利进行。中国与日本的经济往来一直十分密切,据报道,根据《中日贸易投资合作报告(2019)》统计显示,2018年中日货物贸易规模持续回升,双边贸易额达到3277亿美元,贸易额较前年增长8.1%。日本还是中国在全球的第三大服务贸易伙伴。[1]
本文假设中国企业A公司与日本企业B公司之间存在投资合作和贸易往来,在相关经济往来活动中会涉及从日本获取个人信息。笔者将以A公司为例,通过Q&A的形式介绍和分析日本个人信息跨境传输规定,帮助企业了解有关内容,为企业在经济社会交往活动中的合规运营提供参考和依据。
1、 Q:请问日本关于个人信息的跨境传输主要有哪些法律规定?
A:日本现行有效的《个人信息保护法》(以下称“新保护法”)是2015年9月完成修订,并于2017年5月全面实施的。在新保护法当中,首次将个人信息对外提供的对象进行了区分,在第23条对于个人信息的对外提供进行一般性规定的基础上,增设第24条专门规定了“向外国第三人提供个人信息上的限制”的内容。
此外,依据新保护法新设个人信息保护委员会(以下称“PPC”)作为统一管理个人信息保护领域事务的专门机构。由PPC制定的《个人信息保护法施行规则》(以下称“施行规则”)第11条和《个人信息保护法指南——向外国第三人提供个人信息篇》(以下称“跨境指南”)分别规定了向外国第三人提供个人信息涉及的有关判断基准、措施和事例。
新保护法、施行规则和跨境指南的内容构成了日本个人信息跨境传输规则的基本规范。
2、 Q:A公司从日本获取个人信息是否一定涉及日本个人信息跨境传输规则?A公司使用B公司提供的个人信息是否需要遵守日本个人信息保护法的规定?
A:日本个人信息跨境传输规定针对的对象是外国第三人。其中外国是指日本境外的国家或地区。第三人是指除了作为个人信息提供方的处理个人信息的经营者[2]和该个人信息可识别的个人之外的第三方,包括外国政府等在内。B公司向A公司提供个人信息属于向外国第三人提供个人信息,应当适用日本个人信息跨境传输的规则。
但是,对于判断企业是否为第三人的标准为是否具有法人主体资格,第三人的范围包括母公司、子公司和关联公司。因此,B公司向其与A公司在中国合资设立的子公司传输个人信息,或者A公司在日本设立的子公司向其中国母公司A公司传输个人信息的情形,都应该适用日本的个人信息跨境传输规则。如果是B公司向其在中国境内设立的不具有独立法人地位的事务所传输个人信息,则该事务所不被视为外国第三人。
此外,如果A公司在日本境内设立不具有法人资格的事务所,或者A公司在日本境内利用个人信息或含有个人信息的数据从事经营活动时,A公司将被视为新保护法上的处理个人信息的经营者,B公司向A公司或其事务所提供个人信息时,A公司或事务所不视为外国第三人,但B公司提供个人信息的行为应当符合新保护法第23条关于个人信息对外提供的一般性规定,且A公司及其事务所在日本境内处理个人信息应当符合日本新保护法的有关规定。
同时依据新保护法第75条[3]的规定,如果A公司或者B公司通过向日本境内的C先生提供商品或服务直接收集了C先生本人的个人信息,在中国或日本境外其他国家地区处理该个人信息时也需要适用新保护法中的相关规定。
3、 Q:适用日本个人信息跨境传输规则时,A公司或关联公司从B公司获取个人信息,应当满足什么条件?
A:根据新保护法的规定,日本个人信息跨境传输规则可以概括为一个原则和三个例外。
一个原则是在跨境传输个人信息前,应当获得个人信息识别本人的知情同意。
三个例外包括:
①同等保护水平国家的例外。即所谓白名单制度,外国第三方所在国家或地区为施行规则规定的、被认为在保护个人的权利或利益上处于与日本同等水平的、已建立个人信息保护制度的国家或地区;
②具备必要适当体制的例外。即作为个人信息接受方的第三人具备符合施行规则规定标准的体制,是被认为可以持续采取同等于日本处理个人信息的经营者应当采取必要措施的对象;
③法定免除情形的例外。即符合按照新保护法第23条第1款的规定[4],可以不经个人同意将个人信息提供给第三人的情形。
依据前述规定判定A公司或关联公司从B公司获取个人信息应当适用日本个人信息跨境传输规则时,只有满足a)事先取得本人知情同意、b)A公司或者关联公司所在国家被认定为同等保护水平国家、c)A公司或关联公司具备必要适当体制、d)符合法定免除的情形,当中任一条件时,B公司才可以向A公司或关联公司传输个人信息。
4、 Q:如何确认是否属于同等保护水平国家?
A:PPC在施行规则中确定了认定同等保护水平国家的标准。具体包括:①对于处理个人信息的经营者规定了与新保护法同等的法律或其他规则,并确保实施;②设立了与PPC同等的独立监管机构,具备实施必要和适当监管的体制;③基于对于个人信息适当有效利用和个人权益保护的相互理解而与日本达成合作;④对个人信息的跨境传输施加的限制不得超越保护个人信息的必要范围,在保护个人信息的同时,互相保障数据的顺畅流动;⑤按照第24条规定对同等保护水平国家的认定,能够有利于日本的产业创新、经济社会蓬勃发展以及实现国民的富裕生活。此外,施行规则还规定在同等保护水平国家的认定时,可以根据保护个人权益的必要,对个人信息传输的允许范围附加限定条件。
基于上述标准,并结合欧盟日本数据共享协议生效的背景[5],PPC于2019年1月23日发布了认定同等保护水平国家名单的公告。名单中包括冰岛、爱尔兰、意大利、英国、奥地利等31个欧洲国家。公告同时规定PPC将在公告适用起两年、其后每四年以及PPC认为有必要时对认定的国家进行调整。
5、 Q:具备必要适当体制的认定标准是什么?如何判断是否符合?
A:根据施行规则的规定,具备必要适当体制的标准包括满足以下任一条件:
① 个人信息的提供方与个人信息的接受方之间对个人信息的处理采取适当合理的方式,以保证个人信息的接受方能够按照新保护法规定的原则采取措施妥善处理个人信息。
所谓采取适当合理的方式,在实务中需要根据情况具体分析和判断,根据跨境指南的示例,包括在委托外国第三人处理个人信息时,个人信息的提供方应当与接受方签订合同、确认书、备忘录等,而提供方与接受方属于集团企业内部时,应当制定公司内部规定、隐私政策等。即通过适当合理的方式保证个人信息的接受方与输送方承担同样的个人信息保护责任,采取同等的措施。
按照新保护法规定的原则采取措施包括新保护法第四章第一节规定的内容,从国际协调一致性的考虑,也包括《经济合作与发展组织(OECD)隐私指南》、《APEC隐私框架》等国际组织制定的规则。措施具体内容涉及明确使用目的、使用限制、合法取得、使用目的的告知、数据真实完整性的保证、安全管理措施、对员工的监督、对受委托方的监督等涉及个人信息完全生命周期的处理规定。
② 个人信息的接受方根据国际性框架制度获得认证。
对于根据国际性框架制度获得认证,根据跨境指南主要指基于《APEC跨境隐私框架》的规则体系(CBPR),对数据跨境流动采取的认证机制。中国未加入CBPR体系。
6、 Q:对A公司从日本获取个人信息的业务,有何合规建议?
A:
① 识别风险,知己知彼。
企业合规的根本目的和重要作用之一在于防范风险。防范风险的前提在于识别风险,涉及法律风险时当然首先要对涉及的法律制度和规定有所了解。对于A公司以及其他拟从日本获取个人信息的国内企业,当然有必要对日本的跨境个人信息传输规定的具体内容有所了解,在此基础上,才能对于是否适用,适用时可能产生什么问题,B公司要求的合同内容是否合乎法律规定等做出判断,并对由此可能产生的风险进行识别和评估。同时,A公司当然应当遵守中国关于个人信息的有关法律规定要求,有必要了解个人信息收集使用等个人信息处理相关的法律要求,这样才能有针对性地采取合规措施,防范风险的发生。
② 采取措施防范风险和有效利用。
在识别评估风险的基础上,应当采取有效措施防范风险。例如根据法律的规定,制定明确的管理制度,建立组织架构,加强员工的培训和管理,强化安全措施等,这既是前文介绍的日本个人信息跨境传输规则的要求,也是企业防范承担与信息传输方之间合同的违约责任及违反个人信息保护相关法律的违法风险的有效途径。同时,应当在遵守法律规定的基础上,尽可能充分有效地使用数据。这本身也是个人信息保护相关立法的目的之一。了解法律规定,灵活运用,适时调整业务模式,争取以较小的成本获得最大的效用,才是企业进行合规的终极目标。例如根据收集使用个人信息的业务目的需求,结合个人信息跨境传输规则以及个人信息保护相关法律规范的规定,适当调整包括传输对象、业务模式等。
③ 把握法律动向,适时调整。
作为重要生产要素,数据的重要性日益凸显。同时,科技的创新发展日新月异,也决定了数据的应用场景以及影响方面将会不断发生变化。应对现实的需求,各国关于个人信息保护的立法也在不断调整。日本的新保护法于2017年5月正式实施,按照新保护法的规定每3年会结合社会发展和法律实施的状况等对于法律规定内容的修订进行研究。2020年2月12日,PPC公布新保护法修订大纲的意见征集结果。根据该修订大纲的说明,PPC将在本次征集意见的基础上,起草完成《个人信息保护法》修正案并力争在今年提交日本国会审议。我国在2017年正式实施《网络安全法》之后,又密集地制定、出台了一系列个人信息保护相关的法律规范、国家标准等,2020年3月6日备受关注的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)正式发布,将于10月1日实施。涉及个人信息保护的法律体系仍在加紧建立和完善过程中。企业在经营过程中,有必要经常关注、把握相关法律的动向,并适时进行评估和调整。
注释:
[1]来源“2019中日贸易投资合作报告发布 双边贸易规模持续回升” http://www.takungpao.com/finance/236132/2019/0928/354865.html(最后登录时间2020年3月4日)
[2] 依据新保护法第2条,“个人信息处理经营者”是指,已经将个人信息数据库等供业务使用者。根据该定义,类似于我国《信息安全技术 个人信息安全规范》(GB/T 35273-2017)中的个人信息控制者。但是日本的“个人信息处理经营者”,不包括下列情形者:(一)国家机关;(二)地方公共团体;(三)独立行政法人等;(四)地方独立行政法人。
[3] 新保护法第75条: 对于在向国内的某人提供商品或服务的环节中获取了以该人为本人的个人信息的个人信息处理经营者在国外处理该个人信息或者用该个人信息制作而成的匿名加工信息的情形,第十五条、第十六条、第十八条(第二款除外)、第十九条至第25条、第二十七条至第三十六条、第四十一条、第四十二条第一款、第四十三条及后一条的规定也适用。
[4] 新保护法第23条第1款: 除下列情形外,个人信息处理业者不得未事先取得本人的同意,而将其个人信息提供给第三人:
(一)以法令为依据的情形;(此处法令仅指日本法令)
(二)为保护人的生命、身体或财产而有必要,却又难以取得本人同意的情形;
(三)为提高公众卫生、或者推进儿童的健康成长而有特殊必要,却又难以取得本人同意的情形;
(四)有为国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而提供协助的必要,却又有可能因取得本人的同意而对该事务的执行造成障碍的情形。
[5] 来源“欧盟日本数据共享协议生效” http://www.mofcom.gov.cn/article/i/jyjl/m/201902/20190202833555.shtml
(最后登录时间2020年3月5日)
