Personal Information Protecting System in Japan and Its Inspiration Brought to That in China
Abstract:The new“Act on Protection of Personal Information”in Japan e-laborates the definition of personal information,the standards of protection,the limitation and supervision on transferring of personal information,penalty and the like as well as protection for personal information in specialized fields.This new act shows a further development of strong protection for personal information in Ja-pan.The relevant experience in Japan can provide a reference to the building of personal information protecting system in China.
Key words:Japan,Protection for Personal Information,China
引言
2003年,“个人信息保护法案”通过日本国会决议,日本首部《个人信息保护法》于同年开始实施。随着通信科技的发展与信息化的普及,个人信息的价值不断提升,企业或社会组织收集、使用与出售个人信息的情形越来越多,因而制定《个人信息保护法》成为维持整个社会良好秩序的重要举措。为进一步加大个人信息在科技社会中的保护力度,时隔多年后,日本于2015年9月正式公布对《个人信息保护法》的修改草案,以期令个人信息在法律层面获得更强的保护,使得该部法律能在最大限度内与全球化进程的信息通信事业、商业活动等同步,并对其中涉及个人信息的相关事业与活动加以监管。新的《个人信息保护法》的实施将对振兴日本产业发展、维护个人信息主体的权益以及规制违法行为具有重要的意义。
一、日本现行《个人信息保护法》的现状
2017年5月30日,新的《个人信息保护法》(以下简称现行法)开始全面实施。与旧法相比较,现行法主要从以下几个方面对原有内容进行完善:第一,个人信息范围的界定;第二,确保个人信息的可利用性;第三,个人信息保护的强化;第四,规范涉及境外个人信息的处理;第五,赋予个人信息保护委员会明确的法律地位;第六,加大对违规行为的处罚力度。
就现行法的框架而言,共分七章,包含88项条文:第一章为总则(第1条至第3条);第二章对国家与地方公共团体的责任、义务进行了规定(第4条至第6条);第三章为有关个人信息保护的措施等(第7条至第14条),其中包括个人信息保护的具体方针、国家的政策、地方公共团体的政策以及国家与地方公共团体的协助;第四章规定了个人信息处理业者的义务等(第15条至第58条);第五章是涉及个人信息保护委员会的相关规定(第59条至第74条);第六章至第七章分别为杂则与罚则(第75条至第88条)。[128]特别值得注意的是,现行法在延续旧法框架的同时,对其中章节内容进行了扩充,例如第四章第一节关于向境外第三人提供个人信息的限制(第24条)、第二节关于匿名信息加工处理业者的义务(第36条至第39条)、第三节关于个人信息保护委员会的监督权(第40条至第46条)以及第五章关于个人信息保护委员会的规定等。
与旧法相比,为了更好地维护个人信息主体的权利、抑制企业与组织侵害个人信息主体的行为等现象,现行法根据具体情形作出具有扩张性以及针对性的规定,具体有以下几个特点:
第一,个人信息从业者范围的扩张。修法前,持有5000人以下的个人信息的中小企业、小规模业者被排除在旧法所规制的范围之外。然而,2017年5月30日之后,持有5000人以下的个人信息的中小企业、小规模业者也被包含在内。在此基础上,处理个人信息的数量不受限制,利用纸质或利用电子数据管理名簿的业者均属于个人信息处理业者,并成为现行法规制的对象,所有处理个人信息的业者均适用于现行法,其中不限于法人,还包括住房管制组织、NPO法人、自治会或校友会等非营利组织。另外,针对小规模业者的行为可通过其他安全管理措施予以应对。[129]
第二,个人识别符号概念的引入。现行法第2条第1款除对“个人信息”的基本定义之外,将“个人识别符号”纳入“个人信息”的定义中。[130]作为其补充款项,同条第2款规定,两种情形可被认定为“个人识别符号”:第一种情形为将特定个人身体的一部分特征变更为供电子计算机使用的文字、号码、记号与其他的符号(例如,构成DNA的碱基排列、脸部骨骼、虹膜、声波纹、指纹等)[131];第二种情形为常规的工作中基于不同对象所分配的不同符号(例如,护照号码、驾照号码、养老金号码、住民票代码等)。[132]
第三,需加注意的个人信息概念的引入。为避免由于自身特殊原因而遭受精神损害,现行法第2条第3款规定对包含特殊情形的个人信息加以保护,并将个人信息中包含因人种、信仰或相关病例等可能会对其本人造成歧视或偏见的信息规定为“需加以注意的个人信息”。鉴于上述情形有可能会损害本人的相关利益,现行法对个人信息处理业者使用该种信息以及禁止使用该种信息的情形作出了较为严格的规范。关于“需加以注意的个人信息”的使用,同法第17条第2款规定除该款规定的情形外,个人信息处理业者在使用被归为“需加以注意的个人信息”时,需要经过本人同意。[133]在个人信息从业者向第三人提供个人信息的情况下,现行法第23条第2款规定,就“需加以注意的个人信息”而言,禁止个人信息处理业者利用请求免除(opt-out)的方式向第三人提供相关个人信息。[134]
第四,匿名加工信息概念的引入。匿名加工信息是为满足信息技术时代需要而被引入现行法中的一个新概念。在此基础上,为避免在促进信息产业发展的同时,因匿名加工信息的滥用对个人信息主体的利益造成伤害,现行法对匿名加工信息作出详细的规定。具体而言,根据现行法第2条第9款规定,“所谓匿名加工信息,是指对个人信息进行处理后获得的无法识别特定个人,并无法得到恢复的信息”。当匿名加工信息相关业者的加工对象属于同法第2条第9款所定义的信息时,需遵守个人信息保护委员会的规定,并负有防止加工信息泄漏、对已完成的匿名加工信息以及向第三人提供匿名加工信息进行公示等义务。[135]
第五,个人数据保护的强化措施。为防止日益猖獗的个人数据泄露和倒卖,现行法对个人数据的流转,特别是个人数据由个人信息处理业者提供给第三人时,原则上必须事先征得本人同意。[136]向第三人提供相关个人数据之后,个人信息处理业者基于现行法第25条第1款规定,除特别情形外,必须根据个人信息保护委员会的相关规定,记录提供给第三人相关个人数据的具体时间段(年月日)、该第三人的姓名或名称以及其他内容等,并在法定期限内进行保存。另外,当第三人接受相关个人数据后,个人信息处理业者仍须按照个人信息委员会的相关规定,确认第三人的姓名或名称与住所(第三人为法人的,以其代表人姓氏为准)、该第三人获得该数据的经过,记录第三人接受该个人信息提供的具体日期与确认事项等,并在法定期限内对其进行保存。[137]
第六,向海外第三人提供个人信息时的限制。随着商业全球化的不断推进,为防止个人数据在海外遭到滥用,现行法还特别就个人信息处理业者向特殊第三人提供个人数据的行为加以限制。根据现行法第24条的规定,原则上,未经本人同意,个人信息处理业者不可以向在海外的第三人提供个人数据,但在“该第三人所在国家是个人信息保护委员会规则承认的,作为在保护个人权益方面设立有与日本水平线相当的个人信息保制度”的情形中,以及该第三人完善体制符合个人信息保护委员会规定的标准或符合现行法第23条中的具体情形下,可以向海外的第三人提供该个人数据。[138]特别需要注意的是,该条款中所指的向国外的“第三人”提供个人数据包括以下情形:母公司与子公司、集团公司间个人信息的交换,以及特许经营组织与加盟店之间的个人信息交换与同行业间的个人信息交换,但同一企业内各部门间提供个人信息的除外。[139]
就第三人的义务而言,例如境外金融机构向日本境内金融机构提供相关服务时,被提供服务的具体对象需要承担相应的义务,在使用个人信息时,必须确定其使用目的,若事先未经本人同意,则对其确定的使用目的不得超出原有目的范围,从而保证个人数据利用的正确性以及采取必要安全措施以防止个人数据泄露。[140]
第七,个人信息保护委员会的设立以及违法处罚的标准。设立个人信息保护委员会的重要目的之一是能够更好地与现行法一同规制个人信息处理业者的相关行为。个人信息保护委员会有权对所有个人信息(包含现行法第2条中记载的所有个人信息类型)处理业者进行监管。当个人信息处理业者明显违反现行法时,个人信息保护委员会可依照现行法的条款根据具体情况采用必要措施,例如要求个人信息处理业者提交报告或资料、例行抽查、劝告或下达中止违法行为命令等。[141]
关于违反现行法的相关处罚标准,现行法第七章对一些严重损害个人权益的违法行为加大了处罚的力度,情节严重的还会受到不同程度的刑事追责。[142]具体而言,对不听从个人信息保护委员会命令的业者,根据具体情况可处以6个月的徒刑或30万日元以下的罚款。对职员以谋取不正当利益为目的,提供或盗用个人信息数据库等行为,可处以1年以下的徒刑或50万日元以下的罚款。关于个人信息处理业者伪造或者提出相关报告、拒绝答复个人信息保护委员会工作人员提出的问题或作出虚假答复、拒绝或妨碍抽查等违法行为,会被处以30万日元以下的罚款。个人信息处理业者不进行申报或提交虚假申报,会被处以10万日元以下的罚款。
综上,现行法的实施有利于维护良好的社会秩序,进一步规制企业或相关组织对个人信息的滥用等行为。从上述七个特点中可以看出,现行法对其规制对象的范围、义务等分别作出了具体、全面以及严格的规定,还确立了个人信息主体的知情权,确保个人信息在使用或流转时的稳定性。以此为契机,日本学界以本次《个人信息保护法》修改为背景对现行法的全面实施作出评论。有评论认为个人信息保护法制度中重要的是,个人信息的保护与使用间的平衡,本次修法设置的规定满足了保护、利用两方面的需要。在此次修法下,个人数据的利用环境得以调整,期望通过积极利用包含个人信息的个人数据,以满足商业需求与实现新兴产业的创新。[143]同时也有评论认为,设立个人信息保护委员会是本次《个人信息保护法》修改最重要的一点,针对个人信息的界定、匿名化信息、以请求免除(opt-out)为由向第三人提供个人信息的登记、适应全球化等,围绕平衡个人信息的保护与利用的每个论点都要依靠该委员会迅速且适当地解决。[144]可见,日本学界对本次《个人信息保护法》修改以及个人信息保护委员会的设立给予较高的评价与期望。
二、个人信息保护委员会与特殊领域的规章
由于针对个人信息的保护具有一定的特殊性且涉及的领域较为复杂,因此设立专门的监管机构以及针对特殊领域个人信息保护的相关规章具有重要意义。
个人信息保护委员会经过改组,于2016年1月1日正式成立。个人信息保护委员会属于独立性较高的机关,并由委员长(1名)、委员(全职与非全职各4名)、专业委员(非全职1名)以及干部(事务局长、总务科长各1名与参赞官2名)组成。在此基础上,该委员会为合议制,委员长与委员组成合议庭可单独行使其职权。[145]作为行政上的一般事务,该委员会基于现行法制定“个人信息保护的基本方针”,促进官、民对个人信息保护的配合。个人信息保护委员会将展开相关宣传活动,积极参加相关国际会议,并与国外有关机构进行信息交流,构建合作关系,以使得公众更加了解个人信息保护的重要性以及正确且广泛地利用个人信息。
从现行法实施之日起,个人信息保护委员会可根据不同情况基于现行法与《番号法》[146]两部法律予以应对。根据《番号法》的相关规定,使用个人号码(マイナンバ一)的行政机关或地方公共团体等应针对综合性风险对策进行评价并公布特定个人信息保护评价,对此,个人信息保护委员会相应地作出执行该评价时的相关内容或与程序相关的基本方针,针对业者的行为实施其监视或监督权。
根据现行法的相关规定,个人信息保护委员会可对个人信息保护团体进行认定与监督,对个人信息处理业者的相关行为实施监督。另外,在现行法实施之前,监督个人信息处理业者的义务由各级省厅承担。现行法开始实施后,该委员会执行其权限的范围扩张至行政机关,并对特定个人信息处理业者进行必要的指导或根据具体情形实施入内调查等。[147]
为进一步规范金融领域中收集、使用与流转个人信息的行为,2017年2月个人信息保护委员会与金融厅共同制定了《金融领域个人信息保护指南》(以下称《指南》)。该《指南》中的所有规章(第1条至第18条)均基于现行法的相关法条[148],针对金融领域中使用以及转移个人信息的行为等加以规范。根据《指南》第2条的规定,金融领域的个人信息处理业者依照现行法第15条确定使用个人信息的目的时,需要在提供金融商品或服务后明确该目的,例如该公司接收存款或该公司对个人进行融资的信用判断以及信用管制等。根据同条第2款的规定,当金融领域的个人信息处理业者开展信贷工作,并向个人信用机构提供个人信息时,必须在使用目的中明示其主旨。就明示的使用目的而言,必须征得个人的同意(原则上以书面(包含电磁式纪录)形式[149])。当金融领域的个人信息处理业者变更使用个人信息的目的时,同条第5款对现行法第15条第2款中关于变更前使用目的的范围加以列举,例如金融领域中的个人信息处理业者将原来邮寄商品介绍手册改为以电子邮件的方式发送商品介绍手册的行为属于合理变更范围,而将用于问卷的收集计算改为用于邮寄商品介绍手册的行为则属于超出合理变更范围而不被允许。[150]
此外,《指南》第5条还对“敏感信息”(机微情报)进行了详细的定义,其中包含旧《指南》中的敏感信息情形以及现行法与同法实施行政令中规定的需加以注意的信息,例如医疗保健、原籍、社会身份、犯罪记录或未成年犯罪历史等。[151]此类信息的使用原则上被现行法所禁止。作为其例外,同条第1款中列举规定容许金融领域的个人信息处理业者实施上述行为,但事先必须征得本人同意,金融领域的个人信息处理业者在向第三人提供“敏感信息”时不可适用现行法第23条有关免除请求的规定。[152]
关于金融领域的个人信息处理业者向第三人提供个人数据的限制,《指南》第11条中(与现行法第23条相关),除要求金融领域的个人信息处理业者以书面的形式(提供个人数据的主体、第三人使用目的以及提供给第三人的信息内容)获得本人就该业者向第三人提供个人数据的同意之外,在金融领域中的个人信息处理业者向个人信用信息机构提供个人数据的情况下,由于个人数据被提供给个人信用信息机构时,个人信用信息机构的加盟企业也会通过该机构获得相关的信息,因而需要本人在明确了解会发生上述情况的基础上,作出是否同意流转其个人数据的判断。因此,个人信息处理业者在征求本人书面同意后,需要对个人数据将会提供给登记在个人信用信息机构的会员企业的主要内容加以记载,并对使用个人数据的该会员企业进行表示。[153]在共用个人数据时,金融领域的个人信息处理业者同样需以书面形式通知本人,并分别列举共用业者。就共同利用者的外延而言,在向个人信息的主体通知时,该领域的个人信息处理业者必须对该共同利用者进行特定化,以便个人信息的主体能够容易地获知其范围。[154]具体表示外延的形式可以是“母公司以及母公司有价证券报告中等记载的其子公司”,也可以是母公司以及有价证券报告中等记载的母公司的附属公司以及权益法(Equity Method)适用公司。[155]
为进一步贯彻现行法的立法目的,个人信息委员会与日本厚生劳动省共同将原《医疗看护业者正确处理个人信息指南》修改为《医疗看护业者正确处理个人信息的指导》(以下简称《指导》)。《指导》主要是以医疗机构(提供直接接触患者的医院、诊所、助产所、药局等提供医疗服务的业者)与看护业者(经营养老院或提供高龄老年人福祉服务的业者)为对象,其中对个人信息的定义作出进一步的界定与列举:例如医疗机构中的个人信息包括治疗记录、处方、手术记录或出院患者在住院期间诊疗经过的摘要等;看护业者中的个人信息包括提供看护服务的计划或已提供服务的内容记录或事故情况记录等。[156]
由于医疗与看护业者同样掌握着大量患者的个人信息,因此当医疗机构与从业者使用该信息时,需尽可能地确定其使用目的,在获取该信息后需向本人通知其使用目的或进行公告,并不得超出使用目的的范围。[157]就个人信息的安全管理而言,医疗与看护业者应当在人工、物理或技术等方面采取适当的措施,例如实时监控、文件加密以及提升电脑防火墙的性能等。[158]
对于有可能对患者权益造成伤害的信息,医疗与看护业者在处理的时候应对其加以考虑。具体而言,在诊断纪录或看护机构纪录中记载的病例,或者患者在诊疗或抓药的过程中的身体状况、病情、治疗等,以及从医人员(医师、牙医、药剂师、看护师以及其他从事与医疗相关的人员)获知的诊疗信息、体检结果、保健指导的内容、缺陷的事实以及受害事实等。这些情形均属于现行法第2条第3款规定的业者应加以注意的个人信息。[159]现行法中没有对医疗领域在获取或者向第三人提供此类信息时作出任何例外的规定,因而医疗或看护业的相关业者未经本人同意,不得实施上述行为。[160]
综上,个人信息保护委员会的设立对促进与完善个人信息保护工作起到积极作用的同时,还能协同其他机关作出适用于特殊领域个人信息保护的具体方针,对其认定的个人信息处理团体实施专门监管。关于如何对特殊领域中的个人信息进行保护,以金融领域与医疗领域为例[161],两个领域内规章对个人信息的界定、适用范围、业者的义务以及安全措施都有细致的规定。可见,个人信息委员会的设立以及特殊领域中对个人信息保护的规章能进一步规范业者处理个人信息的行为,将立法目的落实到实践当中。
三、日本个人信息保护制度对中国的启示
个人信息是一种具有个人可识别性的,存在于一定载体之上的可被处理的信息[162],它同时作为个人人身、行为状态的数据化表示,是个人自然痕迹与社会的纪录。[163]随着中国信息技术的迅猛发展,大量个人信息被各种行业所掌控,例如金融行业掌控客户的金融信息,医疗行业掌控患者的就诊与病例等信息(包括纸质信息和电子信息)。与此同时,互联网的崛起,智能电子设备以及其衍生出的产品成为获得个人信息的重要来源之一。就社交软件而言,其功能的强大以致在一定程度上解决大众求医问药问题的同时,也导致公民个人信息在很短的时间内暴露出来。[164]网购中,客户下单决定购买某一商品的同时,客户的手机号码、收货地址或者信用卡号码等个人信息都会被服务商所收集、利用。进一步地,大众利用互联网上预约出行交通工具时也需要提供个人信息。针对个人信息的收集、利用以及深度开发看似会促进整个社会信息化产业的进一步发展,但现实情况不容乐观。
近些年来,由于立法不够完善,个人信息安全遭受侵害的现象比比皆是。在东方航空泄露订票信息案、王某诉汉庭酒店泄露开房信息案等案件中,消费者均因被泄露信息的扩散渠道不具有唯一性而败诉,传统私法保护模式在此类案件中陷入困境。[165]中国学界一度提出过针对个人信息进行专门立法,并撰写了《个人信息保护法》(专家意见稿)与立法研究报告,而时隔多年没有任何的进展。为了完善立法上的不足,中国现阶段采用分散立法的方式予以规范[166],但这些规定往往较为零散,只能从有关人权、人格尊严保护方面寻得依据,缺乏系统性的专门立法,这就容易构成法律上的应用障碍。[167]个人信息权利保护中,现有法益平衡机制出现分歧,信息公开与信息保护的法益取舍指向不明朗使得个人信息权益保护又遭遇一大困境。[168]因此,有必要尽早建立个人信息保护制度,出台专门法律以满足现实中对个人信息保护的迫切需要。这一制度的建立也意味着个人利益在信息化社会能得到较好的保障,对于持有个人信息的相关行业从业者违法行为的规制也能得以进一步强化。
纵观个人信息保护制度在世界各国的发展趋势,中国基于现有法规建立个人信息保护制度时,应对该制度涉及的立法体系、领域以及其实用性等方面进行考量,作出制度建设的参考。日本建立个人信息保护制度的时期在亚洲地区相对较早,制度构建的经验也较为丰富,借鉴其制度有利于完善中国当前在立法与实践等方面的不足,可为中国个人信息保护制度提供一个独特的视角。
中国在个人信息保护法的制定过程中可借鉴日本的现行立法模式,将“个人信息”的定义、企业或组织在使用和转移个人信息时的义务、本人知情权以及对向海外提供有关个人信息行为的限制等作为基本规定。在此基础上,给予专门监管机构法律地位,加强对企业或组织实施的一系列与个人信息相关行为的监管,在处罚机制方面,可以根据违法行为的程度分别制定不同的问责机制。按照上述模式制定个人信息保护法的好处在于:其一,能基于该法对“个人信息”的范围加以明确界定;其二,针对企业或组织处理个人信息的相关行为起到规范以及打击非法行为的作用;其三,能够使得个人信息保护的基本法与上述其他现行法结合,从而更有针对性地解决个人信息保护问题。
目前中国并没有专门的个人信息保护机构,而是由各行业主管机构进行监督管理,例如金融行业的用户个人信息保护工作,由央行主管;医疗行业的用户个人信息保护工作,由卫生部门管理等,上述监管边界有着明显的重合地带,但由于分散立法并未涉及职责边界问题,个人信息保护领域事实上沦为管理的灰色地带。[169]甚至,到目前为止,中国的医疗领域还没有建立一个统一的个人信息保护机构,多头管理或无人管理的现象在患者个人信息保护领域同样存在,因此现阶段患者个人信息保护的制度建设仍然非常严峻。[170]
为化解职责边界不清与管理失衡的问题,中国在制定《个人信息保护法》过程中可借鉴日本的经验,在明确监管权限的同时,建立专门监管机构,对持有个人信息的企业、组织与机构实施统一监管,减少特殊行业内部有关个人信息保护的违法几率。另外,在完善本国的个人信息保护制度方面,专门监管机构也能够起到积极促进的作用。
与日本相比较,中国的特殊行业收集、使用个人信息的量更大,其内容也更为复杂,个人信息一旦被泄露或滥用,其主体权益则会受到严重的侵害。就金融行业而言,其对个人金融信息的保护相对匮乏,金融机构以及监管机构对个人金融信息的保护在认识上尚存在诸多不足,对个人金融信息的保护十分不利。[171]关于医疗行业,中国对居民个人医疗健康信息的隐私保护薄弱,就个人信息保护的立法格局而言,仍以较低位阶的法律法规为主,尚未建立统一的高位阶成文法,且其中与医疗健康相关的规范内容更是过于原则化,效力层级低,适用范围有限。[172]此外,个别领域的单独立法也有助于充分考虑行业特殊情况,发挥针对性强的优势,然而中国社会缺乏行业自律的传统和经验,个人信息的保护在单独立法与行业自律之间如何协调仍属一个难题。[173]
为解决上述问题,促进特殊行业中个人信息保护的良好发展。建议中国在出台《个人信息保护法》的同时,有必要制定专门规章规范特殊行业的相关行为,强化特殊行业中个人信息的保护。具体可借鉴日本的做法。例如,由主管该特殊行业的机构与专门监督机构一同制定《金融领域个人信息保护指南》《医疗领域个人信息保护指南》等规章,基于《个人信息保护法》的基本规定,在其中加入特殊行业在收集、使用、流转以及保管个人信息时的规范性条款以及相关注意事项等。制定此类规章,不仅能建立行业主管机构与专门监督机构间的协同合作机制,提高特殊行业的自律性以及特殊行业对于个人信息保护的意识,还能够在一定程度上协调个人信息保护的单独立法与行业自律规范。
四、结论
个人信息关系到大众日常生活中的方方面面,大数据时代的到来使得个人信息的商业价值飙升,也使得个人信息成为经济科技发展以及各行各业在创新过程中不可缺少的资源。若是将围绕个人信息所产生的负面问题全部归罪于技术进步与发展,是武断的,也是有失偏颇的。[174]因此,如何对个人信息加以保护以及如何规制持有大量个人信息的企业或组织的使用、流转等行为是当下亟须解决的问题。
鉴于现状,中国有必要建立个人信息保护制度:尽早出台《个人信息保护法》弥补专门立法的空缺;设立专门监督机构将立法目的落到实处,对规制企业收集、使用以及流转个人信息的行为起到威慑的作用;建议专门监督机构与各主管机构协同制定规章弥补特殊行业中个人信息保护出现的不足,通过以上三个层面实现对个人信息的强保护,减少个人信息被滥用等行为的发生。