日本数据隐私法律：概况、内容及启示

孙继周

〔摘 要〕针对“大数据”背景下，我国数据隐私法律缺失的现状，本文以日本数据隐私法律为研究对象，介绍了日本目前2部数据隐私保护适用法律——《个人信息保护法案》和《“通用号码”法案》，从数据操作规定、数据服务规定、执行处罚规定3个方面，对日本数据隐私法律内容进行研究分析，并得出制定数据隐私专门法，鼓励多方机构参与，建立行业部门规范标准，建立数据隐私保护倒逼机制4个方面的启示，以期为我国数据隐私立法提供借鉴参考。

〔关键词〕日本；数据隐私法律；启示

〔中图分类号〕G201 〔文献标识码〕A 〔文章编号〕1008-0821（2016）06-0140-04

〔Abstract〕For the background of“big data”，the present situation of data privacy laws missing in our country，the paper chose Japanese data privacy laws as object of study，introduced two Japanese applicable data privacy laws-“Act on the Protection of Personal Information”and“Common Number”Bill，analyzed Japanese data privacy laws based on data manipulation rules，data service rules and punishment rules，and then researched the following enlightenment：encouraging multi-agencies involvement，establishing relevant standards，and forced mechanism of data privacy protection.In order to provide references for our data privacy legislation.

〔Key words〕Japan；data privacy laws；enlightenment

自从全球知名咨询公司麦肯锡2011年6月首次提出“大数据”时代概念以来， “数据，已经渗透到当今每一个行业和业务职能领域，成为重要的生产因素”[1]。《华尔街日报》将大数据时代、智能化生产和无线网络革命称为引领未来繁荣的三大技术变革[2]。2015年10月中国共产党的十八届五中全会公报提出要实施“国家大数据战略”，这是大数据第一次写入党的全会决议，标志着大数据战略正式上升为国家战略[3]。虽然大数据当前在我国受到了前所未有的重视，但大数据的发展仍然面临着许多问题，安全与隐私问题是人们公认的关键问题之一[4]。

目前我国还没有专门的数据隐私法，数据隐私行为仅能通过《中华人民共和国刑法》、《中华人民共和国侵权责任法》或各地方法规条例中的相关部分来规范，如《上海市消费者权益保护条例》中第三十一条规定，“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，征得消费者同意。经营者履行明示义务和征得消费者同意的证明资料至少留存5年。经营者不得要求消费者提供与消费无关的个人信息，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者应当建立健全信息保密和管理制度，制定信息安全事件应急预案，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，经营者应当立即启动应急预案，采取补救措施，及时通知消费者”[5]。这些地方性条例和法律中的相关法条，法律效力低，或缺乏针对性。因此，笔者以日本数据隐私相关法律为对象，进行分析研究，以期对我国数据隐私立法有所裨益与借鉴。

1 日本数据隐私法概况

1.1 个人信息保护法案

日本《个人信息保护法案》（Act on the Protection of Personal Information）于2003年5月30日通过，2005年4月1日正式实施，是此类日本第一个综合性法律。该法案由一组通用指导方针组成，代表日本政府部门的立法权力，是目前日本政府管理个人信息处理的主要法案[6]。在遵守《个人信息保护法案》指导方针的前提下，日本政府各部委也依据自身工作内容的特点，制定了各自的规章制度，用来指导管理各自负责的商业机构。自此法案正式实施起2年内，有多达35套依照该法案发布的指导方针，覆盖22个商业领域。目前，日本大部分商业活动都由经济产业省[7]、厚生劳动省[8]、日本金融厅[9]、总务省[10]和国土交通省[11]所颁布的政策来管理规范个人信息的使用行为。

2014年6月24日，为了抓紧“大数据”时代机遇，平衡建立开放政府与维持安全、保护隐私之间的关系，日本政府通过其IT战略总部，颁布了140724法案——“个人数据利用系统改革纲要”[12]，并在IT战略总部的带领下，向社会广泛征求《个人信息保护法案》修改意见，修订《个人信息保护法案》，修订的《个人信息保护法案》已经在2015年国会常会期间提交[13]。

1.2 “通用号码”法案

2009年初由日本自民党领导的执政联盟提议的《“通用号码”法案》（“Common Number”Bill）于2013年5月24日通过日本国会议院。该法案计划给每个日本居民，包括中长期逗留在日本的外国人和特殊的永久居民，分配一组个人识别号码，用于个人税收、社会保险、灾害防御规程等方面个人信息数据的记录和管理[14]。该法案已于2016年1月开始实施，计划在2017年，日本居民可以通过门户网站来查询自己的社保记录和其他信息[15]。

虽然“通用号码”法案的实施可以有效提高行政效率和检测逃税、福利欺诈等行为，但由于个人信息会被提供给一些合作机构，存在着个人信息数据泄露的风险。因此，为了有效监督ID系统，该法案规定，由权威的第三方独立委员会负责对数据处理不当公职人员的监督和指控，那些非法泄漏或出售ID信息的人将面临四年监禁或人民币200万罚款的处罚。

2 日本数据隐私法律内容分析

2.1 数据操作规定

2.1.1 数据保护机构及注册要求

日本没有中央数据保护机构或统一注册要求，每个政府部门遵循《个人信息保护法案》中要求的一般性原则，出台符合自己性质的行政指南，注册对是否与法案相关不做要求。许多部门指南要求企业自愿参与商业部门管理[16]。虽然数据保护机构没有注册要求，但以下部门单位不允许以商业为目的使用个人信息数据库：

国家组织；

地方政府；

独立行政机构等等；

地方独立行政机构；

通过政令指定的机构。

2.1.2 数据收集与处理

商业部门处理个人数据不得以欺骗或其他不正当手段获取个人信息。在处理个人数据时，经营者应当尽可能多的指出个人信息的利用目的，不得改变个人信息利用的起始目的范围。当经营者处理、获得某人数据时，必须告知此人或公开宣布利用目的。未经第一接受人同意，经营者不得处理超过个人数据利用范围的数据。厚生劳动省已经颁布了专门针对雇员数据的指南《Employment Security》，指南参照了《个人信息保护法案》的结构，并且针对雇员数据的收集与处理进行了内容设立[17]。

2.1.3 数据传输和数据共享

日本隐私数据政策规定，未经当事人同意，部门机构不允许将个人数据传输给第三方机构。但以下情况，相关部门机构可以不经当事人同意，将个人数据传输给第三方机构：

法律要求的；

以保护人的生命，身体安全或者财产安全为目的，及获得当事人同意存在困难；

以推动公共健康或促进儿童发展为目的，及获得当事人同意存在困难；

国家机构和地方公共机构履行职责的要求，及获得当事人同意存在困难。

在向第三方共享或传输个人数据之前，相关机构必须提供下列信息，来使资料当事人了解如何防止传输：

包含利用目的的第三方条款；

提供个人数据的具体内容；

提供给第三方机构个人数据的手段和方法；

个人请求下的，提供给第三方机构的个人数据行为将停止。

除了在有限的情况下，当资料当事人提出停止要求时，经营者必须停止提供个人数据给第三方，并告知资料当事人任何异常的应用。在相关机构部门告知个人或安排个人可以便捷了解以下信息的情况下，机构可以与其附属机构共享个人数据：

个人数据将被共同使用的事实；

使用个人数据的项目；

被共同使用的个人数据的部分；

共同使用的目的；

共同使用个体名称的责任。

2.2 数据服务规定

2.2.1 数据安全

《个人信息保护法案》要求政府机构，通过各部委的具体要求，采取适当措施，来执行法案对于第三方共享，利用目的告知和收购条款目的的规定。此外，该法案还包括以下对个人数据安全及准确性的相关条款：（1）经营者处理个人信息应当努力保证个人数据的准确性，在一定日期范围内，实现利用目的；（2）经营者必须采取必要的措施来防止个人信息的泄露、丢失或者损坏，以及其他个人数据的安全管控；（3）当经营者雇佣员工或委托他人处理个人信息时，必须对其进行监督，以确保个人信息的安全和管控[18]。

2.2.2 违反告知

违反告知是指当个人数据遭到错误、泄露、丢失等危险情况时，数据保护管理机构应及时如实告知当事人情况。虽然《个人信息保护法案》中未包含一般的违反告知，但一些部委指南，例如经济产业省指南，强制要求管理企业所有涉及个人数据泄露和丢失必须通知到个人，并向经济产业省提交违反报告。其他部委指南仅仅是推荐告知，也有的在这个问题上选择沉默。

2.2.3 其他服务要求

日本隐私数据对于数据服务也提出了相关要求，《个人信息保护法案》规定，当申请人请求个人数据时，机构必须将这些信息及时提供给申请人，不得延误。但是，以下情况，机构可以拒绝个人数据申请：

个人生命或身体安全存在风险，或信息披露可能会侵犯个人或者第三方机构权利；

个人信息公开或交付可能影响相关机构运行；

个人信息公开或交付将违法其他法律。

对于保留的个人数据，相关组织必须填写保留信息，联系信息和保留的目的。机构必须提供错误个人数据修改、更正、补充和删除的机会。当个人数据利用超出使用范围时，个人也可以申请停止使用或删除个人数据。

2.3 执行处罚规定

日本政府对于违反数据隐私法律的行为，尤其是个人信息保护机构，做出了严格的规定，如处理个人信息的经营者，应当妥善并及时处理有关个人信息处理的投诉，并建立一个系统来实现这一目标。

对于不遵守该法案或部委颁布有关准则的机构或个人将会受到行政处罚。当相关机构违反该方案或指导方针时，部长可以进行纠正建议。如果相关机构未整改，且无正当理由，部长会发布进一步整改命令。不执行整改命令，相关责任人会面临最高30万日元的罚款，并可能面临6个月的监禁。

3 对我国的启示

3.1 制定数据隐私专门法

党的十八大提出，法律是治国之重器，法治是治国理政的基本方式，“落实依法治国基本方略，加快建设社会主义法治国家，必须全面推进科学立法进程”[19]。目前我国关于隐私数据安全与保护的规章制度散见于宪法、法律、法规及部门规章中，如《刑法修正案（七）》第7条增补了侵犯公民个人信息安全的犯罪：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员依照各该款的规定处罚”，其他涉及到数据隐私的法律、法规主要还有《中华人民共和国侵权责任法》、《关于加强网络信息保护的决定》、《网络商品交易及有关服务行为管理暂行办法》、《中华人民共和国电子签名法》、《非金融机构支付服务管理办法》、《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《中华人民共和国互联网信息服务管理办法》等[20]。但由于基本立法原则和总体法律框架的搭建相对欠缺，导致还没有关于数据隐私保护的专门法。

《个人信息保护法案》和《“通用号码”法案》是目前日本数据隐私主要适用法律，前者是日本第一部数据隐私专门法，后者是日本政府在“大数据”时代背景下，与时俱进，平衡数据利用与隐私保护所制定的法案。而我国数据隐私专门法是缺失的，数据隐私保护法制定迫在眉睫，借鉴日本《个人信息保护法案》和《“通用号码”法案》两部法律的内容结构，其应该由以下几个部分组成：①总则，主要包括目的、定义概念、基本理念等；②国家及地方政府责任，主要包括国家的责任、地方政府的责任、立法举措等；③保护个人信息举措，主要包括个人信息保护基本方针、国家举措、地方政府举措、国家与地方政府协力合作等；④个人信息处理机构义务，主要包括个人信息处理机构职责、民间组织保护个人信息的推进等；⑤其他规定，主要指不适用情况；⑥惩罚规则及附则。

3.2 鼓励多方机构参与

数据隐私保护工作过程中涉及的责任主体主要有个人信息当事人、信息采集机构、信息处理保存机构、信息利用机构及监督审查机构。数据隐私保护涉及面广、数据量大，面临技术、经济、法律等多方面的问题，仅仅依靠国家机构的力量难以解决这些问题，惟有鼓励多方参与合作[21]，方能推进数据隐私保护工作。日本《个人信息保护法案》中规定，日本政府不设立统一的中央数据保护机构，不建立统一的数据保护机构注册要求，允许相关经济机构在法律允许范围内，利用数据获得商业利益[18]，鼓励各方机构组织参与到数据隐私保护中来。日本数据保护涉及的参与机构就有：国家政府机关、地方政府机关、地方公共团体、民间团体、独立行政法人、地方独立行政法人、政令指定人、个人信息处理保存机构、个人信息商业机构、投诉调解监督机构等。

鼓励多方机构参与数据隐私保护工作，要遵循以下几个原则：①法律适用原则，数据隐私保护工作机构要符合现有法律规定，不得与之冲突；②权责一致原则，根据不同机构的特点与分工，明确其权利与义务，严格执行惩罚制度。③透明原则，指所有参与隐私数据保护工作的机构信息、工作具体内容等情况，必须公开可查；④有限原则，指参与数据隐私保护工作的同性质机构数量不能过多；⑤安全原则，指任何机构的选择、任何行为都是以安全为第一目的。满足基本原则后，激励政策必不可少，鼓励更多性质的团体机构参与数据隐私保护工作，在同性质机构部门间形成良性竞争环境，促进数据隐私保护工作高效运行。激励政策的制定，应该考虑到不同机构的性质特点来制定，切不能“一刀切”。如个人信息处理与保存机构，在遵循既有法律规范的前提下，可以利用其拥有的信息数据提供商业服务，而公共团体则不允许提供商业服务。

3.3 建立行业部门规范标准

囿于各个部门行业性质上的差异及对隐私数据认识和关注的重点也各有不同，如政府机关更关注姓名、性别、年龄、职业等基础信息；而商业机构则更关注购买、消费、收入、支付方式等商业信息。因此，在遵循国家制定的数据隐私保护法的前提下，鼓励不同性质部门内部对隐私政策的内容进行讨论，建立符合行业部门特性的规范标准，凸显行业关切、彰显人文关怀。如日本厚生劳动省，参照了《个人信息保护法案》结构与原则，针对雇员数据的收集与处理的特点，颁布了专门针对雇员数据的指南《Employment Security》[17]。对于已经建立起来的行业部门规范标准，要根据具体情况的变化，定期或及时修订，与时俱进。

3.4 建立数据隐私保护倒逼机制

日本隐私法规定，数据隐私利用的监督方式主要采用第三方独立机构监督，主要监督对象为政府部门、经济实体、个体等各主体的隐私数据利用行为。除此之外，各机构部门“应当妥善并及时处理有关个人信息处理的投诉，并建立一个系统来实现这一目标”[18]，个人监督也是重要的监督手段。

数据隐私保护工作的顺利有效推进，涉及不同机构组织，离不开各方的有效监督，仅依靠设立投诉调解监督机构来对各方机构进行监督是远远不够的。因此，通过设置监督机构与专门人员、公开投诉电话等方式受理投诉，畅通监督和申诉的渠道，并将泄露隐私数据应承担的责任、对相关责任人的处罚处理制度、消除影响及弥补过失的措施、个人对因隐私数据泄露所造成的不良影响，要求得到公正待遇的权利等予以公布，以发挥个人在隐私数据保护中的监督和促进作用[22]，建立起个人隐私数据保护倒逼机制，丰富数据隐私保护工作监督方式，有效落实对隐私数据保护各方的监督。

参考文献

[1]Manyika J，Chui M，Brown B，et al.Big data：The next frontier for innovation，competition，and productivity[EB/OL].http：∥www.mckinsey.com/Insights/MGI/Research/TechnologyandInnovation/BigdataThenextfrontierforinnovation，2016-02-18.

[2]邬贺铨.大数据时代的机遇与挑战[J].求是，2013，（4）：47-49.

[3]何哲.五中全会，大数据战略上升为国家战略[EB/OL].http：∥politics.people.com.cn/n/2015/1108/c1001-27790239.html，2016-02-18.

[4]孟小峰，慈祥.大数据管理：概念、技术与挑战[J].计算机研究与发展，2013，50（1）：146-169.

[5]上海市消费者权益保护条例[EB/OL].http：∥www.law-lib.com/law/lawview.asp？id=481522，2016-02-20.

[6]Personal Information Protection Act[EB/OL].http：∥www.cas.go.jp/jp/seisaku/hourei/data/APPI.pdf，2016-02-20.

[7]The Ministry of Economy，Trade，and Industry[EB/OL].http：∥www.meti.go.jp/english/index.html，2016-02-22.

[8]The Ministry of Health，Labour and Welfare[EB/OL].http：∥www.mhlw.go.jp/english/wp/wp-hw2/part2/p2c11s4.pdf，2016-02-22.

[9]The Financial Services Agency[EB/OL].http：∥www.fsa.go.jp/frtc/kenkyu/event/2007042402.pdf，2016-02-23.

[10]The Ministry of Internal Affairs and Communications[EB/OL].http：∥120.52.72.39/www.soumu.go.jp/c3pr90ntcsf0/mainsosiki/johotsusin/eng/Resources/others/1102141.pdf，2016-02-23.

[11]The Ministry of Land，Infrastructure and Transport[EB/OL].http：∥www.mlit.go.jp/en/index.html，2016-02-23.

[12]Japan-Bill-140724[EB/OL].https：∥www.privacy.org.au/Papers/Jap-Bill-140724.pdf，2016-02-24.

[13]“Big Data”Raises Big Legal Questions in Japan[EB/OL].http：∥www.nippon.com/en/in-depth/a03602/，2016-02-25.

[14]Intertwining of technical and legal issues in the My Number system[EB/OL].http：∥www.yomiuri.co.jp/adv/chuo/dy/research/20120510.html，2016-02-25.

[15]New ID system for keeping tax tabs，finding cheats[EB/OL].http：∥www.japantimes.co.jp/news/2013/06/11/reference/new-id-system-for-keeping-tax-tabs-finding-cheats/#.VtPs201ummQ，2016-02-26.

[16]Section 4.Promotion of Information-Oriented Society[EB/OL].http：∥www.mhlw.go.jp/english/wp/wp-hw2/part2/p2c11s4.pdf，2016-02-28.

[17]Employment Security[EB/OL].http：∥www.mhlw.go.jp/english/policy/employ-labour/employment-security/index.html，2016-02-28.

[18]个人情报の保护に阌する法律[EB/OL].http：∥www.japaneselawtranslation.go.jp/law/detailmain？id=130&，2016-02-29.

[19]人民网.图解：习近平关于依法治国的重要论述[EB/OL].http：∥legal.people.com.cn/n/2014/1020/c42510-25866524.html，2016-03-01.

[20]戈悦迎.大数据时代信息安全与公民个人隐私保护——访中国电子商务协会政策法律委员会副主任阿拉木斯[J].中国信息界，2014，（2）：51-55.

[21]钟源，吴振寰，刘灿姣.数字资源长期保存馆社合作模式调查分析[J].图书情报工作，2014，58（2）：91-95.

[22]陈忠海，常大伟.英美加澳四国国家档案馆网站隐私政策及其启示[J].北京档案，2015，（4）39-41.