浅析日本个人信息保护相关立法及制度

唐轶晴

摘要：日本是非常重视个人隐私、个人信息保护的国家，国民的隐私保护意识也很高，因此，日本的相关立法和制度的建立起步也很早。早在1988年（昭和63年）12月就公布了《关于行政机关保有的与电子计算机处理相关的个人信息保护的法律》，于平成15年（2003年）公布和部分实施了《个人信息保护法》，于平成17年（2005年）全面实施。日本的个人信息保护相关立法和制度，逐步完善，社会效果显著。在此，笔者力图通过对日本相关立法和制度的整理，分析其对我国立法的借鉴意义。

关键词：日本;个人信息保护;保护制度

一、日本个人信息保护相关立法的现状

国际上大部分已制定了个人信息保护法相关法律的国家，大多以OECD《关于隐私保护与个人资料跨国流通的指南》中提出的八项原则1为立法主旨，日本也不例外。日本的《个人信息保护法》在上述八项原则的基础上，根据本国的实际情况，相应的在立法中确认了相关业者的义务2，并在立法中细化定义了“个人信息”、“个人识别符号”“个人敏感信息”、“个人信息数据库”、“个人信息处理业者”、“个人数据”、“匿名化加工信息”3等。从立法的基本理念看，日本希望通过立法在尊重人格权利的基础上，适当的、慎重的使用个人信息。同时公布的还有《关于行政机关保有的个人信息保护相关的法律》4、《关于独立行政法人等保有的个人信息保护的相关法律》5、《信息公开·个人信息保护审查会设立法》6等针对国家行政机关、专门机构设立的一系列法律。从上述立法的内容上分析，日本很重视国家行政机关，在执行政府公共事务时，所获取的大量的公民个人信息如何高效的、合理合法的利用，以及在收集、分析、利用、匿名化处理等的过程中，如何避免个人信息的泄露的问题。对国家行政机关利用公权力获取的个人信息应尽到何种义务、受到何种监督是日本在个人信息保护立法中重点关注的。

随着信息化社会进程的加快，智能手机、网络运用的普及，隐私权保护意识极高的日本，进一步制定出台了一系列特别法，如《关于在行政手续中获取的识别特定个人的号码的利用等相关的法律》7（以下简称“号码法”）、《关于评价特定个人信息保护相关的规则》8。从整体立法体系角度分析，日本以基本法律《个人信息保护法》作为个人信息保护相关立法的基本方针，将适用法律的主体区分为民间主体和公权力主体，又分别适用其领域内的特别法令、规则、指南。如下图9所示：

综上，日本在个人信息保护相关的法律、法规的框架如图所示。该体系的建立是随着社会信息化的加深、个人信息的收集不可避免，而如何高效利用收集的个人信息，提高社会福祉，为公共利益服务，克服其中的利益冲突问题，使公众对其个人信息不会被滥用、泄露，从法律、政策的层面，制定专门的外部监督机构、通报等机制是日本立法和施策的特点。

二、日本针对个人信息保护相关的制度

（一）个人信息保护委员会（Personal Information Profection Commission）（以下称“PPC”）

依据日本的《个人信息保护法》第四章第三节（监督）的相关内容，PPC是在规定的限度内，根据需要可以要求个人信息处理业者或匿名化加工信息处理业者，提出必要的报告或其他资料，进入其经营场所进行检查、询问、以及查看账簿等文件;提供指导及建议;提出劝戒或命令;为保证个人信息（包括特定个人信息）被适当使用而设置的，具有高度独立性的机构。其主要职责为（1）推进和制定个人信息保护相关的基本方针（2）对个人信息等的处理进行监督（3）开展与认定个人信息保护团体的相关事务（4）监查监督特定个人信息处理（5）开展与认定特定个人信息保护评价相关的事务（6）负责投诉、调解等事务（7）国际协作（8）开展宣传、推广活动（9）其他。

（二）个人信息保护团体认定制度

个人信息保护团体认定制度是指为了按照各业务领域推进民间团体参与个人信息保护，以发展自发组织为目的，由PPC认定法人、非法人团体为个人信息保护团体的制度。被认定的个人信息保护团体开展《个人信息保护法》第47条规定的各项业务，根据行业特性自主制定《个人信息保护指南》，依据该指南寻求对该行业内相关业者进行指导。如，一般社团法人日本交互广告协会（JIAA）发布的《行为轨迹目标广告指南》，该指南为协会会员在获取网络用户在使用网页、APP或其他网络浏览行为痕迹信息后，利用该数据投放目标广告时，应遵守的基本事项做出规定，为营造安全放心的网络广告环境而制定。

（三）隐私保护标识制度

隐私保护制度是对符合日本产业规格（“JISQ15001个人信息保护管理系统要求事项”），的要求，评价业者针对个人信息保护具有适当的保护措施及体制，颁发象征隐私权保护的标识，认可其在业务活动中使用隐私权保护标识的制度。

实施该制度的机构是一般财团法人日本信息经济社会推进协会（JIPDEC）下设的隐私权保护标识委员会。委员会成员有学者、事业团体代表、消费者代表以及法律界人士，相关规则指南由其进行审议、制定相关制度、决定颁发或取消、暂停隐私权保护标识的使用。标识的使用期限为2年。该制度是为了让消费者提高个人信息保护意识，激励相关业者提高社会信用度的举措。截止笔者调查网站信息（2020年1月16日），共计16385家团体取得了隐私权保护标识。

（四）信息银行制度

信息银行制度最早是为了体现《官民数据活用推进基本法》10第12条（涉及个人的情况下，通过多种主体灵活利用官民数据）的宗旨而经日本总务省、经济产业省等相关部门召开相关研讨会，制定公布了《关于认定信息信托职能的指南ver1.0》11（以下称“指南”），指南中将“信息银行（PDS12）”定义为根据与个人之间订立的数据利用相关合同，在PDS等系统中利用管理个人数据的同时，根据个人的指示及事前指定的条件，替代个人做出适当性与否的判断后，将数据提供给第三方的业务。指南中制定了①认定基准②合同模板的必要记载事项③認定流程等内容。认定由一般社团法人日本IT团体联盟信息银行推进委员会负责。最新的《关于认定信息信托职能的指南ver2.0》13于平成31年10月由经济产业省公布。

三、对我国的借鉴意义

上述介绍了日本在个人信息保护方面的立法及目前的相关制度。对比我国目前的个人保护立法，我国目前尚未有专门的个人信息保护法律，我国对个人信息保护相关的法律，都散落在其他相关法律中，如《消费者权益保护法》14、《民法总则》15等。

目前，全球的信息化程度，远非传统贸易的概念，更多的是数据信息的交流和使用。但这都急需建立在各国完备的信息保护立法之上。根据日本贸易振兴机构（JTERO）2018年11月21日公布的统计报告16，国际电信联盟（ITU）依据使用的跨境网络带宽计算的世界跨境数据流通量，2001年为每秒1608千兆位，2016年则增长至2001年的165倍26.5万千兆位。世界数据流通量的国别统计上，截止2016年，跨境数据流通量最多的前五个国家和地区依次为中国香港、美国、英国、中国台湾、中国。这些数据流通中，包含大量的个人信息。PPC于平成31年（2019年）4月25日发布的《关于个人信息保护法暨每3年期回顾研讨情况的中期整理》17对日本个人信息跨境转移的现状面向PPC的会员企业进行了调查，关于跨境转移的个人信息的内容及对象国的调查显示，内容上从业人员的个人信息占比超过76%为最多，其次是交易方的个人信息占比超过43%。在消费者的个人信息方面，对内（外国→日本）19%，对外（日本→外国）12.1%，而跨境转移的对象国流通量最大的就是中国，对内71.5%、对外67.7%，其次是美国、欧盟。报告中还提到在对象国中，中国尚未有完备的法律保护体系。

因此，没有系统完备的个人信息保护相关法律，对我国的对外贸易，全球信息化数据交换、利用等方面会产生很不利的影响。我国作为新兴市场，在跨境电商等信息化新产业方面，无论是交易量还是用户数量，数据数量都是巨大的，其利用、跨境转移都存在个人信息泄露等风险。目前我国在有关数据跨境转移方面，仅仅主要在《网络安全法》18中进行规制是不足的。

日本的個人信息保护立法，也同样经历了从单独领域个别立法，逐步过渡到专门立法的过程。笔者认为日本目前建立的个人信息保护立法及制度，很值得我国借鉴。如通过立法更加明确国家、地方行政机关、与个人信息处理相关业者等根据其行政职权或依据其业态能够收集到大量个人信息的团体，在处理、利用、转移、编辑收集到的个人信息时，应尽到的告知、保密、妥善保管、谨慎处理等义务，以及更为明确其在处理个人信息时应履行的相关程序，受到何种外部监督，应在何种范围内收集和利用。这样可以使得公众对相关企业和行政机关收集到本人的个人信息后如何使用，依法取得知情权，并增强公众对企业的信赖，增加政府机关的公信力。例如，在进入大学的图书馆，甚至一般的办公大楼时，都会被要求登记公民身份证号，但在中国，公民的身份证号码是可以识别特定个人的号码，且每一公民仅可以取得唯一的终身不变的一个身份证号码19，有关单位及其工作人员在履职过程中，获取的公民身份证信息应当予以保密20。但实际上，登记时只是使用简单的一张表格自行记录上姓名和身份证号，进行登记时，很轻易就可以看到同一张登记表格中其他人员登记的身份证信息，谈不上采取了任何保密措施，而登记的依据又是什么，相应的保密、妥善保管义务的履行情况又受到哪些检查和监督，收集了大量信息后进行了何种处理，公民个人或有关单位都没有具体的法律依据可以明确权利义务。

四、结语

随着2016年12月15日国务院发布《关于印发“十三五”国家信息化规划的通知》21，我国在国家战略层面制定了信息化发展的目标、原则和主要任务。近年来，我国在各个单独领域以及互联网发达的浙江、广东等省都以地方法规的形式，对数据保护、网络安全、个人信息保护方面的立法及制度制定上，有了显著的明确化、具体化的趋势。法律根本上是服务于社会经济生活的，公众需要法律为避免个人信息泄露，或尽可能地降低泄露的风险，提供事前评估的防范措施，事后追责，获得赔偿的依据。

因此，在借鉴其他国家经验的基础上，建立符合我国国情的法律法规，在个人信息利用和公共利益的冲突中取得平衡，增加数据大国的优势。同时，个人信息保护还需要充分调动民间团体及企业的社会责任;提高公民的个人信息保护意识，共同建立安全、可信赖的法制环境。

参考文献：

[1] 经济合作与发展组织 Organisation for Economic Co-operation and Development（OECD）。OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 八项原则分别为（1）限制收集原则（2）资料内容完整正确原则（3）资料利用目的明确化原则（4）限制利用原则（5）安全保护原则（6）公开原则（7）个人参与原则（8）责任原则。

[2] 《个人信息保护法》「個人情報の保護に関する法律」平成15年法律第57号第四章（个人信息处理业者的义务等）

[3] 《个人信息保护法》第一章第二条（定义），笔者译

[4] 《关于行政机关保有的个人信息保护相关的法律》「行政機関の保有する個人情報の保護に関する法律」平成十五年法律第五十八号（全面修改了1988年制定的「关于行政机关保有的与电子计算机处理相关的个人信息保护的法律」的相关内容

[5] 《关于独立行政法人等保有的个人信息保护的相关法律》「独立行政法人等の保有する個人情報の保護に関する法律」平成十五年 法律第五十九号

[6] 《信息公开·个人信息保护审查会设立法》「情報公開·個人情報保護審査会設置法」平成十五年法律第六十号

[7] 《关于在行政手续中获取的为识别特定个人的号码的利用等相关的法律》「行政手続における特定の個人を識別するための番号の利用等に関する法律」平成二十五年法律二十七号，平成二十七年法律第65号部分修正

[8] 《关于评价特定个人信息保护相关的规则》「特定個人情報保護評価に関する規則」平成二十六年特定个人信息保护委员会规则第一号

[9] 出处：https：//www.ppc.go.jp/files/pdf/personal_framework.pdf个人信息保护委员会网站

[10] 《官民数据活用推进基本法》（官民データ活用推進基本法）平成二十八年法律第103號

[11] 《关于认定信息信托职能的指南ver1.0》「情報信託機能の認定に係る指針ver1.0」

[12] PDS：Personal Data Store的略写

[13] 来源：经济产业省网站：https：//www.meti.go.jp/press/2019/10/20191008003/20191008003.html

[14] 《中华人民共和国消费者权益保护法》（2013修正）发布日期：2013.10.25 生效日期：2014.03.15 第二十九条 经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

[15] 经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。《中华人民共和国民法总则》主席令第六十六号 发布日期：2017.03.15 生效日期：2017.10.01第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

[16] 来源：https：//www.jetro.go.jp/biz/areareports/2018/380fd5f0d9c4bb4d.html急増する世界の「データ」流通量 激增的世界数据流通量

[17] 来源：https：//www.ppc.go.jp/news/press/2019/20190425/

（作者单位：北京君泰律师事务所）