域外观察 | 日本修订《个人信息保护法》，呈现六大亮点

2003年5月，为回应国际经济合作与发展组织（OECD）提出的《隐私保护和个人数据跨境流通的指南》，并应对当时日本国内频发的互联网、信用卡等个人信息泄露事件，日本颁布《个人信息保护法》，成为亚太地区较早制定个人信息保护相关法律的国家。日本《个人信息保护法》以个人信息的有效利用及其保护为对象，确立了个人信息保护的基本理念和原则，明确了国家和地方公共团体的职责以及处理个人信息的主体应履行的义务，目的在于协调个人信息的有效利用和个人权益保护之间的平衡，涵盖总则（目的和基本理念）、国家及地方公共团体的责任和义务、保护个人信息的措施、个人信息处理者的义务、个人信息保护委员会的职责、杂则（适用范围）、罚则（违法责任）等内容。

自《个人信息保护法》颁布后，随着信息通信技术的不断发展，对个人信息利用的需求也在不断增加，社会环境、国际环境也发生了变化，原有规则不足以应对诸多挑战。同时，该法在附则中规定，法律施行后，政府每三年就应当对个人信息保护相关的国际动向，及伴随信息通信技术的发展而出现、发展的，与个人信息使用相关的新产业进行考察；在此基础上结合法律的实施情况，在必要时，制定新的措施。这条规定被称为“三年一改”规定。基于该规定及社会现实需要，日本《个人信息保护法》历经数次修订，最近一次的修订案已于2023年4月正式实施。

（一）吸收整合原多项个人信息保护规定，立法统一化更加明显

此次日本《个人信息保护法》修订，直观上表现为法律条文扩充，从88条增至185条。一部分原因是吸收整合了原来的个人信息保护相关法律文件，包括原《个人信息保护法》《行政机关个人信息保护法》和《独立行政法人信息保护法》，及地方公共团体遵循的《个人信息保护条例》。法律文件的整合使多项有关个人信息的定义得以统一化，如第一章对“个人信息”“个人识别符号”“敏感个人信息”“个人信息本人”“假名化信息”“匿名化信息”“个人相关信息”“行政机关”“独立行政法人”“地方独立行政法人”等概念展开阐释，有助于个人信息保护工作讨论语境的一致性。

（二）个人信息保护监管机构更为独立，单头管辖走向纵深

从各国的政府监管实践来看，独立监管机构已经成为众多领域中政府监管的组织模式，个人信息保护监管亦不例外。独立监管机构可以满足个人信息保护监管的独立性要求，还可以满足个人信息保护监管的权威性要求。日本个人信息保护法律文件的整合，同样带来个人信息保护监管机构的进一步独立。此前，日本个人信息保护监管机构呈现一定程度的分散化特征，总务省、个人信息保护委员会和地方公共团体均具备监管职责。修订后的《个人信息保护法》在第六章强化了个人信息保护委员会的独立性和权威性，进一步明确了个人信息保护委员会的设置、地位、组成、任期、身份保障、罢免、任命等规定。

（三）规范政府个人信息处理行为，要求政府建立“个人信息档案簿”

修订后的《个人信息保护法》规定，行政机关负责人应当对其持有的个人信息档案编制并发布“个人信息档案簿”，需要说明机构名称、个人信息文件使用目的、记录在个人信息文件中的数据主体范围、个人信息文件中记录的个人信息收集方法、记录信息中包含敏感个人信息的相关事宜等内容。但若将个人信息文件记录于个人信息档案簿时，可能会影响公共事务执行的，只需记录部分事项或不予记录。

（四）匿名加工信息制度更加完善，防止匿名化信息被复原

“匿名加工信息”是指通过对个人信息进行处理，使特定个人不仅无法通过自身识别，而且通过与其他信息进行比较亦无法识别特定个人的信息。修订后的《个人信息保护法》进一步要求个人信息处理者在制作匿名加工信息时，应严格按照“不可用于识别特定个人”及“不可复原”的标准进行加工。在个人信息匿名化后，应当采取措施防止匿名化过程中删除的记述或识别符号等泄露导致的风险。而个人信息处理者需要将匿名化信息提供给第三方的，应公布该匿名信息所含个人相关信息中的项目，并公布提供方式。此外，个人信息处理者不应将匿名加工信息与其他信息进行比照。

（五）进一步细化医疗、学术研究等特殊领域个人信息处理规则

为统一医疗领域、学术领域的个人信息保护相关规定，修订后的《个人信息保护法》明确，国家公立医院及大学处理个人信息时，原则上适用与民办医院、大学同样的规定，不再分别规范。此外，修订后的《个人信息保护法》对于学术研究相关规定，不再一律进行排除式的制度设计，而是作为相关义务的例外情形逐个列举，规则更为精细化。如，在第二十条关于个人信息处理超出原有目的时需征得本人同意的规定中，明确学术研究机构以学术研究为目的处理个人信息，无需经过本人同意。又如，在第二十七条有关个人信息向第三方提供须经本人同意的规定中，明确若学术研究机构向第三方提供个人信息是为了学术研究成果的发表等目的，则无需经过本人同意。

（六）区分不同主体设定罚则，处罚措施更为严格

根据主体类型的不同，《个人信息保护法》规定了相应的罚则。在行政机关层面，若行政机关负责处理个人信息的行政人员，存在违规行为的，可能被处以一年或两年以下有期徒刑或1,000,000日元及以下罚款；在经营者层面，若个人信息处理者或其雇员将个人信息用于不正当利益目的，或者使其被盗用的，可能受到一年以下有期徒刑，或500，000日元及以下罚款；若违规提供或盗用相关个人信息等，可能被处以一年以下拘禁，或500,000日元及以下的罚款。值得注意的是，若个人信息处理者存在违规行为，个人信息保护委员会可先建议其停止违规行为或采取纠正措施，但若其仍违反命令，将会面临最长一年的有期徒刑，或被处以1，000，000日元以下的罚款。

日本原有的法律制度是在继承和学习中华法系的基础上发展而来，到了明治维新以后，又向当时的德国学习，发展成为了大陆法系国家。二战之后，美国法成了日本移植和学习的主要对象，日本由原来属于大陆法系演变成为兼有大陆法系与英美法系特色的混合法系。另外，日本固有的某些制度也并存并获得发展。这三者结合，构成了日本当代法律制度的基本特点。因此，日本的个人信息保护立法进程一直受到国际社会的影响，同时又保持了自己的特色，即形式上参考了欧盟的保护模式，但实质上采纳了美国的保护内核。