数据隐私法一览：日本

本文介绍了日本《个人信息保护法》(APPI)的规定，包括控制者和处理者在内的外国商业实体(“外国商业实体”或“外国经营者”)在处理日本国内个人信息时应特别注意这些规定。

个人信息保护法的域外适用效力

如果APPI不适用于域外，则无需考虑其规定。但根据APPI第171条规定，日本境外企业从事下列活动的，APPI产生域外适用效力：(1)处理位于日本境内的个人(“数据主体”)的数据；以及(2)在向日本境内公司和/或个人提供商品或服务时处理上述个人数据。

“商业实体”是境内还是境外实体并不重要。“日本境内个人”包括的数据主体无国籍限制，也不区分其在日本是否为短暂逗留。关键是，APPI的适用范围仅限于与提供商品或服务有关的情况。

例如，如果外国商业实体在整理全球员工信息时处理了旗下日本分支机构的员工的个人数据，则该活动不属于APPI的域外适用范围，因其与提供商品或服务无关。

跨境数据传输

如上所述，为在日本提供服务而获取个人信息属于APPI的适用范围。数据可以直接取自数据主体，也可取自国内商业实体，涉及第二种情况时，适用规定更复杂。尽管这些规定的适用对象是打算向外国企业提供个人信息的国内商业实体，但外国经营者也须了解这些规定。

APPI第28条第1款和第2款规定，当国内商业实体将数据主体的个人数据传输给其他国家的第三方（“跨境数据传输”）时，应向数据主体提供有关其他国家的具体参考信息（“参考信息”），提前征得数据主体的同意。

1. 须向数据主体提供的参考信息包括:

   1. 有关国家的名称：如果在征询数据主体的同意时不能明确指出目的地国家，商业实体须说明理由，并提供其他信息替代国家名称 (例如，如确定了目的地国家的潜在范围，则应提供该范围);以及

   2. 关于国外个人信息保护制度的信息：此要求旨在使数据主体了解国内外法律制度的差异。日本个人信息保护委员会(PPC)在其网站(https://www.ppc.go.jp/enforcement/infoprovision/laws/)上列出了主要几个国家的制度，国内实体可将这些信息作为参考信息提供给数据主体。如信息接收方所属国家未在列表之中，国内实体可能需要首先向外国经营者问询了解相关法律制度。

   3. 第三方为保障个人数据安全而实施的保护措施：如外国经营者已采取了《经合组织隐私指南》八项原则要求的所有措施，则只需提供此信息即可。如外国经营者采取的措施不明，提供事实和理由即可，但建议在了解清楚了这些措施后补充说明。

2. “外国”的范围。欧盟和英国被排除在APPI第28条的“外国”定义之外，在APPI下被视为等同于在日本境内传输。但根据APPI第27条第1款规定，在将个人数据转移到国内第三方之前，也需要征得数据主体的同意。不过，对境内传输的法规要求相对简单。

3. “第三方”的范围。已采取适当保护措施的外国经营者被排除在APPI第28条“第三方”定义之外。具体来说，如果外国第三方采取的措施被证实符合APPI对国内商业实体的标准，或者该外国第三方获得了亚太经济合作组织(APEC)跨境隐私规则体系的认证，则该第三方被视为已采取适当措施。

   即使外国第三方被视为已采取充分的措施，无需征得数据主体同意，但APPI第28条第3款要求国内信息提供商须确保外国第三方维持充分的措施。可通过年度认证等方式确保外国第三方持续实施充分的保护措施。此举可能给国内信息提供者造成重大负担。因此，对充分措施的要求对相关方并不便利。

4. 对违规行为的处罚。根据APPI第148条规定，国内商业实体违反规定的，PPC可以建议其采取纠正措施，拒不纠正错误的，PPC可下发命令 。如国内实体不遵守这些命令，违规实体的代表可能面临最高一年的监禁或最高100万日元(6700美元)的罚款，雇用这些个人的实体可能面临最高1亿日元的罚款(相关规定见APPI第178条和第184条第1款第1项)。

有关数据泄漏的规定

APPI第26条规定，因勒索软件攻击或其他事件导致个人数据泄露、丢失或损坏(“数据泄露”)时，企业应向PPC和数据主体报告数据泄露情况。

1. 在以下情况下，需要向PPC报告并通知受影响的数据主体:

   1. 个人数据，包括有关数据主体的敏感个人数据，包括但不限于种族、信仰、社会地位、病史和犯罪记录相关信息(见APPI第2条第3款规定)，已经泄露或存在数据泄露风险；

   2. 个人数据的泄露或潜在泄露可能导致财务损失，例如信用卡号码泄露；

   3. 由于恶意意图，例如第三方攻击，个人数据已经泄露或有泄露风险;及

   4. 数据泄露或潜在泄露涉及超过1,000多人的个人数据

2. 向PPC报告数据泄露事件以及通知受影响数据主体的责任由经历数据泄漏事件的商业实体承担。在信息控制方(商业实体)经历数据泄露的情况下，责任主体很明确。但是，如果信息处理方(分包商)经历数据泄露，控制方和分包商均承担报告和通知责任。为避免重复报告，如分包商将数据泄露通知给控制方，则认为分包商履行了报告和通知义务。

3. PPC报告规定如下：

   1. 在发现泄漏事件后三至五天内提供初步报告，详细说明所知情况;

   2. 在发现泄漏事件后的三十天内(如果事件涉及恶意意图，则为六十天)提交一份详细报告，包括事件概述、涉及的个人数据类型、受影响的数据主体数量、事件原因、是否存在二次损害及损害性质或是否有二次损害的风险、对数据主体的回应状况、公开披露状况、避免再次发生泄漏的保护措施和其他相关信息；以及

   3. 一般通过填写PPC的在线报告表格(https://roueihoukoku.ppc.go.jp/incident/?top=r2.kojindata)报告，表格以日文填写，这就要求报告方精通日语。报告方应考虑翻译时间，尤其是提交初步报告。

4. 关于通知受影响数据主体的规定：

   1. 依情况立即通知，不过，具体通知时间逐案确定。

   2. 通知内容应包括对事件的概述、所涉及的个人数据类型、事件的原因、是否存在二次损害及损害性质或是否有二次损害风险，以及其他相关信息。

   3. 标准做法是通过文件或电子邮件直接通知数据主体，但如果直接联系不可行，则可以使用公开披露或其他方法。

5. 未按要求向PPC报告或通知受影响的数据主体的，可能面临与上文第(4)节“跨境数据传输”中介绍的跨境数据传输违规行为处罚相同的处罚。

以上是APPI针对外国经营者处理日本境内自然人的个人数据的一般监管框架，商业实体在处理这些个人数据时，必须遵守APPI条款，保护日本数据主体的个人数据。