前言
經濟全球化是當代世界經濟運行的重要特征之一。雖然近年來貿易保護主義有所抬頭����,但是商品�、技術�、信息���、服務��、人員����、資金等生產要素的跨國���、跨地區流動����,以及各個經濟體之間相互聯係���、相xiang互hu依yi存cun的de狀zhuang況kuang無wu法fa改gai變bian���,經jing濟ji全quan球qiu化hua的de發fa展zhan趨qu勢shi不bu可ke阻zu擋dang。互hu聯lian網wang和he信xin息xi技ji術shu應ying用yong的de迅xun猛meng發fa展zhan為wei經jing濟ji全quan球qiu化hua提ti供gong了le便bian利li��,作zuo為wei信xin息xi技ji術shu應ying用yong的de基ji礎chu����,包bao括kuo個ge人ren信xin息xi在zai內nei的de各ge種zhong數shu據ju已yi經jing成cheng為wei最zui重zhong要yao的de資zi源yuan之zhi一yi。另ling一yi方fang麵mian�����,正zheng是shi由you於yu數shu據ju的de重zhong要yao性xing�,數shu據ju安an全quan也ye關guan乎hu國guo家jia安an全quan���、關guan乎hu社she會hui公gong共gong利li益yi����,尤you其qi是shi個ge人ren信xin息xi更geng是shi與yu所suo有you人ren的de個ge人ren權quan益yi息xi息xi相xiang關guan。因yin此ci����,許xu多duo國guo家jia或huo地di區qu都dou對dui數shu據ju特te別bie是shi個ge人ren信xin息xi的de跨kua境jing傳chuan輸shu進jin行xing了le立li法fa和he監jian管guan���,其qi中zhong許xu多duo法fa律lv規gui範fan還hai設she定ding了le所suo謂wei域yu外wai適shi用yong規gui則ze。
duiyucongshikuajingjingjijishehuihuodongjiaowangdeqiyehegeren����,chulezaibenguofalvguifankuangjiaxiadeheguizhiwai�����,yeyinggaierqiehenyoubiyaoguanzhujiaowangduixiangsuozaiguojiahuodiqudefalvguifanyaoqiu�,yifangfanfalvfengxian����,baozhengjingjiheshehuihuodongjiaowangdeshunlijinxing。zhongguoyuribendejingjiwanglaiyizhishifenmiqie�����,jubaodao���,genju《中日貿易投資合作報告(2019)》統計顯示�,2018年中日貨物貿易規模持續回升����,雙邊貿易額達到3277億美元�,貿易額較前年增長8.1%。日本還是中國在全球的第三大服務貿易夥伴。[1]
本文假設中國企業A公司與日本企業B公司之間存在投資合作和貿易往來�,在相關經濟往來活動中會涉及從日本獲取個人信息。筆者將以A公司為例�����,通過Q&A的形式介紹和分析日本個人信息跨境傳輸規定�����,幫助企業了解有關內容��,為企業在經濟社會交往活動中的合規運營提供參考和依據。
1�����、 Q:請問日本關於個人信息的跨境傳輸主要有哪些法律規定���?
A:日本現行有效的《個人信息保護法》(以下稱“新保護法”)是2015年9月完成修訂�����,並於2017年5月全麵實施的。在新保護法當中���,首次將個人信息對外提供的對象進行了區分�,在第23條對於個人信息的對外提供進行一般性規定的基礎上�,增設第24條專門規定了“向外國第三人提供個人信息上的限製”的內容。
此外�,依據新保護法新設個人信息保護委員會(以下稱“PPC”)作為統一管理個人信息保護領域事務的專門機構。由PPC製定的《個人信息保護法施行規則》(以下稱“施行規則”)第11條和《個人信息保護法指南——向外國第三人提供個人信息篇》(以下稱“跨境指南”)分別規定了向外國第三人提供個人信息涉及的有關判斷基準�����、措施和事例。
新保護法���、施行規則和跨境指南的內容構成了日本個人信息跨境傳輸規則的基本規範。
2��、 Q:A公司從日本獲取個人信息是否一定涉及日本個人信息跨境傳輸規則����?A公司使用B公司提供的個人信息是否需要遵守日本個人信息保護法的規定��?
A:日(ri)本(ben)個(ge)人(ren)信(xin)息(xi)跨(kua)境(jing)傳(chuan)輸(shu)規(gui)定(ding)針(zhen)對(dui)的(de)對(dui)象(xiang)是(shi)外(wai)國(guo)第(di)三(san)人(ren)。其(qi)中(zhong)外(wai)國(guo)是(shi)指(zhi)日(ri)本(ben)境(jing)外(wai)的(de)國(guo)家(jia)或(huo)地(di)區(qu)。第(di)三(san)人(ren)是(shi)指(zhi)除(chu)了(le)作(zuo)為(wei)個(ge)人(ren)信(xin)息(xi)提(ti)供(gong)方(fang)的(de)處(chu)理(li)個(ge)人(ren)信(xin)息(xi)的(de)經(jing)營(ying)者(zhe)[2]和該個人信息可識別的個人之外的第三方����,包括外國政府等在內。B公司向A公司提供個人信息屬於向外國第三人提供個人信息����,應當適用日本個人信息跨境傳輸的規則。
但是���,對於判斷企業是否為第三人的標準為是否具有法人主體資格����,第三人的範圍包括母公司���、子公司和關聯公司。因此��,B公司向其與A公司在中國合資設立的子公司傳輸個人信息����,或者A公司在日本設立的子公司向其中國母公司A公司傳輸個人信息的情形��,都應該適用日本的個人信息跨境傳輸規則。如果是B公司向其在中國境內設立的不具有獨立法人地位的事務所傳輸個人信息����,則該事務所不被視為外國第三人。
此外���,如果A公司在日本境內設立不具有法人資格的事務所���,或者A公司在日本境內利用個人信息或含有個人信息的數據從事經營活動時��,A公司將被視為新保護法上的處理個人信息的經營者�����,B公司向A公司或其事務所提供個人信息時��,A公司或事務所不視為外國第三人�����,但B公司提供個人信息的行為應當符合新保護法第23條關於個人信息對外提供的一般性規定�,且A公司及其事務所在日本境內處理個人信息應當符合日本新保護法的有關規定。
同時依據新保護法第75條[3]的規定��,如果A公司或者B公司通過向日本境內的C先生提供商品或服務直接收集了C先生本人的個人信息�����,在中國或日本境外其他國家地區處理該個人信息時也需要適用新保護法中的相關規定。
3���、 Q:適用日本個人信息跨境傳輸規則時�,A公司或關聯公司從B公司獲取個人信息�����,應當滿足什麼條件����?
A:根據新保護法的規定����,日本個人信息跨境傳輸規則可以概括為一個原則和三個例外。
一個原則是在跨境傳輸個人信息前���,應當獲得個人信息識別本人的知情同意。
三個例外包括:
①同等保護水平國家的例外。即所謂白名單製度��,外國第三方所在國家或地區為施行規則規定的�����、被認為在保護個人的權利或利益上處於與日本同等水平的����、已建立個人信息保護製度的國家或地區����;
②jubeibiyaoshidangtizhideliwai。jizuoweigerenxinxijieshoufangdedisanrenjubeifuheshixingguizeguidingbiaozhundetizhi���,shibeirenweikeyichixucaiqutongdengyuribenchuligerenxinxidejingyingzheyingdangcaiqubiyaocuoshideduixiang����;
③法定免除情形的例外。即符合按照新保護法第23條第1款的規定[4]�,可以不經個人同意將個人信息提供給第三人的情形。
依據前述規定判定A公司或關聯公司從B公司獲取個人信息應當適用日本個人信息跨境傳輸規則時�����,隻有滿足a)事先取得本人知情同意�����、b)A公司或者關聯公司所在國家被認定為同等保護水平國家�����、c)A公司或關聯公司具備必要適當體製����、d)符合法定免除的情形����,當中任一條件時��,B公司才可以向A公司或關聯公司傳輸個人信息。
4��、 Q:如何確認是否屬於同等保護水平國家�?
A:PPC在施行規則中確定了認定同等保護水平國家的標準。具體包括:①對於處理個人信息的經營者規定了與新保護法同等的法律或其他規則��,並確保實施�����;②設立了與PPC同等的獨立監管機構����,具備實施必要和適當監管的體製���;③基於對於個人信息適當有效利用和個人權益保護的相互理解而與日本達成合作����;④對個人信息的跨境傳輸施加的限製不得超越保護個人信息的必要範圍���,在保護個人信息的同時����,互相保障數據的順暢流動����;⑤按照第24條規定對同等保護水平國家的認定���,能夠有利於日本的產業創新���、經jing濟ji社she會hui蓬peng勃bo發fa展zhan以yi及ji實shi現xian國guo民min的de富fu裕yu生sheng活huo。此ci外wai��,施shi行xing規gui則ze還hai規gui定ding在zai同tong等deng保bao護hu水shui平ping國guo家jia的de認ren定ding時shi���,可ke以yi根gen據ju保bao護hu個ge人ren權quan益yi的de必bi要yao��,對dui個ge人ren信xin息xi傳chuan輸shu的de允yun許xu範fan圍wei附fu加jia限xian定ding條tiao件jian。
基於上述標準���,並結合歐盟日本數據共享協議生效的背景[5]����,PPC於2019年1月23日發布了認定同等保護水平國家名單的公告。名單中包括冰島����、愛爾蘭�、意大利���、英國���、奧地利等31個歐洲國家。公告同時規定PPC將在公告適用起兩年����、其後每四年以及PPC認為有必要時對認定的國家進行調整。
5��、 Q:具備必要適當體製的認定標準是什麼�����?如何判斷是否符合�?
A:根據施行規則的規定�����,具備必要適當體製的標準包括滿足以下任一條件:
① 個ge人ren信xin息xi的de提ti供gong方fang與yu個ge人ren信xin息xi的de接jie受shou方fang之zhi間jian對dui個ge人ren信xin息xi的de處chu理li采cai取qu適shi當dang合he理li的de方fang式shi��,以yi保bao證zheng個ge人ren信xin息xi的de接jie受shou方fang能neng夠gou按an照zhao新xin保bao護hu法fa規gui定ding的de原yuan則ze采cai取qu措cuo施shi妥tuo善shan處chu理li個ge人ren信xin息xi。
所suo謂wei采cai取qu適shi當dang合he理li的de方fang式shi����,在zai實shi務wu中zhong需xu要yao根gen據ju情qing況kuang具ju體ti分fen析xi和he判pan斷duan�,根gen據ju跨kua境jing指zhi南nan的de示shi例li����,包bao括kuo在zai委wei托tuo外wai國guo第di三san人ren處chu理li個ge人ren信xin息xi時shi�,個ge人ren信xin息xi的de提ti供gong方fang應ying當dang與yu接jie受shou方fang簽qian訂ding合he同tong��、確認書����、備忘錄等�����,而提供方與接受方屬於集團企業內部時�����,應當製定公司內部規定���、隱私政策等。即通過適當合理的方式保證個人信息的接受方與輸送方承擔同樣的個人信息保護責任���,采取同等的措施。
按照新保護法規定的原則采取措施包括新保護法第四章第一節規定的內容���,從國際協調一致性的考慮���,也包括《經濟合作與發展組織(OECD)隱私指南》����、《APEC隱私框架》等國際組織製定的規則。措施具體內容涉及明確使用目的��、使用限製����、合法取得�、使用目的的告知�、數據真實完整性的保證��、安全管理措施�����、對員工的監督�����、對受委托方的監督等涉及個人信息完全生命周期的處理規定。
② 個人信息的接受方根據國際性框架製度獲得認證。
對於根據國際性框架製度獲得認證��,根據跨境指南主要指基於《APEC跨境隱私框架》的規則體係(CBPR)����,對數據跨境流動采取的認證機製。中國未加入CBPR體係。
6���、 Q:對A公司從日本獲取個人信息的業務�����,有何合規建議�?
A:
① 識別風險����,知己知彼。
企(qi)業(ye)合(he)規(gui)的(de)根(gen)本(ben)目(mu)的(de)和(he)重(zhong)要(yao)作(zuo)用(yong)之(zhi)一(yi)在(zai)於(yu)防(fang)範(fan)風(feng)險(xian)。防(fang)範(fan)風(feng)險(xian)的(de)前(qian)提(ti)在(zai)於(yu)識(shi)別(bie)風(feng)險(xian)���,涉(she)及(ji)法(fa)律(lv)風(feng)險(xian)時(shi)當(dang)然(ran)首(shou)先(xian)要(yao)對(dui)涉(she)及(ji)的(de)法(fa)律(lv)製(zhi)度(du)和(he)規(gui)定(ding)有(you)所(suo)了(le)解(jie)。對(dui)於(yu)A公(gong)司(si)以(yi)及(ji)其(qi)他(ta)擬(ni)從(cong)日(ri)本(ben)獲(huo)取(qu)個(ge)人(ren)信(xin)息(xi)的(de)國(guo)內(nei)企(qi)業(ye)�,當(dang)然(ran)有(you)必(bi)要(yao)對(dui)日(ri)本(ben)的(de)跨(kua)境(jing)個(ge)人(ren)信(xin)息(xi)傳(chuan)輸(shu)規(gui)定(ding)的(de)具(ju)體(ti)內(nei)容(rong)有(you)所(suo)了(le)解(jie)��,在(zai)此(ci)基(ji)礎(chu)上(shang)��,才(cai)能(neng)對(dui)於(yu)是(shi)否(fou)適(shi)用(yong)����,適(shi)用(yong)時(shi)可(ke)能(neng)產(chan)生(sheng)什(shen)麼(me)問(wen)題(ti)��,B公司要求的合同內容是否合乎法律規定等做出判斷����,並對由此可能產生的風險進行識別和評估。同時�,A公gong司si當dang然ran應ying當dang遵zun守shou中zhong國guo關guan於yu個ge人ren信xin息xi的de有you關guan法fa律lv規gui定ding要yao求qiu���,有you必bi要yao了le解jie個ge人ren信xin息xi收shou集ji使shi用yong等deng個ge人ren信xin息xi處chu理li相xiang關guan的de法fa律lv要yao求qiu�,這zhe樣yang才cai能neng有you針zhen對dui性xing地di采cai取qu合he規gui措cuo施shi��,防fang範fan風feng險xian的de發fa生sheng。
② 采取措施防範風險和有效利用。
在zai識shi別bie評ping估gu風feng險xian的de基ji礎chu上shang�,應ying當dang采cai取qu有you效xiao措cuo施shi防fang範fan風feng險xian。例li如ru根gen據ju法fa律lv的de規gui定ding����,製zhi定ding明ming確que的de管guan理li製zhi度du����,建jian立li組zu織zhi架jia構gou��,加jia強qiang員yuan工gong的de培pei訓xun和he管guan理li�����,強qiang化hua安an全quan措cuo施shi等deng���,這zhe既ji是shi前qian文wen介jie紹shao的de日ri本ben個ge人ren信xin息xi跨kua境jing傳chuan輸shu規gui則ze的de要yao求qiu��,也ye是shi企qi業ye防fang範fan承cheng擔dan與yu信xin息xi傳chuan輸shu方fang之zhi間jian合he同tong的de違wei約yue責ze任ren及ji違wei反fan個ge人ren信xin息xi保bao護hu相xiang關guan法fa律lv的de違wei法fa風feng險xian的de有you效xiao途tu徑jing。同tong時shi��,應ying當dang在zai遵zun守shou法fa律lv規gui定ding的de基ji礎chu上shang���,盡jin可ke能neng充chong分fen有you效xiao地di使shi用yong數shu據ju。這zhe本ben身shen也ye是shi個ge人ren信xin息xi保bao護hu相xiang關guan立li法fa的de目mu的de之zhi一yi。了le解jie法fa律lv規gui定ding�,靈ling活huo運yun用yong��,適shi時shi調tiao整zheng業ye務wu模mo式shi�����,爭zheng取qu以yi較jiao小xiao的de成cheng本ben獲huo得de最zui大da的de效xiao用yong�,才cai是shi企qi業ye進jin行xing合he規gui的de終zhong極ji目mu標biao。例li如ru根gen據ju收shou集ji使shi用yong個ge人ren信xin息xi的de業ye務wu目mu的de需xu求qiu�����,結jie合he個ge人ren信xin息xi跨kua境jing傳chuan輸shu規gui則ze以yi及ji個ge人ren信xin息xi保bao護hu相xiang關guan法fa律lv規gui範fan的de規gui定ding���,適shi當dang調tiao整zheng包bao括kuo傳chuan輸shu對dui象xiang�����、業務模式等。
③ 把握法律動向�,適時調整。
作zuo為wei重zhong要yao生sheng產chan要yao素su���,數shu據ju的de重zhong要yao性xing日ri益yi凸tu顯xian。同tong時shi�����,科ke技ji的de創chuang新xin發fa展zhan日ri新xin月yue異yi����,也ye決jue定ding了le數shu據ju的de應ying用yong場chang景jing以yi及ji影ying響xiang方fang麵mian將jiang會hui不bu斷duan發fa生sheng變bian化hua。應ying對dui現xian實shi的de需xu求qiu��,各ge國guo關guan於yu個ge人ren信xin息xi保bao護hu的de立li法fa也ye在zai不bu斷duan調tiao整zheng。日ri本ben的de新xin保bao護hu法fa於yu2017年5月正式實施�,按照新保護法的規定每3年會結合社會發展和法律實施的狀況等對於法律規定內容的修訂進行研究。2020年2月12日�����,PPC公布新保護法修訂大綱的意見征集結果。根據該修訂大綱的說明���,PPC將在本次征集意見的基礎上��,起草完成《個人信息保護法》修正案並力爭在今年提交日本國會審議。我國在2017年正式實施《網絡安全法》之後����,又密集地製定����、出台了一係列個人信息保護相關的法律規範�、國家標準等����,2020年3月6日備受關注的《信息安全技術 個人信息安全規範》(GB/T 35273-2020)正式發布��,將於10月1日實施。涉及個人信息保護的法律體係仍在加緊建立和完善過程中。企業在經營過程中���,有必要經常關注�、把握相關法律的動向�����,並適時進行評估和調整。
注釋:
[1]來源“2019中日貿易投資合作報告發布 雙邊貿易規模持續回升” http://www.takungpao.com/finance/236132/2019/0928/354865.html(最後登錄時間2020年3月4日)
[2] 依據新保護法第2條����,“個人信息處理經營者”是指�����,已經將個人信息數據庫等供業務使用者。根據該定義�,類似於我國《信息安全技術 個人信息安全規範》(GB/T 35273-2017)中的個人信息控製者。但是日本的“個人信息處理經營者”�����,不包括下列情形者:(一)國家機關����;(二)地方公共團體��;(三)獨立行政法人等�;(四)地方獨立行政法人。
[3] 新保護法第75條: 對(dui)於(yu)在(zai)向(xiang)國(guo)內(nei)的(de)某(mou)人(ren)提(ti)供(gong)商(shang)品(pin)或(huo)服(fu)務(wu)的(de)環(huan)節(jie)中(zhong)獲(huo)取(qu)了(le)以(yi)該(gai)人(ren)為(wei)本(ben)人(ren)的(de)個(ge)人(ren)信(xin)息(xi)的(de)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)經(jing)營(ying)者(zhe)在(zai)國(guo)外(wai)處(chu)理(li)該(gai)個(ge)人(ren)信(xin)息(xi)或(huo)者(zhe)用(yong)該(gai)個(ge)人(ren)信(xin)息(xi)製(zhi)作(zuo)而(er)成(cheng)的(de)匿(ni)名(ming)加(jia)工(gong)信(xin)息(xi)的(de)情(qing)形(xing)����,第(di)十(shi)五(wu)條(tiao)�����、第十六條��、第十八條(第二款除外)����、第十九條至第25條�、第二十七條至第三十六條����、第四十一條�����、第四十二條第一款�、第四十三條及後一條的規定也適用。
[4] 新保護法第23條第1款: 除下列情形外�,個人信息處理業者不得未事先取得本人的同意��,而將其個人信息提供給第三人:
(一)以法令為依據的情形�����;(此處法令僅指日本法令)
(二)為保護人的生命�����、身體或財產而有必要�,卻又難以取得本人同意的情形���;
(三)為提高公眾衛生���、或者推進兒童的健康成長而有特殊必要�,卻又難以取得本人同意的情形�����;
(四)有為國家機關或地方公共團體�����、或者受其委托的主體執行法令規定的事務而提供協助的必要���,卻又有可能因取得本人的同意而對該事務的執行造成障礙的情形。
[5] 來源“歐盟日本數據共享協議生效” http://www.mofcom.gov.cn/article/i/jyjl/m/201902/20190202833555.shtml
(最後登錄時間2020年3月5日)
