2023.06.05 杨锦文 高健
根据中国商务部的统计数据,2016年至2020年末,中国对日本投资增长32%,新投资的领域涉及金融、家电、零售、餐饮、航空等需要大量处理个人信息的领域。从2022年1月1日《区域全面经济伙伴关系协定》(RCEP)在中国、日本之间正式实施之后,两国在扩大投资及贸易、促进区域经济一体化方面进一步加快合作步伐。
中国企业作为对日投资者、贸易伙伴管理日本子公司、与日本公司从事商贸活动时,在跨境处理日本企业员工信息及顾客信息、接受日本公司委托处理数据等多种场景下,均面临从日本向中国跨境提供个人信息,即日本法下的个人信息出境问题。本文拟梳理日本个人信息保护法下有关个人信息出境的规制框架,以期为从日本接受跨境数据传输的中国企业提供合规参考。
一、 日本个人信息保护相关法规框架
日本于2003年制定了与个人信息保护有关的专门法律——《日本个人信息保护法》,并先后颁布了与个人信息保护法有关的施行令、施行规则,进一步细化个人信息保护规则。此外,日本政府专门设置个人信息保护委员会作为个人信息保护的主管部门,该委员会相继制定、更新了关于个人信息保护法的指南,为企业个人信息合规提供具体指导。上述与个人信息保护有关的法律、施行令、施行规则以及指南共同组成了日本个人信息保护法规体系,以下统称“日本法”(详见下表)。
项目 | 法规名称 |
基本法 | 《日本个人信息保护法》(2003年颁布、2020年修订并于2022年4月1日实施) |
实施法规及细则 | 《日本个人信息保护法施行令》、《日本个人信息保护法施行规则》 |
实务指南 | 《日本个人信息保护法指南》(其中,“外国第三方提供篇”规定了个人数据出境要求) |
政府主管部门 | 日本个人信息保护委员会 |
二、 日本常见的三种个人信息出境路径
在日本法下,个人信息出境被作为“向第三方提供个人信息”的特殊情形,即 “向境外的第三方提供个人信息”来规制,相关规制主要包括规定了拟实施数据出境的日本个人信息处理者(“出境方”)的合规义务,接受个人信息的境外第三方(“境外接收方”或“接收方”)及其所在国关于个人信息保护的制度建设、制度的持续实施义务及对个人信息主体权益的保护义务,以及被出境的日本个人信息主体的权利。
根据日本法的相关规定,在日本办理个人信息出境应以事先取得个人信息主体(也称“本人”)的同意为原则,以不需要取得同意为例外。作为例外情形 ,主要包括向白名单国家出境个人信息,以及向已经建立了符合日本法规定的保护标准的个人信息保护机制的接收方出境个人信息。这些共同构成了日本法下的个人信息出境路径(详见下表)。
是否需要同意 | 出境路径 | 主要出境要求(对“出境方”而言) |
以取得同意为原则 | 原则上应事先取得个人信息主体的同意 | 取得个人信息主体同意时应向其履行告知义务,告知接收方所在国的个人信息保护制度相关信息供其参考以便判断是否同意(详见本文第三部分) |
以无需取得同意为例外 | 向白名单国家1出境个人信息 | 仍受到“向第三方提供个人信息”的规制,比如应采用opt-out方式出境并遵守相关要求 |
向已经建立了符合日本法规定的保护标准的个人信息保护机制的接收方出境个人信息 | -仍受到向第三方提供个人信息的规制,比如应采取opt-out方式出境并遵守相关要求 -应履行告知等法定义务(详见本文第三部分) |
需要注意的是,由于“个人信息出境”属于广义上的“向第三方提供个人信息”,日本企业采取无需取得同意的路径出境个人信息时,仍受到日本法关于“向第三方提供个人信息”的规制,比如应采用opt-out等方式出境,且遵守相关的法律要求。opt-out方式是指,日本企业可以不经同意而直接向第三方提供个人信息,但如果个人信息主体要求时应立即停止提供行为(适用opt-out方式时,需要满足事先向个人信息主体履行告知义务、向日本个人信息保护委员会事先备案等前提条件)。
三、 个人信息出境路径的适用条件以及向中国出境时的注意点
以下结合日本法的相关规定及实务,梳理第二部分提到的三种个人信息出境路径如何适用、向位于中国的接收方出境个人信息时应注意的问题。
1. 事先取得个人信息主体的同意
根据日本法的相关规定,日本出境方事先获得个人信息主体关于出境个人信息的同意时,应当履行告知义务,通过电磁记录、提供书面文件等方式向个人信息主体告知以下信息:(a)作为接收方的第三方所在国的名称;(b)通过妥善且合理的方式获得的接收方所在国的个人信息保护制度的信息;(c)接收方为保护个人信息而采取的措施。
其中,(b)项下的“接收方所在国的个人信息保护制度”属于日本个人信息主体判断是否同意出境时的重点关注要素,对此,日本法要求出境方进一步提供如下信息:
① 接收方所在国是否存在与个人信息保护相关的制度 |
② 接收方所在国是否存在关于个人信息保护制度的指标信息,比如,取得《通用数据保护条例》(GDPR)第45条项下的充分性认定,或者属于亚太经济合作组织(APEC)的跨境隐私规则体系(CBPR, Cross-Border Privacy Rules System)的成员国 |
③ 是否规定了经济合作与发展组织(OECD)隐私指南八项基本原则2项下的经营者的义务或个人信息主体的权利 |
④ 其他可能给日本个人信息主体的权益带来重大影响的制度,比如,是否要求企业对政府广泛收集个人信息的行为(government access)履行配合协助义务等 |
目前,日本个人信息保护委员会已在其官方网站整理、公布了包括中国在内的主要国家关于个人信息保护制度的资料信息,日本企业如果拟向中国的接收方出境个人信息时,可以将相关资料作为“接收方所在国(中国)的个人信息保护制度的信息”提供给日本的个人信息主体,作为履行告知义务的部分内容。
值得注意的是,关于上述②,目前中国的个人信息保护法等制度并未获得欧盟《一般数据保护条例》(GDPR)项下的“充分性认定”,中国也不是APEC框架下的CBPR成员国3。对此,日本个人信息保护委员会可能认为中国不满足个人信息保护制度的指标信息。而关于上述④,根据中国《网络安全法》、《数据安全法》、《国家情报法》等,在中国政府因维护国家安全、调查犯罪、开展国家情报活动而调查、收集信息时,企业具有配合、协助义务。对此,日本个人信息保护委员会认为,要求中国企业对政府广泛收集个人信息的行为(government access)承担配合、协助义务,可能对日本个人信息主体的权益保护产生重大影响。因此,日本个人信息保护委员会对于有关中国个人信息保护制度的上述②、④情况的意见,可能妨碍日本个人信息主体是否同意将其个人信息出境到中国。
我们建议相关企业聘请与中国个人信息保护相关的律师等外部专家,结合中国个人信息保护法的实务对上述②、④的情况予以说明、澄清,尽力缓解日本法下的相关疑虑,并与出境方、接收方共同梳理个人信息出境场景、优化出境方案,降低向中国出境个人信息的合规风险。
2. 接收方所在国是否拥有与日本具有同等水准的个人信息保护制度
日本法下的个人数据出境路径则借鉴了欧盟GDPR的白名单机制,根据GDPR的相关规定,对于与欧盟具有同等水准的个人信息保护制度的国家,从欧盟向其跨境转移个人数据时无需另外取得个人信息主体的同意。
日本与欧盟于2019年互相做出“充足性认定”的决定,认定对方的个人信息保护水平及安全措施具有同等水准,允许个人数据在欧盟和日本之间自由流动。根据《日本个人信息保护法指南》的相关规定,从日本向英国及欧盟在内的共计31个国家4转移个人数据时,不需要事先取得日本个人信息主体的同意。
需要注意的是,由于中国与日本之间不存在“充足性认定”的协定,目前从日本企业向中国转移个人信息时无法适用该白名单机制。
3. 接收方是否已建立符合日本法规定标准的个人信息保护制度
根据日本法的相关规定,采用该路径出境时,要求接收方建立与“日本个人信息保护法施行规则所规定的标准”相符的制度,且能够持续采取与日本的出境方应采取的措施相当的措施(“相当措施”)。此外,对于日本的出境方,2020年修订的《日本个人信息保护法》提出两项新合规要求,即(1)采取必要措施5,确保接收方能够持续采取相当措施以维持其个人信息保护体制;(2)当日本个人信息主体提出要求时,日本出境方应将境外接收方所采取的相当措施的概要、接收方所在国名称、所在国可能影响接收方持续采取相当措施的限制等相关信息提供给日本的个人信息主体。
根据日本个人信息保护法施行规则及指南的规定,“日本个人信息保护法施行规则所规定的标准”,是指必须要符合以下两种情况之一:(a)境外接收方处理个人数据时应采取符合《日本个人信息保护法》第4章第2节规定之宗旨的措施;(b)接收方获得了有关处理个人信息的国际框架的认定,比如获得了亚太经合组织的CBPR认证。
我们认为,上述(a)、(b)情形的规定并不清晰,且对于个人信息保护合规建设的门槛要求较高,建议相关企业参考如下分析进一步完善合规建设:
关于(a),《日本个人信息保护法》第4章第2节对个人信息保护做出了广泛、具体的规定,包含确定使用目的、限制使用目的、禁止不正当使用、妥善取得个人信息、取得个人信息时应通知使用目的、安全管理措施、监督员工、监督受托人、信息泄露报告、限制向第三方提供、限制出境等,但没有规定境外接收方应采取何种保护措施满足第4章第2节的宗旨。对拟从日本企业接收个人信息的位于中国的接收方企业而言,建议进一步与个人信息保护法领域的专家沟通,在专家的协助下梳理、构建并完善个人信息保护体制、完善必要的防范措施,最大限度满足日本法的制度要求,控制日本法下的相关个人信息出境风险。
关于(b),我们发现有些中国公司的境外子公司已经获得了亚太经合组织CBPR认证6,但境内公司获得该认证的业务实践较少,建议有相关需求的企业在法律专家的协助下进行合规自查、完善个人信息保护体制,尽量达到CBPR认证的合规要求。
小结
《日本个人信息保护法》对于非法提供个人信息等行为规定了刑事责任7,并且日本个人信息保护委员会正不断加强对个人信息跨境转移的监管,近年来曾发生有的国际企业因未充分履行告知义务允许受委托的中国关联公司远程访问存储在日本服务器内的个人信息而受到调查,为企业个人信息出境合规建设敲响警钟。建议从日本接收个人信息的中国企业,随时关注日本个人信息出境的法规及合规动向,不断完善个人信息跨境转移合规建设,在个人信息保护专家的协助下与日本的个人信息出境方充分沟通、优化个人信息出境方案,降低个人信息跨境转移的合规风险。
[1] 是指接收方所在国属于与日本处于同等的个人信息保护水准的欧盟或英国。
[2] 八项基本原则是指收集限制原则(Collection Limitation Principle)、数据质量原则(Data Quality Principle)、目的特定化原则(Purpose Specification Principle)、使用限制原则(Use Limitation Principle)、安全保护原则(Security Safeguards Principle)、公开原则(Openness Principle)、个人参与原则(Individual Participation Principle)、责任原则(Accountability Principle)
[3] 根据公开检索,目前仅美国、墨西哥、日本、加拿大、新加坡、大韩民国、澳大利亚、中国台北和菲律宾加入CBPR,未发现中国加入CBPR的信息。参考https://www.bsigroup.com/zh-CN/about-bsi/media-centre/press-releases/2021/december/--bsiapec/
[4] 根据日本个人信息保护法指南,是指冰岛、爱尔兰、意大利、英国、爱沙尼亚、奥地利、荷兰、塞浦路斯,希腊、克罗地亚、瑞典、西班牙、斯洛伐克、斯洛文尼亚、捷克、丹麦、德国、挪威、匈牙利、芬兰、法国、保加利亚、比利时、波兰、葡萄牙、马耳他、拉脱维亚、立陶宛、列支敦士登、罗马尼亚、卢森堡。
[5] 根据相关规定,必要措施包括如下内容:1、通过妥善且合理的方式,至少每年一次定期确认接收方实施相当措施的情况以及其所在国是否存在可能影响相当措施的实施的制度、以及该制度的具体内容(包括政府是否有权接触个人信息等)。2、接收方实施相当措施出现障碍时,应采取必要且妥善的措施予以消除或者改善,如果难以确保持续实施相当措施的,应停止向该境外接收方提供个人数据。
[6] https://www.bsigroup.com/zh-CN/about-bsi/media-centre/press-releases/2021/december/--bsiapec/
[7] 根据《日本个人信息保护法》的相关规定,企业为了自己或第三人谋求不正当利益为目的而提供个人数据的,企业将面临1亿日元以下的罚金,企业的法人代表、管理人等责任人将面临1年以下有期徒刑或者50万元以下罚金的刑事处罚。