日本個人情報保護法修正草案已提交國會



 趙若漢

2020年04月08日

依日本個人情報保護委員會令和2年3月10日公告,個人情報保護法修正草案已於同日經內閣會議議決,並向第201屆通常國會提出。     公告指出,本次修法重點為平衡個人權益保護與資料利用、確認資訊時代企業經營者應有之責任,以及應對隨著跨境資料利用增加而伴隨的新型風險。具體內容例如:將個人情報外洩事件發生時企業須向委員會及當事人本人報告一事義務化、擴大個人情報保護法於外國處理個人資料時之適用範圍、新設假名化情報制度等。


小編

日本個人情報保護法附則(平成二七年九月九日法律第六五号)第12條第3項、第4項規定,個人情報保護委員會應於個人情報保護法施行後三年,通盤檢討法律實施狀況,並提出必要措施,且之後每三年重覆檢討。本次修法即係回應以上法律要求而為,因內容繁多,以下將僅就小編個人認為有制度上重大意義的修正為詳細說明,其餘較為技術性的部分,例如罰則提高或資料開示得以電磁紀錄為之等,在此省略,有興趣的讀者可自行參酌日本個人情報保護委員會公布的官方資料。

日本於去年(2019年)發生了所謂的「リクナビ」事件,即求職網站在未得當事人同意的情況下,目的外利用會員個人資料,算出特定求職者辭退企業錄取的機率後,將該(具可識別性的)辭退率資料販賣給各大企業人事部門使用。該次事件對日本社會產生一定衝擊,修正草案部分內容應可看作是日本政府對該事件的部分回應。較重要的部分有:當事人資料利用停止請求權範圍的擴大、第三人資料提供制度之修正、假名化情報制度新設等。

有關當事人資料利用停止請求權部分,草案第16條之2禁止資料處理者以有「助長」或「誘發」違法或不當資料利用行為的方法利用個人資料,並將其與草案22條之2新設之負報告義務資料外洩事件,一併納入第30條當事人資料利用停止請求權的範圍內。

關於第三人資料提供制度之修正,草案23條將得以選擇退出提供之資料,除原有之非機敏性個人資料外,新增尚須為非違法取得,以及非自始以選擇退出之方式從第三人處獲得的資料等兩項限制。24條新設第2項及第3項,要求資料處理者將當事人資料提供予國外第三人時,除第1項原有之須取得當事人本人同意外,另須同時告知該外國之個人資料保護制度、該外國第三人所採取之個人資料保護措施等事項;並應確保該外國第三人能持續實施資料保護措施,且於當事人要求時,應提供該外國第三人資料保護措施的相關情報。28條第5項並新增當事人對資料處理者的「第三人提供紀錄」請求權。此外,26條之2規定,如資料處理者欲將對其而言非個人情報之個人關連情報提供予第三人,而對該第三人而言此類個人關連情報屬於個人情報(即資料處理者無識別可能但第三人有)時,資料處理者須先取得資料當事人本人的同意方得為之。

另為促使企業能有效利用個人資料,草案於35條之2以下新設假名加工情報制度。所謂假名加工情報,係指依個人情報保護委員會所定基準加工後,「非經與其他資料對照則不能識別特定個人之關於個人的情報(草案第2條第9項)」,其理論上約等同於我國法概念上具間接識別性之個人資料。假名加工情報,除依法令之情形外,不得提供給第三人,故假名加工情報原則上僅得於企業內部利用。惟因其並非(日本法定義上的)個人情報,假名加工情報在對本人資料開示及利用停止請求權上,企業所負義務有所緩和(例如利用目的告知義務得以公示代替通知),且企業於變更資料利用特定目的時,新目的無須與原目的間有合理關連。

日本此次修正草案,或許是受到「リクナビ」事件的影響,整體而言對無當事人同意下的資料提供利用可以說較現行法更嚴,此可從草案雖新設「假名加工情報」之資料類別,但規定不得提供予第三人一事看出,且其他部分亦有當事人權益保護擴大之傾向。在當前世界各國高唱Big Data的時代,是否能持續堅持至正式法律,值得注意。


Image by DS80s from Wikimedia Commons

資料來源


延伸閱讀


作者

趙若漢 中央研究院法律學研究所

本研究感謝「北榮: 結合人工智慧與影像醫學:全方位疾病診斷與治療策略的研究與推廣」(2018.02~2020.12)與「台大:AI人文法制基礎環境建置計畫」(2021.01~2021.02)支持