当地时间2月18日,日本个人信息保护委员会发布了《个人信息保护法》(2003 年第 57 号法案,于 2020 年修订)合规要点(检查点),以帮助中小企业应对《个人信息保护法》修订实施带来的合规压力。
PPC 指出,它总结了对于中小型企业(“SMEs”)而言,在实施经修订的 APPI 之前应立即解决的要点。更具体地说,主要检查数据泄露告知、跨境数据传输、数据安全以及数据主体权利等领域。
在数据泄露方面,PPC指出,如果发生可能损害个人权益的数据泄露,有义务向PPC报告并通知个人。此外,PPC 明确表示,在向国外第三方提供个人数据时,需要加强向个人提供有关数据传输到的、处理个人信息的第三方信息。此外,PPC表示,在国外处理个人数据时,有必要在了解国外个人信息保护制度后采取安全管理措施。
合规要点
共有六项:
- 如果发生泄露等可能损害个人权益的情况,经营者有义务向个人信息保护委员会报告并通知个人信息主体。
- 如向外国第三方提供个人信息,应当加强向个人信息主体披露该第三方处理个人信息的相关情况。
- 原则上应当公布所采取的安全管理措施;如涉及在国外处理个人信息,有必要在了解国外个人信息保护制度后采取安全管理措施。
- 将在6个月内删除的短期保存数据同样受到披露要求的约束;个人亦有权要求披露经营者向第三方提供和接收个人信息的记录;披露方式由个人选择;此外,还扩大了停止利用与删除个人信息请求权的范围。
- 禁止以不正当的方式使用个人信息,例如向涉嫌从事非法行为的企业提供个人信息,即便仅存在促进非法或不正当行为的可能性。
- 在向第三方提供时,如果该信息对于提供方而言不属于个人信息,但提供方预期接收方可能将其作为个人信息,则该信息的对外提供也应当征得本人的同意。个人关联信息包括通过终端标识符收集的网站浏览历史、商品购买历史、位置信息等(这些信息中,能够识别特定个人的属于个人信息,不属于个人关联信息)。
APPI
日本于2003年颁布了《个人信息保护法》(APPI),这是亚洲乃至全球最早的个人信息保护法律之一;后分别于2015年与2020年进行了两次修订,2020年修订案将于2022年4月1日生效,但其中部分处罚措施已经生效。
在保护个人信息主体权益的同时,APPI也鼓励适当、有效地利用个人信息,相较于GDPR等更为严格的数据保护法规,APPI对经营者所设定的义务较少,处罚也较轻,2020年修正案前,罚款最高为50万日元(约4300美元),2020年修正案提高至1亿日元(约87.3万美元),但仍未设置基于经营者收入的罚则。
此外,日本于2016年设立个人信息保护委员会(PPC,Personal Information Protection Commission),负责保护个人信息并促进个人信息的利用。
本文来自TMT法律论坛。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/18678.html
