信息來源:安全內參
2022年6月10日,日本個人信息保護委員會發(fā)布2021年年度報告。報告聚焦2020年新修訂的《個人信息保護法》的實施�����,包括現(xiàn)行指南的修訂,以及社會關注的熱點問題和答案����。此外,報告對數(shù)據(jù)外泄案件進行了調查�����,發(fā)現(xiàn)大多數(shù)案件是因為文件及電子郵件的錯誤傳輸以及文件及電子存儲介質的遺失造成的�����。報告還專門對假名化和匿名化處理數(shù)據(jù)傳播進行了介紹����。
(日本個人信息保護委員會標識)
日本是亞洲國家中較早頒布法律對個人信息進行保護的國家之一�����。2003年,日本就頒布了《個人信息保護法》�����,其后分別于2009年�����、2015����、2016年、2017年����、2018年、2019年����、2020年多次進行修訂。其中2015年����、2020年的修訂幅度較大。最新修訂的《個人信息保護法》于2022年4月1日起施行�����。
日本最新版《個人信息保護法》主要有以下五個方面的變化:
(日本個人信息保護委員會官網(wǎng)《個人信息保護法》修訂專題)
第一,賦予用戶更多權利�����。用戶除對其個人信息可要求數(shù)據(jù)處理者進行公開�����,更正����,停止使用,說明理由等權利外�����,還有權約束數(shù)據(jù)處理者對其個人信息進行處理的場景�����,如個人信息處理者喪失使用可識別本人的保存中的個人數(shù)據(jù)之必要����、可識別本人的保存中的個人數(shù)據(jù)發(fā)生了規(guī)定的事態(tài)、對可識別本人的保存中的個人數(shù)據(jù)的處理有可能使本人的權利或正當利益受到侵害等特定情形下����,用戶可要求數(shù)據(jù)處理者停止提供該等數(shù)據(jù)。
第二�����,加重了數(shù)據(jù)處理者的義務�����。如規(guī)定數(shù)據(jù)處理者不得以有可能助長或誘發(fā)違法或不正當?shù)男袨槭褂脗€人信息�����;在一定條件下����,數(shù)據(jù)處理者在發(fā)生包括數(shù)據(jù)泄漏,滅失����,毀損在內的其他個人信息保護委員會規(guī)則規(guī)定的涉及數(shù)據(jù)的安全保障的事態(tài),很有可能對個人權利利益造成損害的����,應按照個人信息保護委員會規(guī)則�����,將事態(tài)報告給個人信息保護委員會����;同時在一定條件下信息處理者還應將發(fā)生的事態(tài)通知給本人�����。
第三����,新增假名化信息加工相關條款。新版在舊法關于匿名化信息加工的基礎上�����,新設了假名化信息加工定義�����,并設置專章規(guī)定了假名加工數(shù)據(jù)處理者的義務����。如在假名加工階段,假名加工的數(shù)據(jù)處理者應為刪除信息等安全管理事項采取相應的措施����;進行假名加工處理時不可超出目的范圍;在喪失必要性后����,應及時刪除個人信息和刪除信息;以及不得為識別本人而將該假名加工信息與其他信息相對照等�����。
第四����,擴大了域外適用范圍。新法第七十五條規(guī)定����,個人信息保護委員會有向域外主體要求提供報告,命令�����,實地檢查等強制權利。而之前該委員會僅能對域外對象進行不具有強制約束力的指導建議����。
第五,加重了對違法行為的懲罰力度����。新法對違反個人信息保護委員會的命令的行為,不正當提供個人信息數(shù)據(jù)庫的行為����,以及向個人信息保護委員會提供虛假報告的行為,分別加重了對相關單位及個人的懲罰力度�����。如對個人違反個人信息保護委員會命令的行為�����,刑罰從6個月以下提高到1年以下����;法人不正當提供個人信息數(shù)據(jù)庫的,最高罰金由50萬日元提高到1億日元����。
(日本《個人信息保護法》)
根據(jù)日本《個人信息保護法》第163條的規(guī)定����,個人信息保護委員會每年要向國會報告其所負責事務處理情況�����。
