日本2022新版《个人信息保护法》生效,如何应对日本数据跨境合规
摘要: 文 |陶佳鸿《日本个人信息保护法》(2020年修订版)(“新版APPI”)于2022年4月1日正式生效。本文主要讨论出海企业应对新版APPI关于数据跨境的要求的合规思路。• 新版APPI数据跨境的变化新版APPI第24条针 ...
| 文 | 陶佳鸿 《日本个人信息保护法》(2020年修订版)(“新版APPI”)于2022年4月1日正式生效。本文主要讨论出海企业应对新版APPI关于数据跨境的要求的合规思路。 • 新版APPI数据跨境的变化 新版APPI第24条针对日本境内处理个人信息的经营者在数据跨境场景下的义务,新增了两项要求。 在此之前的2016年修订版APPI仅要求事先取得数据主体的同意方可向境外第三方提供个人数据,而新版APPI要求处理个人信息的经营者: 1. 在获取数据主体的同意前,应当事先披露信息接收方所在国家及该国的个人信息保护体系、信息接收方采取的个人信息保护措施; 2. 采取必要措施确保该境外第三方持续实施了与APPI对个人信息的保护要求相当的保护措施,并能够在数据主体要求的情况下提供关于企业采取的必要措施的信息。 • 适用例外 上述要求仅适用于个人信息处理者基于事先取得用户的同意而向境外第三方提供日本境内个人信息的场景,而不适用于以下可不经过用户同意的情形: 1. 向位于被日本个人信息保护委员会(“PPC”)认定为具有与日本同等个人信息保护水平的国家(“白名单国家”)的第三方提供用户个人信息的; 2. 符合PPC制定的规则中的以下标准:a.基于信息提供方与接收方之间的合同(与《欧盟数据通用条例》(“GDPR”)中的“标准合同条款”类似的制度设计),或者信息提供方与接收方属于同一集团且建立了适用于双方的内部规章、隐私政策等(与GDPR中“有约束力的公司准则”类似的制度设计);b.信息接收方已经取得关于个人信息处理的国际体系的认证,如《APEC跨境隐私规则体系》的认证。 根据我们服务出海企业的经验,基于事先取得用户的同意而进行跨境传输往往是多数出海日本企业可适用的合法基础,也就是说,大多出海企业均需履行上述APPI第24条项下的义务。 • 未充分披露的案例 企业可以通过什么样的方式履行“事先披露”义务?我们从2021年PPC对日本最受欢迎的社交工具软件LINE及其母公司展开的调查事件中可以窥知一二。2021年3月,LINE位于中国境内的关联公司远程访问LINE日本境内用户个人信息事件喧嚣尘上,随后,PPC启动了对LINE及其母公司的个人信息处理合规性的调查,尤其是针对APPI第22条项下对承包商的监督义务和第24条项下向境外第三方提供用户数据的合规性。虽然调查结果未发现LINE存在明确违反APPI的情况,但PPC认为LINE的隐私政策未充分披露境外远程访问相关信息且对委托业务的中国相关企业的监督机制不够充分,因而要求其修改隐私政策并加强数据保护治理。根据对上述事件的解读,我们认为,企业至少应当在隐私政策中充分披露数据跨境传输及远程访问相关信息。 图片来源:NHK新闻 • 落实“必要措施” 如何理解“采取必要措施”?根据PPC制定的规则,我们建议着重从以下方面落实“必要措施”: 1. 定期确认信息接收方的个人信息处理状态,以及接收方所在国家可能影响个人信息处理状态的体系的存续情况; 2. 准备好在个人信息处理出现不当时将采取的措施(例如提前确认反馈流程、建立制度、应急预案); 3. 信息接收方将采取的能够确保持续性妥善处理个人信息的措施(包括组织结构层面、技术层面、公司法务合规层面的准备,以及企业开展数据审计、认证保护等措施)。 上述措施对出海企业的合规成本影响显而易见,并且“定期”和“持续性”的要求恐怕需要企业内部建立了专门的数据合规组织架构才具备实现的条件。企业可以采取的最低成本的合规方式可能是与信息接收方签署数据处理协议或在双方签署的合作协议中按照APPI的个人信息保护标准明确约定个人信息处理及保护的要求。 • 重视“境外第三方” 关于“境外第三方”的适用范围,出海日本的中国公司可能需要特别注意的是位于中国或其他国家的子公司或母公司。根据我们为出海日本的企业提供服务的经验,部分企业虽然会在日本境内注册公司开展业务,甚至在日本境内设置服务器用以存储当地数据,但核心业务团队、技术团队往往位于中国,因而不可避免地从中国远程访问日本境内数据。上文中提到的LINE事件已经明确了远程访问日本境内用户数据也会被认定为APPI第24条项下的“向境外第三方提供用户个人信息”。此外,根据PPC发布的《关于向境外第三方传输数据的APPI指南》(Guidelines on the APPI (for Transfers to Third Parties in Foreign Countries))的规定,将在日本境内收集的员工个人信息转移到外国母公司的,也应通过内部规章确保实施符合该法第4章第1节规定的措施。 • 从日本向“境外提三方”提供数据的建议 实践中,企业在向日本以外的境外第三方提供用户个人信息的场景下可以采取哪些合规措施?首先,如果需要境外子公司、母公司或其他关联公司提供技术支持等服务的,应当签署相关服务协议,并在协议中约定应当采取的数据保护措施、数据分享限制、数据访问限制、对服务方的数据处理工作的审计权/监督权等条款;其次,隐私政策中应当披露数据跨境传输/访问的情况,包括信息接收方所在国、该国的个人信息保护体系、信息接收方的名称和联系人、联系地址、法定代表人姓名、信息接收方采取的个人信息保护措施、信息接收方接收的数据种类和使用目的等;第三,企业应当对数据跨境提供形成书面记录,在数据主体要求的情况下能够提供相关记录。此外,企业还可以指定专人追踪信息接收方所在国家的信息保护相关法律法规或政策变动,发现可能对信息接收方的个人信息保护产生不利影响的变动的,及时上报企业采取进一步合规措施。 编辑:邓秋雨 |
最新评论
掌上论坛|小黑屋|传媒教育网
( 蜀ICP备16019560号-1 ) 
Copyright 2013 小马版权所有 All Rights Reserved.
Powered by Discuz! X3.2
© 2016-2022 Comsenz Inc.