2021年9月10日，日本個(gè)人信息保護(hù)委員會(huì)（PPC）宣布更新關(guān)于《個(gè)人信息保護(hù)法》指南的問(wèn)答（Q&A），新增了人臉識(shí)別信息使用、個(gè)人數(shù)據(jù)泄露報(bào)告、假名化處理信息和個(gè)人參考信息、個(gè)人數(shù)據(jù)跨境傳輸?shù)认嚓P(guān)具體規(guī)定。這些具體規(guī)定從總體上擴(kuò)大了個(gè)人信息的保護(hù)范圍，明確了人臉識(shí)別信息的保護(hù)要求，增加了數(shù)據(jù)處理者泄露報(bào)告和通知個(gè)人的法律義務(wù)，解析了假名化處理信息和個(gè)人參考信息的概念和用法，加強(qiáng)了個(gè)人數(shù)據(jù)跨境傳輸中的安全監(jiān)管。

　　由于修訂后的《個(gè)人信息保護(hù)法》預(yù)計(jì)將于2022年4月1日生效，更新后的問(wèn)答現(xiàn)在也處于尚未生效的狀態(tài)。問(wèn)答的這次更新旨在與《個(gè)人信息保護(hù)法》及其指南之前的修訂相配套，增強(qiáng)法案在具體實(shí)踐中的可操作性，防范化解大數(shù)據(jù)時(shí)代進(jìn)行個(gè)人信息保護(hù)的潛在風(fēng)險(xiǎn)，具體有以下四大焦點(diǎn)問(wèn)題值得關(guān)注。

　　一、重點(diǎn)關(guān)注人臉識(shí)別信息使用

　　數(shù)據(jù)處理者采集人臉識(shí)別信息需要遵守修訂后的《個(gè)人信息保護(hù)法》規(guī)定進(jìn)行適當(dāng)處理。商場(chǎng)等公共場(chǎng)所出于預(yù)防犯罪目的采集顧客人臉識(shí)別信息的，應(yīng)當(dāng)在入口或攝像頭安裝位置，提前公告或顯著標(biāo)識(shí)。數(shù)據(jù)處理者應(yīng)當(dāng)明確人臉識(shí)別信息的數(shù)據(jù)內(nèi)容、使用目的、聯(lián)系方式等，并根據(jù)達(dá)到使用目的所需的最小范圍設(shè)定數(shù)據(jù)保留期限。

　　此外，數(shù)據(jù)處理者還應(yīng)當(dāng)根據(jù)最小必要原則，向公共人臉識(shí)別系統(tǒng)注冊(cè)，確定責(zé)任人并采取安全措施，保障注冊(cè)的必要性和準(zhǔn)確性。經(jīng)過(guò)注冊(cè)后，符合預(yù)防犯罪目的的人臉識(shí)別信息可以在合理范圍內(nèi)共享使用，人臉識(shí)別系統(tǒng)中的相關(guān)信息會(huì)不時(shí)更新以保證準(zhǔn)確性。數(shù)據(jù)處理者如果想將出于預(yù)防犯罪目的采集的人臉識(shí)別信息用于商業(yè)營(yíng)銷目的，應(yīng)當(dāng)事前取得個(gè)人同意。

　　二、完善細(xì)化數(shù)據(jù)泄露報(bào)告制度

　　與現(xiàn)行法律下的自愿報(bào)告制度完全不同，修訂后的《個(gè)人信息保護(hù)法》建立了強(qiáng)制性數(shù)據(jù)泄露報(bào)告制度。問(wèn)答詳細(xì)地列舉了在不同具體場(chǎng)景下，是否需要根據(jù)修訂后的《個(gè)人信息保護(hù)法》向PPC報(bào)告數(shù)據(jù)泄露事件，以及在個(gè)人數(shù)據(jù)權(quán)益可能受到損害的情形下通知個(gè)人的不同形式。

　　根據(jù)修訂后的法案及其指南，出現(xiàn)或可能出現(xiàn)以下四種數(shù)據(jù)泄露事件時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)承擔(dān)向PPC的數(shù)據(jù)泄露報(bào)告義務(wù)。一是涉及敏感個(gè)人信息的數(shù)據(jù)泄露，二是具有財(cái)產(chǎn)損失風(fēng)險(xiǎn)的數(shù)據(jù)泄露，三是可能出于不正當(dāng)目的而導(dǎo)致的數(shù)據(jù)泄露（例如網(wǎng)絡(luò)攻擊），四是超過(guò)1000名個(gè)人的數(shù)據(jù)泄露。數(shù)據(jù)處理者向PPC的報(bào)告分為初步報(bào)告和最終報(bào)告兩個(gè)階段，有不同的時(shí)限要求。初步報(bào)告必須在確認(rèn)潛在數(shù)據(jù)泄露發(fā)生后立即進(jìn)行，最終報(bào)告必須在30天內(nèi)完成（除第三種情形外，可以延長(zhǎng)至60天）。

　　此外，數(shù)據(jù)處理者應(yīng)當(dāng)在任何數(shù)據(jù)泄露事件發(fā)生后采取必要措施，通過(guò)內(nèi)部溝通和強(qiáng)化保護(hù)防止事態(tài)擴(kuò)大，進(jìn)一步調(diào)查數(shù)據(jù)泄露的事實(shí)和原因。向PPC的數(shù)據(jù)泄露報(bào)告中應(yīng)當(dāng)包含九方面的詳細(xì)信息：一是數(shù)據(jù)泄露事件概況，二是受影響或可能受影響的個(gè)人信息類型，三是受影響或可能受影響的個(gè)人數(shù)量，四是數(shù)據(jù)泄露原因，五是數(shù)據(jù)泄露導(dǎo)致的二次損害風(fēng)險(xiǎn)及其性質(zhì)，六是向受影響個(gè)人的通知情況，七是數(shù)據(jù)泄露事件是否被公開(kāi)以及公開(kāi)原因，八是為防止數(shù)據(jù)泄露再次發(fā)生而采取的措施，九是可作為有用參考的其他事項(xiàng)。

　　三、引入兩類新的信息類型

　　一是“假名化處理信息”概念。問(wèn)答詳細(xì)解答了“假名化處理信息”與“匿名化處理信息”兩者之間的區(qū)別。“假名化處理信息”是一種與個(gè)人有關(guān)的信息，除非與其他信息進(jìn)行比對(duì)，否則無(wú)法識(shí)別出特定個(gè)人。如果數(shù)據(jù)處理者處理被視為假名信息的個(gè)人數(shù)據(jù)，他們將不需要遵守《個(gè)人信息保護(hù)法》下的某些義務(wù)，例如回應(yīng)披露請(qǐng)求或停止使用已收集的個(gè)人數(shù)據(jù)等。

　　法案新增“假名化處理信息”這一概念背后的用意有二：一方面，假名化處理信息僅適用于數(shù)據(jù)處理者內(nèi)部，鼓勵(lì)數(shù)據(jù)處理者將假名化處理信息用于內(nèi)部目的，包括業(yè)務(wù)分析、計(jì)算模型開(kāi)發(fā)等；另一方面，經(jīng)過(guò)假名化處理的個(gè)人信息可以加以保留而不是刪除，不再用于個(gè)人信息原始的采集目的，為未來(lái)潛在的統(tǒng)計(jì)分析用途做數(shù)據(jù)儲(chǔ)備，兼顧安全與發(fā)展。

　　值得注意的是，法案明確要求，同時(shí)或分別處理“假名化處理信息”和“已刪除個(gè)人信息”的數(shù)據(jù)處理者，具有對(duì)個(gè)人信息提供增強(qiáng)型安全性保護(hù)的特定義務(wù)，具體要求有以下七方面內(nèi)容。一是禁止通過(guò)可識(shí)別特定個(gè)人的方式將假名化處理信息與其他數(shù)據(jù)（例如已刪除的個(gè)人信息）進(jìn)行核對(duì)；二是對(duì)假名化處理信息的使用要嚴(yán)格適用目的限制原則和必要性原則；三是禁止使用假名化處理信息中包含的任何聯(lián)系信息，例如通過(guò)電話、郵件、電子郵件或其他方式聯(lián)系到特定個(gè)人；四是禁止將假名化處理信息向第三方（法案第23條第5款規(guī)定的“受委托”的數(shù)據(jù)處理者除外）進(jìn)行任何形式的轉(zhuǎn)讓；五是如果假名化處理信息被收購(gòu)或有意改變其使用目的，數(shù)據(jù)處理者具有發(fā)布通知的披露義務(wù)；六是在數(shù)據(jù)泄漏情形下，如果已刪除的個(gè)人信息沒(méi)有收到數(shù)據(jù)泄漏影響，那么無(wú)須對(duì)假名化處理信息履行泄漏通知義務(wù)。七是個(gè)人對(duì)于假名化處理信息僅保留投訴和獲得及時(shí)適當(dāng)回應(yīng)的權(quán)利。

　　二是“個(gè)人參考信息”概念。盡管對(duì)于cookie政策仍然沒(méi)有明確的具體要求，指南指出，通過(guò)cookie獲得的個(gè)人瀏覽歷史、個(gè)人位置數(shù)據(jù)、購(gòu)買歷史和偏好等，均屬于個(gè)人參考信息，除非該類信息明確屬于個(gè)人信息、假名處理信息或匿名處理信息。僅憑個(gè)人參考信息無(wú)法識(shí)別到特定個(gè)人，因此并不構(gòu)成個(gè)人信息。但是，數(shù)據(jù)處理者如果將個(gè)人參考信息轉(zhuǎn)移給擁有額外相關(guān)數(shù)據(jù)的數(shù)據(jù)處理者，兩相對(duì)照可以識(shí)別到特定個(gè)人的情形下，個(gè)人參考信息可能被納入個(gè)人信息范疇。指引問(wèn)答指出，在特定情形下數(shù)據(jù)處理者與第三方共享個(gè)人參考信息前，需要確認(rèn)個(gè)人是否同意第三方接收其信息、取得同意的方式等。

　　四、加強(qiáng)數(shù)據(jù)跨境傳輸監(jiān)管

　　修訂后的《個(gè)人信息保護(hù)法》從兩方面增加了向日本境外第三方傳輸數(shù)據(jù)的限制要求。一方面，在個(gè)人同意的情況下進(jìn)行數(shù)據(jù)跨境傳輸時(shí)，數(shù)據(jù)輸出方應(yīng)當(dāng)向數(shù)據(jù)主體提供以下信息：一是數(shù)據(jù)輸入的國(guó)家名稱；二是相關(guān)國(guó)家的個(gè)人信息保護(hù)制度，并以適當(dāng)、合理的方式予以確認(rèn)；三是數(shù)據(jù)輸入方應(yīng)當(dāng)采取的安全保障措施。與此同時(shí)，數(shù)據(jù)輸出方應(yīng)當(dāng)采取的必要措施包括以下三項(xiàng)：一是定期確認(rèn)數(shù)據(jù)輸入方處理個(gè)人信息的狀態(tài)，以及數(shù)據(jù)輸入方所在國(guó)家是否存在可能影響個(gè)人信息處理狀態(tài)的情況；二是在正確處理個(gè)人信息過(guò)程中出現(xiàn)問(wèn)題時(shí)應(yīng)采取的措施；三是數(shù)據(jù)輸入方為確保個(gè)人信息的持續(xù)正確處理而采取的安全保障措施。

　　另一方面，采取數(shù)據(jù)傳輸合同的方式進(jìn)行數(shù)據(jù)跨境傳輸時(shí)，合同必須采用與《個(gè)人信息保護(hù)法》等效的數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)和必要措施，持續(xù)確保數(shù)據(jù)輸入方對(duì)個(gè)人數(shù)據(jù)的正確適當(dāng)處理。具體包括以下三項(xiàng)，一是定期檢查數(shù)據(jù)輸入方設(shè)立的與《個(gè)人信息保護(hù)法》等效的安全保護(hù)措施，以及措施的實(shí)施情況和內(nèi)容，并通過(guò)適當(dāng)合理方法評(píng)估可能影響此類措施實(shí)施的外國(guó)法律情況；二是采取必要和適當(dāng)行動(dòng)及時(shí)補(bǔ)救發(fā)現(xiàn)的任何障礙；三是如果數(shù)據(jù)輸入方繼續(xù)執(zhí)行《個(gè)人信息保護(hù)法》等效措施變得困難，應(yīng)當(dāng)暫停向其傳輸所有個(gè)人信息。

　　同時(shí)，數(shù)據(jù)處理者在收到個(gè)人提出的數(shù)據(jù)請(qǐng)求時(shí)，必須立即向個(gè)人提供以下七方面的必要安全保障信息：一是數(shù)據(jù)輸入方實(shí)施的個(gè)人信息保護(hù)制度，二是數(shù)據(jù)輸入方將實(shí)施的等效安全保護(hù)措施的概要，三是數(shù)據(jù)輸入方個(gè)人信息處理系統(tǒng)的確認(rèn)頻率和方法，四是數(shù)據(jù)輸入方所在的國(guó)家名稱，五是可能影響等效安全保護(hù)措施實(shí)施的國(guó)外制度概況，六是實(shí)施等效安全保護(hù)措施可能存在的障礙，七是為應(yīng)對(duì)第六項(xiàng)中提到的障礙而采取的必要措施。

　　總體而言，修訂后的《個(gè)人信息保護(hù)法》及其框架更加接近于歐盟GDPR的強(qiáng)監(jiān)管架構(gòu)，體現(xiàn)出日本迎合大數(shù)據(jù)時(shí)代技術(shù)創(chuàng)新要求、強(qiáng)化個(gè)人信息保護(hù)監(jiān)管力度、趕超全球數(shù)據(jù)安全立法進(jìn)度的決心。