来源：个人信息与数据保护实务评论

日本是亚洲最早颁布隐私保护相关法律的国家之一，其在2003年5月和2005年4月即颁布和实施了《个人信息保护法案》（Act on the Protection of Personal Information，“APPI”）。十年过去，信息技术和大数据应用的发展，以及经济全球化的整体趋势，对个人信息保护提出了更高要求，2015年9月9日，日本公布了对APPI的修订。2016年下半年起，日本出台了一系列文件，包括内阁令（Cabinet Order）、实施规则、指南等，为修订后的APPI（Amended Act on the Protection of Personal Information）的实施作准备。2016年12月20日，日本内阁最终宣布，修订后的APPI将自2017年5月30日起正式生效。

修订后的APPI一方面提高了原法案中一些规定的明确性和可操作性，另一方面增加了一系列新的规定，在总体上加重了持有数据的经营者（personal information handling business operator，“数据持有者”）的义务，对于个人信息的保护程度向欧盟《数据保护法》趋近。尤其值得关注的是，修订后的APPI进一步明确了向第三方传输数据的规则，并增加了关于限制数据跨境传输的规定。因此，在日运营的跨国公司将面临更为严苛的数据保护合规要求。

一、“个人信息”概念细化，不同信息需区别对待

1.个人信息（Personal Information）

原APPI将“个人信息”定义为可用以识别特定个人的信息，如姓名、生日等。此次修订保留了上述界定，并进一步明确，可用以识别特定个人的“个人识别码（individual identification code）”也属于个人信息范畴。但是，修订后的APPI并未具体规定何种信息得以构成“个人识别码”，而是将这个问题留待未来由个人信息保护委员会（Personal Information Protection Commission，“PPC”）进行说明。

在经济、技术发展的今天，每个人可能拥有多套数字或数字化代号，尤其当与实名制相结合时，通过一串数字就可能轻易地识别特定个人，如护照号、驾驶证号、信用卡号等，均可被认为是构成个人信息的个人识别码。对于企业来说，应当注意在对待此类信息时需符合个人信息保护的一般规定。同时，未来不排除PPC将具有间接指向性的信息，如IP地址，也纳入个人信息范畴，则企业面临的合规要求还可能进一步提高。

2.个人敏感信息（Special Care-Required Personal Information）

此次APPI修订首次引入了“个人敏感信息”的概念，其是指可能引起不合理的歧视或偏见的信息，如种族、宗教、疾病史、犯罪记录等。与欧盟《数据隐私指令》类似，修订后的APPI对向第三方传输敏感个人信息规定了较一般个人信息更为严格的限制，下面提到的“选择退出（opt-out）”规则将不适用于该类信息。

3.去识别化信息（Anonymously Processed Information）

修订前的APPI笼统地规定，在向第三方提供个人信息前，应获得信息主体的同意。然而，随着大数据应用以及大数据分析业务外包的增加，对一些不具有识别性的信息，如匿名问卷所获数据的传输限制不仅不具有隐私保护的意义，还可能降低大数据的利用效率。因此，此次修订提出了“去识别化信息”（或作“匿名化信息”，anonymously processed information）的概念，并规定向第三方提供无法利用其进行个人身份识别且不能恢复身份识别性的去识别化信息不需取得信息主体的事先同意。

即使如此，修订后的APPI对去识别化信息的传输仍持谨慎态度，其要求：1）当数据持有者向第三方传输去识别化信息时，必须公布被去识别化的项目和去识别化的方法，并明示该等信息是去识别化信息；2）持有去识别化信息的主体不得结合其他数据将去识别化信息用于识别特定个人；3）持有去识别化信息的主体应当建立必要及合理的措施保护该信息。

可见，修订后的APPI对去识别化信息、一般个人信息、个人敏感信息的保护程度依次递增。从企业的角度出发，个人信息种类的细化对企业数据保护合规体系的建立提出了更高的要求，但与此同时，信息保护的分级有助于信息分类管理，提高大数据的利用效率。

二、数据传输规则进一步明确，跨境传输受限

1.“选择退出”

顾名思义，“选择退出(Opt-Out)”与“选择进入(Opt-In)”相对，具体到APPI项下，“选择进入”是指数据持有者在向第三方传输个人信息前需要取得信息主体的同意，信息主体有权选择是否允许；而“选择退出”则相反，数据持有者不需在向第三方传输个人信息前取得信息主体的同意，但信息主体有权要求数据持有者停止传输行为。

根据修订后的APPI，如数据持有者希望在数据传输时适用“选择退出”的规则，则需要向PPC及信息主体披露如下事项：1）向第三方提供数据是数据使用的目的之一；2）向第三方提供数据的具体种类；3）提供数据的方法；4）应信息主体要求，停止向第三方提供数据的承诺；5）接收信息主体要求的方式（如数据持有者的联系方式）。目前，PPC已宣布，其将于2017年3月1日起开始接收数据持有者的“选择退出”通告，被PPC确认接受其通告的数据持有者在向第三方传输信息时即可适用“选择退出”规则。

不过，“选择退出”规则并不能适用于前面提到的敏感个人信息，在下面将提到的数据跨境传输情况下也不当然适用。

2.数据跨境传输（Cross-Border Data Transfer）

此次APPI修订首次对数据跨境传输作出了限制。修订后的APPI规定，如果日本境内的数据持有者向日本境外传输个人信息，则必须获得信息主体的事先同意，“选择退出”规则将不适用于数据跨境传输的情况，除非1）该特定数据接收方建立了符合PPC规定的个人信息保护标准的体系；或2）该特定数据接收方的所在国是PPC所认可的建立了与日本具有同等标准的个人信息保护体系的国家。根据PPC最新公布的APPI实施规则，“符合PPC规定的标准”是指符合APPI第四章第一节的规定，或该特定数据接收方已基于个人信息处理的国际框架，取得相关认可。而对于PPC所认可的白名单国家，则尚未具体公布。

值得注意的是，在如下情况下进行数据传输一般不需取得信息主体的事先同意，但在跨境传输的情况下，则需要事先取得信息主体的允许：1）因公司合并而向第三方提供数据；2）向业务受托方（trustee）提供数据；3）向共同使用方（joint user）提供数据。

对于企业而言，修订后的APPI将可能实质性地影响数据传输。一方面，“选择退出”规则能够平衡数据持有者和信息主体的利益，有利于企业对数据的充分利用，修订后的APPI对该规则适用的明确将为企业提供切实可行的指导。另一方面，新增的对于数据跨境传输的限制则可能影响企业，尤其是跨国公司对数据的使用。从在日运营的中国企业的角度来看，目前中国虽已颁布《网络安全法》，并将于今年6月1日起正式实施，且其中对于个人信息保护的相关规定与修订后的APPI有较多重合，但中国能否在未来被PPC认可为白名单国家尚不可知。这意味着，在日运营中企向其在华母公司传输数据也将受到修订后APPI对数据跨境传输的限制，除非企业建立前述符合PPC规定的个人信息保护标准的体系，而对于该等体系合格与否的最终认定，仍有待PPC进一步明确。

除此之外，修订后的APPI还对数据传输的记录作出了规定，要求数据传输方和数据接收方对传输日期、双方名称等事项进行记录，并按照PPC的规定在一定期限内保存记录。

三、修订后的APPI将具有域外效力

根据修订后的APPI，不在日本境内，但通过向日本境内信息主体提供商品或服务收集个人信息的外国实体的相关行为也将受到APPI的规制，例如外国购物网站通过向日本境内消费者出售商品收集其个人信息的行为。PPC将有权向外国实体所在国有关当局提供信息，以实现执法。因此，考虑到互联网的特征，外国互联网企业应当尤其注意，即使在日本境内不设有分支机构，也可能因为业务涉及对日本境内主体个人信息的收集而受到APPI的规制。

四、结论与建议

综上，修订后的APPI对个人信息的收集与传输作出了更为细致的规定，这将有利于提高企业对个人信息的利用效率，特别是在大数据应用领域。但与此同时，此次修订也在敏感个人信息处理、数据跨境传输等方面对企业提出了更高的数据保护合规要求。

因此，修订后的APPI生效在即，在日运营跨国公司及日本境外公司应当密切关注修订后APPI的一系列配套规定，结合自身数据收集和传输行为的特征，以及数据本身的属性（如属于去识别化信息、一般个人信息或敏感个人信息），尽快建立符合修订后APPI所规定标准的数据保护合规体系。