本文介绍了日本《个人信息保护法》(APPI)的规定,包括控制者和处理者在内的外国商业实体(“外国商业实体”或“外国经营者”)在处理日本国内个人信息时应特别注意这些规定。
个人信息保护法的域外适用效力
如果APPI不适用于域外,则无需考虑其规定。但根据APPI第171条规定,日本境外企业从事下列活动的,APPI产生域外适用效力:(1)处理位于日本境内的个人(“数据主体”)的数据;以及(2)在向日本境内公司和/或个人提供商品或服务时处理上述个人数据。
“商业实体”是境内还是境外实体并不重要。“日本境内个人”包括的数据主体无国籍限制,也不区分其在日本是否为短暂逗留。关键是,APPI的适用范围仅限于与提供商品或服务有关的情况。
例如,如果外国商业实体在整理全球员工信息时处理了旗下日本分支机构的员工的个人数据,则该活动不属于APPI的域外适用范围,因其与提供商品或服务无关。
跨境数据传输
新泽纯
[email protected]
如上所述,为在日本提供服务而获取个人信息属于APPI的适用范围。数据可以直接取自数据主体,也可取自国内商业实体,涉及第二种情况时,适用规定更复杂。尽管这些规定的适用对象是打算向外国企业提供个人信息的国内商业实体,但外国经营者也须了解这些规定。
APPI第28条第1款和第2款规定,当国内商业实体将数据主体的个人数据传输给其他国家的第三方(“跨境数据传输”)时,应向数据主体提供有关其他国家的具体参考信息(“参考信息”),提前征得数据主体的同意。
须向数据主体提供的参考信息包括:
有关国家的名称:如果在征询数据主体的同意时不能明确指出目的地国家,商业实体须说明理由,并提供其他信息替代国家名称 (例如,如确定了目的地国家的潜在范围,则应提供该范围);以及
关于国外个人信息保护制度的信息:此要求旨在使数据主体了解国内外法律制度的差异。日本个人信息保护委员会(PPC)在其网站(https://www.ppc.go.jp/enforcement/infoprovision/laws/)上列出了主要几个国家的制度,国内实体可将这些信息作为参考信息提供给数据主体。如信息接收方所属国家未在列表之中,国内实体可能需要首先向外国经营者问询了解相关法律制度。
第三方为保障个人数据安全而实施的保护措施:如外国经营者已采取了《经合组织隐私指南》八项原则要求的所有措施,则只需提供此信息即可。如外国经营者采取的措施不明,提供事实和理由即可,但建议在了解清楚了这些措施后补充说明。
“外国”的范围。欧盟和英国被排除在APPI第28条的“外国”定义之外,在APPI下被视为等同于在日本境内传输。但根据APPI第27条第1款规定,在将个人数据转移到国内第三方之前,也需要征得数据主体的同意。不过,对境内传输的法规要求相对简单。
“第三方”的范围。已采取适当保护措施的外国经营者被排除在APPI第28条“第三方”定义之外。具体来说,如果外国第三方采取的措施被证实符合APPI对国内商业实体的标准,或者该外国第三方获得了亚太经济合作组织(APEC)跨境隐私规则体系的认证,则该第三方被视为已采取适当措施。
即使外国第三方被视为已采取充分的措施,无需征得数据主体同意,但APPI第28条第3款要求国内信息提供商须确保外国第三方维持充分的措施。可通过年度认证等方式确保外国第三方持续实施充分的保护措施。此举可能给国内信息提供者造成重大负担。因此,对充分措施的要求对相关方并不便利。
对违规行为的处罚。根据APPI第148条规定,国内商业实体违反规定的,PPC可以建议其采取纠正措施,拒不纠正错误的,PPC可下发命令 。如国内实体不遵守这些命令,违规实体的代表可能面临最高一年的监禁或最高100万日元(6700美元)的罚款,雇用这些个人的实体可能面临最高1亿日元的罚款(相关规定见APPI第178条和第184条第1款第1项)。
有关数据泄漏的规定
橿渕阳
[email protected]
APPI第26条规定,因勒索软件攻击或其他事件导致个人数据泄露、丢失或损坏(“数据泄露”)时,企业应向PPC和数据主体报告数据泄露情况。
在以下情况下,需要向PPC报告并通知受影响的数据主体:
个人数据,包括有关数据主体的敏感个人数据,包括但不限于种族、信仰、社会地位、病史和犯罪记录相关信息(见APPI第2条第3款规定),已经泄露或存在数据泄露风险;
个人数据的泄露或潜在泄露可能导致财务损失,例如信用卡号码泄露;
由于恶意意图,例如第三方攻击,个人数据已经泄露或有泄露风险;及
数据泄露或潜在泄露涉及超过1,000多人的个人数据
向PPC报告数据泄露事件以及通知受影响数据主体的责任由经历数据泄漏事件的商业实体承担。在信息控制方(商业实体)经历数据泄露的情况下,责任主体很明确。但是,如果信息处理方(分包商)经历数据泄露,控制方和分包商均承担报告和通知责任。为避免重复报告,如分包商将数据泄露通知给控制方,则认为分包商履行了报告和通知义务。
PPC报告规定如下:
在发现泄漏事件后三至五天内提供初步报告,详细说明所知情况;
在发现泄漏事件后的三十天内(如果事件涉及恶意意图,则为六十天)提交一份详细报告,包括事件概述、涉及的个人数据类型、受影响的数据主体数量、事件原因、是否存在二次损害及损害性质或是否有二次损害的风险、对数据主体的回应状况、公开披露状况、避免再次发生泄漏的保护措施和其他相关信息;以及
一般通过填写PPC的在线报告表格(https://roueihoukoku.ppc.go.jp/incident/?top=r2.kojindata)报告,表格以日文填写,这就要求报告方精通日语。报告方应考虑翻译时间,尤其是提交初步报告。
Hibiya Kokusai Building, 18th floor
2-2-3, Uchisaiwaicho, Chiyoda-ku
Tokyo, 100-0011, Japan
Tel: +852 2926 9300
Tel: +81-3-3539-1877
Fax: +81-3-3539-1878
www.clo.jp/english/
菲律宾2012年《数据隐私法》(又称《第10173号共和国法案》,简称DPA)于2012年8月15日签署生效。这是一部规范个人数据隐私保护的综合性法律。国家隐私委员会(NPC)作为负责监督其管理和实施的主要政府机构,于2016年8月颁布了最新实施细则和规定。
DPA的颁布是为应对全球范围内越来越自由的个人数据交换,也是对数据保护国际标准制定努力的响应。作为全球最大的业务流程外包承接国之一,这一法案对菲律宾无疑有着重要意义。
在此之前,菲律宾没有一个针对于个人数据处理的统一监管框架,也没有完整的保护数据主体的措施。当时,个人数据滥用和误用现象泛滥,比如,个人联系方式不经处理即被用于计划外用途,身份窃取或安全漏洞频发,数据主体受宪法保障的隐私权受到侵犯等。
John Paul M Gaba
[email protected]
早在2006年,菲律宾贸易和工业部(DTI)就发布了关于《个人数据保护指南》的第8号DTI行政命令。这份指南参照了欧盟(EU)1995年的《数据保护指令》——欧盟现行《一般数据保护条例》(GDPR)的前身。因此,DPA深深根植于欧盟GDPR所倡导的标准和原则。
DPA适用于所有类型个人信息的处理过程,以及参与个人信息处理的所有自然人或法人,无论其是私人部门还是政府。符合下列两个条件中任一个条件的非菲律宾数据控制者和处理者也受DPA规范:
使用位于菲律宾境内的设备;或
在菲律宾设立了办事处、分公司或代理机构。
该法律适用于所有菲律宾公民或居民的个人数据,无论数据主体位于何处,也无论数据在何处处理。以在美国工作的菲律宾人为例,如果其个人数据由菲律宾当地银行处理,适用DPA;如果其个人数据由菲律宾境外的外国银行处理,DPA同样适用。至于如何执行法律需另当别论。
DPA将“处理”定义为对个人信息实施的任何一个或一系列操作(包括但不限于,收集、记录、组织、存储、更新、修改、检索、咨询、使用、合并、屏蔽、删除或销毁)。
“个人信息控制者”指控制个人信息的收集、持有、处理或使用的任何个人或组织(受他人或组织指示从事上述活动的个人或组织除外;为个人、家人或家庭事务从事上述活动的个人亦除外)。而“个人信息处理者”指承接个人信息控制者外包的个人数据处理业务的自然人或法人。
下列信息不受DPA的约束:
任何在职或先前公务员与其职位或职能有关的信息;
与个人为履行政府合同提供的服务有关的信息;
与政府给予个人非法定福利有关的信息;
为新闻、艺术、文学或研究目的而处理的个人信息;
公共权力机关行使职能所必需的信息;
银行和金融机构为遵守《反洗钱法》所需的信息;及
根据外国司法管辖区的法律,从外国司法管辖区居民收集的个人信息
DPA对个人信息和敏感个人信息作出了界定,对这两类信息的处理设置了不同的要求。
个人信息是指明显标识了或者能够直接合理识别个人身份的任何信息,或者辅以其他信息可以直接确定个人身份的信息。
敏感个人信息指与下列情况相关的个人信息:种族;婚姻状况;年龄;肤色;宗教、哲学或政治派别;健康;教育;诉讼;政府机构针对个人签发的专属于个人的信息 (例如社会保障号码、健康记录、执照、纳税申报表、政府签发的身份证和/或其号码的副本);以及法律或法规特别声明为保密性质的信息。
法律要求,一般情况下,在处理个人数据之前须获得数据主体的同意,DPA及其实施条例规定的例外情况除外。请注意,本法案仅认可明示同意,并不承认默示同意(该法案对“同意”的定义:“自由给予的、具体的、知情的意愿指示……[并且]应有书面、电子或其他记录方式证明”)。
DPA赋予了数据主体对其个人信息的广泛权利,与欧盟GDPR规定的权利大致相同。这些权利包括:知情权;访问权;反对权;删除权和屏蔽权;纠正权;提出申诉权;损害赔偿权;以及数据可携带权。
数据控制者和数据处理者必须尊重上述权利,不得侵犯这些权利。为科学和统计研究之目的使用个人信息,且不针对数据主体开展任何活动和采取任何决定的情况除外,为调查数据主体的刑事、行政或税务责任而收集个人信息的情况亦除外。
该法规定了个人信息安全的一般原则,以及个人信息传输的责任。法律还对关政府内部的敏感个人信息安全问题,以及数据外泄和数据外泄的报告流程作了具体规定。
与GDPR类似,DPA也要求个人信息控制者在个人数据泄露事件发生时通知数据主体。此类通知须送达受影响的数据主体,并向NPC报告。信息泄露通知必须在“个人信息控制者或个人信息处理者知晓或有理由相信发生了需要通知的个人数据泄露”的72小时内提交给NPC。
DPA要求实体任命一名数据隐私官(DPO)。然而,并非所有DPO都需要向NPC登记。符合以下情况的实体必须在NPC登记DPO:
雇佣人数不低于250人;
“处理”的记录中包含至少1,000人的敏感个人信息;以及
个人信息的处理“可能对数据主体的权利和自由构成风险”,或者被视为“非偶然”。
关于最后一项标准,NPC准则要求以下行业的实体,无论数据主体或所处理的个人信息的数量/规模如何,均需要登记DPO:
银行和非银行金融机构
电信和互联网服务提供商
业务流程外包公司
高等院校及其他各类学校和培训机构
医院、诊所和其他医疗机构
保险公司和保险经纪人
参与直接营销、社交业务的公司和其他提供奖励卡和忠诚度计划的公司
从事研究的制药公司
为上述行业的个人信息控制者处理个人信息的个人信息处理者。
除DPO外,某些形式的数据处理系统(DPS)必须向NPC注册。随着NPC推出新的注册门户网站,要完成 NPC 的注册要求,必须同时提交DPO和DPS的详细信息。
最后,违反DPA将被处以强制性监禁和罚款,这是为数不多的将监禁作为惩罚的数据隐私立法之一。如果涉及敏感个人信息,则会受到更严重的处罚。
如果涉及100人以上的个人信息,将受到最高处罚。虽然NPC 和其他有关部门曾提议修改DPA,包括废除监禁处罚,但由于新冠肺炎疫情,这一提议被搁置。
ANGARA ABELLO CONCEPCION REGALA & CRUZ LAW OFFICES (ACCRALAW)
22nd to 26th Floors ACCRALAW Tower, Second Avenue corner
[email protected]
www.accralaw.com
泰国的主要数据隐私保护法是《个人数据保护法》(Personal Data Protection Act,简称PDPA)。该法案于2019年通过,并于2022年6月起全面生效。
《个人数据保护法》规定了处理个人数据的主要原则,指定个人数据保护委员会(PDPC)为主管机构。
PDPC职权如下:实施及执行PDPA;颁布实施细则和条例;制定个人数据保护政策和指南;针对投诉进行调查;并对违反《个人数据保护法》的数据控制者和数据处理者发出强制执行令。
截至2023年11月,PDPC已根据PDPA颁布了21项实施细则、条例和指南。
PDPA的主要规定
Kowit Somwaiya
LawPlus
律师事务所
[email protected]
个人数据的种类。
根据PDPA,个人数据是指与个人有关的、可直接或间接确定其身份的任何信息,但不包括亡故人士的信息。
PDPA规管两类个人数据的处理:(1)一般个人数据,以及(2)敏感个人数据。
敏感个人数据是指“与种族、民族、政治观点、异教、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、基因数据、生物特征数据有关的个人数据或可能以同样方式影响数据主体的任何其他数据”。
个人数据的处理。
PDPA项下的个人数据“处理”,指个人数据的收集、使用及披露。个人数据仅在必要的情况下收集,保留期限为实现处理目的所必要的最短时间。数据控制者必须在收集一般个人数据之前或之时将收集数据之目的告知数据主体,具体方式为向数据主体发出隐私声明。该隐私声明至少应包含:个人数据处理的目的;数据控制者及其数据保护官(DPO)的详细资料;个人数据可能向哪些第三方披露;数据主体的权利,以及数据主体行使该等权利的方式和时间。
禁止在未经数据主体明确同意的情况下收集、使用或披露敏感个人数据,但少数例外情况除外,例如,在数据主体无法表示同意(无论出于何种原因)的情况下,为防止或控制对个人生命、身体或健康的危害而使用数据。
对个人数据的处理必须符合PDPA的法律要求,否则视为非法处理。如果对个人数据的处理基于数据主体的同意,数据主体可随时通知数据控制者或数据处理者撤回其同意。
在处理个人数据时,数据控制者和数据处理者必须保持个人数据的完整性和保密性。
数据控制者或数据处理者必须保存其个人数据处理活动的完整记录,方便PDPC检查,或提交给PDPC。
跨境数据传输。
禁止将个人数据传输到缺乏充分数据保护的司法管辖区或国际组织,除非:(i)数据主体在被告知缺乏充分数据保护后仍明确表示同意;以及(ii)根据传输方与目的地国家的接收方或接收数据的国际组织之间订立的合同约定,个人数据跨境传输是必要的。
PDPC鼓励同一集团内的公司实施内部约束性公司规则来管理集团内的数据传输,以确保集团内部各公司采用相同的高标准数据保护措施。
Usa Ua-areetham
LawPlus
律师事务所
[email protected]
数据保护官(DPO)。
如果数据控制者和数据处理者的核心业务涉及下列任何一项活动,它们必须任命一名DPO:(i)需要定期监测个人数据或系统的大规模个人数据处理活动,例如跟踪、监测、分析或预测行为或态度;系统性处理个人数据,如会员计划、信用评分、欺诈防范、网络服务提供商或电信运营商的数据处理以及行为广告;或(ii)处理敏感个人数据,无论个人数据规模大小。该规定从2023年12月13日起实施。
未任命DPO的,可处以不超过100万泰铢(约28,300美元)的行政罚款。
未成年人保护
收集十岁以下未成年人的个人数据,必须取得承担父母责任之人的同意。
如果未成年人已满十岁,但并未因结婚而具有完全行为能力,或缺乏完全行为能力,则必须同时取得未成年人和承担父母责任之人的同意。
根据PDPA,企业须建立下列主要合规制度:
建立和维持完全符合PDPA数据处理要求的数据隐私政策;
数据控制者与数据处理者之间签订数据处理协议或数据传输协议;
建立数据保护影响评估制度,识别数据隐私风险并制定风险管控措施;
在收集、使用或披露个人数据之前或之时获得数据主体的明确同意(例外情形除外),并将该等同意记录在案;
建立相关机制保护和便利数据主体行使权利,如个人数据访问权;随时撤回同意的权利;纠正、删除、限制或反对处理个人数据的权利;数据携带权;以及向PDPC办公室提交投诉的权利;以及
如核心业务需要,按PDPA要求委任一名DPO,由DPO作为数据主体及PDPC的联络人。
Warit Lertwuthisart
LawPlus
律师事务所
[email protected]
如出现数据泄露,且数据泄露可能对数据主体的权利和自由造成风险,则必须在意识到数据泄露后72小时内向PDPC提交数据泄露通知。该通知必须包括泄露的性质、数据控制者的联系人或DPO的详细信息、可能的后果,以及已采取或将采取的减轻潜在不利影响的措施。
如果数据泄露可能对数据主体的权利和自由造成高风险,则必须立即同时向PDPC和数据主体发出数据泄露通知,且该通知应包含补救措施。
如果数据泄露涉及多个数据主体,数据控制者可一一通知各数据主体,也可以通过公共媒体、社交媒体或电子手段,或者数据主体或公众可访问的任何其他方式以公告的形式发出通知。
PDPA
项下的罚则
未遵守PDPA合规要求或违反PDPA相关限制或禁令的数据控制者和数据处理者,可被处以行政罚款,或被追究刑事责任和民事责任。
最高行政罚款为500万泰铢。刑事责任包括每次违法行为可被处以最高监禁一年及/或最高罚金100万泰铢。
民事责任是指根据法院判决应向受害数据主体支付实际损害赔偿金和惩罚性损害赔偿金。
PDPC或法庭判令的罚款金额视违法行为性质、情节轻重和持续时间、受影响的数据主体的数量以及在违法行为发生时和发生后实施的缓解措施而定。
本文提供的信息不构成法律建议。该等信息属一般性质,可能并不适用于任何特定情况。在根据所提供的信息采取任何措施之前,应征求具体意见。
LAWPLUS
LTD.
Unit 1401, 14th Fl., Abdulrahim Place
www.lawplusltd.com
