日本 APPI：个人信息保护合规性

日本的个人信息保护法（APPI — 个人情报の保护に关する法律）是亚洲最全面的数据保护框架之一。 APPI 于 2022 年进行了重大修订（2022 年 4 月 1 日生效），并接受为期三年的强制性审查周期，逐步与全球数据保护标准接轨，同时保留了日本独特的监管方法。

2022 年修正案引入了要求删除的权利、强制跨境传输信息披露、匿名处理信息规则，并加强了执法力度，对企业违规行为处以最高 1 亿日元（66 万美元）的罚款。日本个人信息保护委员会 (PPC) 变得越来越活跃，针对国内外主要企业发布指导、开展调查和提起执法行动。

要点

• APPI 适用于在日本处理个人信息的经营者；域外应用涵盖收集日本境内人员数据的海外运营商
• 个人信息处理规则涵盖收集、使用、第三方提供、安全管理
• 需要特别注意的个人信息（敏感数据）需要事先明确同意才能收集
• 跨境传输受到限制——允许在具有同等保护的国家/地区的第三方进行传输，或者在个人明确同意和信息披露的情况下进行
• 2022 年新条款：请求删除/暂停的权利、通过选择退出对第三方提供的强制选择退出通知、匿名处理规则
• PPC 拥有广泛的调查权力，可以发布暂停营业令
• 日本和欧盟有共同的充分性决定——符合 APPI 的实体可以根据简化的规则进出欧盟
• APPI每三年进行一次强制审查——下一个审查周期将进一步与全球标准接轨

---

APPI 框架和范围

领土申请

APPI 适用于：

• 日本的经营者处理个人信息
• 海外运营商处理与提供商品或服务有关的日本境内人员的个人信息（第 180 条 — 2022 年修正案中添加的域外适用）

域外适用意义重大：拥有日本用户的海外公司现在直接受 APPI 约束，而无需拥有日本法人实体。 PPC可以向海外运营商发出命令并向外国当局提供信息。

谁是“个人信息处理业务经营者”？

出于商业目的使用个人信息数据库的任何人。此前，处理少于 5,000 人数据的运营商可获豁免——2015 年修正案取消了小型运营商的豁免。现在涵盖所有将个人信息数据库用于商业目的的企业。

关键类别：

• 个人信息（个人信息）：有关在世个人的信息，可以通过姓名、出生日期或其他描述来识别他们；包括唯一标识符（我的号码、护照号码、驾照号码、生物识别数据）
• 个人数据（个人データ）：构成数据库的个人信息
• 保留个人数据（保有个人データ）：运营商有权披露、更正、添加、删除、停止使用、消除或停止第三方提供的个人数据

---

APPI 核心义务

使用目的规范

第十七条要求经营者尽可能明确个人信息的使用目的。收集个人信息时，目的必须是：

• 提前公开披露（关于隐私政策）
• 或在领取时向个人明确说明
• 或者如果直接以书面形式向个人收集，请在表格中明确说明

用途限制：未经个人同意，个人信息不得超出规定用途。

收集限制

个人信息必须通过公平、正当的方式收集。具体限制：

• 不能通过欺骗或其他不正当手段获取个人信息
• 如需直接书面收集，请在表格上明确说明使用目的
• 在指定用途内使用；改变目的需要通知或同意

需要特别注意的个人信息（要配考虑个人信息）：收集需要事先明确同意。这包括：

• 比赛
• 信条（宗教或宗教信仰）
• 社会地位（可能导致歧视的正式家庭登记区别）
• 病史
• 犯罪记录
• 犯罪受害者身份
• 身体或精神残疾
• 疾病和伤害医疗信息
• 遗传病检查结果

安全管理措施

第二十三条要求经营者采取必要、适当的措施对个人数据进行安全管理，防止泄露、丢失、毁损。 PPC 指南指定了四类措施：

1. 组织措施：制定基本政策；组织管理系统；了解处理状况；应对泄漏
2. 人事措施：培训员工；执行保密协议
3. 物理措施：管理个人数据处理区域的出入；管理设备；防止盗窃/丢失
4. 技术措施：访问控制；访问认证；防病毒措施；信息系统监控

对第三方提供的限制

第 27 条限制未经个人事先同意向第三方提供个人数据。例外情况：

• 法律要求
• 在未经同意的情况下保护人的生命、身体或财产
• 在无法获得同意的情况下改善公共卫生
• 与国家或地方政府实体合作
• 选择退出基础：如果运营商通知 PPC 并为个人提供选择退出的机会（具有重要的披露要求），则允许未经同意的第三方提供

向海外实体提供第三方服务：须遵守其他要求（请参阅跨境转账部分）。

---

个人权利

2022 年修正案显着扩大了个人权利：

投诉处理：经营者必须尽力妥善、及时处理有关个人信息处理的投诉。经PPC认证的第三方争议解决机构可以提供替代解决方案。

响应要求：APPI 没有设置特定的日历日响应期限（与 GDPR 的 30 天不同）。运营商必须“毫不拖延”地做出回应——PPC 指南指出，对于复杂的请求，通常最多应在 2 至 3 个月内做出回应。

---

跨境数据传输

第28条限制向境外提供个人数据。向海外接收者提供第三方服务需要满足以下条件之一：

1. 个人同意：在提供有关海外目的地和系统的具体信息后，获得个人的事先同意
2. 同等保护的国家：转移到PPC内阁命令指定的具有同等保护水平的国家（目前：日本-欧盟充足性安排下的EU/EEA国家）
3. 具有同等保护的运营商：海外接收者已实施同等数据保护措施（通过合同、具有约束力的公司规则或其他方式记录）

同意所需的信息披露：对于基于同意的转让，运营商必须提前向个人提供：

• 外国名称
• 该国的个人信息保护制度
• 第三方处理个人信息所采取的措施

PPC 国家/地区信息页面提供有关其他国家/地区保护系统的参考信息。

日本-欧盟充分性：日本和欧盟有相互充分性安排 - 日本有欧盟委员会的充分性决定，并且日本承认欧盟成员国拥有同等保护。这显着简化了日本↔欧盟的数据流。

海外转账的假名处理：经假名处理的信息可以在选择退出的基础上（而不是需要同意）提供给海外第三方，但须遵守 PPC 通知和个人选择退出机会。

---

假名加工信息（仮名加工情报）

2021 年修正案引入了假名处理信息（仮名处理信息）——介于个人数据和匿名处理信息之间的一个新类别。要求：

创建：通过用特定代码或其他措施替换识别信息（姓名、出生日期、地址）来处理个人信息，从而在没有其他信息的情况下无法识别个人。

用途：假名处理的信息可用于内部分析和研究目的，无需个人同意 - 实现数据分析，同时降低隐私风险。

限制：

• 不能提供给第三方（特定条件下向委托运营商和企业集团内部提供的除外）
• 无法与其他信息交叉引用来识别个人身份
• 不能用于联系个人

安全性：必须像个人数据一样安全地进行管理。

---

匿名处理信息（匿名处理情报）

真正的匿名数据，即使使用其他信息也无法重新识别。要求：

• 遵循PPC指定的匿名化标准（不可逆处理包括：名称/地址替换、粒度数据概括、异常值抑制、链接信息删除）
• 公布所创建的匿名信息的类别
• 可以通过发布类别提供给第三方
• 接收者无法尝试重新识别信息

---

违规通知（2022 年修正案）

2022 年修正案将违规通知设为强制性（之前强烈建议这样做）。要求：

通知PPC（第26条）：发生可能损害个人权益的泄漏、丢失或损坏时需要，包括：

• 涉及需要特别注意的个人信息的泄露
• 非法使用可能造成财产损失的泄露（财务/账户信息）
• 不正当目的（恶意内部人员）造成的泄密
• 泄漏影响 1,000 人或以上

时间表：

• 初步报告：获悉后 3-5 个工作日内
• 完整报告：30 天内（恶意内部违规行为为 60 天）

个人通知：对于相同的资格赛是必需的 - 必须立即通知个人。

通知内容（针对PPC和个人）：

• 事件概述
• 受影响的数据主体和个人数据的类型和数量
• 原因和情况
• 是否存在二次损坏的风险
• 已采取和计划的措施

---

PPC 执行和处罚

个人信息保护委员会 (PPC)（个人情报保护委员会）是日本的独立数据保护机构。 PPC 成立于 2016 年，拥有广泛的监督权力。

行政权力：

• 经营者的报告/调查请求（第146条）
• 现场检查
• 指导和建议（第147条）
• 建议（第 148 条）
• 命令（第 148(2) 条）——企业经营者必须遵守
• 公布违规行为（第 148(3) 条）

处罚：

• 违反 PPC 命令：最高可达 1 亿日元 企业罚款 + 100 万日元 个人
• 针对 PPC 调查未报告/虚假报告：最高 500,000 日元
• 非法提供第三方数据库：最高100万日元 + 个人30万日元 + 最高1年监禁（刑事）
• 滥用个人信息谋取非法利益：刑事处罚最高 1 年监禁

PPC 越来越活跃——最近的行动包括对日本主要公司的调查、海外业务运营商义务的指导以及与外国 DPA 的合作。

---

APPI 合规检查表

• APPI 适用性已确认（日本运营商或拥有日本用户的海外运营商）
• 发布隐私政策，指定所有使用目的
• 在每个收集点明确说明收集目的
• 识别出需要特别注意的个人信息 — 已事先获得明确同意
• 实施的安全管理措施（组织、人员、物理、技术）
• 第三方供应评估：每次共享均记录同意或例外情况
• 如果使用第三方提供的选择退出基础，则向 PPC 提交选择退出通知
• 确定跨境转移机制（同意披露或同等保护）
• 保留第三方提供的记录（用于披露请求）
• 记录个人权利响应程序（披露、更正、暂停、删除）
• 建立投诉处理机制
• 记录违规通知程序（初步 3-5 天，完整 30 天）
• 建立假名/匿名处理程序（如果使用）
• 已完成有关 APPI 义务的员工培训
• 海外运营商指定已确认（如果适用）（PPC 通知）

---

常见问题

APPI 适用于我的拥有日本用户的海外公司吗？

是的，自 2022 年修正案以来。 APPI 第 180 条适用于处理与提供商品或服务有关的日本境内人员个人信息的海外企业。这包括收集日本用户数据的任何海外网站、应用程序或服务。海外运营商必须遵守所有适用的 APPI 规定并接受 PPC 监督。 PPC可以向海外运营商发布订单，并可以根据互助安排与日本的外国同行共享信息。

什么是“需要特别注意的个人信息”以及为什么它很重要？

要配虑个人信息（要配虑个人信息）相当于 APPI 的敏感数据——收集这些信息可能会导致不公正的歧视或偏见。它包括种族、信仰、社会地位、病史、犯罪记录、残疾状况和犯罪受害者身份。关键义务：在收集这些类别中的任何类别之前，您必须获得事先明确同意，即使您有理由收集它们。默示同意、选择退出基础和其他较低的同意标准不适用于需要特殊照顾的信息。

在相互充分性安排下，日本与欧盟的数据流如何运作？

日本和欧盟在 2019 年建立了相互充足性——这是一项独特的双边安排。欧盟委员会通过了针对日本的充分性决定，日本修订了 APPI，将欧盟个人数据纳入其现有框架（并附有补充规则）。这意味着：允许欧盟→日本转移，无需额外机制（根据欧盟充分性决定）；日本将欧盟国家视为同等保护目的地，因此允许日本→欧盟转移。这两个方向仍然要求遵守所有 APPI 义务（对于日本→欧盟）和所有欧盟 GDPR 义务（对于欧盟→日本）。日本的欧盟个人数据补充规则包括符合 GDPR 要求的额外保护。

APPI 要求第三方提供哪些记录？

APPI要求经营者在向第三方提供个人数据以及从第三方接收个人数据时创建记录。提供记录必须包括：提供日期、第三方的名称和其他详细信息、提供的个人数据类别、提供情况（法律依据）以及从第三方获取的个人信息。这些记录必须保留指定期限（大多数情况下为自创建之日起 3 年，如果记录可根据要求与个人共享，则为 1 年）。个人可以要求披露这些第三方供应记录。

何时需要根据 APPI 进行 DPIA 或隐私影响评估？

APPI 并未像欧盟 GDPR 那样专门强制要求进行数据保护影响评估 (DPIA)。然而，PPC 已发布指导方针，鼓励自愿 PIA 进行高风险处理活动，特别是：涉及大规模个人数据收集、跨境传输项目、敏感数据的新用途以及分析或自动化决策的新系统或服务。进行 PIA 被 PPC 视为最佳实践，并标志着组织责任。对于同时受 APPI 和 GDPR 约束的企业，GDPR 的强制性 DPIA 要求将适用于与欧盟相关的处理活动。

---

后续步骤

日本的 APPI 在其强制性的三年审查周期中不断发展——预计 2025 年的审查将进一步使 APPI 与国际标准保持一致。建立一个能够响应持续更新并满足当前义务的合规计划，需要技术专业知识和法律意识。

ECOSIRE 的团队帮助企业进入和拓展日本市场，实施符合 APPI 的数据实践、日本用户隐私政策以及跨境数据传输机制。

开始使用：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。 APPI 需要定期审查和修订。请咨询合格的日本法律顾问，获取针对您的组织的具体建议。