日本於2020(去)年6月修正個人情報保護法,大幅提高罰則,因影響範圍不小,故採分階段施行。而為配合日本境內產業需求,部分修正也進行了適度調整。借鏡日本,可作為我國推行個資法時的參考。
日本於2020年(令和2年)6月修正個資法(即個人情報保護法),因影響範圍不小,例如:大幅提高罰則,非法提供資料庫或違反主管機關(個人情報保護委員會)命令者,最高可對法人裁罰1億日元(原規定分別為50萬與30萬日元),故採分階段施行。其中,罰則(第83至87條)部分,自當年度12月施行。至於依該法第23條欲向第三方提供個資之規定,則自2021年10月施行;其餘條文預計於2022年4月起全面施行。修法資料可詳見日本個人情報保護委員會網頁(https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#shikoubi)。
相關重要修正尚包含:擴大當事人權利行使範圍,如規範資料蒐集主體應允許當事人之請求,揭露向第三方提供有關個資傳輸之紀錄。並應在6個月內,刪除可能被揭露或當事人已請求暫停使用之資料或數據。此外,要求資料蒐集主體於發生洩漏一定數量之個資事件時,強制應向個人情報保護委員會通報之義務。另為配合爭取歐盟GDPR之適足性認定,也修正跨境傳輸及假名化等規範。
然而,部分修正也配合日本境內產業需求,進行適度調整。如歐盟GDPR內,假名化(Pseudonymization)與匿名化(Anonymization)不同。前者如採行編碼或其他方式,因其個資仍有被識別之可能,故應受規範。惟對於許多企業或組織來說,資料取得不易,為兼顧保護個資而採行編碼後進行業務規劃或測試,仍有一定需求,基此,日本政府對於本次修法之假名化規範,也考量創新之需求,如供內部研析之用,可放寬部分運用;但前提是應履行告知義務,使當事人了解個資可能依法令提供給第三方,並取得其同意等。
日本修法後強化對企業自律之要求
本次修法之重點還包含強化企業自律。為加強資料蒐集主體之自主管理,日本政府希望透過經各目的事業主管機關認證之個資保護團體,協助產業落實個資管理與安全維護事宜。早在2004年4月(平成16年)日本個資法已公告保護個人資料之基本方針,2018年6月(平成30年)雖有部分變更,但對於此類個資保護團體功能之規範,主要即以自願之方式,制定與發布個資保護相關準則供參考,並協助各行業處理在個資方面碰到的疑難雜症。
因此,本次修法後,希望經認證之個資保護團體對外宣示內容應有:宗旨與目的、重要業務說明(含如何協助參與個資洩漏事件)、個資保護相關準則,以及所涉之個資法令等。雖仍維持自願方式,但政策上透過明確是類組織之功能,達成(1)透過諸如互助、監視和申訴處理之類的聯合活動,協助所屬企業平穩且徹底地遵守法律,及(2)透過運用私部門各自之專門知識與靈活性,制定與實施比個資法最低標準更多或更高之自願性規範。
以經濟產業省、總務省及厚生勞動省於2021年2月對外徵求意見之「個人健康紀錄(Personal Health Record,PHR)等資料處理基本指針(民間PHR事業者による健診等情報の取扱いに関する基本的指針)」為例,日本政府考量就當事人個人或其家人,已有準確掌握健康或生理資訊之機制,如電子病歷內可包含診療紀錄、藥物使用狀況等,為使屬私部門之是類業者,能妥適運用個資並符合法遵要求,透過該份文件說明PHR服務企業建議遵守事項。詳情可見經濟產業省網頁(https://www.meti.go.jp/press/2020/02/ 20210219004/20210219004.html)。
此一基本指針(草案)計有六大部分,包含指針之基本事項、資訊安全管理對策、妥適處理個人資料、健診等資料之保存與管理,以及確保法規要求等。自2021年2月19日公告後,徵求意見至同年3月12日止。後續如經確認,內容將提供給PHR服務企業參考。其中,較為重要的為第二部分之資訊安全管理對策,及第三部分之妥適處理個人資料,試摘要說明如後。
在資訊安全管理對策(情報セキュリティ対策)部分,包含安全管理措施與取得第三方認證。主要規範提供PHR服務企業應採取措施以防止個人健康或生理資訊之洩漏、滅失或毀損。如制定資訊或個資安全政策與執行方案。明確資訊或個資安全負責人,擔任統籌與落實內外部管理工作。依資料生命流程,明確規範自取得、存儲、交換、刪除或銷毀之間的處理程序。執行教育訓練,以提升員工意識與認知,並簽署保密協定。
此外,在系統維運方面,要落實資料分級與權限控管等機制。安裝防毒軟體與防火牆,並定期更新。以及建立身分驗證機制,禁止未經授權之外部使用者查閱內部資料。在事件應變上,要有處理機制或標準作業程序,平日落實演練與教育訓練,並留存執行紀錄;倘發生緊急事件時,要能及時採取因應措施,並通報主管機關與受影響之客戶。
在妥適處理個人資料(個人情報の適切な取扱い)部分,包含資訊揭露(如特定目的),取得當事人同意,當事人權利行使(如刪除或停止使用),以及其他(如除健診以外個資之處理,有關匿名處理資訊應注意事項)。如應以合適的方式明確告知當事人特定目的,變更時亦要再取得同意。告知事項包含但不限於資料類別、範圍、使用目的,且特別是在向國外第三方提供時,應事先取得當事人同意,才可進行跨境傳輸。
結論與建議
現代人身處以資料治理作為商業運作核心的時代,不僅企業希望廣泛蒐集與利用資料,民眾在使用各種資訊設備、科技裝置時,也十分關心隱私與個資是否被適當保護,個資與醫療之法令遵循都值得關注。
如前所述,法規只是基本要求,如能提升自主管理能量應能更獲得客戶信任。落實法規要求或提高標準,對企業營運實有正向助益,爰建議經營者切莫因成本等考量而忽略法令遵循。
<本文作者:陳宏志目前服務於資策會,專注於資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權等規劃區塊鏈應用。>