（一）法律依据

1.个人信息保护法

作为个人信息保护制度的基石，早在2003年，日本就颁布了《个人信息保护法》，是亚洲最早的个人信息保护法律之一，历经了2017年、2020年的重大修改。尤其2020年的修正案中，将此前的《个人信息保护法》《行政机关个人信息保护法》和《独立行政法人信息保护法》为统一一部法律，除规制个人信息处理者相关行为外，明确了国家、行政机关和地方公共团体的责任、义务和保护措施，并赋予个人信息保护委员会统一的监管职能，实现了国家层面法律的统一化。

2.编号法

日本境内所有持有住民票的自然人都拥有独一无二的12位“个人号码”，称为My Number。因为该号码能够直接、精确地识别个人的身份，且已广泛应用于税收、社保、医疗、金融等领域，是十分重要的个人信息。因此，在《编号法》的立法目的中，明确该法系《个人信息保护法》的特别法。个人信息保护委员会的成立，正是为了推进《个人信息保护法》和《编号法》的落地实施。由此，《编号法》在日本个人信息保护领域的重要地位不容小觑。

3.个人信息保护委员会相关指南

个人信息保护委员会就个人信息处理规则发布了具有指导意义的实务指南，其中包含对个人信息保护法、个人信息保护法施行令以及个人信息保护法施行规则等规定的释义，成为日本个人信息保护制度的重要依据。

4.民法

如果企业是从本人处直接获得个人信息的，该企业或本人在管理、利用个人信息时，受双方合同约束，承担合同责任。

如果企业通过第三方间接获取个人信息，或者以本人不知情的方式获取个人信息，则很难认定企业与本人直接产生了合同上的义务。但是，从保护人格利益的观点出发，多以侵犯隐私权、肖像权等角度提供救济。

5.反不正当竞争法

商业秘密的定义为：秘密且不为公众所知悉的生产方法、销售方法及其他对经营活动有用的技术或经营信息。因此，“有用”不仅包含了该信息在业务活动中能够产生的直接经济价值，还包含了该信息本身的间接潜在价值，即有助于节约研发成本、改善经营效率的重要信息，如顾客名册等涉及个人信息的内容都属于商业秘密范畴。

此外，日本在《反不正当竞争法》引入了“限定数据提供”的定义，企业在经营活动中，将自身秘密管理的大数据提供给他人时，法律对经营信息保护的范围扩大至“限定提供数据”，其中包含了进行着秘密管理的个人信息相关数据。

6.网络服务供应商责任限制法

该法设立了法院在非诉讼程序中的发布者信息披露命令制度。据此，在网络上被侵权的人，可以在非诉程序中行使信息披露请求权：先后申请法院披露网站管理者的IP地址、通信运营商的名称、匿名投稿者的住址及姓名，以便进一步采取民事上的损害赔偿请求或刑事起诉等，实现救济。

7.刑法

与我国立法体系有所不同的是，日本关于个人信息保护的刑事责任均分散在上述各单行法之中——如《个人信息保护法》规定，对违反个人信息保护委员会命令的自然人，处以一年以下有期徒刑或一百万元日币以下的罚金；对于不正当提供个人信息数据库的法人，处以1亿日元以下的罚金，等等。

所谓刑法作为补充，即对于企业拥有的财产价值较高的、而又不属于商业秘密的信息，在违背本人意愿的情况下被获取，刑法规制的并不是该信息获取行为，而是将该信息物化的财物价值与行为主体之间的关系认定犯罪。如：盗窃罪、贪污罪等。

（二）专责机关

在此，需要特别介绍一下日本个人信息保护的独立专责机关——个人信息保护委员会。作为内阁府外部机构，为了确保其权威性、独立性和参与性，日本《个人信息保护法》规定，个人信息保护委员会直接向内阁总理大臣负责，不受其他行政机关或者行政力量的干涉及施压。

1.主管事务

（1）制定和推广关于保护个人信息的基本政策；

（3）认定个人信息保护团体；

（4）监测和监督特定个人信息的处理；

（5）评估特定个人信息保护；

（6）调解投诉；

（7）国际合作；

2.明确赋权

为了让个人信息保护委员会能够顺利实现其基本任务和主管事务，日本《个人信息保护法》明确授予委员会以下三种权力：

（1）指导及建议。个人信息保护委员会对于个人信息处理者的处理操作可以进行指导，并提出建议。

（2）劝告及命令。个人信息保护委员会可以在其认为为保护个人权益必要时，劝告个人信息处理者采取相应的纠正措施；若个人信息处理者拒绝劝告，没有正当理由对该劝告不予采取措施的，个人信息保护委员会认为会侵害数据主体的重大利益且情况急迫的，可以命令个人信息处理者采取相应措施。对违反个人信息保护命令的非公务机关，可能面临2年以下的有期徒刑或者100万日元以下罚金。

（3）报告及现场检查。个人信息保护委员会可以要求个人信息处理者提交必要的报告或者资料，其工作人员可以进入相关场所，询问相关人员或者检查相关账簿材料等，此项检查属于行政检查权，不用事前得到法院许可。

（一）保护客体

1.“个人信息”（personal information）：可轻易与其他信息相对照从而识别特定个人的有关信息，如姓名、出生日期等。

2.“个人识别符号”（individual identification code）：包含于个人信息之中，是指字母、数字、符号和政府法令指定用于识别特定个人的其他符号。如个人编号，驾驶执照号码，以及DNA、容貌、指纹等可以转换用于计算机使用的特定符号。

3.“假名化信息”（pseudonymously processed information）,是指通过删除或替换个人信息的全部或部分标识符后，除非与其他信息组合，否则不再具备可识别性。

4.“匿名化信息”（anonymously processed information）是指对个人信息进行数据处理，移除或修改个人身份信息后不可能复原，无法用来与任何个人关联到一起。

5.“敏感个人信息”（special care-required personal information）：是指为避免个人因种族、宗教信仰、社会身份、病历、犯罪经历、因犯罪所遭受伤害的事实等方面而遭受不正当歧视、偏见或其他不利，需要特殊处理的信息。未事先取得本人的同意，个人信息处理者不得收集或向第三方提供敏感个人信息。

6.“个人相关信息”（personally referable information），是指与在世个人相关的信息，但不属于个人信息、假名化信息或匿名化信息。如浏览记录、位置信息等，虽然难以直接识别个人身份，但却与个人信息安全息息相关，特定情况下需要取得本人同意。

（二）规范主体

1.个人信息处理者等

日本的个人信息保护法将个人信息处理者、个人相关信息处理者、假名化加工信息处理者以及匿名化加工信息处理者等作为规范对象。本文将重点讨论实务中常见的“个人信息处理者”——是指将个人信息数据库等用于其经营业务的个人或企业，但不包括国家机关、地方公共主体、独立行政法人等。

2.外国企业

虽然，日本个人信息保护法是规范在国内处理个人信息的行为。但是，当满足下列条件时，该法即有域外效力——如果日本境外的个人信息处理者向日本境内主体提供物品或服务，并因此取得日本国内数据主体的个人信息、因收集该个人信息所获得的个人相关信息、以及适用该个人信息制作的假名加工信息或匿名加工信息，在境外处理该等信息时，受到日本个人信息保护法的规制。

（三）处理规范

值得注意的是，日本个人信息保护法将“个人数据”（personal data）的概念从个人信息中进行提炼，个人数据是指用以构成个人信息数据库等的个人信息，并且针对个人数据制定了更为严格的处理规范，对比如下：

1.关于个人信息的处理规范

（1）确定使用目的；

（3）禁止不正当使用；

（4）正当手段收集；

（5）通知、公布使用目的。

2.关于个人数据的处理规范

在前述规范的基础上，个人信息处理者在处理个人数据时，还适用以下规范：

（1）确保数据内容的准确性；

（3）对其员工进行监督；

（4）对受托方进行监督；

（5）泄露等特殊情况的报告和通知义务；

（6）限制向第三方提供；

（7）限制向境外第三方提供。

（一）关于使用目的

1.尽可能确定——个人信息处理者对使用个人信息的特定目的有明确的认知，且应让本人可以通常、合理地预知自己的个人信息被用于何种业务及何种目的。

2.限制变更——个人信息处理者变更其使用目的，不得超出可合理地认为与变更前的使用目的具有相关性的范围。

3.范围约束——未经本人事先同意，个人信息处理者不得超出已确定的使用目的所必需的范围来处理个人信息。另，如果个人信息处理者因合并或其他原因从其他个人信息处理者处继受业务时所获取个人信息的，事先未获本人同意的，仍受到原约定使用目的的约束。

4.通知和公布——个人信息处理者在收集或变更使用目的时，应当及时向本人通知或公布。注意：个人信息处理者是在已向本人通知、公布的使用目的范围内处理个人信息的（包括收集、委托处理、向第三方提供和向境外第三方提供），可以不再另行取得本人的同意，但处理敏感个人信息时除外。但是，当个人信息处理者取得个人信息时已有计划向第三方提供个人信息的，应事先在个人信息的使用目的中加以明确。

（二）关于确保数据内容的准确性

确保数据内容的准确性，同为欧盟《通用数据保护条例》（GDPR）的原则之一，是指个人信息处理者应当在实现使用目的所必需的范围内，采取一切适当措施，确保及时纠正或删除不准确的个人数据，并在必要时保持更新，并在不再需要使用时，努力及时消除相关个人数据。

（三）关于个人数据的安全管理措施

个人信息处理者应当对其处理的个人数据采取安全管理：一方面需考虑个人数据发生泄露等情况下对本人权益的侵害程度，另一方面根据业务规模及性质、个人数据的处理情况、个人数据的存储介质的性质等引发的风险程度，制定必要且妥善的措施。

（四）关于个人信息泄露等特殊情况的报告和通知义务

当个人信息泄露、灭失、毁损等特殊严重情况发生时，经营者负有向个人信息保护委员会报告以及向个人信息主体通知的义务。

1.特殊严重情况——

（1）敏感个人信息泄露；

（3）个人信息泄露可能造成财产损失的；

2.快速报告——经营者应在知晓事件发生后的3至5日内向个人信息保护委员会作出快速报告，包括：

（1）事件概要；

（3）相关人数；

（4）原因；

（5）是否有再次泄露的可能；

（6）向个人信息主体通知的情况；

（7）公布事件的实施情况；

（8）防止再发生的对策；

3.完整报告——快速报告以后，经营者应在知晓泄露事件发生后的30日内（用于违法目的造成个人信息泄露事件时，则为60日内）尽可能合理而充分地就初次报告作出补充和完善，并向个人信息保护委员会作出完整报告。对个人信息主体的通知应当做到根据事态情况尽快通知。

4.例外——

（1）报告：经营者受到其他经营者的委托处理全部或部分个人数据时，如已根据《个人信息保护法施行规则》的规定将发生相关事态的情况通知给委托人，则不必再向个人信息保护委员会另行报告。

（2）通知：经营者难以通知到本人，且已为保护本人的权利和利益采取必要替代措施的情形下，可以不向本人进行通知。

（五）关于向第三方提供个人数据

1.原则：取得本人同意。未取得本人的同意时，个人信息处理者不得将个人数据提供给第三方。

2.一般例外：在以下情况下不需要取得本人的同意。

（1）基于法令规定提供个人数据的；

（3）为提高公共卫生或促进儿童的健康成长而提供个人数据，但难以取得本人的同意的；

（4）为配合国家机关或地方公共团体或其受托之人执行法令规定的事务而提供个人数据，但若取得本人的同意将对该事务的执行造成障碍的。

3.特殊例外：

（1）委托处理

个人信息处理者为达到使用目的在必要的范围内将个人数据的处理业务全部或部分委托给他人，因此需要将个人数据提供给第三方时，该受托处理个人数据的一方不属于“第三方”，向受托方提供个人数据不需要取得本人的同意。在此情形下，受托方在受托业务范围内，被视为与作为委托方的个人信息处理者是一体的。

（2）共同使用

个人信息处理者将可与特定他人共同使用的个人数据提供给该特定他人，且已事先将共同使用情况等事项通知本人，或者置于本人能够轻易知悉的状态的，则该特定他人不属于“第三方”，向其提供个人数据不需要取得本人的同意。

（3）云服务保存

个人信息处理者使用云服务保存个人数据时，如果通过云服务合同条款约定云服务提供商不处理保存在服务器上的个人数据，且通过限制访问等妥善措施确保云服务提供商不处理个人数据的，使用云服务保存个人数据的行为不属于向第三方提供个人数据，不需要取得本人的同意。

（一）“境外第三方”的界定

1.原则：根据接收个人数据的外国第三方是否将个人数据用于日本国内的业务进行判断。即外国企业、在日本国内获取个人数据，后用于外国业务，即该企业作为“境外第三方”。

2.排除：即使个人数据的接收方为外国企业，但如果其在日本国内设立办事处或在日本国内开展经营活动，且该外国企业将个人数据直接用于日本国内的业务的，该外国企业不属于“境外第三方”。

3.特例：因外国企业的境外员工参与日本国内的业务，需要接触日本国内的个人数据，从而物理上发生个人数据的跨境传输时，向境外员工传输个人数据的行为仍属于向境外第三方提供个人数据。

（二）原则：事先取得本人同意

1.告知义务：个人信息处理者向境外第三方提供个人数据的，原则上应事先取得本人的同意，并同时履行告知义务，通过电磁记录、提供书面文件等方式向个人信息主体告知以下信息：(a)作为接收方的第三方所在国的名称；(b)通过妥善且合理的方式获得的接收方所在国的个人信息保护制度的信息；(c)接收方为保护个人信息而采取的措施。

2.排除例外：另需注意的是，与向境内第三方传输个人数据有所不同，跨境传输时，即便是委托境外第三方处理或与境外第三方共同使用个人数据的情况也需要事先取得本人同意。

（三）例外：无需事先取得同意的情形

1.“白名单”机制——接收方所在国拥有与日本具有同等水准的个人信息保护制度

日本借鉴了欧盟《通用数据保护条例》GDPR的“白名单”机制，根据条例的相关规定，对于与欧盟具有同等水准的个人信息保护制度的国家，从欧盟向其跨境转移个人数据时无需另外取得个人信息主体的同意。

2019年，日本与欧盟互相做出“充足性认定”的决定，认定对方的个人信息保护水平及安全措施具有同等水准，允许个人数据在欧盟和日本之间自由流动。根据《日本个人信息保护法指南》的相关规定，从日本向英国及欧盟在内的共计31个国家转移个人数据时，不需要事先取得日本个人信息主体的同意。

2.接收方已建立符合日本法规定标准的个人信息保护制度

如果境外接收方建立了符合“日本个人信息保护法施行规则所规定的标准”的制度，且能够持续采取与日本的个人信息处理者应采取的措施相当的措施，那么向该接收方跨境传输个人信息时，无需事先取得个人信息主体的同意。

（四）必要措施

为确保接收数据的境外第三方能够持续采取相应措施，进而维持其个人信息保护体制，日本的个人信息处理者应当采取以下必要措施：

1.定期确认：通过妥善且合理的方式，至少每年一次定期确认接收方实施相当措施的情况，以及其所在国是否存在可能影响相当措施实施的制度、以及该制度的具体内容。

2.障碍应对：接收方实施相当措施出现障碍时，日本的个人信息处理者应采取必要且妥善的措施予以消除或者改善，如果难以确保持续实施相当措施的，应停止向该境外接收方提供个人数据。

（五）应向本人提供的境外个人信息保护制度的相关信息

个人信息处理者应该将接收方的个人信息保护制度的相关信息提供给本人，使本人合理地认识到境外制度与日本个人信息保护法之间的本质差异。具体如下：

（1）个人信息接收方所在国是否设立个人信息保护制度；

（2）该个人信息保护制度是否达到一定的国际标准；如，是否取得《通用数据保护条例》（GDPR）的充分认定，或者属于亚太经济合作组织（APEC）的跨境隐私规则体系（CBPR）的成员国，等等。

（3）是否规定了经济合作与发展组织（OECD）隐私指南八项基本原则项下的经营者义务或个人信息主体权利（八项基本原则是指：收集限制原则、数据质量原则、目的特定化原则、使用限制原则、安全保护原则、公开原则、个人参与原则、责任原则）；

（4）其他可能对本人权利和利益有重大影响的制度。如，境外经者有义务配合当地政府的信息收集活动，则接收方所在国留存的个人信息可能被当地政府广泛收集；或存在个人信息本地保存制度，致使经营者可能无法应对信息主体的删除请求，等等。

（六）中日两国之间关于个人信息跨境传输

两国之间尚无相对自由的个人信息跨境传输安排，只有两国均作为缔约国的《区域全面经济伙伴关系协定》，在一定程度上弥补了彼此之间关于个人信息跨境传输的空白。

2022年1月1日《区域全面经济伙伴关系协定》（RCEP）正式实施，第十二章电子商务规定了线上个人信息保护，制定了缔约方之间跨境传输数据的相关规则——如：对各缔约方的个人信息保护法律框架提出要求，各缔约方应公布其向电子商务用户提供个人信息保护的相关信息，鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序，并在可能的范围内合作，以保护从一缔约方转移来的个人信息。

此外，目前中国的个人信息保护法等制度并未获得欧盟《通用数据保护条例》（GDPR）项下的“充分性认定”，中国也不是APEC“跨境隐私保护体系（CBPR）”的成员国。对此，日本个人信息保护委员会可能认为中国不满足个人信息保护制度的指标信息，就此做出的相关建议或结论，进而妨碍日本个人信息主体同意将其个人信息出境到中国等实务问题。

因此，两国之间的个人信息传输，不论是从中国到日本还是从日本到中国，都将给经营者带来较大的合规成本和挑战，需结合两国个人信息保护的法律实务，共同梳理个人信息的出境场景、优化出境方案，降低彼此间跨国传输个人信息的合规风险，助力企业扩大投资及贸易领域，加快合作步伐。

【参考文献】

3.TMI総合法律事務所 著：《個人情報管理ハンドブック》（第5版），商事法務発行所

4.张涛：个人信息保护中独立监管机构的组织法构造

5.Yuasa Harumichi：日本个人信息保护法律制度的基本特征与最新发展

6.杨锦文高健：日本个人信息出境路径及合规建议

7.Yoshiki Tsurumaki陈天华 崔文英：日本个人信息处理的法律要点——日本个人信息保护法的详细解读

8.辛小天 郑茂锋：日本《个人信息保护法》合规要点

9.Kensaku Takase Hayato Higa：日本：经修订的APPI下的假名化

10.中华人民共和国外交部：中国同日本的关系