日本的个人信息保护法制及启示(一)

日本的个人信息保护法制及启示(一)

【内容提要】信息化时代导致的个人信息被恶意利用的事件频发。2005年4月日本《个人信息保护法》经过两年的预备缓冲期后进入了全面实施阶段。该法以OECD的8项原则为基础，借鉴了欧盟的立法模式，在实质上又采纳了美国立法的诸多规定，不论从体例上还是在内容上都是一部比较成熟和完备的法律，值得我国在《个人信息保护法》的制定中予以借鉴和吸收。

【关键词】个人信息个人信息保护法隐私权个人征信日本是一个信息化程度非常高的国家，近年来滥用甚至盗用个人信息给消费者造成财产或个人隐私损失的恶性案件时常见诸报端。这促使政府在推进信息化社会建设中加快立法保护个人信息。日本的个人信息保护立法外形上类似欧盟立法模式，但在实质上更多地采纳了美国立法的许多做法，非常值得我国在制定《个人信息保护法》时予以借鉴。一、日本个人信息保护的法制化过程最初的个人信息保护是与实行电子化政府的活动相联系的。电子化政府是指运用电子化手段所实施的国家行政管理工作，包括政府内部核心政务电子化、信息公布与发布电子化、信息传递与交换电子化。公众服务电子化等。在建立信息公开体制的同时，必然会涉及到对个人信息的收集、存储、加工和交换，也必然会潜在侵害个人信息的风险。因此，对个人信息保护的认识受到政府和民众的重视。1996年6月，日本高度信息通信网络社会推进战略本部正式提出了隐私保护以后，在1998年11月制定的“向高度信息化通信社会推进的基本方针”中，又具体规定了保护个人隐私的条款。同年12月政府制定了《有关行政机关电子计算机自动化处理个人信息保护法》（次年10月开始实施），1999年4月又制定了含23个都道府县和12个政府指定城市、全国1529个团体的《个人信息条例》。其实在此之前，部分民间团体也曾制定了一些涉及个人信息、隐私保护的自主规制的规定，如1987年3月，日本信息处理系统中心制定了《关于金融机构等保护个人数据的指针》（1999年4月进行了修改）；1988年3月，日本信息处理开发协会制定了《关于民间部门个人信息保护指导方针》，在此基础上除了有通产省、邮政省的制定方针及JIS（日本工业规格）以外，1989年经济产业省制定了《关于民间部门电子计算机处理和保护个人信息的指导方针》，1991年总务省制定了《关于电气通信事业保护个人信息的指导方针》。之后根据1995年10月的欧盟指令，日本政府又分别于1997年3月和1998年12月修改了上述两个指导方针，完善了关于个人信息保护的行政法规。值得注意的是，由于政府在推行电子化政府的时候，尚未顾及电子商务经营者在个人信息保护中应承担的义务，即尚未考虑到民间企业在利用个人信息时对个人信息的侵害。但是随着近年来民间企业对个人信息的不适当应用造成的个人信息的外泄事件频发，已经引起了日本消费者对现行个人信息制度体系产生了不安全感和不信任感，在此背景下，将民间企业纳入到个人信息保护的调整范围内，并对相对类型化的个人信息的采集、存储、使用和信息交换、共享等加以规制开始纳入政府的视野，1999年8月13日政府在《居民基本注册改正法》中，特别针对民间企业对个人信息保护的必要性加强了认识，并在附件中加入了“为了万无一失地保护个人信息，尽快完善所需相关措施”的条款。1999年11月，高度信息化通信社会推进战略本部属下设立的“个人信息保护研究部”提出了一份题为《个人信息保护体系的存在方式》的中间报告，详细建议了政府部门与民间组织保护个人信息的措施。即对个人信息保护的调整对象达成了共识：采取欧盟的立法模式，确立个人信息保护的调整范围适用于公共部门和非公共部门的基本原则，同时借鉴美国的做法，就特别需要保护的领域制定个别法，并鼓励非公共部门进行自律。2000年9月战略本部设置的“个人信息保护法制化专门委员会”提出了《关于个人信息保护基本法大纲草案》，2001年3月《个人信息保护法》被提交国会审议，由于2001年5月12日日本全国律师协会（简称“日辩连”，就该法案提出法律意见书，致使2002年末该法成为废案。2003年联合执政三党作成修正案，同年3月7日，与个人信息保护相关联的5法案在议会获得通过。至此，日本有关个人信息保护法制化的框架基本完成。

二、对日本《个人信息保护法》中若干法律制度的解析随着2005年4月《个人信息保护法》的全面实施，意味着日本构筑了一个相对完整的以个人信息保护法为基本法，各部门单行法为补充的法律体系：除作为基本法的《个人信息保护法》外，对国家机关、地方公共团体、行政机关、独立行政法人等还分别制定了不同的法律和法规。《个人信息保护法》以个人信息的有效利用与个人信息保护为宗旨，确立了个人信息保护的基本原则及方针，明确了国家及地方公共团体的责任义务，以及使用个人信息的企事业应遵守的义务。其共分6章：第一章规定了制定本法的目的、基本理念；第二章规定了国家和地方公共团体的责任和义务；第三章是有关个人信息保护对策的规定；第四章规定了个人信息处理事业者的义务；第五

章是法律适用的例外；第六章是罚则。考虑到民间企业的情况比较复杂，一时恐难符合立法的要求，故政府将该法的实施分成了两阶段：第一阶段以2003年5月为基点，实施1到3章的规定，因针对政府等公机关设定的责任和义务都有相对应的单行立法，且相较于民间企业情况更容易掌控，所以先行实施。而对于私主体（民间企业）则以法律规定的原则为基准，并结合各企业自身特点建立适应的企业内部安全体制并加强其自律。为避免因实施严格的个人信息保护而为企业增加过多的负担，从而影响经济的发展，政府给予民间企业2年的缓冲期用于企业自身的制度建设，最终该法于2005年4月获得全面实施。（1）对个人信息的定义及适用范围法律界定的模式选择构筑个人信息保护体系，对个人信息的定义及保护范围是必要的。网络时代，诸如姓名、电话号码、电子邮箱等个人数据信息可以很容易被收集、存储、处理和传播，个人信息具有了其从。前未有过的商业价值、社会价值和法律价值。从法律层面上看，主要表现在对隐私权内涵与外延的扩张上：隐私权作为使得个人能保留独处而不受外界侵扰的权利，自其被纳入法律保护视野中时，其就是一个难以界定的概念。布兰戴斯和沃伦在《隐私权》一文中将隐私权解释为“个人在通常情况下决定他的思想、观点、情感在多大程度上与别人交流的权利”。但信息化使我们在采集人们日常生活交往数据（多种形式的，时间、空间跨度大的）和快速搜寻大型数据库，建立更好的个人信息档案以及其他信息资料方面的能力大大提高。这种技术创新对隐私权保护提出了新挑战，也使对信息隐私权的侵害是现出多样化。至于哪些信息是属于“私人”信息，不同的个人之间、社会不同部门之间、不同国家社会之间、同一社会的不同时期之间的认识是有差别的。一般认为个人信息包括所有与个人相关的信息，具体包括：身体物理特征，感情、思想与观点，经济与财产状况，生活方式，身份信息，家庭与社会关系，职业经历、简历和个人档案材料，健康状况与病历，个人通信、日记和其他私人文件，以及其他所有纯属私人内容的个人数据资料。在日本，随着借助于无处不在的网络的信息发展模式，隐私权保护理论逐步向“个人信息控制权”的理论发展，隐私权变成“个人自由地决定在何时、用何种方式、以何种程度向他人传递与自己有关的信息的权利主张”。芦部信喜教授在其所著《宪法》一书中指出：“Privacy的权利可以被理解为，是不让他人无端地干预其个人私的领域之自由的、而且是消极的权利；不过，随着信息社会的发展，此一权利己被视为“控制有关自己的信息之权利”；“Privacy的权利不但在自由权的层面，而且在积极请求公权力保护Privacy的层面，也逐渐受到重视。”可见，对隐私权的保护已从传统意义上尚不为人所知、不愿或者不便为人所知的个人“私事”，扩展到了识别出或者可以识别出的个人的所有信息上。隐私权也从传统的“个人生活安宁不受干扰”的消极权利演变成为具有积极意义的“信息隐私权”。隐私权表现为个人对私人事务和私人信息的控制力上，个人信息隐私权就是指个人对自身可识别信息的控制权。因此，在立法过程中，充分考虑到隐私权与个人信息的差异，以及个人信息在不同行业、领域中被使用的、可能被侵害的特点，对于个人信息的定义及范围的界定，采取了谨慎的态度：如在《关于对行政机关所持有之电子计算机处理的个人信息加以保护的法律》中规定是个人可被识别的信息，而对于民间企业，由于行业不同所涉及的个人信息亦形态多样，因此认真地进行了调查和检讨。最终《个人信息保护法》第2条对个人信息作了如下界定，即所谓个人信息就是指