《个人信息保护法》

2001年，在日本《行政机关电脑处理个人情报保护法》的基础上制定的日本《个人信息保护法》被提交国会审议，并于2005年被通过颁布施行。该法第一章规定了立法目的，主要内容是保护公民个人权利以及促进个人信息的合理利用。另外，在第一章中明确了该法的适用对象包括行政机关与民间行业两个方面。该法保护的信息主要针对被编辑的数据库或者情报档案，而非零散的个人信息。另外该法保护自然人的个人信息，死者的个人信息不受该法保护，同时，企业的信息也被排除在立法保护的范围之外。日本《个人信息保护法》的全面实施，标志着日本个人信息保护法律体系有了新的突破。除《个人信息保护法》外，日本还有对国家机关、地方公共团体、行政机关、独立行政法人等主体分别适用的法律和法规。《个人信息保护法》的立法目的主要是促进个人信息的有效利用与个人信息保护，其重要意义在于确立了个人信息保护的基本原则，并且明确了国家及地方公共团体的责任义务，以及使用个人信息的企事业单位应遵守的各项义务。

日本《个人信息保护法》共分6章：第一章规定了制定本法的目的、基本理念；第二章规定了国家和地方公共团体的责任和义务；第三章是有关个人信息保护对策的规定；第四章规定了个人信息处理事业者的义务；第五章是法律适用的例外；第六章是罚则。考虑到不同领域的情况差别，政府将该法的实施分成了两阶段：第一阶段以2003年5月为起点，针对政府等公务机关实施第一章到第三章的规定，主要考虑到在日本《个人信息保护法》实施之前公务机关处理个人信息的行为曾长期受到其他法律文件的规范，具有一定的基础，比民间企业情况更容易掌控，因此先于针对民间企业的规定实施。对于民间企业而言，政府给予2年的缓冲期用于企业自身的制度建设，并于2005年4月开始全面实施。

（一）个人信息的范围界定

日本学界有关隐私权保护理论的主流观点倾向于“个人信息控制权”论。按照该学说，隐私权是“个人自由地决定在何时、用何种方式、以何种程度向他人传递与自己有关的信息的权利主张”，表现为个人对私人事务和私人信息的控制力上，个人信息隐私权就是指个人对自身可识别信息的控制权。^[22]对隐私权保护的重点从传统意义上尚不为人所知、不愿或者不便为人所知的个人“私事”，逐步扩展到了识别出或者可以识别出的个人的所有信息上。隐私权也从传统的“个人生活安宁不受干扰”的消极权利演变成为具有积极意义的“信息隐私权”。在立法过程中，隐私权与个人信息的差异越来越受到关注。《个人信息保护法》第2条对个人信息做出如下界定：个人信息就是指有关活着的个人的信息，根据该信息所含有姓名、出生年月以及其他一些描述，能把该个人从他人中识别出来的与该个人相关的信息（包含能简单地查对其他的信息，根据那些信息来识别个人的东西）。由这些个人信息组成的集合物形成个人信息数据库。日本《个人信息保护法》对个人信息的描述采用概括性的立法方式，与列举式的立法模式相比涵盖的内容更加广泛，能够更灵活地适应飞速发展的网络技术。

（二）民间企业的个人信息保护义务

企业所掌握的信息一般包括企业经营机密和消费者个人信息。企业掌握的通过调查问卷、顾客咨询及维修信息等获得的信息中的顾客个人信息以及公司内部的人事信息，属于公司的商业秘密，具有很高的商业价值。日本《个人信息保护法》第四章对民间企业保证个人信息的安全性提出了明确而严格的要求，并对民间企业涉及消费者个人信息的处理制定了若干义务性的基本原则。它们分别是：（1）个人信息收集、使用目的明确原则。《个人信息保护法》第15条和第16条分别规定了利用目的特定及限制利用目的义务。（2）个人信息利用限制原则。《个人信息保护法》第23条规定不经本人同意，不得向第三人提供。（3）个人信息收集限制原则。《个人信息保护法》第17条规定不得以不正当手段获取信息。（4）个人资料内容完整正确原则。《个人信息保护法》第19条规定必须努力保持信息内容的正确完整。（5）个人信息安全保护原则。《个人信息保护法》第20、21和22条分别规定必须设立安全管理的必要措施，对从业者和委托者采取必要的监督。（6）个人信息收集、使用公开原则。《个人信息保护法》第18条和第24条分别规定取得个人信息必须公布利用目的、利用目的必须让信息本人知晓。（7）个人参加原则。《个人信息保护法》第25、26和27条分别规定本人对信息有确认、修订和利用停止的权利。（8）责任原则。《个人信息保护法》第31条规定企业根据上述原则并结合各自企业的特点设立“自律规范”，管理者对取得的个人信息负有管理责任，违反应承担的管理义务需要承担法律责任。这些原则和世界经济合作与发展组织（OECD）的《对个人数据隐私和跨界流动保护准则》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）所规定的8项基本原则基本一致。

根据日本《个人信息保护法》的要求，企业应将个人信息的保护放在重要位置予以考虑，如在制定企业安全管理对策的过程中，应当对企业外主体使用的电脑和个人信息加强管理，使用者要主动进行自我检查；对对外业务委托方的信息管理情况进行调查与安全评估，并将此作为考量业务合作可行性的重要标准；制定个人信息保护的企业内部自律规范。除此之外，对企业的产品实行产品安全保障，保护消费者的个人信息以免发生泄露或被修改。

（三）个人信息争议的纠纷处理

在涉及个人信息纠纷的解决上，按照日本《个人信息保护法》的规定，对于非公务部门引发的个人信息侵权，行政机关可以针对其违法或不当的个人信息处理行为发出劝告或者命令，同时法律还允许设立各种民间团体参与纠纷的处理。其主要原因在于，设立个人信息保护机构有可能极大限制非公部门的经营管理自由，这与其行政体制改革以及放宽对市场主体管制的改革思路相悖，因此主张建立有效的事后救济体系，防止对市场竞争主体经营行为的过分干预。

（四）侵害个人信息的法律责任

日本较早的有关个人信息保护立法针对侵犯他人隐私权的行为仅规定了民事责任。2000年7月，信息安全对策推进会制定了《信息安全政策指导方针》，同年12月又制定了《重要基础设施网络袭击对策特别行动计划》。这两项规定对侵害他人个人信息行为的法律责任类型在民事责任的基础上另外增加了行政责任与刑事责任。例如对行为人违法采集、使用个人信息的行为，当事人可以根据侵权人使用个人信息所获得的收益，或信息权利人受到的损失请求赔偿，侵权人获得的收益或者受害人的损失难以确定的，应当根据情节承担民事赔偿责任；行政机关滥用职权或者超过法律授权范围收集、使用公民个人信息，构成侵权及情节严重的，可以通过行政处罚予以制裁；对侵犯他人个人信息情节严重，或造成恶劣社会影响的，应当追究其刑事责任。《个人信息保护法》详细规定了处罚的原则与具体指导规范，凡违反政府和地方公共团体的政策法规以及违反主管大臣的改善、终止命令者，都承担相应的法律责任。

（五）民间个人信息保护的自律机制

在不断完善个人信息保护体制方面，日本还借鉴了美国的民间认证制度配合政府的执法保障。1999年，日本工业标准（JIS）制定了《关于个人信息保护管理体制要求事项》（又称JISQ15001），该要求事项现已广泛适用于诸多行业。2001年3月，日本废除了《信息处理服务产业安全对策实施事业所认定制度》，制定了更为重视管理的《安全管理系统评估制度》　（ISMS制度），并启用了ISO／IEC17799－1（BS7799）国际标准。这些制度制定的目的在于授予那些对个人信息保护高度重视、卓有成效的企业一个良好的评价，获得上述安全认证的企业可据此提升自身社会形象和商业信誉。鉴于社会公众对个人信息的关注度不断升温，因此该措施受到企业的广泛重视，并积极推进企业的个人信息保护机制不断完善。^[23]