日本个人信息保护举措及启示

李丹丹

【摘要】经济、技术、文化和司法等因素共同成为日本信息保护立法的社会背景，其信息保护立法过程体现了地方政府和行政部门先行的特点。日本个人信息保护体系是行业自律机制、审查会监督机制和法律保护机制的有机结合体，其立法模式兼容欧美又颇具自身特色，在个人信息保护与个人信息流动之间找到了较好的平衡点。

【关键词】个人信息 隐私 合理流动 日本

【中图分类号】D913   【文献标识码】A

早在1973年，日本德岛市就开始了个人信息保护的地方立法，2003年5月出台的《个人信息保护法》兼容欧美，是对美国模式和欧盟模式的折衷，又颇具自身特色，没有一味迎合欧盟全面保护的超高标准，关注了本国行业自律机制的必要性和有限性，在个人信息保护与个人信息流动之间找到了平衡。日本也是计算机和网络技术极其发达的国家，电子商务已经成为人们生活的一部分，日本的行业自律模式有效地配合了法律保护机制，使个人信息得到较好的保护。

与日本相比，中国互联网的普及和网民数量的激增也使电商企业出现爆发式增长，中国电商巨头阿里巴巴2014年9月19日在美国纽约交易所登陆上市，仅在2014年“双十一”这一天，淘宝的交易额就达到600亿元人民币，几乎比2013年翻了一番。在全民网购剧增的同时，个人信息泄露事件不断爆出。我国个人信息保护没有一部独立的法律，散见在相关部门的法律规定中，基本处于零散混乱的状态，虽然我国2009年《刑法修正案（七）》在罪名上增加了“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”，但构成该罪却需要达到严重后果，且受害人往往不知道侵害行为的发生举证困难，因此并不能作为公民个人维护自己个人信息权的主要手段。日本与中国同属于大陆法系国家，有着相似的法律传统，在网络日益发达的今天，中国的社会发展要求各级政府必须承担起保护公民个人信息的责任。日本经过几十年，已经探索出独特的个人信息保护模式，其所经历的立法考量对我国个人信息保护立法具有借鉴意义。

日本个人信息保护法制化的社会背景

1913年美国技师福特最先尝试在自己的汽车车间使用皮带流水线进行汽车零件装配，从此这种传送带式流水生产线就逐渐成为现代化生产的标志。日本积极借鉴这一先进的生产方式，在当时这种细化分工和机械化确实极大地提高了日本企业的劳动生产力，标准化产品被大规模地生产出来。但随着信息时代的到来，这种消费模式单一、投资成本巨大的生产方式逐渐为日本企业所淘汰，市场竞争的重点也转为满足消费者差异化购买需求，因此，准确掌握消费者个人信息、及时了解消费者的消费偏好就成为企业实现利润增长的重要依托。

随着全球化和的互联网络发展，人们开始探寻人际交往和自我展示的新形式，互联网上的聊天工具使得文字、声音和图像能够即时传递，人们可以与许多互不相识的人交谈，获得人际交往的成就感。日本的LINE（连我）相当于中国的微信，自2011年从该款智能手机软件上市，截至2014年10月9日，该公司宣布其用户在全球已经突破5.6亿人，日本网络社交文化又掀起了新的高潮。

日本社会对个人信息的态度也是通过若干司法判例逐步发生转变的，从消极地要求自己的隐私不被他人获取、要求自己独处而不被他人打扰，到要求积极控制自己的个人信息不被随意收集、买卖，按照自己的意志利用、支配与自己有关的信息①。实际上，隐私权在20世纪的日本并不是一项独立的权利，隐私被侵犯时，人们大多通过名誉权加以救济。具有里程碑式的意义的判例是1964年小说“盛宴之后”诉讼案，日本第一次承认了隐私权是私法上独立的权利，此后的隐私权保护才脱离了名誉权的外壳。隐私权被作为公民基本权利对待的司法案例是1969年的“京都府学联”案件。日本京都学生联合会学生示威游行，京都府巡警为调查取证对学生摄影拍照，引发肢体冲突。在案件审理中，日本最高法院援引了日本宪法第十三条，认为公民私生活上的自由必须得以保护，警察权等国家权力也不能成为例外，因此，任何人都享有未经其许可而不被拍摄其容貌、姿态的自由。从该案开始，隐私权不仅是针对平等主体的私法上的权利，还是针对国家机关的宪法性权利，并从形而上的书本探讨转变为司法判决的确认②。隐私权虽然已经被独立对待，但是在更多的司法判例中，隐私权还是处于消极被动的地位，这种状况直到1986年的“拒绝按手印”一案才有所改变。法院最终肯定了指纹是最具识别性的个人信息，本人有加以控制的积极权能，是隐私权的一部分。此后，在“身份调查表订正诉讼案”中，东京地方法院又进一步扩大了个人具有控制力的信息范围，包含了个人信息的获取和利用，并首次认可了可以就本人的相关错误信息进行订正、删除的权利。可见，随着信息化网络化的不断发展，日本个人信息的内涵和范围也在不断的扩展之中。

日本个人信息保护的立法过程

日本的个人信息保护制度是以2003年5月为分水岭的，在此之前，日本个人信息保护制度主要在地方公共团体的规范中体现，日本中央政府的立法步伐则显得相对谨慎，主要恪守了两方面限定：一是仅适用于行政机关;二是仅调整计算机处理个人信息的行为而不涉及人工处理信息的行为。③这种立法努力最早开始于1975年的《关于涉及行政机关等利用电子计算机之隐私保护制度存在方式的之间报告》。1986年总务厅启动了相关立法工作，并于1988年出台了《关于对行政机关持有的计算机处理的个人信息加以保护的法律》，主要针对国家级行政机关利用计算机处理个人信息的行为进行规范。不难看出，对于行政机关所持有的个人信息，日本政府已经在一定程度上保证了其安全性。专门性的立法也散见了一些个人信息保护的规定，比如《户籍法》、《电信事业法》、《邮政法》、《残疾人福利法》、《消费者保护法》《电子商务法》等也有相关规定。

以上法律规定多关注于对政府和行政部门的规制，对于非政府部门的个人信息保护问题，日本一直没有制定出专门法律，各种民间企业如银行、保险或者电商等他们持有的客户个人信息数量众多，在这种法律空白环境下，即使发生了泄露个人信息、非法取得或交易个人信息等违法行为，根据日本民法第709条规定，仅能追究损害赔偿责任，中止非法所得信息的继续公开。④因此，约束民间业者和企事业单位对个人信息的利用在日本国内成为必要。

此后，一系列文件出台，日本信息处理开发协会（JIPDEC）制定了《关于民间部门个人信息保护指导方针》为企业提供行动指南，通产省于1997年修订了《关于民间部门电子计算机处理和保护个人信息的指南》，1998 年邮政省修订了《电气通信行业的个人信息保护指南》、1999年财团法人金融信息系统中心修订的《金融机构的个人信息保护方针》等，指导特定行业。经过比较研究，日本对非政府部门的个人信息保护主要还是参照政府部门规定，实行自律管理为主，同时针对特殊领域和具体情况制定部门法，避免一刀切的严格规定给企业造成过度负担而制约经济发展。

日本的立法进程一直受到国际社会的影响，同时又保持了自己的特色—它形式上参考了欧盟的立法保护模式，但实质上采纳了美国的保护内核。其一是日本1988年出台的《行政机关计算机处理个人信息保护法》，实际上吸取了美国1974年《隐私法》立法理念的精髓，强调保护公民避免受到公权力的侵犯。

其二是20世纪90年代，发达国家网络技术发展迅速，国际贸易中跨境信息交流频繁，日本在个人信息立法形式上尊重并体现了1995年欧盟出台的《数据保护指令》95/46。欧盟是日本的重要贸易伙伴，为了不影响与欧盟的经贸交往，2000年日本制定了《关于个人信息保护基本法制的大纲》。2001年至2002年期间五部草案被提交国会，并最终在2003年5月获得通过，这些法案被称为“个人信息保护五联法”。至此，日本个人信息保护的法制化框架基本完成。⑤

日本个人信息的保护机制

作为法律保护体系的配套机制，日本借鉴美国式的行业自律模式，在灵活性的基础上确保经济的高速发展。1999年通产省出台了日本工业标准《个人信息保护管理体系要求事项》，向保护措施得力的企业颁发隐私认证标识（P-MARK认证），便于消费者判断该部门的个人信息保护水平。2001年出台了“安全管理系统评估制度”（ISMS 制度），并配合 ISO/IEC17799-1（BS7799）国际标准（也称第三者认证制度）加强信息管理。

针对个人信息争议处理机制，日本采用了独特的审查会咨询制度来平衡个人信息的公开与保护，1988年设置的个人信息保护审查会被定位于咨询机关，而不是裁决机关或监督机关，从而尽量减少对企业自由活动的限制。2005年该审查会更名为信息公开与个人信息保护审查会，咨询对象限于特定法律所涉的行政主体。

日本个人信息保护体系的核心是《个人信息保护法》，它一部统领个人信息保护的综合性法律。该法形式上迎合了欧盟《个人数据保护指令》的要求，但实质上吸收了美国个人信息保护法的特点，同时又坚持了自己原有的一些立法理念。从内容上看，它并没有直接赋予国民个人特别的权利，而是在承认个人信息有效利用的前提下，确保国民的正当权利和利益不受损害;从结构上看，它是一部规范和限制所有个人信息持有者和处理者（政府部门和企业）相关行为的法律。该法的出台，对日本公民个人而言，有了维护自己个人信息的法律武器，对企业而言，用户的个人信息保护得到前所未有的重视，并将其提高到战略性高度去实施。

日本个人信息保护对中国的启示

2012年5月，中国电子信息产业发展研究院与中国软件评测中心联合发布的《公众个人信息保护意识调研报告》指出，个人信息被盗用的占到了六成以上。造成这些现象的原因很多，但其中很重要的一点就是公民自己对个人信息保护意识不强，很多没有必要提供个人信息的场合下，如在参加产品推销会、办会员卡、领取赠品、参加免费体检等这样的活动中轻易地提供了自己真实信息，结果被一些别有用心的不法分子滥用和盗用，给自己带来烦扰和财产损失。此外，网络购物催生的快递服务已经迅速走入普通百姓的生活，很多人在收到快递包裹后，就随手丢弃了附有个人姓名、住址和电话的包装，再加之有些不良快递企业将公开出售快递单据作为“副业”，快递行业也成为个人信息泄露的重灾区。日本人固有的谨慎使得民众整体的安全意识相对较高，对他人索取个人信息有一种天然的防范心理。即便如此，日本政府在2003年《个人信息保护法》出台后正式实施之前仍然留出了两年时间，在这段时间里新闻媒体进行了大量的法律宣传，既为企业消化法律条文、结合行业特点进行企业制度建设留出了缓冲余地，同时也极大地增强了公民的维权意识。中国政府也应考虑投入相应的财力、物力，充分利用电视、报纸、网络等各种媒介进行个人信息保护的持续宣传，切实提高公民的权利保护意识。

中国已经进入信息化社会，政府为了履行法定职责，必然要收集和掌握大量的公民个人信息，各个职能部门都在不断地建立有关公民户籍、不动产、车辆、医疗等大型计算机数据库，在使用过程中很有可能会出现个人信息失控的局面，政府必须采取保护公民的个人信息的相应措施，并将保护公民的个人信息作为义不容辞责任。纵观日本个人信息保护法制的建立过程，无论是地方机构还是中央政府，都以对行政部门的规制为重点，一贯秉承对政府公权力的限制，防范其对公民权造成侵犯。导致个人信息泄露的原因是多方面的，尽管众多专家一直在教授如何避免信息泄露的技巧，但不能否认的是，即使个人已经万般小心，政府强制实名注册的要求都是必须要遵守的：如全国旅客乘坐列车实行车票实名制、储蓄实名制、电话入网的用户实名制。若干实名制措施的实施确实提高了政府管理效率、方便了百姓生活，也利于社会治安的维护，但我们不能忽视的是，12306作为铁道部唯一授权的火车票订票官方网站在2014年12月25日被爆料，超过13万条的用户数据在互联网上被传播和售卖，这其中包括注册公民的用户账号、明文密码、真实姓名、邮箱、身份证号等，由此衍生出的巨大财产和人身安全风险尚无法完全预知。铁路公安机关迅速抓捕了犯罪嫌疑人，也基本分析得出，此次用户信息泄露极有可能是黑客利用已泄露的用户名及密码到12306等网站尝试批量登录，进行“撞库攻击”获得的。尽管已经排除12306官网内部人员主动泄露，但不能否认的是12306网站账号安全体系存缺陷，因此，无论从数据库的技术设计还是从安全监管上看，政府都难辞其咎。从另一个角度讲，政府应当就拟实施的实名制举行民众听证，充分听取民众意见。

在立法模式的选择方面，各个国家差异比较大，日本在《个人信息保护法》立法前，曾考虑效仿欧盟采用统一立法方式，但是经过进一步的比较研究，日本政府又开始倾向于采用美国的分散立法模式。现行日本《个人信息保护法》结合了本国特点，最终采取了统分结合的方式。中国政府在制定个人信息保护法之前，立法模式也是要考虑的，一方面，鉴于中国法律体系的现状，很难在短期内对政府部门和其他企业（如保险、金融）进行分别个人信息保护的立法，而且中国尚未建立隐私权保护制度，个人信息也难以像美国那样借助已有的隐私权制度外壳加以保护，因此不适宜采用分散立法模式;另一方面，如果单纯采用欧盟的统一的立法模式，又容易造成标准僵化严苛，束缚个人信息的正常流通，妨碍国际贸易和电子商务的发展。因此，日本在制定法律之前的立法考量是权衡利弊之后做出的，中国也应采用统分结合的立法模式，着眼于未来信息产业的健康发展，在一部法律中既要对政府部门和企业等其他个人信息处理者做出统一的原则性，又要分别规定各自的义务和责任，同时还要不断完善行业自律机制，为企业留出自由发展的空间。

（作者为黑龙江大学法学院教授;本文系黑龙江省研究生创新科研项目“网络时代个人信息的民法保护研究”成果，项目编号：YJSCX2012-267HLJ）

【注释】

①[日]芦部信喜：《宪法学II人权总论》，日本：株式会社有斐阁，1994年，第369页。

②杨帆：“从比较法的视野分析现代隐私权及其权利位阶”，《私法》，2007年第9期。

③姚岳绒：“日本混合型个人信息立法保护”，《法制日报》，2012年6月19日。

④[日]堀部政男：“日本个人信息保护制度探索”，《记者》，2000年第11期。

⑤[德]Christopher kuner：“欧盟的隐私和数据保护”，温珍奎译，载周汉华主编：《个人信息保护前沿法律问题研究》，北京：法律出版社，2006年，第44页。

责编/于岩（实习）