2023年12月25日,日本个人信息保护委员会(日本于2016年专门设立的确保正确处理个人信息的最高机构,Personal Information Protection Commission Japan, 以下简称为“PPC”)更新了《关于〈个人信息保护法指南〉的问答》(即「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」,下文简称为“问答”),其中于“个人信息泄露报告(1-6 個人データの漏えい等の報告等)”部分增加了不处理个人信息的云服务提供商可以接受作为云服务使用者的个人信息处理者之委托,代云服务使用者履行个人信息泄露报告义务的内容。此外,PPC还一并公布了云服务提供商代理履行个人信息泄露报告义务的报告书模板。本文将对问答更新部分进行介绍,并对其中所涉及的云服务提供商地位及责任、个人信息泄露报告义务及相应报告要求作以综述。
一、问答更新内容概述
根据PPC在官网的公示[1],本次更新的Q&A内容如下:
问题6-19:在云服务提供商并不处理个人数据的前提下(参照问题7-53),若发生了需要向PPC报告的个人信息泄露事件,云服务使用者与云服务提供商是否须各自履行报告义务?
回答6-19:在云服务提供商并不处理个人数据的前提下,如果发生了需要报告的个人数据泄露等相关事件,作为云服务使用者的个人信息处理者须向PPC履行报告义务;作为云服务使用者的个人信息处理者,亦可以委托云服务提供商代为履行报告义务。此外,虽然云服务提供商不负有日本《个人信息保护法》(以下简称“APPI”))第26条第1款规定的个人信息泄露报告义务,但考虑到作为云服务使用者的个人信息处理者负有安全管理和报告义务,云服务提供商有责任根据合同条款等通知作为云服务使用者的个人信息处理者并采取适当的措施。
二、涉及云服务提供商的个人信息保护法条款
云计算被定义为计算机系统资源的按需可用性,特别是数据存储、处理(云存储和处理)和计算能力,而无需由用户进行直接的主动管理[2];云服务(cloud services)则是在云计算平台上发布出来的供用户使用的产品服务,其模式包括IaaS(基础设施即服务)、PaaS(平台即服务)和SaaS(软件即服务)等。云服务因其灵活高效,正在被许多企业迅速采用,并成为向消费者提供数字服务的重要组成部分。根据工信部发布数据显示,2023年我国云服务、大数据服务共实现收入12470亿元,同比增长15.4%,占信息技术服务收入的15.4%[3]。但云服务的快速发展也带来数据安全方面的隐忧,云服务器数据泄露频繁发生[4]。由于云的核心是资源共享,因此云服务提供商(cloud service providers)与云服务使用者安全责任共担的模式成为共识[5]。具体到个人信息保护层面,明确云服务提供商与云服务使用者的责任义务划分非常关键。
根据APPI第27条第1款规定,作为云服务使用者的个人信息处理者在未经本人同意的情况下,不得向第三方云服务提供商提供个人信息。实践中,个人信息处理者每使用一次不同种类的云服务收集、保存个人信息,都需要向个人信息主体征求同意,这将带来巨大的成本;而根据APPI第27条第5款规定,如果云服务提供商属于个人信息处理者为实现使用目的而被委托处理全部或部分个人数据的“被委托者”,则个人信息处理者在向其“外包”个人信息时,无需获得本人同意,但需要承担对云服务提供商的安全监管责任。根据《个人信息保护法指南·通则篇》(個人情報の保護に関する法律についてのガイドライン(通則編)第166页第10条以下所示,具体安全监管责任包括(1)选择合适的云服务提供商(2)签订外包合同(3)了解云服务提供商处理个人数据的情况。
在此前提下,界定何为使用云服务时向第三方提供个人信息之行为成为焦点。对此,《关于〈个人信息保护法指南〉的问答》Q7-53明确表示,确定个人信息处理者在使用云服务时是否被视为向作为第三方的云服务提供商提供个人信息,关键在于评估云服务提供商是否收集和处理了个人信息。如果个人信息处理者在与云服务提供商签订的合同中,约定云服务提供商不能处理保存在服务器上的个人信息,并且个人信息处理者采取了限制访问、加密防识别等技术措施的,个人信息处理者使用云服务处理个人数据的行为不被认为是向云服务提供商提供数据,自然无需获得个人信息主体的同意。
此外,鉴于诸多云服务的服务器设置在海外,如果作为个人信息处理者的云服务使用者将个人信息保存在该等云服务中,则实际上是通过云服务提供商对个人信息进行跨境传输。根据APPI第28条,跨境传输个人信息需要履行事先取得个人信息主体同意、向个人信息主体提供参考资料[6]、对云服务提供商进行监督并回应个人信息主体询问等步骤。为降低实际操作中的交易成本,《关于〈个人信息保护法指南〉的问答》Q10-25指出,可参照Q7-53的条件,如果云服务提供商不能处理保存在服务器上的个人信息,并且个人信息处理者采取了限制访问、加密防识别等技术措施的,则不认定为跨境传输行为。
三、日本数据泄露报告义务及要求
数据泄露通知属于法律对个人信息处理者设置的程序性义务,通过程序法设计来实现实体性法益追求[7]。根据APPI第26条规定,在发生数据泄露或可能存在泄露、极大可能损害个人权益,且《个人信息保护法施行规则》存在明文规定的情况下,个人信息处理者必须向PPC报告泄露事件,并通知受影响的个人。根据《个人信息保护法施行规则》[8](個人情報の保護に関する法律施行規則)第7条规定,以下四种泄露事件时,个人信息处理者应当承担向PPC的数据泄露报告义务:一是涉及敏感个人信息的数据泄露,二是具有财产损失风险的个人数据泄露,三是可能出于不正当目的而导致的个人数据泄露(例如网络攻击),四是超过1000名个人的数据泄露事件[9];数据处理者向PPC的报告分为初步报告和最终报告两个阶段,初步报告必须在确认潜在数据泄露发生后立即进行,最终报告必须在30天内完成(第三种情形可以延长至60天)。
《个人信息保护法施行规则》第8条规定,向PPC的数据泄露报告中应当包含下列详细信息:一是数据泄露事件概况(概要),二是受影响或可能受影响的个人数据类型(漏えい等が発生し、又は発生したおそれがある個人データの項目),三是因此受影响或可能受影响的人数(漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数),四是数据泄露原因,五是数据泄露导致的二次损害风险及其性质(二次被害又はそのおそれの有無及びその内容),六是向受影响个人的通知情况(本人への対応の実施状況),七是数据泄露事件的公开情况(公表の実施状況),八是为防止数据泄露事件再次发生而采取的措施(再発防止のための措置),九是可作参考的其他事项(その他参考となる事項)。PPC事务局另规定,对违反报告义务要求的个人,处1年以下监禁或100万日元以下罚款;对于法人等组织,最高处1亿日元以下罚款[10]。
虽然日本对数据泄露报告义务及要求进行了较为清晰的规范,但目前日本数据泄露问题严重。据贸促会驻日本代表处数据显示,2012年至2021年,包括疑似泄露在内的个人信息泄露数量累计约达1.2亿人份[11];2023年10月17日,日本最大通信运营商NTT WEST宣布一位负责系统维护的前外包临时工非法获取了约900万条用户个人信息,并将部分信息发给其他公司,泄露时间长达十年之久[12]。APPI虽然对于数据泄露报告义务作出了规定,但是对于数据泄露事件中,造成数据泄露或承担相应安全监管责任之个人信息处理者的处罚措施未加以单独明确规范,亦是导致现状问题的原因之一。
四、结语
本文对于《关于〈个人信息保护法指南〉的问答》更新内容以及其中涉及的法律条款、目前日本数据泄露报告义务及要求进行了解读。更新内容明确了云服务提供商可以代为履行报告义务,这意味着可以通过合同条款提前约定在发生需要报告的个人数据泄露等问题时,由云服务提供商及时地向相关监管机构报告,从而简化了作为云服务使用者的个人信息处理者的报告流程,有利于数据泄露报告流程的尽快推进[13]。