Loading…
日本 APPI 与欧盟 GDPR 于 2019 年签署了相互充分性决定,为欧盟↔日本之间无缝的数据流动打开了大门。但这两部法律本身仍存在实质性差异——APPI 采用目的限定而非列举合法依据,对敏感数据设置明示同意关卡,规定以日元计的企业罚款,并植根于行政指导的不同文化传统。2022 年的修订使 APPI 更接近 GDPR——但差距真实存在,且对合规设计具有实质影响。
| 维度 | 🇯🇵 APPI | 🇪🇺 GDPR |
|---|---|---|
| 法律文书 | Act on the Protection of Personal Information(2003 年,主要修订于 2015、2020、2022 年) | Regulation (EU) 2016/679 |
| 监管机构 | Personal Information Protection Commission(PPC,個人情報保護委員会) | 27 个欧盟成员国 DPA + EDPB |
| 充分性 | 欧盟充分性决定自 2019 年起生效(相互) | 对日本的相互充分性已生效 |
| 地域适用范围 | 处理在日本境内个人数据的运营者,包括非日本实体(第 166 条) | 欧盟 + Article 3 域外效力 |
| 合法依据方法 | 目的限定 + 适当获取;某些披露及敏感数据需取得同意 | Article 6 下的六项合法依据;Article 9 下针对特殊类别的九项条件 |
| 敏感个人信息 | 要配慮個人情報(yō-hairyo kojin jōhō)——种族、信仰、社会地位、医疗/犯罪记录;获取前须取得明示事先同意 | 特殊类别数据——Article 9,须取得明示同意或其他符合条件的依据 |
| 企业最高罚款 | 未遵守 PPC 命令处以 ¥1 亿日元(约 65 万美元)罚款 | 2000万欧元或全球营业额的4% |
| 个人最高罚款 | 100万日元/1年监禁 | 无刑事处罚(可能适用成员国制裁) |
| 泄露通知 | 在规定时限内(通常为“不得延迟”);就重大泄露事件向PPC报告并通知数据主体(第26条) | 高风险时72小时内通知监管机构及数据主体 |
| 跨境传输 | 数据主体同意,或同等保护机制,或PPC认可的充分性认定(第28条) | SCC、BCR、充分性认定 |
| 访问权 | 是——第28至35条,适用范围经2022年修订进一步明确 | 是——第15条 |
| 更正权 | 是——第30、33条 | 是——第16条 |
| 停止/删除权 | 是——第30、35条(riyō teishi) | 删除权——第17条 |
| 数据可携权 | 无普遍权利;存在部分行业规则 | 是——第20条 |
| DPO对应职位 | 个人信息管理者(kojin jōhō hogo kanrisha)——建议设立;其指定由PPC公布 | 数据保护官(Data Protection Officer)——在特定情形下为强制要求(第37条) |
| 匿名加工信息 | 匿名加工情報——不可逆时不属于APPI适用范围;就其创建与披露设有规则 | 匿名信息不属于GDPR适用范围(第26号鉴于条款) |
| 假名加工信息 | 仮名加工情報——由2022年修订引入 | 假名化在第4条第5款中有所提及;并不免除GDPR的适用 |
| 儿童数据 | APPI中无具体年龄门槛;未成年人的同意由监护人代为提供 | 默认年龄为16岁(成员国可下调至13岁) |
| 公共部门框架 | 《行政机关持有个人信息保护法》(APIAO)——经2021年改革整合纳入APPI | 《执法指令》2016/680(独立于GDPR) |
| 审查周期 | 每3年一次强制审查(APPI第6条) | 第97条审查(自2020年5月起每4年一次) |
基本符合。相互充分性认定决定承认两者在实质上等同。差异之处在于:指定一名个人信息管理者,按当地时限就泄露事件向PPC通报,确保贵公司的隐私通知满足APPI对目的明确性的标准(较“合法利益”的表述更为具体),并依据第28条记录跨境传输。
主要变化包括:域外执法(第166条)、明确规定带时限的强制泄露通知、扩大数据主体权利(扩展了riyō teishi)、引入假名加工信息类别,以及对跨境传输的更严格规则。
APPI并未严格要求,但PPC期望设有实质性的日本联络点。日本境外的运营者也属于适用范围,且PPC的命令可通过国际司法协助予以执行。
没有与GDPR第22条对应的规定。人工智能受行业指南(METI、MIC)及2025年《人工智能法》(一个独立框架)规范。就人工智能处理个人数据的范围而言,APPI适用于人工智能。
历来以咨询和协商为主,正式命令较为罕见。2022年修订增强了执法力度(第166条域外执法、最高1亿日元的企业罚款)。预计今后将出现更多正式执法。
控制措施映射一次,合规两次。RegulatoryBridge为您提供单一的DSAR流程、单一的DPO、单一的泄露应急手册——同时涵盖两种框架。