原文载《北外法学》2021年第2期(总第六期)
译者:刘颖,北京航空航天大学法学院副教授、博士生导师,最高人民法院中国应用法学研究所互联网司法研究中心研究员。 仅供学习,如有侵权,请联系删除!
日本个人信息保护法
《日本个人信息保护法》于2003年7月16日由《平成15年法律第57号》制定,后分别于2009年6月5日、2015年9月9日、2016年5月27日、2017年5月24日、2018年7月27日、2019年5月31日、2020年6月12日,经《平成21年法律第49号》、《平成27年法律第65号》、《平成28年法律第51号》、《平成29年法律第36号》、《平成30年法律第80号》、《令和元年法律第16号》、《令和2年6月12日法律第44号》,作出若干修改。本译文是其2020年6月12日修改后的最新条文,将在2022年6月11日前由政令规定的日期起施行。
本文系北京市社会科学基金项目“破产法中的合同规则研究”(项目编号:17FXC028)的阶段性成果。
目 录
第一章 总则(第1条~第3条)
第二章 国家及地方公共团体的职责等(第4条~第6条)
第三章 个人信息保护的措施等
第一节 个人信息保护的基本方针(第7条)
第二节 国家的措施(第8条~第10条)
第三节 地方公共团体的措施(第11条~第13条)
第四节 国家与地方公共团体的协作(第14条)
第四章 个人信息处理者的义务等
第一节 个人信息处理者等的义务(第15条~第35条)
第二节 假名加工信息处理者等的义务(第35条之2、第35条之3)
第三节 匿名加工信息处理者等的义务(第36条~第39条)
第四节 监督(第40条~第46条)
第五节 民间团体对个人信息保护的推进(第47条~第58条)
第六节 送达(第58条之2~第58条之5)
第五章 个人信息保护委员会(第59条~第74条)
第六章 杂则(第75条~第81条)
第七章 罚则(第82条~第88条)
第一章 总 则
(立法目的)
第一条 本法的立法目的在于,在高度信息通信社会的深化所带来的对个人信息的利用显著扩大的背景下,通过对个人信息的正当处理的基本理念、由政府制定基本方针及采取其他保护个人信息的措施等基本事项作出规定,明确国家和地方公共团体的职责等,并对个人信息处理者应遵守的义务等作出规定,从而重视个人信息的正当且有效的利用在促进新兴产业的创造、实现充满活力的经济社会和富足的国民生活上的作用以及其他个人信息的作用,保护个人的权利和利益。
(定义)
第二条 本法所称的“个人信息”,是指属于下列各项情形之一的、生存着的个人的信息:
(一)通过该信息中所含有的姓名、出生年月日或其他记述等{指以文字、图画或电磁记录[以电磁方式(指电子方式、磁气方式及其他人类无法感知的方式。后一款第二项相同)制作的记录。第十八条第二款及第二十八条第一款相同]所记载或记录的,或者以声音、动作或其他方式所表示的所有事项(个人识别符号除外。以下相同)},可识别特定个人(包括容易与其他信息相对照,并可借此识别特定个人的情形);
(二)含有个人识别符号。
本法所称的“个人识别符号”,是指属于下列各项情形之一的文字、号码、记号或其他符号中,政令所规定的符号:
(一)为了用于电子计算机而将特定个人身体的某一部分特征变换为文字、号码、记号或其他符号中,可识别该特定个人的符号;
(二)个人在利用面向个人提供的服务时或购买面向个人出售的商品时被分配的、或者在面向个人发行的卡片或其他书面材料中所记载的或以电磁方式记录的文字、号码、记号或其他符号中,因在分配、记载或记录中对不同的利用人、购买人或接受发行人进行了区分而可识别特定利用人、购买人或接受发行人的符号。
本法所称的“敏感个人信息”,是指含有政令所规定的为避免本人在人种、宗教信仰、社会身份、病历、犯罪经历、因犯罪而被害的事实及其他方面遭受歧视、偏见或者其他不利益而需要在处理上予以特别注意的记述等的个人信息。
本法所称的“个人信息数据库等”,是指属于下列各项情形之一的(依照政令的规定,从使用方式上看不存在侵害个人权利和利益之可能性的信息集合物除外)、含有个人信息的信息集合物:
(一)为了能够用电子计算机检索而将特定个人信息予以体系化构建;
(二)前一款规定的情形以外,依照政令的规定,为了能够容易检索而将特定个人信息予以体系化构建。
本法所称的“个人信息处理者”,是指正在将个人信息数据库等用于业务的主体,但下列主体除外:
(一)国家机关;
(二)地方公共团体;
(三)独立行政法人等(指《关于保护独立行政法人等所保存的个人信息的法律》(平成15年法律第59号)第二条第一款规定的独立行政法人等。以下相同);
(四)地方独立行政法人(指《地方独立行政法人法》(平成15年法律第118号)第二条第一款规定的地方独立行政法人。以下相同)。
本法所称的“个人数据”,是指构成个人信息数据库等的个人信息。
本法所称的“保存中的个人数据”,是指个人信息处理者有权进行公开、修改或追加或删除内容、停止使用、删除、停止向第三者提供等处理活动的个人数据,但依照政令的规定其存在与否明确后将导致公共利益或其他利益受损的个人数据除外。
本法就个人信息所称的“本人”,是指因个人信息而被识别的特定个人。
本法所称的“假名加工信息”,是指针对下列各项规定的个人信息相应地采取同项规定的措施,以为了不与其他信息相对照就无法识别特定个人,而对其个人信息进行加工后,所得到的关于该个人的信息:
(一)第一款第一项规定的个人信息 删除该个人信息中所含有的部分记述等(包括以打乱可使该部分记述等复原的规律性的方式,将其替换为其他记述等);
(二)第一款第二项规定的个人信息 删除该个人信息中所含有的全部个人识别符号(包括以打乱可使该个人识别符号复原的规律性的方式,将其替换为其他记述等)。
本法所称的“假名加工信息处理者”,是指正在将为了能够用电子计算机检索而将特定假名加工信息予以体系化构建以及其他依照政令的规定为了能够容易检索而将特定假名加工信息予以体系化构建的、含有假名加工信息的信息集合物(在第三十五条之二第一款称为“假名加工信息数据库等”)用于业务的主体。但是,第五款各项规定情形者除外。
本法所称的“匿名加工信息”,是指针对下列各项规定的个人信息相应地采取同项规定的措施,以为了无法识别特定个人,而对其个人信息进行加工,并使之无法复原后,所得到的关于该个人的信息:
(一)第一款第一项规定的个人信息 删除该个人信息中所含有的部分记述等(包括以打乱可使该部分记述等复原的规律性的方式,将其替换为其他记述等);
(二)第一款第二项规定的个人信息 删除该个人信息中所含有的全部个人识别符号(包括以打乱可使该个人识别符号复原的规律性的方式,将其替换为其他记述等)。
本法所称的“匿名加工信息处理者”,是指正在将为了能够用电子计算机检索而将特定匿名加工信息予以体系化构建以及其他依照政令的规定为了能够容易检索而将特定匿名加工信息予以体系化构建的、含有匿名加工信息的信息集合物(在第三十六条第一款称为“匿名加工信息数据库等”)用于业务的主体。但是,第五款各项规定情形者除外。
(基本理念)
第三条 鉴于个人信息乃是应在尊重个人之人格的理念下得到慎重处理的信息,因而必须实现个人信息的正当处理。
第二章 国家及地方公共团体的职责等
(国家的职责)
第四条 国家有责任按照本法的宗旨,为确保个人信息的正当处理,综合设计必要的措施,并加以实施。
(地方公共团体的职责)
第五条 地方公共团体有责任按照本法的宗旨,根据其所在地区的特点,为确保个人信息的正当处理,设计必要的措施,并加以实施。
(法律措施等)
第六条 政府应当根据个人信息的性质及使用方式,针对为了实现给个人的权利、利益以更强保护而有必要确保在其正当处理上采取严格态度的个人信息,采用必要的法律措施及其他措施使之能够得到特别的保护,同时应当通过与国际机构及其他国际组织的合作,为构建各国政府共同参与并取得国际协调的个人信息相关制度而采取必要的措施。
第三章 个人信息的保护措施等
第一节 个人信息保护的基本方针
第七条 政府应当为实现个人信息的保护措施之综合且整体的推进,制定个人信息保护的基本方针(以下称为“基本方针”)。
基本方针应当规定下列事项:
(一)推进个人信息的保护措施的基本方向;
(二)国家应为个人信息保护而采取的措施的相关事项;
(三)地方公共团体应为个人信息保护而采取的措施的相关基本事项;
(四)独立行政法人等应为个人信息保护而采取的措施的相关基本事项;
(五)地方独立行政法人应为个人信息保护而采取的措施的相关基本事项;
(六)个人信息处理者、假名加工信息处理者、匿名加工信息处理者及第五十条第一款规定的认定个人信息保护团体应为个人信息保护而采取的措施的相关基本事项;
(七)个人信息处理方面的投诉之顺利处理的相关事项;
(八)其他推进个人信息的保护措施的相关重要事项。
内阁总理大臣应当将个人信息保护委员会制定的基本方针的方案,提交到内阁会议决定。
前一款规定的内阁会议的决定作出后,内阁总理大臣应当立即公布基本方针。
前两款的规定,准用于基本方针的变更。
第二节 国家的措施
(对地方公共团体等的支持)
第八条 国家应当为支持地方公共团体制定或实施的个人信息保护措施、以及国民或个人信息处理者等为确保个人信息的正当处理所进行的活动,制定实现信息的提供、个人信息处理者等所应采取的措施的适当且有效的实施所必需的指引,并采取其他的必要措施。
(处理投诉的措施)
第九条 国家应当为实现个人信息处理者与本人之间发生的个人信息处理方面的投诉之适当且迅速的处理,采取必要的措施。
(确保个人信息的正当处理的措施)
第十条 国家应当通过适当地划分与地方公共团体之间的职能,为确保后一章规定的个人信息处理者对个人信息的正当处理,采取必要的措施。
第三节 地方公共团体的措施
(对地方公共团体等所保存的个人信息的保护)
第十一条 地方公共团体应当在考虑其所保存的个人信息的性质、保存该个人信息的目的等因素的基础上,尽力采取能够确保其所保存的个人信息得到正当处理的必要措施。
地方公共团体应当根据其设立的地方独立行政法人的性质及业务内容,尽力采取能够确保该地方独立行政法人所保存的个人信息得到正当处理的必要措施。
(对本地区内个人信息处理者等的支持)
第十二条 地方公共团体应当为确保个人信息的正当处理,尽力采取支持本地区内个人信息处理者及居民所必要的措施。
(处理投诉的斡旋等)
第十三条 地方公共团体应当为个人信息处理者与本人之间所发生的个人信息处理方面的投诉得到适当且迅速的处理,尽力进行处理投诉的斡旋及采取其他的必要措施。
第四节 国家与地方公共团体的协作
第十四条 国家和地方公共团体应当在采取个人信息的保护措施上相互协作。
第四章 个人信息处理者的义务等
第一节 个人信息处理者等的义务
(使用目的的特定)
第十五条 个人信息处理者在处理个人信息时,应当尽可能地将使用该个人信息的目的(以下称为“使用目的”)特定。
个人信息处理者变更使用目的的,不得超出足以合理地认为与变更前的使用目的具有关联性之范围。
(基于使用目的的限制)
第十六条 未事先取得本人的同意,个人信息处理者不得超出达到依照前一条的规定所特定的使用目的所必要的范围处理个人信息。
未事先取得本人的同意,个人信息处理者不得在因合并或其他事由而从其他个人信息处理者处承受业务并收集个人信息后,超出达到业务承受前该个人信息的使用目的所必要的范围处理个人信息。
前两款的规定不适用于下列情形:
(一)以法令为依据的情形;
(二)为保护人的生命、身体或财产而有必要,却又难以取得本人的同意的情形;
(三)为提高公众卫生、或者推进儿童的健康成长而有特殊必要,却又难以取得本人的同意的情形;
(四)为协助国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而有必要,却又有可能因需要取得本人的同意而导致对该事务的执行造成障碍的情形。
(不当使用的禁止)
第十六条之二 个人信息处理者不得以有可能助长或诱发违法或不当行为的方式来使用个人信息。
(正当的收集)
第十七条 个人信息处理者不得以虚假及其他不正当的手段收集个人信息。
除下列情形外,未事先取得本人的同意,个人信息处理者不得收集敏感个人信息:
(一)以法令为依据的情形;
(二)为保护人的生命、身体或财产而有必要,却又难以取得本人的同意的情形;
(三)为提高公众卫生、或者推进儿童的健康成长而有特殊必要,却又难以取得本人的同意的情形;
(四)为协助国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而有必要,却又有可能因需要取得本人的同意而导致对该事务的执行造成障碍的情形;
(五)相关敏感个人信息已被本人、国家机关、地方公共团体、第七十六条第一款各项规定的主体及《个人信息保护委员会规则》规定的其他主体公开的情形;
(六)政令规定的、类似于前几项情形的其他情形。
(收集时对使用目的的通知等)
第十八条 除已事先公布使用目的的情形外,个人信息处理者收集个人信息后,应当迅速将其使用目的通知给本人,或者予以公布。
无论前一款的规定如何,个人信息处理者因与本人签订合同而收集合同书及其他书面材料(包括电磁记录。以下于本款中相同)上所记载的该本人的个人信息、以及其他直接从本人处收集相关书面材料上所记载的该本人的个人信息的,应当事先向本人明示其使用目的。但是,为保护人的生命、身体或财产而有紧急必要的情形,不在此限。
个人信息处理者变更使用目的后,应当将变更后的使用目的通知给本人,或者予以公布。
前三款的规定不适用于下列情形:
(一)有可能因将该个人信息的使用目的通知给本人、或者予以公布,而侵害本人或第三方的生命、身体、财产及其他权利或利益的情形;
(二)有可能因将该个人信息的使用目的通知给本人、或者予以公布,而侵害该个人信息处理者的权利或正当利益的情形;
(三)为协助国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而有必要,但有可能因将该个人信息的使用目的通知给本人、或者予以公布,而对该事务的执行造成障碍的情形;
(四)从收集的状况看,足以认为使用目的是明确的情形。
(对数据内容之准确性的确保等)
第十九条 个人信息处理者应当尽力在达到使用目的所必要的范围内,将个人数据保持在准确且最新的内容,同时在丧失使用的必要后,立即删除该个人数据。
(安全管理措施)
第二十条 个人信息处理者应当为防止其所处理的个人数据发生泄露、灭失或毁损以及其他对个人数据的安全管理,采取必要且适当的措施。
(对员工的监督)
第二十一条 个人信息处理者在让其员工处理个人数据的,应当对员工进行必要且适当的监督,以实现对该个人数据的安全管理。
(对受托方的监督)
第二十二条 个人信息处理者在将个人数据的处理全部或部分委托给他人的,应当对受托方进行必要且适当的监督,以实现对该被委托处理的个人数据的安全管理。
(泄露等事态的报告等)
第二十二条之二 在处理的个人数据发生泄露、灭失、毁损及其他《个人信息保护委员会规则》所规定的、有可能对个人的权利和利益造成损害的、涉及个人数据的安全保障的事态时,个人信息处理者应当依照《个人信息保护委员会规则》的规定将发生相关事态的情况报告给个人信息保护委员会。但是,个人信息处理者是受到其他个人信息处理者的委托处理全部或部分个人数据、且已经依照《个人信息保护委员会规则》的规定将发生相关事态的情况通知给该其他个人信息处理者的情形,不在此限。
在前一款规定的情形,个人信息处理者(已进行前一款但书规定的通知的个人信息处理者除外)应当依照《个人信息保护委员会规则》的规定将发生相关事态的情况通知给本人。但是,难以通知本人、且已经为保护本人的权利和利益采取必要替代措施的情形,不在此限。
(向第三方提供的限制)
第二十三条 除下列情形外,未事先取得本人的同意,个人信息处理者不得将个人数据提供给第三方:
(一)以法令为依据的情形;
(二)为保护人的生命、身体或财产而有必要,却又难以取得本人的同意的情形;
(三)为提高公众卫生、或者推进儿童的健康成长而有特殊必要,却又难以取得本人的同意的情形;
(四)为协助国家机关或地方公共团体、或者受其委托的主体执行法令规定的事务而有必要,却又有可能因需要取得本人的同意而导致对该事务的执行造成障碍的情形。
对于可提供给第三方的个人数据,个人信息处理者决定在本人要求后便停止将可识别该本人的个人数据提供给第三方,并依照《个人信息保护委员会规则》的规定事先将下列事项通知给本人、或者置于本人能够轻易知悉的状态,同时向个人信息委员会提出了申报的,则无论前一款的规定如何,个人信息处理者均可以将该个人数据提供给第三方。但是,可提供给第三方的个人数据为敏感个人数据、违反第十七条第一款收集的个人数据及被其他个人信息处理者依照本款的规定提供的个人数据(包括全部或部分复制或者加工后的个人数据)的情形,不在此限。
(一)实施向第三方提供的个人信息处理者的姓名或名称、住所、法人的情形其法定代表人(有代表人或管理人的非法人团体的情形其代表人或管理人。以下本条、第二十六条第一款第一项、第二十七条第一款第一项相同)的姓名;
(二)以向第三方提供为使用目的;
(三)可提供给第三方的个人数据中的项目;
(四)可提供给第三方的个人数据中的收集方式;
(五)提供给第三方的方式;
(六)在本人要求后便停止将可识别该本人的个人数据提供给第三方;
(七)受理本人要求的方式;
(八)其他《个人信息保护委员会规则》规定的保护个人的权利和利益所必需的事项。
在前一款第一项规定的事项发生变更时、或者停止实施同款规定的个人数据的提供时,个人信息处理者应当立即依照《个人信息保护委员会规则》的规定将相关情况通知给本人、或者置于本人能够轻易知悉的状态,并向个人信息委员会提出申报。在欲变更前一款第三项至第五项、第七项、第八项规定的事项时,个人信息处理者应当事先依照《个人信息保护委员会规则》的规定将相关情况通知给本人、或者置于本人能够轻易知悉的状态,并向个人信息委员会提出申报。
接到第二款规定的申报后,个人信息保护委员会应当依照《个人信息保护委员会规则》的规定公布该申报的相关事项。接到前一款规定的申报后,个人信息保护委员会也应当采取同样的措施。
关于以上各款规定的适用,在下列情形,接受相关个人数据之提供的主体不属于第三方。
(一)因个人信息处理者在达到使用目的所必要的范围内将个人数据的处理全部或部分委托给他人,而被提供相关个人数据的情形;
(二)因合并或其他事由而发生业务的承受,而被提供相关个人数据的情形;
(三)已将可与特定他人共同使用的个人数据提供给该特定他人,且已事先将相关情况、可共同使用的个人数据的项目、共同使用人的范围、使用人的使用目的以及该个人数据的管理责任人的姓名或名称、住所、法人的情形其法定代表人的姓名通知给本人、或者置于本人能够轻易知悉的状态。
在前一款第三项规定的个人数据的管理责任人的姓名或名称、住所、法人的情形其法定代表人的姓名发生变更时,个人信息处理者应当立即将相关情况通知给本人、或者置于本人能够轻易知悉的状态。在欲变更同项规定的利用人的利用目的或者管理责任人时,个人信息处理者应当事先将相关情况通知给本人、或者置于本人能够轻易知悉的状态。
(向境外第三方提供的限制)
第二十四条 除前一条第一款各项规定的情形外,个人信息处理者向境外(指本国域外的国家或地区。以下相同)(《个人信息保护委员会规则》规定的、被认为在保护个人的权利和利益上处于与我国同等水平的、已建立个人信息保护制度的国家或地区除外。以下本条及第二十六条之二第一款第二项相同)第三方[构建有符合《个人信息保护委员会规则》所规定的标准的、持续采取与本节规定的个人信息处理者就个人数据的处理所应采取的措施相当的措施(在第三款称为“相当措施”)所必需的体制的第三方除外。以下本款、下一款及第二十六条之二第一款第二项相同]提供个人数据的,应当事先取得本人就向境外第三方提供的同意。在此情形,前一条的规定不适用。
个人信息处理者欲依照前一款的规定取得本人的同意时,应当依照《个人信息保护委员会规则》的规定,事先将相关境外个人信息保护制度、第三方采取的个人信息保护措施及其他可供本人参考的信息提供给本人。
个人信息处理者将个人信息提供给境外第三方(仅限于构建有第一款规定的体制的第三方)后,应当依照《个人信息保护委员会规则》的规定,采取必要措施确保该第三方持续采取相当措施,并在本人要求后将该必要措施的相关信息提供给本人。
(有关向第三方提供的记录的制作等)
第二十五条 个人信息处理者将个人数据提供给第三方[第二条第五款各项规定的主体除外。以下于本条、下一条(包括第二十六条之二第三款准用的情形)相同]后,应当依照《个人信息保护委员会规则》的规定,制作有关提供个人数据的年月日、第三方的姓名或名称及其他《个人信息保护委员会规则》所规定的事项的记录。但是,该个人数据的提供属于第二十三条第一款各项或第五款各项的情形之一(在依照前一条第一款的规定提供个人数据的情形,则为第二十三条第一款各项的情形之一)的,不在此限。
个人信息处理者应当将前一款的记录自制作之日起保存至《个人信息保护委员会规则》规定的期限。
(接受第三方提供时的确认等)
第二十六条 个人信息处理者接受第三方提供个人数据时,应当依照《个人信息保护委员会规则》的规定,确认下列事项。但是,个人数据的提供属于第二十三条第一款各项或者第五款各项的情形之一的,不在此限。
(一)该第三方的姓名或名称、住所、法人的情形其法定代表人的姓名;
(二)该第三方收集个人数据的过程。
个人信息处理者进行前一款规定的确认时,同款的第三方不得对该个人信息处理者虚构确认所涉及的事项。
个人信息处理者进行了第一款规定的确认后,应当依照《个人信息保护委员会规则》的规定,制作有关接受个人数据的提供的年月日、确认所涉及的事项及其他《个人信息保护委员会规则》所规定的事项的记录。
个人信息处理者应当将前一款的记录自制作之日起保存至《个人信息保护委员会规则》规定的期限。
(个人相关信息的向第三方提供的限制等)
第二十六条之二 在预计第三方将会把个人相关信息(仅限于构成个人相关信息数据库等的信息。以下相同)作为个人数据收集时,除第二十三条第一款各项规定的情形外,个人相关信息处理者{指第二条第五款各项规定的主体以外的、正在将个人相关信息数据库等[为了能够用电子计算机检索而将特定个人相关信息予以体系化构建以及其他依照政令的规定为了能够容易检索而将特定个人相关信息予以体系化构建的、含有个人相关信息(生存着的个人的信息中,不属于个人信息、假名加工信息及匿名加工信息的部分。以下相同)的信息集合物。以下于本款相同]用于业务的主体。以下相同}未就下列事项事先依照《个人信息保护委员会规则》的规定进行确认的,不得将个人相关信息提供给该第三方。
(一)就第三方接受个人相关信息处理者提供个人相关信息、并将之作为可识别本人的个人数据收集,已取得本人的同意;
(二)在向境外第三方提供的情形,欲取得前一项规定的本人的同意时,已依照《个人信息保护委员会规则》的规定,事先将相关境外个人信息保护制度、第三方采取的个人信息保护措施及其他可供本人参考的信息提供给本人。
第二十四条第三款的规定,准用于个人相关信息处理者依照前一款的规定提供个人相关信息的情形。在此情形,第二十四条第三款中“采取必要措施确保该第三方持续采取相当措施,并在本人要求后将该必要措施的相关信息提供给本人”替换为“采取必要措施确保该第三方持续采取相当措施”。
前一条第二款至第四款的规定,准用于个人相关信息处理者依照本条第一款的规定进行确认的情形。在此情形,前一条第三款中“接受个人数据的提供的年月日”替换为“提供个人数据的年月日”。
(保存中的个人数据的相关事项的公布等)
第二十七条 对于保存中的个人数据,个人信息处理者应当将下列事项置于本人能够知悉的状态(包括根据本人的要求立即予以答复的情形):
(一)个人信息处理者的姓名或名称、住所、法人的情形其法定代表人的姓名;
(二)全部保存中的个人数据的使用目的(属于第十八条第四款第一项至第三项规定的情形除外);
(三)应对下一款规定的要求和下一条第一款(包括同条第五款准用的情形)、第二十九条第一款、第三十条第一款、第三款及第五款规定的请求的程
(在依照第三十条第二款的规定确定手续费的金额的情形,包括该手续费的金额);
(四)前三项规定的事项以外的、政令规定的、确保保存中的个人数据的正当处理所必要的事项。
在本人要求个人信息处理者通知其可识别该本人的保存中的个人数据的使用目的时,个人信息处理者应当立即通知本人。但是,属于下列各项情形之一的,不在此限:
(一)按照前一款的规定,可识别该本人的保存中的个人数据的使用目的是明确的情形;
(二)属于第十八条第四款第一项至第三项规定的情形。
个人信息处理者依照前一款的规定决定不将保存中的个人数据的使用目的通知给本人的,应当立即将该决定通知给本人。
(公开)
第二十八条 本人可以请求个人信息处理者以提供电磁记录的方式及其他《个人信息保护委员会规则》规定的方式公开可识别该本人的保存中的个人数据。
在接到前一款规定的请求后,个人信息处理者应当立即以该本人依照同款的规定所请求的方式(在以该方式公开需要高额的费用的情形或者其他难以以该方式公开的情形,应采用交付书面材料的方式),公开保存中的个人数据。但是,因公开而导致出现下列情形之一的,个人信息处理者可以不公开全部或部分保存中的个人数据:
(一)有可能侵害本人或第三方的生命、身体、财产及其他权利或利益的情形;
(二)有可能对该个人信息处理者的业务的正常实施造成显著障碍的情形;
(三)其他违反法令的情形。
个人信息处理者决定不公开第一款规定的请求所涉及的全部或部分保存中的个人数据时、该保存中的个人数据不存在时、或者难以以本人依照同款的规定所请求的方式公开时,应当立即将相关情况通知给本人。
在已依照其他法令的规定以相当于第二款正文规定的方式之其他方式对本人公开了可识别该本人的全部或部分保存中的个人数据的情形,对于该全部或部分保存中的个人数据,第一款及第二款的规定不适用。
第一款至第三款的规定,准用于第二十五条第一款及第二十六条第三款规定的可识别本人的个人数据的相关记录(依照政令的规定其存在与否明确后将导致公共利益或其他利益受损的情形除外。在第三十二条第二款称为“第三方提供记录”)。
(订正等)
第二十九条 可识别本人的保存中的个人数据的内容并非事实的,该本人可以请求个人信息处理者对该保存中的个人数据的内容进行订正、追加或删除(以下于本条称为“订正等”)。
在接到前一款规定的请求后,除其他法令就该内容的订正等设有特别程序的情形外,个人信息处理者应当立即在达到使用目的所必需的范围内展开必要的调查,并根据调查的结果对保存中的个人数据的内容进行订正等。
个人信息处理者在对前一款规定的请求所涉及的保存中的个人数据的全部或部分内容进行了订正等时、或者决定不进行订正等时,应当立即将相关情况(在进行了订正等的情形,包括订正等的内容)通知给本人。
(停止使用等)
第三十条 可识别本人的保存中的个人数据被以违反第十六条或第十六条之二规定的方式进行处理时、或者被以违反第十七条规定的方式收集时,本人可以请求个人信息处理者停止使用或者删除(以下于本条称为“停止使用等”)该保存中的个人数据。
在接到前一款规定的请求、且查明该请求具备理由后,个人信息处理者应当立即在纠正违法行为所必要的限度内,对该保存中的个人数据采取停止使用等措施。但是,对该保存中的个人数据采取停止使用等措施需要高额的费用或者其他难以采取停止使用等措施、且为保护本人的权利和利益而采取了必要的替代措施的情形,不在此限。
可识别本人的保存中的个人数据被以违反第二十三条第一款或第二十四条规定的方式提供给了第三方时,本人可以请求个人信息处理者停止将该保存中的个人数据提供给第三方。
在接到前一款规定的请求、且查明该请求具备理由后,个人信息处理者应当立即停止将该保存中的个人数据提供给第三方。但是,停止将该保存中的个人数据提供给第三方需要高额的费用或者其他难以停止向第三方提供、且为保护本人的权利和利益而采取了必要的替代措施的情形,不在此限。
个人信息处理者丧失使用可识别本人的保存中的个人数据之必要时、可识别本人的保存中的个人数据发生了第二十二条之二第一款正文规定的事态时、或者对可识别本人的保存中的个人数据的处理有可能使本人的权利或正当利益受到侵害时,本人可以请求个人信息处理者对该保存中的个人数据采取停止使用等措施、或者停止向第三方提供。
在接到前一款规定的请求、且查明该请求具备理由后,个人信息处理者应当立即在防止本人的权利和利益受到侵害所必要的限度内,对该保存中的个人数据采取停止使用等措施、或者停止向第三方提供。但是,对该保存中的个人数据采取停止使用等措施或停止向第三方提供需要高额的费用或者其他难以采取停止使用等措施或停止向第三方提供、且为保护本人的权利和利益而采取了必要的替代措施的情形,不在此限。
个人信息处理者在对第一款或第五款规定的请求所涉及的全部或部分保存中的个人数据采取了停止使用等措施时、或决定不采取停止使用等措施时、或者停止将第三款或第五款规定的请求所涉及的全部或部分保存中的个人数据提供给第三方时、或决定不停止向第三方提供时,应当立即将相关情况通知给本人。
(理由的说明)
第三十一条 个人信息处理者依照第二十七条第三款、第二十八条第三款(包括同条第五款准用的情形)、第二十九条第三款或者前一条第五款的规定通知本人不采取其所要求或所请求的全部或部分措施、或者通知本人采取不同于该措施的其他措施的,应当尽力向本人说明理由。
(应对公开等的请求等的程序)
第三十二条 对于第二十七条第二款规定的要求、或者第二十八条第一款(包括同条第五款准用的情形。于下一条第一款及第三十四条相同)、第二十九条条第一款、第三十条第一款、第三款或第五款规定的请求(以下于本条及第五十三条第一款称为“公开等的请求等”),个人信息处理者可以依照政令的规定确定受理该要求或请求的方式。在此情形,本人应当按照该方式提出公开等的请求等。
个人信息处理者可以要求本人提示足以特定作为公开等的请求等的对象之保存中的个人数据或者第三方提供记录的事项。在此情