引言

日本和韩国作为与我国地理位置临近的发达经济体，众多中国企业将其作为出海的目标国家。在企业出海过程中，企业需要对目标国法律环境开展调查的业务场景多样，主要包括境外投资设厂、跨境投资并购、数据跨境传输以及科技、媒体和通信领域的商业活动等。企业在当地开展经营管理活动时，不可避免的需要对不同主体的个人信息进行收集、使用、存储、跨境传输等数据处理活动。了解目标国家个人信息与数据保护的法律法规有助于把握海外公司在当地的个人信息处理行为与当地法律要求的差距，促进企业及时开展自查活动和整改措施，减少数据合规问题引发的法律风险和商业风险，最大限度地避免对出海企业的发展与信誉造成损害。

日本是亚太地区较早制定个人信息保护相关法律的国家，《个人信息保护法》是日本个人信息保护的核心立法。《个人信息保护法》颁布后，日本政府根据信息技术的发展和国际环境的变化不断对其进行修正和调整。历经数次修订后，最近一次的修正案于2023年4月1日正式实施。韩国也十分重视对个人信息的保护，不断完善国内个人信息保护的相关规则。作为韩国个人信息保护的核心立法，《个人信息保护法》于2023年3月14日进行了部分修订，并于2023年9月15日正式实施。本文以日韩《个人信息保护法》的修订为背景，通过对日韩个人信息保护法律法规框架和部分立法要点的分析，为读者提供实务指引。

一、日韩个人信息保护法律法规体系

日韩个人信息保护法律法规体系由个人信息保护核心立法及相关配套规则组成，各部法律、法规、政令和指南的具体内容详见下表。

（一）日本个人信息保护法律法规框架

（二）韩国个人信息保护法律法规框架

二、日韩《个人信息保护法》要点解析

（一）日本《个人信息保护法》

个人信息的定义：

（1）通过各种形式记录的信息中包含的描述可识别特定个人的信息，包括容易与其他信息结合后识别特定个人的信息；

（2）含有个人识别符号的信息，如驾驶证号码、护照号码等。

（3）敏感个人信息指可能导致个人因为种族、宗教信仰、社会身份、病历、犯罪经历、因犯罪所遭受的伤害的事实及其他方面而受到不正当歧视、偏见或其他不利，而需要特殊处理的。

（4）个人相关信息，指与生存着的个人有关的信息，既不属于个人信息、假名化信息，也不属于匿名化信息。

其中比较特殊的是个人相关信息的概念，虽然单独无法识别个人，但是可以与其他信息结合成为个人信息，因此被日本新个保法纳入保护范围内。

个人信息使用的法律基础：

除符合特定的豁免条件外，以告知同意为法律基础，且个人信息处理者不得超出特定的使用目的所必需的范围来处理个人信息。

因合并或其他原因从其他个人信息处理者处继承业务时所获取个人信息，也需要在原本约定的目的所必需的范围内处理，否则重新获得同意。

日本个保法也以告知同意为原则，以特定条件豁免使用为例外。包括依照法令、条例，或执行法律法规规定的事务、公共卫生、学术研究为特定目的处理、保护人的生命、身体或财产需要等情况。

个人信息的第三方提供：

提供方：需披露提供个人数据的日期、第三方的姓名或者名称以及个人信息保护委员会规则所规定的其他事项制作记录，并对相关记录进行妥善留存。

接收方：须按照个人信息保护委员会规则的规定，确认第三方的姓名或名称、地址、法人代表的姓名、第三方获取个人资料的经过，并对相关记录进行妥善留存。

个人信息的跨境提供：

以事先取得个人信息主体的同意为原则，以不需要取得同意为例外。

例外情形分为向白名单国家出境个人信息，以及向已经建立了符合日本法规定的保护标准的个人信息保护机制的接收方传输信息（采用opt-out方式[1]）。

该制度设计与欧盟《一般数据保护条例》（GDPR）的规定较为相似，原则是基本确保接收方达到个人信息保护标准。

近年来，虽然中国的个人信息保护制度逐渐完善，但目前中国还未被纳入白名单国家。因此如有企业从日本向中国传输数据，需要进一步披露作为接收方的第三方所在国的名称、通过妥善且合理的方式获得的接收方所在国的个人信息保护制度的信息以及接收方为保护个人信息而采取的措施等信息。

值得注意的是，在数据出境实务工作中，境外传输方会尤其关注政府依职权收集个人信息的行为，尤其是企业如何承担配合、协助义务，配合到何种程度，以及对个人信息主体的权益的影响等问题。

个人信息主体的权利：

（1）知情权：个人信息处理者必须将有关其所持有的个人数据的下列事项置于本人可知悉的状态下；处理者在被本人要求通知其被识别的所持有的个人数据的使用目的的，必须及时通知本人……

（2）查询权：本人可以要求个人信息处理者以提供可识别本人的所持有个人数据的电磁记录的方式或者个人信息保护委员会规则规定的其他方式进行公开。

（3）更正权：如可识别的保存的个人数据内容不实的，本人可以向个人信息处理者请求其更正、增加或者删除其保存的个人数据内容。

（4）停止处理/删除权：个人信息处理者违反第十八条或第十九条的规定处理可识别的其保存的个人数据的，或者违反第二十条的规定收集数据的，个人信息主体可以要求个人信息处理者停止使用或者消除可识别的其保存的个人数据。

个人信息处理者的义务：

信息收集目的应当特定，履行告知义务，确保数据内容正确、完整并在丧失必要性后及时删除，采取安全管理措施保障数据安全，监督受托方，妥善处理投诉，接受监督，发生数据安全事件时进行报告等。

个人信息保护监管：

（1）依照《内阁府设置法》第四十九条第三款的规定，设置个人信息保护委员会

（2）委员会为完成前一条的任务，主管下列事务：

• 制定和推进基本方针的相关事务;

• 监督个人信息处理者对个人信息、个人信息处理者和假名加工信息处理者对假名加工信息、个人信息处理者及匿名加工信息处理者对匿名加工信息、以及个人相关信息处理者对个人相关信息的处理，监视行政机关等对个人信息、假名加工信息、匿名加工信息、以及个人相关信息的处理，以及对处理个人信息、假名加工信息、匿名加工信息的相关投诉的斡旋及协助处理者进行处理的相关事项；

• 有关认定个人信息保护团体的事务;

• 有关对处理特定个人信息进行的监视或监督以及提出投诉而进行的必要的斡旋及协助处理者进行处理的相关事务;

• 有关特定个人信息的保护评价的事务;

• 宣传和启发个人信息的保护及正当且有效的使用的相关事务。

日本新修个保法通过将监督权集中在个人信息保护委员会，避免了监管机构职能分散、责任不清的问题，并设置较重的罚则。

这一监管结构调整趋势与目前国际上大部分国家类似。独立监管机构可以更好地保障监管工作的独立性、专业性和权威性。修订后的日本个保法进一步强化了这种特质，并对委员会的职能、架构等细节问题做了全面规范。

（二）韩国《个人信息保护法》

个人信息的定义：

（1）通过姓名、居民身份证号码及影像等可以对个人进行识别的信息；

（2）虽然仅凭该信息无法识别特定个人，但很容易将该信息与其他信息结合起来识别个人。在这种情况下，判断是否容易结合，应合理考虑获取其他信息的可能性，如所需的时间、费用、技术等。

（3）将本款第一项、第二项通过本条1-2之规定进行化名处理，若没有为复原原有状态的其他信息之使用与结合，无法识别特定个人的信息。

个人信息使用的法律基础：

1. 有下列情形的，个人信息处理者可以收集个人信息，并在其收集目的范围内使用：

（1）经过信息主体同意的情形；

（2）……

2. 信息处理者获得第一款第一项规定的同意时，需要将下列事项告知信息主体。下列各项中任意一项有变更时，也应当告知信息主体并获得同意：

（1）个人信息收集、利用的目的；

（2）拟收集个人信息的项目；

（3）保有和利用个人信息的期间；

（4）享有拒绝同意的权利之事实，以及若拒绝同意产生不利益时，其不利益的内容。

韩国个保法也以告知同意为原则，以特定条件豁免使用为例外。情形包括法律规定、公权力机关执法、履行合同、为无法作出意思表示或无法作出事先同意的主体的紧迫利益、为实现个人信息处理者明显优于个人信息主体正当利益的目的、公共卫生或公共安全等。

个人信息的第三方提供

提供方：应告知个人信息主体个人信息获取者、个人信息获取者的个人信息利用目的、所提供的个人信息项目、个人信息获取者持有和利用个人信息的期间等信息。

获取方：不得在获取目的范围之外使用个人信息，或再向第三人提供。除非另行获得信息主体同意或其他法律有特别规定。

个人信息的跨境提供

个人信息处理者只要符合以下任意一项，可以将个人信息进行境外移转：

（1）信息主体另行同意境外移转的情形；

（2）法律、以大韩民国为一方的条约或其他国际协定中存在有关境外移转的特别规定的；

（3）为了与信息主体签订和履行合同所必要的个人信息之委托处理及保管……；

（4）接收信息境外移转的一方，获得个人信息保护认证等保护委员会指定的认证；

（5）向由保护委员会所承认的同本法规定的个人信息保护水平处于同等水平的国家或国际机构进行境外移转；

通过告知同意获取法律基础的，必须提前告知信息主体：境外移转的个人信息项目、接收国、转移时间及方法、接收方信息、接收方个人信息使用目的和持有使用时间、个人信息主体拒绝个人信息境外移转的方法和程序，以及拒绝时的效果。

需要额外注意的是，韩国的个人信息出境适用“境外移转中止命令"制度，即如果境外法律环境发生重大变化，可能对个人信息主体产生侵权风险的，保护委员会可以责令停止该传输行为。

不同于中国，韩国数据出境不适用事前政府审批，而是以事后干预的方式控制企业个人信息出境的行为。

个人信息主体的权利

个人信息主体的权利包括查阅权、可携带权、更正和删除权以及要求停止处理等权利。另外，还明确了个人信息主体的行权途径，以及损害赔偿的计算方式。

个人信息处理者的义务

个人信息处理者的义务主要包括以下方面：

（1）履行安全保障义务：建立内部管理计划，保存访问记录等确保安全性所需的措施；

（2）制定和公开个人信息处理政策：制定包括处理目的、持有期限和销毁方法等内容的个人信息处理政策；在制定或修改处理政策时予以公开；

（3）对个人信息处理政策提出改进建议：当个人信息保护委员会认为特定个人信息处理政策需要改进时，个人信息处理者可以提出改进建议；

（4）指定个人信息保护责任人：个人信息处理者须指定个人信息保护责任人；

（5）指定国内代理人：特定类型的个人信息处理者应当书面指定代理三种类型事务的国内代理人；

（6）登记和公开个人信息档案：公共机关负责人使用个人信息档案时应当向个人信息保护委员会登记特定事项。委员会应当将上述事项的登记状况予以公开；

（7）个人信息保护认证：个人信息保护委员会可以对个人信息处理者处理和保护个人信息的措施是否符合本法进行认证；

（8）个人信息影响评估：公共机关负责人可以进行以危险因素分析和提出改善措施为目标的评估，并将评估结果提交给个人信息保护委员会。

个人信息保护监管

设立所属于国务总理的个人信息保护委员会，以独立开展个人信息保护相关事务。

保护委员会负责下列管辖事务：

（1）关于改善个人信息保护相关的法令之事项；

（2）关于个人信息相关的政策、制度、计划的制定与执行之事项；

（3）调查对信息主体的权利侵害以及相关的处分之事项；

（4）个人信息处理相关的困难处理、权利救济以及个人信息纠纷的调解；

（5）为保护个人信息，与国际机构及境外个人信息保护机构的交流与协作；

（6）对与个人信息保护相关的法令、政策、制度、实情相关的调查、研究、教育以及宣传相关事项；

（7）关于个人信息保护的技术开发的支持、普及和标准化以及专业人才培养相关的事项；

（8）该法及其他法令规定的保护委员会之管辖事务。

结语

整体而言，日韩的个人信息保护法律框架与我国的相关规则存在相似之处，但是在框架内的细则部分，如日本对个人信息的分类和定义、部分告知同意规则与我国存在差异，需做重点关注。需要注意的是，跨国企业多存在两国之间的个人信息交换传输情况。相关企业应当充分了解拟出海国家个人信息保护法律规定和监管动态，寻求专业律师团队帮助，及时进行核查整改，以帮助企业有效应对和解决数据合规问题，促进企业行稳致远。

[注] 

[1] opt-out方式可以不经同意而直接向第三方提供个人信息，但如果个人信息主体要求时应立即停止提供行为（但需要满足事先履行告知义务、向日本个人信息保护委员会事先备案等前提条件）。