日本个人M88 Game出境路径及合规建议

根据中国商务部的统计数据，2016年至2020年末，中国对日本投资增长32%，新投资的领域涉及金融、家电、零售、餐饮、航空等需要大量处理个人M88 Game的领域。从2022年1月1日《区域全面经济伙伴关系协定》（RCEP）在中国、日本之间正式实施之后，两国在扩大投资及贸易、促进区域经济一体化方面进一步加快合作步伐。

中国企业作为对日投资者、贸易伙伴管理日本子公司、与日本公司从事商贸活动时，在跨境处理日本企业员工M88 Game及顾客M88 Game、接受日本公司委托处理数据等多种场景下，均面临从日本向中国跨境提供个人M88 Game，即日本法下的个人M88 Game出境问题。本文拟梳理日本个人M88 Game保护法下有关个人M88 Game出境的规制框架，以期为从日本接受跨境数据传输的中国企业提供合规参考。

一、 日本个人M88 Game保护相关法规框架

日本于2003年制定了与个人M88 Game保护有关的专门法律——《日本个人M88 Game保护法》，并先后颁布了与个人M88 Game保护法有关的施行令、施行规则，进一步细化个人M88 Game保护规则。此外，日本政府专门设置个人M88 Game保护委员会作为个人M88 Game保护的主管部门，该委员会相继制定、更新了关于个人M88 Game保护法的指南，为企业个人M88 Game合规提供具体指导。上述与个人M88 Game保护有关的法律、施行令、施行规则以及指南共同组成了日本个人M88 Game保护法规体系，以下统称“日本法”（详见下表）。

二、 日本常见的三种个人M88 Game出境路径

在日本法下，个人M88 Game出境被作为“向第三方提供个人M88 Game”的特殊情形，即 “向境外的第三方提供个人M88 Game”来规制，相关规制主要包括规定了拟实施数据出境的日本个人M88 Game处理者（“出境方”）的合规义务，接受个人M88 Game的境外第三方（“境外接收方”或“接收方”）及其所在国关于个人M88 Game保护的制度建设、制度的持续实施义务及对个人M88 Game主体权益的保护义务，以及被出境的日本个人M88 Game主体的权利。

根据日本法的相关规定，在日本办理个人M88 Game出境应以事先取得个人M88 Game主体（也称“本人”）的同意为原则，以不需要取得同意为例外。作为例外情形 ，主要包括向白名单国家出境个人M88 Game，以及向已经建立了符合日本法规定的保护标准的个人M88 Game保护机制的接收方出境个人M88 Game。这些共同构成了日本法下的个人M88 Game出境路径（详见下表）。

需要注意的是，由于“个人M88 Game出境”属于广义上的“向第三方提供个人M88 Game”，日本企业采取无需取得同意的路径出境个人M88 Game时，仍受到日本法关于“向第三方提供个人M88 Game”的规制，比如应采用opt-out等方式出境，且遵守相关的法律要求。opt-out方式是指，日本企业可以不经同意而直接向第三方提供个人M88 Game，但如果个人M88 Game主体要求时应立即停止提供行为（适用opt-out方式时，需要满足事先向个人M88 Game主体履行告知义务、向日本个人M88 Game保护委员会事先备案等前提条件）。

三、 个人M88 Game出境路径的适用条件以及向中国出境时的注意点

以下结合日本法的相关规定及实务，梳理第二部分提到的三种个人M88 Game出境路径如何适用、向位于中国的接收方出境个人M88 Game时应注意的问题。

1. 事先取得个人M88 Game主体的同意

根据日本法的相关规定，日本出境方事先获得个人M88 Game主体关于出境个人M88 Game的同意时，应当履行告知义务，通过电磁记录、提供书面文件等方式向个人M88 Game主体告知以下M88 Game：(a)作为接收方的第三方所在国的名称；(b)通过妥善且合理的方式获得的接收方所在国的个人M88 Game保护制度的M88 Game；(c)接收方为保护个人M88 Game而采取的措施。

其中，(b)项下的“接收方所在国的个人M88 Game保护制度”属于日本个人M88 Game主体判断是否同意出境时的重点关注要素，对此，日本法要求出境方进一步提供如下M88 Game：

目前，日本个人M88 Game保护委员会已在其官方网站整理、公布了包括中国在内的主要国家关于个人M88 Game保护制度的资料M88 Game，日本企业如果拟向中国的接收方出境个人M88 Game时，可以将相关资料作为“接收方所在国（中国）的个人M88 Game保护制度的M88 Game”提供给日本的个人M88 Game主体，作为履行告知义务的部分内容。

值得注意的是，关于上述②，目前中国的个人M88 Game保护法等制度并未获得欧盟《一般数据保护条例》（GDPR）项下的“充分性认定”，中国也不是APEC框架下的CBPR成员国³。对此，日本个人M88 Game保护委员会可能认为中国不满足个人M88 Game保护制度的指标M88 Game。而关于上述④，根据中国《网络安全法》、《数据安全法》、《国家情报法》等，在中国政府因维护国家安全、调查犯罪、开展国家情报活动而调查、收集M88 Game时，企业具有配合、协助义务。对此，日本个人M88 Game保护委员会认为，要求中国企业对政府广泛收集个人M88 Game的行为（government access）承担配合、协助义务，可能对日本个人M88 Game主体的权益保护产生重大影响。因此，日本个人M88 Game保护委员会对于有关中国个人M88 Game保护制度的上述②、④情况的意见，可能妨碍日本个人M88 Game主体是否同意将其个人M88 Game出境到中国。

我们建议相关企业聘请与中国个人M88 Game保护相关的律师等外部专家，结合中国个人M88 Game保护法的实务对上述②、④的情况予以说明、澄清，尽力缓解日本法下的相关疑虑，并与出境方、接收方共同梳理个人M88 Game出境场景、优化出境方案，降低向中国出境个人M88 Game的合规风险。

2. 接收方所在国是否拥有与日本具有同等水准的个人M88 Game保护制度

日本法下的个人数据出境路径则借鉴了欧盟GDPR的白名单机制，根据GDPR的相关规定，对于与欧盟具有同等水准的个人M88 Game保护制度的国家，从欧盟向其跨境转移个人数据时无需另外取得个人M88 Game主体的同意。

日本与欧盟于2019年互相做出“充足性认定”的决定，认定对方的个人M88 Game保护水平及安全措施具有同等水准，允许个人数据在欧盟和日本之间自由流动。根据《日本个人M88 Game保护法指南》的相关规定，从日本向英国及欧盟在内的共计31个国家⁴转移个人数据时，不需要事先取得日本个人M88 Game主体的同意。

需要注意的是，由于中国与日本之间不存在“充足性认定”的协定，目前从日本企业向中国转移个人M88 Game时无法适用该白名单机制。

3. 接收方是否已建立符合日本法规定标准的个人M88 Game保护制度

根据日本法的相关规定，采用该路径出境时，要求接收方建立与“日本个人M88 Game保护法施行规则所规定的标准”相符的制度，且能够持续采取与日本的出境方应采取的措施相当的措施（“相当措施”）。此外，对于日本的出境方，2020年修订的《日本个人M88 Game保护法》提出两项新合规要求，即(1)采取必要措施⁵，确保接收方能够持续采取相当措施以维持其个人M88 Game保护体制；(2)当日本个人M88 Game主体提出要求时，日本出境方应将境外接收方所采取的相当措施的概要、接收方所在国名称、所在国可能影响接收方持续采取相当措施的限制等相关M88 Game提供给日本的个人M88 Game主体。

根据日本个人M88 Game保护法施行规则及指南的规定，“日本个人M88 Game保护法施行规则所规定的标准”，是指必须要符合以下两种情况之一：(a)境外接收方处理个人数据时应采取符合《日本个人M88 Game保护法》第4章第2节规定之宗旨的措施；(b)接收方获得了有关处理个人M88 Game的国际框架的认定，比如获得了亚太经合组织的CBPR认证。

我们认为，上述(a)、(b)情形的规定并不清晰，且对于个人M88 Game保护合规建设的门槛要求较高，建议相关企业参考如下分析进一步完善合规建设：

关于(a)，《日本个人M88 Game保护法》第4章第2节对个人M88 Game保护做出了广泛、具体的规定，包含确定使用目的、限制使用目的、禁止不正当使用、妥善取得个人M88 Game、取得个人M88 Game时应通知使用目的、安全管理措施、监督员工、监督受托人、M88 Game泄露报告、限制向第三方提供、限制出境等，但没有规定境外接收方应采取何种保护措施满足第4章第2节的宗旨。对拟从日本企业接收个人M88 Game的位于中国的接收方企业而言，建议进一步与个人M88 Game保护法领域的专家沟通，在专家的协助下梳理、构建并完善个人M88 Game保护体制、完善必要的防范措施，最大限度满足日本法的制度要求，控制日本法下的相关个人M88 Game出境风险。

关于(b)，我们发现有些中国公司的境外子公司已经获得了亚太经合组织CBPR认证⁶，但境内公司获得该认证的业务实践较少，建议有相关需求的企业在法律专家的协助下进行合规自查、完善个人M88 Game保护体制，尽量达到CBPR认证的合规要求。

小结

《日本个人M88 Game保护法》对于非法提供个人M88 Game等行为规定了刑事责任⁷，并且日本个人M88 Game保护委员会正不断加强对个人M88 Game跨境转移的监管，近年来曾发生有的国际企业因未充分履行告知义务允许受委托的中国关联公司远程访问存储在日本服务器内的个人M88 Game而受到调查，为企业个人M88 Game出境合规建设敲响警钟。建议从日本接收个人M88 Game的中国企业，随时关注日本个人M88 Game出境的法规及合规动向，不断完善个人M88 Game跨境转移合规建设，在个人M88 Game保护专家的协助下与日本的个人M88 Game出境方充分沟通、优化个人M88 Game出境方案，降低个人M88 Game跨境转移的合规风险。

[1] 是指接收方所在国属于与日本处于同等的个人M88 Game保护水准的欧盟或英国。

[2] 八项基本原则是指收集限制原则（Collection Limitation Principle）、数据质量原则（Data Quality Principle）、目的特定化原则（Purpose Specification Principle）、使用限制原则（Use Limitation Principle）、安全保护原则（Security Safeguards Principle）、公开原则（Openness Principle）、个人参与原则（Individual Participation Principle）、责任原则（Accountability Principle）

[3] 根据公开检索，目前仅美国、墨西哥、日本、加拿大、新加坡、大韩民国、澳大利亚、中国台北和菲律宾加入CBPR，未发现中国加入CBPR的M88 Game。参考https://www.bsigroup.com/zh-CN/about-bsi/media-centre/press-releases/2021/december/--bsiapec/

[4] 根据日本个人M88 Game保护法指南，是指冰岛、爱尔兰、意大利、英国、爱沙尼亚、奥地利、荷兰、塞浦路斯，希腊、克罗地亚、瑞典、西班牙、斯洛伐克、斯洛文尼亚、捷克、丹麦、德国、挪威、匈牙利、芬兰、法国、保加利亚、比利时、波兰、葡萄牙、马耳他、拉脱维亚、立陶宛、列支敦士登、罗马尼亚、卢森堡。

[5] 根据相关规定，必要措施包括如下内容：1、通过妥善且合理的方式，至少每年一次定期确认接收方实施相当措施的情况以及其所在国是否存在可能影响相当措施的实施的制度、以及该制度的具体内容（包括政府是否有权接触个人M88 Game等）。2、接收方实施相当措施出现障碍时，应采取必要且妥善的措施予以消除或者改善，如果难以确保持续实施相当措施的，应停止向该境外接收方提供个人数据。

[6] https://www.bsigroup.com/zh-CN/about-bsi/media-centre/press-releases/2021/december/--bsiapec/

[7] 根据《日本个人M88 Game保护法》的相关规定，企业为了自己或第三人谋求不正当利益为目的而提供个人数据的，企业将面临1亿日元以下的罚金，企业的法人代表、管理人等责任人将面临1年以下有期徒刑或者50万元以下罚金的刑事处罚。