扩大域外适用

经修订的APPI将扩大其域外适用范围，其原本仅适用于因向日本境内人员提供商品或服务而直接从数据主体获取个人信息并在国外处理个人信息的外国企业经营者。然而，根据最新的APPI规定，域外适用将包括因向日本境内人员提供商品或服务而获取个人信息并在日本境内处理个人信息的外国企业经营者。当外国企业经营者间接从第三方获得个人信息时也可以适用域外管辖。因此，一些原本未受APPI管辖的外国公司现在将面临域外适用。

此外，经修订的APPI还赋予日本的数据保护机构——个人信息保护委员会(Personal Information Protection Commission)权力，要求国外的数据处理企业经营者向其日本境内的经营者发送处理报告。

数据泄露报告并通知数据主体

根据修订后的APPI，在发生数据泄露或可能存在泄露的情况下，企业经营者必须向PPC报告泄露情况，并通知受影响的个人。对于涉及个人敏感信息、财产损失风险、网络攻击和涉及超过1，000个数据主体的违规事件或其他潜在违规情况时，企业经营者必须完成报告义务。

数据主体权利的扩大

修订后的APPI将扩大个人停止使用、删除和停止向第三方提供保留个人数据的权利。这些权利只能在APPI规定的特定情况下行使：

企业经营者不再需要使用个人数据；

发生需要强制报告的数据泄露；

数据主体的权利或合法利益可能受到侵害。

有关个人可识别信息的规定

根据修订后的APPI，数据提供者提供个人数据时有义务确定数据接收方得到了数据主体的同意。

指南对这一新规定作了进一步说明。

原则上，应获得同意的实体是数据接收方。但是，也允许数据提供者代表接收方获得同意，条件是以同等方式保护个人权利。在实践中，请注意有必要显示接收方的具体姓名。

跨境转移的监管

目前，在获得数据主体的同意或个人信息保护系统的基础上可以进行跨境数据传输。修订后的APPI加强了对向日本以外第三方传输数据的监管。

执行规则规定了在获得同意时必须向数据主体提供的第一项信息项目的例外规则。如果第1项(由数据输入者建立的个人信息保护系统)未明确，企业经营者应当说明原因并提供对数据主体有利的其他信息。

关于建立基于个人信息保护系统的跨境转移，经修订的APPI规定“定期监测建立情况”。指南将明确要求频率为一年一次或更多。因此，依赖这种机制的企业经营者必须确保进行定期监测。此外，还必须根据数据主体的要求向其解释保护系统的机制。

【来源：IAPP，翻译：帕格健】