Loading…
Japan APPI и EU GDPR подписали решение о взаимной адекватности в 2019 году, открыв путь к беспрепятственным потокам данных ЕС↔Япония. Но сами законы остаются существенно различными — APPI использует специфицирование цели вместо перечисления правовых оснований, обрабатывает чувствительные данные через механизмы явного согласия, предусматривает корпоративные штрафы в иенах и укоренён в иных культурных традициях административного руководства. Поправки 2022 года приблизили APPI к GDPR — но разрыв реален и существенен для проектирования комплаенса.
| Параметр | 🇯🇵 APPI | 🇪🇺 GDPR |
|---|---|---|
| Правовой инструмент | Act on the Protection of Personal Information (2003, крупные поправки 2015, 2020, 2022) | Regulation (EU) 2016/679 |
| Регулятор | Personal Information Protection Commission (PPC, 個人情報保護委員会) | 27 DPA государств-членов ЕС + EDPB |
| Адекватность | Решение об адекватности ЕС действует с 2019 года (взаимное) | Взаимная адекватность Японии действует |
| Территориальная сфера действия | Операторы, обрабатывающие данные лиц в Японии, включая нeяпонские организации (ст. 166) | ЕС + экстерриториальное действие по статье 3 |
| Подход к правовым основаниям | Специфицирование цели + надлежащее получение; согласие требуется для определённых раскрытий и чувствительных данных | Шесть правовых оснований по статье 6; девять условий по статье 9 для особых категорий |
| Чувствительная персональная информация | 要配慮個人情報 (yō-hairyo kojin jōhō) — раса, вероисповедание, социальный статус, медицинская/судимостная история; для получения требуется явное предварительное согласие | Данные особой категории — статья 9, явное согласие или иное квалифицирующее условие |
| Максимальный корпоративный штраф | ¥100 млн (~$650 тыс. USD) за неисполнение предписания PPC | 20 млн евро или 4% мирового оборота |
| Максимальный штраф для физического лица | 1 млн иен / 1 год лишения свободы | Уголовное наказание отсутствует (могут применяться санкции государств-членов) |
| Уведомление о нарушении | В установленный срок (как правило, «без промедления»); сообщение в PPC + уведомление субъектов данных при серьёзных нарушениях (ст. 26) | 72 часа надзорному органу + субъектам данных при высоком риске |
| Трансграничная передача | Согласие субъекта данных ЛИБО механизм эквивалентной защиты ЛИБО признанная PPC адекватность (ст. 28) | SCC, BCR, адекватность |
| Право на доступ | Да — статьи 28–35, сфера применения уточнена поправками 2022 года | Да — статья 15 |
| Право на исправление | Да — статьи 30, 33 | Да — статья 16 |
| Право на прекращение/удаление | Да — статьи 30, 35 (riyō teishi) | Право на удаление — статья 17 |
| Право на переносимость данных | Общего права нет; действуют некоторые отраслевые нормы | Да — статья 20 |
| Эквивалент DPO | Управляющий персональной информацией (kojin jōhō hogo kanrisha) — рекомендуется; назначение публикуется PPC | Сотрудник по защите данных (Data Protection Officer) — обязателен в установленных случаях (статья 37) |
| Анонимно обработанная информация | 匿名加工情報 — вне сферы действия APPI при необратимости; правила создания и раскрытия | Анонимная информация вне сферы действия GDPR (Соображение 26) |
| Псевдонимизированно обработанная информация | 仮名加工情報 — введена поправками 2022 года | Псевдонимизация упоминается в статье 4(5); не отменяет применимость GDPR |
| Данные детей | В APPI отсутствует конкретный возрастной порог; согласие за несовершеннолетних даёт опекун | Возраст по умолчанию 16 лет (государства-члены могут снизить до 13) |
| Нормативная база для государственного сектора | Закон о защите персональной информации, находящейся в распоряжении административных органов (APIAO) — интегрирован в APPI реформами 2021 года | Директива о правоохранительной деятельности 2016/680 (отдельно от GDPR) |
| Цикл пересмотра | Обязательный пересмотр каждые 3 года (статья 6 APPI) | Пересмотр по статье 97 (каждые 4 года с мая 2020 года) |
В основном да. Решение о взаимной адекватности признаёт сущностную эквивалентность. Разница в следующем: назначьте Управляющего персональной информацией, уведомляйте PPC о нарушениях в установленные местным законодательством сроки, обеспечьте соответствие вашего уведомления о конфиденциальности стандарту APPI по конкретизации целей (более точному, чем формулировка «законные интересы»), и документируйте трансграничные передачи в соответствии со статьёй 28.
Основные изменения: экстерриториальное применение (статья 166), явное обязательное уведомление о нарушениях с установленными сроками, расширение прав субъектов данных (расширено riyō teishi), введение категории псевдонимизированно обработанной информации и более строгие правила трансграничной передачи.
Строго APPI этого не требует, но PPC ожидает наличия реального контактного пункта в Японии. Операторы за пределами Японии подпадают под действие закона, а распоряжения PPC могут быть исполнены посредством взаимной правовой помощи.
Эквивалента статьи 22 GDPR нет. ИИ регулируется отраслевыми руководствами (METI, MIC) и Законом об ИИ 2025 года (отдельная нормативная база). APPI применяется к ИИ в той мере, в какой ИИ обрабатывает персональные данные.
Исторически консультативный и совещательный, формальные распоряжения редки. Поправки 2022 года добавили «зубы» (экстерриториальное применение по статье 166, корпоративные штрафы до 100 млн иен). В дальнейшем следует ожидать более формального правоприменения.
Сопоставьте средства контроля один раз, соответствуйте дважды. RegulatoryBridge предоставляет вам единый конвейер DSAR, единого DPO, единый план реагирования на нарушения — охватывающий обе системы.