一、先看立法脉络:这次修法现在走到哪一步
这次日本《个人信息保护法》修订,已经进入正式法案推进阶段。2026 年 4 月 7 日,日本个人信息保护委员会发布消息称,《个人信息保护法等一部修正法律案》已经完成内阁会议决定,并提交第221 届特别国会;同日公开的材料包括官网新闻、《概要资料》《法律案纲要》《法律案及理由》《新旧对照条文》《参照条文》以及记者说明资料。[1]
如果顺着这些材料来读,这次修法的层次其实很清楚。官网新闻和《概要资料》先把大的背景讲出来:一边是数字技术快速发展,数据利用需求上升;另一边是违法处理个人信息、侵害个人权益的风险也在上升。在这个前提下,修法既要让合理的数据利用更顺一些,也要把高风险场景和后端执法做得更实一些。[2] 《概要资料》把这次修法概括成四块:推动适当的数据利用、建立与风险相匹配的规制、防止不当利用、强化守法实效。[3]
从这个结构出发,这次修法更适合被理解为一次治理方法的调整,而不只是某几条规则的增删。它不是只在谈人工智能,也不是只在谈处罚,而是在同时处理四件事:哪些利用场景可以从原来较为僵硬的规则里走出来,哪些高风险场景需要单独加规则,哪些责任链条需要重新理顺,哪些违法处理需要更强的后端工具去兜住。[4]

二、再看内容:这次具体改了什么
(一)先动的是“数据利用路径”
这次最受关注的一块,是新增“统计制作等活动”这条规则路径。按照《法律案纲要》的定义,这里的“统计制作等活动”并不是泛指一切数据分析,而是指对大量信息进行抽取、分类、比较和分析,形成关于整体趋势或者性质的信息,而不是关于某个个人本身的信息;同时,这类活动还必须属于对个人权利利益侵害风险较低、并由后续规则进一步限定的活动。[5]
围绕这条路径,法案准备作两项重要调整。其一,在一定条件下,可以为了开展“统计制作等活动”向第三方提供个人信息或者个人相关信息,而不再以本人同意为前提。其二,对已经公开的敏感个人信息,也准备设置相应取得例外。[6] 《概要资料》在这一点上说得更直白一些:只要信息仅用于统计信息等的制作,就可以不再要求本人同意;并且它还专门补充,这里的“统计制作等活动”也包括能够被整理纳入这一框架的人工智能开发等活动。[7]
不过,这里并不是一条宽泛豁免。《法律案纲要》把条件写得很细:相关事项需要通过互联网等方式持续保持公示状态,提供方与接收方之间还需要通过书面或者电子记录方式明确约定该提供属于这一制度路径。也就是说,这条路径并不是把人工智能开发直接写成一个很宽的例外,而是试图给一部分低风险、可限定、可持续公示和约束的数据利用,整理出一条新的合法路径。[8]
除了这条新路径之外,这次修法还在同意规则周边做了两类调整。一类是,在生命、身体保护和公共卫生等场景中,原来很多地方强调“同意难以取得”,现在法案把例外条件进一步放宽到“不同意取得具有相当理由”的情形。另一类是,新增了一种更一般的例外:如果从具体情境看,相关处理明显不违背本人意思,而且明显不会损害其权利利益,那么在一定条件下,也可以不再机械地卡在同意上。[9]
还有一个不那么显眼、但很值得注意的调整,是法案把“学术研究机构等”的范围明确扩展到以医疗提供为目的的机构或者团体。记者说明资料对这部分背景讲得很清楚:医学和生命科学研究往往离不开对诊断、治疗案例的临床分析,而现实中病院等机构广泛参与研究活动,现行法上的主体范围并不能当然覆盖这些情形,因此修法想把这部分关系重新理顺。[10]
(二)与此同时,它把几个高风险场景单独拎出来了
如果说前面是在整理“哪些利用路径可以更顺一些”,那后面更像是在回答“哪些风险场景不能再用一般规则轻轻带过”。
未成年人是第一块。纲要写到,处理未成年人个人信息时,应当结合其年龄和发育程度,优先考虑其“最佳利益”,并采取必要措施避免损害其权利利益;未成年人的法定代理人在作出相关同意或者提出请求时,也应当优先考虑其最佳利益。[11] 法律案纲要和说明资料均明确了 16 岁未满的年龄口径;在此基础上,说明资料又把法定代理人参与通知和同意机制的方向讲得更具体。[12]
第二块是针对“特定生物识别个人信息”的单独加严。纲要的定义很有针对性:它瞄准的是经转换后形成的个人识别符号中,那些可以通过不需要特别技术或高额成本的方法取得、而且本人又不容易意识到已被采集的部分。[13] 围绕这类信息,法案拟要求事前通知或者使本人容易知悉,并明确不能通过“选择退出”方式在无同意下向第三方提供;本人还可以请求停止利用或者停止提供。[14]
记者说明资料则把立法担忧说得更具体。它提到,像脸部特征数据这类信息,可以通过在多个地点布设摄像设备收集后进行关联,从而在本人未察觉的情况下持续追踪其活动。[15] 这样一来,条文和说明材料就连起来了:法案不是笼统在谈“生物识别敏感”,而是在回应一种更具体的现实风险,即低成本、隐蔽、大规模采集并持续识别个人的能力。
第三块,是新增“可联系个人相关信息”这一概念。按照纲要的定义,它指的是虽未必已经构成传统意义上的“个人信息”,但已经包含可用于向特定个人进行联系或者信息传达的描述等的个人相关信息。法案围绕它设置了两条底线:不得以可能助长或者诱发违法、不当行为的方式使用,也不得以欺骗等不正当手段取得。[16] 这个变化很值得注意,因为它意味着规制视角开始从“能不能识别出某个人”,进一步延伸到“是否已经具备联系、触达和影响某个个人的能力”。
第四块,是委托处理链条的调整。纲要明确提出,接受委托处理个人信息的经营者,原则上不得超出受托业务所必需的范围处理被委托的信息;同时,如果委托合同中已经按规则写明处理方法等事项,并且受托方是在受托业务必要范围内依约处理,那么部分法定义务可以不再重复适用。[17] 记者说明资料则补充了现实背景:现行制度下,委托方对受托方的监督并不总是有效,已经出现受托方超出委托范围独自利用个人数据的情形。[18] 这说明这次修法不是单纯补合同条款,而是在尝试把形式上的委托重新拉回到真实的数据处理关系上来。
还有两项调整,虽然不如前面几块显眼,但也很实用。一项是“选择退出”制度继续存在,但提供方以后要对接收方身份、利用目的等事项进行事前确认,并制作记录,接收方不得就这些事项作虚假说明。[19] 另一项是漏泄等事件发生后,本人通知义务拟作一定合理化:如果即使不通知本人,也不太会导致对其权利利益保护的明显欠缺,则可以通过替代措施应对;说明资料还举了例子,例如仅有单独看几乎没有意义的内部识别号泄露等情形。[20]
(三)后端执法工具也明显变硬了
如果只盯着前面的“同意例外”,会很容易低估这次修法后半部分的分量。事实上,《概要资料》已经明确写到,命令要件会调整,以便更快要求纠正违法行为;同时,个人信息保护委员会还可以就保护本人权利利益所必要的措施作出劝告和命令,例如通知本人违法事实、公开事实等。[21]
法案层面更重的一笔,是新增课征金缴纳命令。按照《法律案纲要》的写法,如果经营者因特定违法处理行为取得财产利益,原则上可以被命令缴纳与该利益相当的课征金;但其适用本身带有明确限定,其中一项重要条件,就是经营者未尽到相当注意义务的情形。[22] 这套设计不是按营业额广泛铺开的模式,而是更明显地瞄准带有经济激励、规模化、恶性的数据违法处理。
此外,纲要还把对第三方协力者的要请机制写了进去:个人信息保护委员会可以要求相关役务提供者采取必要措施,在涉及特定电气通信的信息流通时,还可以要求相关服务提供者采取阻断流通措施;相关第三方因依要请采取措施导致违法经营者受损的,原则上不承担赔偿责任。[23] 这一点很值得留意,因为它意味着今后的执法视角不只盯着最初的数据处理者,也开始把传播和流通链条纳入治理范围。
三、再问一句:为什么会这样改
如果把前面这些变化放在一起看,这次修法背后的问题意识其实很连贯。
第一层原因,是数据利用环境确实变了。官网新闻和《概要资料》都反复强调,数字技术快速发展带来了更高的数据利用需求,而且这种顺畅的数据联通也被明确写成“有助于人工智能应用”的政策方向。[24] 记者说明资料又把这个背景进一步接到《人工智能基本计划》等政策文件上,明确提到要研究有助于将人工智能开发等整理为“统计制作等活动”的同意规则,以及规制遵守实效性的问题。[25]
第二层原因,是风险形态也变得更具体了。未成年人因为判断能力和发育阶段的问题,更容易受到不当数据处理影响;脸部特征数据等可能在本人不知情的情况下被持续收集和追踪;委托处理链条中也已经出现受托方越界利用数据的现实问题。[26] 这些都不是抽象的制度忧虑,而是立法机关已经看到、并且准备正面回应的治理问题。
第三层原因,是前端想留空间,后端就必须同步变硬。记者说明资料里其实把这个平衡讲得很清楚:围绕同意规则、本人参与机制的调整,需要和课征金、命令、罚则等后端手段一起考虑,同时还要避免对正常经济活动造成不当寒蝉效应。[27] 所以这次修法真正想做的,并不是简单在“保护”和“利用”之间二选一,而是换一种治理方式:对低风险、可被收束的利用给出出路,对高风险、容易失控的处理给出更明确的约束和更有力的后果。
四、最后看企业意义:这些变化会落到哪里
对企业来说,这次变化最重要的一点,是合规工作的中心问题可能会变。以前很多场景里,先问的是“有没有同意”;以后更常见的问题,可能会变成“这个场景究竟属于哪一条规则路径”。尤其是涉及模型开发、数据分析、公开信息利用、第三方数据输入的业务,都需要更早梳理:自己使用的数据是什么类型,使用目的能不能被纳入“统计制作等活动”,现有流程里有没有公示、协议、用途限定和再提供限制这些条件。[28]
同时,未成年人、生物识别、广告触达、委托处理这些场景,也会更明显地进入重点区域。这并不意味着这些业务不能做,而是意味着它们越来越需要单独的规则设计、内部审批、尽调和留痕,而不是继续依赖一套很泛的隐私政策去覆盖。[29]
最后还要保留一个克制判断:现在能确定的是修法方向已经很清楚,但很多关键边界仍然留给了后续政令和规则去细化,比如“统计制作等活动”的具体范围、特定生物识别个人信息的对象范围,以及课征金适用中的一些判断标准。[30] 因此,现阶段更稳妥的说法不是“日本已经全面放开人工智能数据使用”,而是:日本正在把个人信息保护法从较强的同意中心结构,往一种更强调场景分类、风险分层和执法实效的框架上推。[31]
尾注
[1] 立法进度和公开材料清单,主要依据日本个人信息保护委员会 2026 年 4 月 7 日官网新闻页;该页同时列出《概要资料》《法律案纲要》《法律案及理由》《新旧对照条文》《参照条文》及记者说明资料。(警察厅)
[2] 修法总背景,即“数据利用需求上升”与“违法处理风险上升”并存,见官网新闻和《概要资料》中的修法宗旨概述。(警察厅)
[3] 《概要资料》将改正内容概括为四块:推动适当的数据利用、建立与风险相匹配的规制、防止不当利用、强化守法实效。(警察厅)
[4] 关于“同时处理利用路径、高风险场景、责任链条和后端执法”的概括,是对《概要资料》与《法律案纲要》整体结构的归纳。(警察厅)
[5] “统计制作等活动”的定义,见《法律案纲要》定义部分。(警察厅)
[6] 统计制作等场景下的第三方提供例外、公开敏感个人信息取得例外,见官网新闻与《法律案纲要》相关内容。(警察厅)
[7] “包括能够被整理纳入这一框架的人工智能开发等活动”,见《概要资料》及记者说明资料的政策说明。(警察厅)
[8] 这一制度路径并非一般豁免;需要通过互联网等方式持续保持公示状态,并以书面或者电子记录方式明确相关提供安排。该结论主要依据《法律案纲要》相关条款结构。(警察厅)
[9] 生命身体保护、公卫场景下例外条件的放宽,以及“明显不违背本人意思且不损害其权利利益”的一般例外,见《法律案纲要》。(警察厅)
[10] 学术研究机构等扩展至医疗提供机构或团体,以及其现实背景,见《法律案纲要》和记者说明资料。(警察厅)
[11] 未成年人最佳利益要求及相关安排,见《法律案纲要》。(警察厅)
[12] 法律案纲要和说明资料均明确了 16 岁未满的年龄口径;关于法定代理人参与等具体说明,可结合记者说明资料理解。(警察厅)
[13] “特定生物识别个人信息”是指经转换后形成的个人识别符号中,那些通过不需特别技术或高额成本的方法即可取得、且本人不容易意识到已被采集的部分;具体定义见《法律案纲要》。(警察厅)
[14] 事前通知或使本人容易知悉、不得通过选择退出方式提供、本人可请求停止利用或提供,见《法律案纲要》。(警察厅)
[15] 脸部特征数据、多点摄像设备、关联后持续追踪等风险,见记者说明资料。(警察厅)
[16] “可联系个人相关信息”的定义及两条底线规则,见《法律案纲要》。(警察厅)
[17] 受托方不得超出受托业务必要范围处理,以及符合合同条件时部分法定义务可不重复适用,见《法律案纲要》。(警察厅)
[18] 现行制度下委托方监督不足、受托方越界利用的现实背景,见记者说明资料。(警察厅)
[19] 选择退出制度下的接收方确认义务、记录义务和不得虚假说明,见《法律案纲要》。(警察厅)
[20] 漏泄等事件下本人通知义务的合理化及替代措施示例,见《法律案纲要》和记者说明资料。(警察厅)
[21] 调整命令要件,并可要求通知本人、公开事实等必要措施,见《概要资料》。(警察厅)
[22] 课征金缴纳命令的对象及其适用条件,见《法律案纲要》;其中一项重要限定是,适用条件限于经营者未尽到相当注意义务的情形。(警察厅)
[23] 对相关役务提供者的要请机制及免责安排,见《法律案纲要》。(警察厅)
[24] “有助于人工智能应用的顺畅数据联通”这一政策方向,见官网新闻与《概要资料》。(警察厅)
[25] 《人工智能基本计划》等政策脉络,见记者说明资料。(警察厅)
[26] 未成年人、脸部特征数据、委托链条等现实风险,见记者说明资料。(警察厅)
[27] 本人参与规则调整需要与课征金、命令、罚则等一体整备,同时避免不当寒蝉效应,见记者说明资料。(警察厅)
[28] 企业需要先判断利用路径,而不只是看是否有同意,这一实务延伸依据来自统计制作等路径及其条件设计。(警察厅)
[29] 未成年人、生物识别、广告触达、委托处理场景需要更细颗粒度规则设计,系对对应专门规则的实务归纳。(警察厅)
[30] 许多关键边界仍待政令或规则细化,见《法律案纲要》中多处后续授权设计。(警察厅)
[31] “从较强的同意中心结构转向更强调场景分类、风险分层和执法实效的框架”是对本次修法整体方向的综合判断。(警察厅)
这次日本《个人信息保护法》修订,已经进入正式法案推进阶段。2026 年 4 月 7 日,日本个人信息保护委员会发布消息称,《个人信息保护法等一部修正法律案》已经完成内阁会议决定,并提交第221 届特别国会;同日公开的材料包括官网新闻、《概要资料》《法律案纲要》《法律案及理由》《新旧对照条文》《参照条文》以及记者说明资料。[1]
如果顺着这些材料来读,这次修法的层次其实很清楚。官网新闻和《概要资料》先把大的背景讲出来:一边是数字技术快速发展,数据利用需求上升;另一边是违法处理个人信息、侵害个人权益的风险也在上升。在这个前提下,修法既要让合理的数据利用更顺一些,也要把高风险场景和后端执法做得更实一些。[2] 《概要资料》把这次修法概括成四块:推动适当的数据利用、建立与风险相匹配的规制、防止不当利用、强化守法实效。[3]
从这个结构出发,这次修法更适合被理解为一次治理方法的调整,而不只是某几条规则的增删。它不是只在谈人工智能,也不是只在谈处罚,而是在同时处理四件事:哪些利用场景可以从原来较为僵硬的规则里走出来,哪些高风险场景需要单独加规则,哪些责任链条需要重新理顺,哪些违法处理需要更强的后端工具去兜住。[4]

二、再看内容:这次具体改了什么
(一)先动的是“数据利用路径”
这次最受关注的一块,是新增“统计制作等活动”这条规则路径。按照《法律案纲要》的定义,这里的“统计制作等活动”并不是泛指一切数据分析,而是指对大量信息进行抽取、分类、比较和分析,形成关于整体趋势或者性质的信息,而不是关于某个个人本身的信息;同时,这类活动还必须属于对个人权利利益侵害风险较低、并由后续规则进一步限定的活动。[5]
围绕这条路径,法案准备作两项重要调整。其一,在一定条件下,可以为了开展“统计制作等活动”向第三方提供个人信息或者个人相关信息,而不再以本人同意为前提。其二,对已经公开的敏感个人信息,也准备设置相应取得例外。[6] 《概要资料》在这一点上说得更直白一些:只要信息仅用于统计信息等的制作,就可以不再要求本人同意;并且它还专门补充,这里的“统计制作等活动”也包括能够被整理纳入这一框架的人工智能开发等活动。[7]
不过,这里并不是一条宽泛豁免。《法律案纲要》把条件写得很细:相关事项需要通过互联网等方式持续保持公示状态,提供方与接收方之间还需要通过书面或者电子记录方式明确约定该提供属于这一制度路径。也就是说,这条路径并不是把人工智能开发直接写成一个很宽的例外,而是试图给一部分低风险、可限定、可持续公示和约束的数据利用,整理出一条新的合法路径。[8]
除了这条新路径之外,这次修法还在同意规则周边做了两类调整。一类是,在生命、身体保护和公共卫生等场景中,原来很多地方强调“同意难以取得”,现在法案把例外条件进一步放宽到“不同意取得具有相当理由”的情形。另一类是,新增了一种更一般的例外:如果从具体情境看,相关处理明显不违背本人意思,而且明显不会损害其权利利益,那么在一定条件下,也可以不再机械地卡在同意上。[9]
还有一个不那么显眼、但很值得注意的调整,是法案把“学术研究机构等”的范围明确扩展到以医疗提供为目的的机构或者团体。记者说明资料对这部分背景讲得很清楚:医学和生命科学研究往往离不开对诊断、治疗案例的临床分析,而现实中病院等机构广泛参与研究活动,现行法上的主体范围并不能当然覆盖这些情形,因此修法想把这部分关系重新理顺。[10]
(二)与此同时,它把几个高风险场景单独拎出来了
如果说前面是在整理“哪些利用路径可以更顺一些”,那后面更像是在回答“哪些风险场景不能再用一般规则轻轻带过”。
未成年人是第一块。纲要写到,处理未成年人个人信息时,应当结合其年龄和发育程度,优先考虑其“最佳利益”,并采取必要措施避免损害其权利利益;未成年人的法定代理人在作出相关同意或者提出请求时,也应当优先考虑其最佳利益。[11] 法律案纲要和说明资料均明确了 16 岁未满的年龄口径;在此基础上,说明资料又把法定代理人参与通知和同意机制的方向讲得更具体。[12]
第二块是针对“特定生物识别个人信息”的单独加严。纲要的定义很有针对性:它瞄准的是经转换后形成的个人识别符号中,那些可以通过不需要特别技术或高额成本的方法取得、而且本人又不容易意识到已被采集的部分。[13] 围绕这类信息,法案拟要求事前通知或者使本人容易知悉,并明确不能通过“选择退出”方式在无同意下向第三方提供;本人还可以请求停止利用或者停止提供。[14]
记者说明资料则把立法担忧说得更具体。它提到,像脸部特征数据这类信息,可以通过在多个地点布设摄像设备收集后进行关联,从而在本人未察觉的情况下持续追踪其活动。[15] 这样一来,条文和说明材料就连起来了:法案不是笼统在谈“生物识别敏感”,而是在回应一种更具体的现实风险,即低成本、隐蔽、大规模采集并持续识别个人的能力。
第三块,是新增“可联系个人相关信息”这一概念。按照纲要的定义,它指的是虽未必已经构成传统意义上的“个人信息”,但已经包含可用于向特定个人进行联系或者信息传达的描述等的个人相关信息。法案围绕它设置了两条底线:不得以可能助长或者诱发违法、不当行为的方式使用,也不得以欺骗等不正当手段取得。[16] 这个变化很值得注意,因为它意味着规制视角开始从“能不能识别出某个人”,进一步延伸到“是否已经具备联系、触达和影响某个个人的能力”。
第四块,是委托处理链条的调整。纲要明确提出,接受委托处理个人信息的经营者,原则上不得超出受托业务所必需的范围处理被委托的信息;同时,如果委托合同中已经按规则写明处理方法等事项,并且受托方是在受托业务必要范围内依约处理,那么部分法定义务可以不再重复适用。[17] 记者说明资料则补充了现实背景:现行制度下,委托方对受托方的监督并不总是有效,已经出现受托方超出委托范围独自利用个人数据的情形。[18] 这说明这次修法不是单纯补合同条款,而是在尝试把形式上的委托重新拉回到真实的数据处理关系上来。
还有两项调整,虽然不如前面几块显眼,但也很实用。一项是“选择退出”制度继续存在,但提供方以后要对接收方身份、利用目的等事项进行事前确认,并制作记录,接收方不得就这些事项作虚假说明。[19] 另一项是漏泄等事件发生后,本人通知义务拟作一定合理化:如果即使不通知本人,也不太会导致对其权利利益保护的明显欠缺,则可以通过替代措施应对;说明资料还举了例子,例如仅有单独看几乎没有意义的内部识别号泄露等情形。[20]
(三)后端执法工具也明显变硬了
如果只盯着前面的“同意例外”,会很容易低估这次修法后半部分的分量。事实上,《概要资料》已经明确写到,命令要件会调整,以便更快要求纠正违法行为;同时,个人信息保护委员会还可以就保护本人权利利益所必要的措施作出劝告和命令,例如通知本人违法事实、公开事实等。[21]
法案层面更重的一笔,是新增课征金缴纳命令。按照《法律案纲要》的写法,如果经营者因特定违法处理行为取得财产利益,原则上可以被命令缴纳与该利益相当的课征金;但其适用本身带有明确限定,其中一项重要条件,就是经营者未尽到相当注意义务的情形。[22] 这套设计不是按营业额广泛铺开的模式,而是更明显地瞄准带有经济激励、规模化、恶性的数据违法处理。
此外,纲要还把对第三方协力者的要请机制写了进去:个人信息保护委员会可以要求相关役务提供者采取必要措施,在涉及特定电气通信的信息流通时,还可以要求相关服务提供者采取阻断流通措施;相关第三方因依要请采取措施导致违法经营者受损的,原则上不承担赔偿责任。[23] 这一点很值得留意,因为它意味着今后的执法视角不只盯着最初的数据处理者,也开始把传播和流通链条纳入治理范围。
三、再问一句:为什么会这样改
如果把前面这些变化放在一起看,这次修法背后的问题意识其实很连贯。
第一层原因,是数据利用环境确实变了。官网新闻和《概要资料》都反复强调,数字技术快速发展带来了更高的数据利用需求,而且这种顺畅的数据联通也被明确写成“有助于人工智能应用”的政策方向。[24] 记者说明资料又把这个背景进一步接到《人工智能基本计划》等政策文件上,明确提到要研究有助于将人工智能开发等整理为“统计制作等活动”的同意规则,以及规制遵守实效性的问题。[25]
第二层原因,是风险形态也变得更具体了。未成年人因为判断能力和发育阶段的问题,更容易受到不当数据处理影响;脸部特征数据等可能在本人不知情的情况下被持续收集和追踪;委托处理链条中也已经出现受托方越界利用数据的现实问题。[26] 这些都不是抽象的制度忧虑,而是立法机关已经看到、并且准备正面回应的治理问题。
第三层原因,是前端想留空间,后端就必须同步变硬。记者说明资料里其实把这个平衡讲得很清楚:围绕同意规则、本人参与机制的调整,需要和课征金、命令、罚则等后端手段一起考虑,同时还要避免对正常经济活动造成不当寒蝉效应。[27] 所以这次修法真正想做的,并不是简单在“保护”和“利用”之间二选一,而是换一种治理方式:对低风险、可被收束的利用给出出路,对高风险、容易失控的处理给出更明确的约束和更有力的后果。
四、最后看企业意义:这些变化会落到哪里
对企业来说,这次变化最重要的一点,是合规工作的中心问题可能会变。以前很多场景里,先问的是“有没有同意”;以后更常见的问题,可能会变成“这个场景究竟属于哪一条规则路径”。尤其是涉及模型开发、数据分析、公开信息利用、第三方数据输入的业务,都需要更早梳理:自己使用的数据是什么类型,使用目的能不能被纳入“统计制作等活动”,现有流程里有没有公示、协议、用途限定和再提供限制这些条件。[28]
同时,未成年人、生物识别、广告触达、委托处理这些场景,也会更明显地进入重点区域。这并不意味着这些业务不能做,而是意味着它们越来越需要单独的规则设计、内部审批、尽调和留痕,而不是继续依赖一套很泛的隐私政策去覆盖。[29]
最后还要保留一个克制判断:现在能确定的是修法方向已经很清楚,但很多关键边界仍然留给了后续政令和规则去细化,比如“统计制作等活动”的具体范围、特定生物识别个人信息的对象范围,以及课征金适用中的一些判断标准。[30] 因此,现阶段更稳妥的说法不是“日本已经全面放开人工智能数据使用”,而是:日本正在把个人信息保护法从较强的同意中心结构,往一种更强调场景分类、风险分层和执法实效的框架上推。[31]
尾注
[1] 立法进度和公开材料清单,主要依据日本个人信息保护委员会 2026 年 4 月 7 日官网新闻页;该页同时列出《概要资料》《法律案纲要》《法律案及理由》《新旧对照条文》《参照条文》及记者说明资料。(警察厅)
[2] 修法总背景,即“数据利用需求上升”与“违法处理风险上升”并存,见官网新闻和《概要资料》中的修法宗旨概述。(警察厅)
[3] 《概要资料》将改正内容概括为四块:推动适当的数据利用、建立与风险相匹配的规制、防止不当利用、强化守法实效。(警察厅)
[4] 关于“同时处理利用路径、高风险场景、责任链条和后端执法”的概括,是对《概要资料》与《法律案纲要》整体结构的归纳。(警察厅)
[5] “统计制作等活动”的定义,见《法律案纲要》定义部分。(警察厅)
[6] 统计制作等场景下的第三方提供例外、公开敏感个人信息取得例外,见官网新闻与《法律案纲要》相关内容。(警察厅)
[7] “包括能够被整理纳入这一框架的人工智能开发等活动”,见《概要资料》及记者说明资料的政策说明。(警察厅)
[8] 这一制度路径并非一般豁免;需要通过互联网等方式持续保持公示状态,并以书面或者电子记录方式明确相关提供安排。该结论主要依据《法律案纲要》相关条款结构。(警察厅)
[9] 生命身体保护、公卫场景下例外条件的放宽,以及“明显不违背本人意思且不损害其权利利益”的一般例外,见《法律案纲要》。(警察厅)
[10] 学术研究机构等扩展至医疗提供机构或团体,以及其现实背景,见《法律案纲要》和记者说明资料。(警察厅)
[11] 未成年人最佳利益要求及相关安排,见《法律案纲要》。(警察厅)
[12] 法律案纲要和说明资料均明确了 16 岁未满的年龄口径;关于法定代理人参与等具体说明,可结合记者说明资料理解。(警察厅)
[13] “特定生物识别个人信息”是指经转换后形成的个人识别符号中,那些通过不需特别技术或高额成本的方法即可取得、且本人不容易意识到已被采集的部分;具体定义见《法律案纲要》。(警察厅)
[14] 事前通知或使本人容易知悉、不得通过选择退出方式提供、本人可请求停止利用或提供,见《法律案纲要》。(警察厅)
[15] 脸部特征数据、多点摄像设备、关联后持续追踪等风险,见记者说明资料。(警察厅)
[16] “可联系个人相关信息”的定义及两条底线规则,见《法律案纲要》。(警察厅)
[17] 受托方不得超出受托业务必要范围处理,以及符合合同条件时部分法定义务可不重复适用,见《法律案纲要》。(警察厅)
[18] 现行制度下委托方监督不足、受托方越界利用的现实背景,见记者说明资料。(警察厅)
[19] 选择退出制度下的接收方确认义务、记录义务和不得虚假说明,见《法律案纲要》。(警察厅)
[20] 漏泄等事件下本人通知义务的合理化及替代措施示例,见《法律案纲要》和记者说明资料。(警察厅)
[21] 调整命令要件,并可要求通知本人、公开事实等必要措施,见《概要资料》。(警察厅)
[22] 课征金缴纳命令的对象及其适用条件,见《法律案纲要》;其中一项重要限定是,适用条件限于经营者未尽到相当注意义务的情形。(警察厅)
[23] 对相关役务提供者的要请机制及免责安排,见《法律案纲要》。(警察厅)
[24] “有助于人工智能应用的顺畅数据联通”这一政策方向,见官网新闻与《概要资料》。(警察厅)
[25] 《人工智能基本计划》等政策脉络,见记者说明资料。(警察厅)
[26] 未成年人、脸部特征数据、委托链条等现实风险,见记者说明资料。(警察厅)
[27] 本人参与规则调整需要与课征金、命令、罚则等一体整备,同时避免不当寒蝉效应,见记者说明资料。(警察厅)
[28] 企业需要先判断利用路径,而不只是看是否有同意,这一实务延伸依据来自统计制作等路径及其条件设计。(警察厅)
[29] 未成年人、生物识别、广告触达、委托处理场景需要更细颗粒度规则设计,系对对应专门规则的实务归纳。(警察厅)
[30] 许多关键边界仍待政令或规则细化,见《法律案纲要》中多处后续授权设计。(警察厅)
[31] “从较强的同意中心结构转向更强调场景分类、风险分层和执法实效的框架”是对本次修法整体方向的综合判断。(警察厅)
