日本于2003年颁布了《个人信息保护法》（Act on the Protection of Personal Information，以下简称“APPI”），是亚洲最早的个人信息保护法律之一，后分别于2015年、2020年和2023年进行了修订。以下部分具体介绍了APPI中的相关定义和合规要求点。

1)个人信息，是指属于下列情形之一的关于在世个人的信息：

通过该信息中包含的姓名、出生日期或其他描述可识别特定个人的信息，包括容易与其他信息对照后识别特定个人的信息；

含有个人识别符号的信息。

2）“敏感个人信息”是指为避免发生针对本人的不当歧视、偏见或者其他不利而需要在处理时予以特别注意的个人信息，例如种族、宗教信仰、社会身份、病历、犯罪经历、因犯罪受害的事实等。未事先取得本人的同意，个人信息处理者不得收集敏感个人信息，或向第三方提供敏感个人信息。

APPI规定了产生域外适用效力的情况：个人信息处理者对于向国内主体提供物品或服务获得的国内数据主体的个人信息，在国外进行处理的情况。

APPI中规定，个人信息处理者向境外第三方提供个人数据的，个人信息处理者必须事先获得数据主体的同意，并向数据主体提供以下信息：

1) 关于国外个人信息保护制度的信息；

2) 第三方为保障个人数据安全而采取的保护措施；

3) 其他可供参考的信息。

对于未成年人的网络保护，日本采取专门立法和分散立法相结合、中央立法与地方立法并重的模式。但是针对未成年人个人信息保护，日本国内还存在着法律缺位的情况。目前，日本法律界正在积极推动相关立法工作，希望早日完善未成年人个人信息保护相关法律制度。

根据APPI的规定，数据主体可以要求个人信息处理者公开所持有的个人数据。如可识别的保存的个人数据内容不实的，本人可以向个人信息处理者请求其更正、增加或者删除其保存的个人数据内容。个人信息处理者应当尽力妥善且迅速地处理个人信息处理方面的投诉。

根据APPI的规定，除法令要求、保护生命或财产需要、提供公共卫生或促进儿童健康发展需要、国家机关或地方公共团体合作执法需要、学术研究目的等情形外，未经数据主体同意，个人信息处理者不得将个人资料提供给第三方。

个人信息处理者委托处理全部或部分个人数据的，必须对受托方进行必要和适当的监督，以确保受托方进行必要和适当的监督，以确保受委托处理的个人数据的安全管理。

APPI中规定，个人信息处理者在处理个人信息时，必须尽可能确定其使用的目的，并且及时向数据主体通知或公布其使用目的，但已事先公布的除外。未经数据主体事先同意，个人信息处理者不得超过为实现已确定的使用目的所必须的范围来处理个人信息。个人信息处理者改变使用目的的，必须将变更后的使用目的通知本人或予以公布。

中国的游戏公司开拓日本市场，这样的商业行为势必会有数据的跨境流动，而用户基数大、个人数据处理场景复杂也是游戏行业的特点。游戏公司需要基于APPI，制定适用的数据跨境合规策略，确保个人数据的跨境传输符合相关规定。如：

·在隐私政策中明确收集的个人数据会被跨境传输并获得数据主体的同意;

·列举境外接收方信息、境外接收方的个人信息保护制度、境外接收方为保障个人数据安全而采取的保护措施;

·跨境传输的个人数据种类;

·跨境传输的方式和目的。

虽然日本并没有游戏实名制的制度，但是游戏公司在用户注册、满意度调查、游戏内支付等场景中，可能会收集用户的年龄信息。

CERO（Computer Entertainment Rating Organization）是由日本计算机娱乐软件协会（Computer Entertainment Software Association，CESA）于2002年所成立的特定非营利活动法人团体，主要业务为负责日本发行之电脑软件与游戏的分级制度的制定以及游戏分级的审查。CERO的评级涵盖了在日本销售的家用电脑和视频游戏（包括手机型游戏），A/B/C/D/Z评级分别对应全年龄/12岁以上/15岁以上/17岁以上/18岁以上的游戏玩家。

即使在日本没有未成年人个人信息保护的专门立法，考虑到未成年人是多数游戏产品的重要用户群体、其身份的特殊性和法律界对于相关法规制定的呼吁，仍然建议游戏公司根据日本游戏行业标准，施行相应合规措施：

1）制定专门的未成年人信息处理规则或在隐私政策里追加未成年人信息保护的相关条款款项。

2）建立便捷、合理、有效的未成年人投诉、举报渠道，方便其行使数据主体的权利，并指定专人负责未成年人信息保护。

3）游戏公司也要时刻关注未成年人法律法规的发展，及时响应新的合规要求。

游戏公司的用户基数大，个人数据处理场景复杂，在个人数据处理活动中涉及的数据类型包括个人基本信息、网络身份标识、财产、通信、联系人、常用设备、位置等，这样的用户体量、数据处理场景和数据类型也意味着游戏公司面临的用户行使数据主体权力的请求数量多、请求内容复杂，因此游戏公司需要建立高效、便捷的个人数据主体行权相应制度：

1)明确清晰地告知个人数据主体所享有的权利，包括查询、更正、删除、注销账户等；

2)提供行使相关权利和申诉权利的联系人姓名和联系方式，并规定响应用户请求的时间限制。

游戏公司为了实现广告统计、消息推送、支付服务、获取位置信息和日志信息、优化产品性能等目的，可能会将用户个人数据提供给第三方或委托第三方进行处理，需要采取以下合规措施：

1）如果是将个人数据提供给第三方，需要将以下相关信息事先通知数据主体并置于易于获知的状态，并获得数据的同意：第三方经营者的姓名、联系方式、使用目的、收集的数据类型等；

2）无论是将个人数据提供给第三方或委托第三方进行处理，都需要签订数据处理协议，明确收集的个人数据种类、处理方式、保护措施和双方对于数据处理的责任和义务。

游戏行业的用户基数庞大，覆盖各年龄、各行业的个人数据，用户在体验游戏时的很多场景都在收集个人数据，例如用户注册、提供游戏基本功能、满意度调研服务、个性化订阅、下单支付、客服响应。收集个人数据的途径多样，不仅有传统的线上渠道的用户注册、提供游戏基本功能（日志、设备信息）这样的个人数据收集场景，游戏公司为了进行用户满意度调研、个性化订阅、以及客服响应时都可能收集个人数据。

为了满足APPI中对于个人数据使用目的的相关合规要求，游戏公司可采取以下措施：

1)根据个人数据处理场景，对使用目的进行分类并在隐私政策中明确列出；

2)定期检查隐私政策，如果个人数据处理目的超过原有范围，须更新隐私政策且通知数据主体。