2026 日本 AI 與個資法:4 月 7 日 APPI 修法草案會改變什麼
Tech 2 min read

2026 日本 AI 與個資法:4 月 7 日 APPI 修法草案會改變什麼

日本 2026 年 4 月 7 日提出的 APPI 修法草案,可能會放寬一部分與 AI 有關的資料使用規則。這篇整理草案到底寫了什麼、哪些還沒生效,以及真正的限制還在哪裡。

By Shih-Wen Su Updated 2026年5月6日

你正在東京一間公司的第一次資料審查會議上。團隊正在討論某個 AI 功能,可能會用到敏感使用者資料。這時候有人說了一句:「日本最近已經放寬 AI 訓練的規則了。」

這句話方向上不算錯,但範圍講得太寬了。

截至 2026 年 4 月 8 日,日本還沒有正式實施一套新的 AI 專屬 APPI 規則。真正發生的事是:2026 年 4 月 7 日,政府通過了 APPI 修正草案,並送進國會審議。如果之後正式通過,它確實會讓某些跟 AI 有關的資料使用情境變得比較容易。但它的範圍遠比「日本現在已經允許 AI 在未經同意下訓練資料」來得窄。

這個差別很重要。如果你在日本做 AI 產品,你需要搞清楚:哪些規則現在已經有效、哪些還只是草案、以及草案真正會改變你哪些實務流程。

APPI 和 GDPR,本來就不是從同一個出發點開始

歐盟對資料隱私的基本態度,是先假設資料共享有風險,再要求你證明它合理。每一種用途都要有法律基礎,同意要明確、細分,而且可以撤回。對「我可不可以用這份資料?」這個問題,GDPR 的預設答案通常比較接近「不行,除非你能提出理由」。

日本的《個人情報保護法》(APPI)整體上則比較願意保留資料的可用性,尤其是在政府認為對個人權益的風險,可以透過目的限制、治理機制和事後執法來控制的情況下。

這個政策方向,也很清楚地反映在 2026 年 4 月 7 日 的修法草案裡。PPC 的官方資料寫得很明確:這次修法一方面希望讓資料合作與 AI 利用更順暢,另一方面也要在高風險情境下加強保護。

如果通過,2026 年 4 月 7 日草案會改哪些事

這一波修法,最好理解成定向放寬加上定向收緊。對 AI 團隊來說,有三個部分最值得注意。

1. 針對某些 AI 相關資料分享,新增一條比較窄的免同意路徑

這是最受關注的一段,也是最容易被講過頭的一段。

PPC 的資料沒有說「AI 訓練現在全面不需要同意」。它真正講的是比較具體的情境:在某些情況下,如果資料的用途只限於製作 「統計資訊等」,那麼第三方提供或取得公開的敏感個資,可以不經同意進行。官方解說也提到,這個範圍可能涵蓋某些能被適當整理到這個架構下的 AI 開發用途。

同一份資料也提到,這條路徑會搭配幾個保護措施,包括:

  • 對外公開某些必要事項
  • 提供方與取得方之間要有書面合意
  • 用途要被鎖定,不能拿去改做別的事
  • 各種限制,確保資料使用真的留在「統計資訊等」這個法定框架裡

所以真正的重點不是「現在所有產品 log 都能拿去餵模型」。真正的重點是:如果草案通過,日本會為特定類型、符合這套法定框架與保護措施的分析或模型開發流程,創造一條比較容易實際使用的免同意路徑。

2. 某些健康資料情境會變容易,但臉部特徵資料反而變更嚴

這份草案對醫療與健康相關 AI 很重要,但細節依然比「健康資料解禁」來得窄。

第一,它會放寬現行規則裡「只有在難以取得同意時,公共衛生目的才能免同意」這個條件。PPC 的資料指出,草案會讓某些情況下,即使不是「難以取得同意」,只要有合理理由不取得同意,而且有適當保護措施,也可以不經同意處理資料。

第二,它會更明確地把像醫院、診所這種以提供醫療為目的的機構,納入「學術研究機關等」的某些研究處理框架裡。

第三,臉部特徵資料的方向剛好相反。官方資料寫的是:草案會新增通知義務、放寬停止利用或刪除請求的部分條件,而且會禁止這類資料採 opt-out 方式提供給第三方。所以臉部資料不是單純放寬,而是部分情況下變得更嚴格。

3. 日本會新增一種針對重大違規收益的課徵金制度

這也是草案裡非常重要的變化。草案允許 PPC 對某些重大違規案件,若是因不法處理資料而獲得財產上利益,可以命令其支付 課徵金

這跟歐盟那種按全球營收百分比計算的 GDPR 罰款,不是同一種邏輯。日本這邊的設計比較偏向:如果你的違規真的帶來實際收益,那就針對那個收益去加重處理。對創業者和產品團隊來說,這仍然是很嚴肅的執法工具,但它不會直接複製 GDPR 那種處罰形狀。

草案裡,企業端還有幾個值得追的變化

如果你是從產品、營運、法務落地的角度在看這次修法,還有幾個點值得一起追。

某些「不違反本人意願」的情境,同意要求也會放寬

除了「統計資訊等」這條路徑之外,PPC 的概要還提到:在某些根據資料蒐集情境判斷,明顯不違反本人意願、且不損害其權益的情況下,同意規則也可能放寬。

這聽起來很方便,但也正因為它聽起來很寬,實務上真正能用到哪裡,之後會非常依賴委員會規則與指引怎麼寫。PPC 自己的解說資料其實也在暗示,這部分邊界之後還需要再釐清。

未滿 16 歲的兒童,規則會更明確

草案會把一個原則寫得更清楚:未滿 16 歲 的人,其通知與同意相關程序,原則上要對應到法定代理人。官方資料也把這件事跟更容易提出停止利用 / 刪除請求,以及未成年人最佳利益原則放在一起看。

從產品角度來看,這會影響:

  • 消費者 App
  • 教育產品
  • 親子或家庭服務
  • 任何可能自然吸引到青少年使用者的成長流程

Processor(受託處理者)相關規則會調整

這次草案不是只看資料控制方。PPC 的資料也重新整理了替他人處理資料的受託方規則。

草案方向大致包括:

  • 明文禁止受託方超出「完成受託業務所必要範圍」來處理資料
  • 保留像是這個必要範圍限制與安全管理義務等核心責任
  • 在某些更接近純機械性處理的場景中,如果契約已經完整規定處理方式,而且委託方也具備足夠監督措施,受託方可能可以免除部分其他 APPI 義務

這對供應商、BPO、雲端處理流程,以及多方共同參與的 AI 部署鏈,都很有操作上的意義。

某些低風險資料外洩,對個人的通知要求會變輕

PPC 的資料也提到:如果外洩對當事人權益風險較低,對個別當事人的通知要求會放寬,並允許用替代措施處理。官方解說裡舉的例子,像是某些只具有內部意義、對收到者本身沒什麼單獨價值的服務識別碼。

不過,這部分實務上非常吃細節。真正的門檻,之後很可能會寫在下位規則或更具體指引裡,而不是停留在這種高層次概要。

日本還會新增一條,針對某些「未必是個資但仍能精準指向個人」的資料規則

這是草案裡很值得注意的一個新增點。它針對的是:某些資料可能未必符合 APPI 對個人資料的定義,但實際上仍然可以對特定個人採取有針對性的行動,例如透過電話號碼、地址、email、Cookie ID 等方式。

PPC 的資料指出,草案會禁止某些高風險情境下,對這類資訊的不當使用與不當取得。這對廣告科技、成長工具、潛在客戶開發、反詐騙、釣魚攻擊,以及任何把識別碼跟精準接觸行為連結起來的流程,都會有影響。

AI 法比較像框架法,不是 EU 那種細緻操作手冊

日本的 AI 法已經生效。日本內閣府的資料寫明,它在 2025 年 9 月 1 日 已全面施行。

但這裡很重要的一點是:不要把它讀得太像 EU AI Act。

官方資料強調的比較是:

  • AI 戰略本部
  • AI 基本計畫
  • 指引制定
  • 資訊蒐集與分析
  • 指導、建議與資訊提供

換句話說,日本這部法律比較像一套框架性法律,而不是像 EU AI Act 那樣,直接在法條裡放進風險分級、合格性評估、或部署前審查。

實務上真正的問題是:你到底可以拿日本使用者資料做什麼

截至 2026 年 4 月 8 日,最誠實的答案是:比最誇張的摘要說法少,但如果草案通過,可能會比以前多一點。

用三個常見場景來看,會比較清楚。

情境 1:內部 AI 工具(提高生產力、寫程式、摘要文件)

就算是「只是內部用」,也不代表一定不受規範。如果你用的是員工產出的資料、客服單、內部溝通內容、原始碼庫,APPI 一樣會進來。真正的實務問題通常是:用途有沒有講清楚、內部有沒有通知、權限控管做得怎麼樣、外包或供應商怎麼處理,以及實際用途有沒有超過原本告知的範圍。

情境 2:面向消費者的 AI(推薦、個人化、對話式 AI)

這是最容易把草案誤讀過頭的地方。如果你的邏輯是「我們有蒐集點擊和 prompt,所以就能拿來訓練」,這樣的理解太寬鬆。比較好的問題應該是:這個具體用途到底能不能真正落進草案裡的免同意路徑?所需保護措施有沒有到位?而且這個使用方式,是否跟直接影響特定個人利益的情境保持足夠距離?

情境 3:醫療或照護相關 AI(診斷、監測、照護機器人)

這是草案最可能真正產生差異的區域。公共衛生例外會變得比較好用,醫院研究的處理規則也會更清楚。但這仍然不是一張通行證。醫療採購、倫理審查、臨床驗證,以及資料治理要求,對很多團隊來說,仍然會是比法條本身更大的瓶頸。

你還是得自己處理「信任落差」

法規比較寬,不代表產品就會被接受。

就算日本法律允許某種用途,使用者也可能一樣覺得不舒服。2025 年一份針對 2 萬名日本成年人 的大型全國調查就顯示,人們對健康相關個資的分享意願,會隨著接收方不同而差很多:對醫療相關機構的接受度顯著高於較遠的第三方機構。

這就是產品問題。法律允許,不代表使用者就安心。兩者之間的差距,不會因為法條放寬就自動消失。

實務上這代表:產品裡的透明說明與控制機制,不只是道德選項,也是你縮小這個信任落差的主要方法。清楚的資料使用揭露、可見的退出機制(opt-out),以及誠實解釋 AI 功能怎麼運作,對日本市場的重要性,通常比法律最低要求還高。

法律是底線,信任才是上限。真正做得好的產品,會朝上限設計。

最後該怎麼理解這件事

2026 年 4 月 7 日 的 APPI 草案很重要。如果最後通過,它確實會讓某些跟 AI 有關的資料使用,在日本變得更容易。

但最正確的摘要,不是「日本已經開放未經同意的 AI 訓練」。更準確的說法是:日本提出了一套定向擴張免同意路徑的修法,針對部分公共衛生與醫療研究情境做定向放寬,並同時調整未成年人、受託處理者、外洩通知、以及能夠用來精準接觸個人的識別型資料規則,另外也對重大且有獲利的違規行為加重處理。

對工程師和創業者來說,這仍然是值得注意的訊號。它顯示國家確實希望 AI 開發能往前推。但也正因為如此,你的合規工作反而需要更精準,而不是更鬆。你需要知道:哪些流程真正能落進草案新增的法定通道、哪些還不行,以及哪些地方最後真正限制你的,不是黑字法條,而是機構要求與使用者信任。

這篇文章講的是修法草案,不是法律意見。如果你真的要做落地決策,還是請先回到 PPC 官方資料與現行指引,並把這個領域視為正在快速變動中的區域。

主要官方資料來源:PPC 2026 年 4 月 7 日內閣通過 APPI 修法草案新聞稿PPC 草案概要 PDFPPC 較完整的解說資料。AI 法框架可參考內閣府的 AI 法頁面AI 指引頁面。信任落差部分,可參考 2025 年發表於 Archives of Public Health 的全國調查。

Shih-Wen Su
Shih-Wen Su Founder & Tech Industry Writer

Former CTO of a TSE-listed company and tech founder with 16+ years in software engineering and nearly a decade building and investing in Japan's tech ecosystem — writing about the move so you don't have to figure it out alone.

All articles

Related Articles