【律师视点】辛小天:印度屏蔽59个中国app的“胆量” ——了解印度IT法案第69A条
德衡律师集团合伙人
印度电子信息部(IT Ministry) 6月29日屏蔽了59个中国移动应用程序,这些APP 的种类涉及到社交、视频编辑、图片编辑、电商平台、游戏和其他工具类程序,例如Tiktok,Shareit和CamScanner等热门应用都在其列。印度当局称它们认为公布的59款来自中国的应用有“在安卓和iOS系统上存在数据滥用情况,这些应用以未经授权的方式窃取用户数据秘密传输到印度境外的服务器。”的行为。同时印度政府宣称,收到了许多“公民对数据安全性以及与某些应用程序操作有关的隐私风险的担忧”。当天TikTok就从App Store和 Google Play 的印度市场下架。印度政府已经开始与印度互联网服务提供商(ISP)和电信服务提供商(TSP)进行沟通,以屏蔽来自59个中国APP的数据流量。
印度政府公告此次处罚基于2000年Information Technology Act (《信息技术法》,“ IT法案 ”)第69A条—阻止指令。本文带领大家快速了解和梳理印度政府口中的这把尚方宝剑。
一、69A条的内容
IT法案是处理印度网络犯罪和电子商务的主要法律,该法自2000年10月17日起生效,并于2008年进行了修订。
IT法案第69A条赋予了中央政府对于危害国家安全的网络信息的“阻止”权。原文内容如下:
政府可依据以下任何原因行使69A权力:
-印度的主权和完整
-印度国防
-国家安全
-与外国的友好关系
-公共秩序
-防止煽动实施与上述相关的任何可识别的犯罪
直接指令政府代理机构或中介渠道阻止公众访问,或阻止任何计算机资源中生成,传输,接收,存储或托管的任何信息被公众访问。
根据《信息技术法》的定义,中介机构是指代表另一方接收,存储或传输该记录或提供与该记录有关的任何服务的任何方,包括电信服务提供商,网络服务提供商,互联网服务提供商,网络托管服务提供商,搜索引擎,在线支付站点,在线拍卖站点,在线市场和网吧等。
二、69A的特点和争议
(1)国家安全原则的笼统性列举,导致印度政府对于权力行使基础具有较大的解释权,也意味着存在处罚依据的不明确性和不透明性。部分印度自由组织就针对本次行动缺乏透明度和公开性进行了抨击。
(2)覆盖度的范围极大,针对任何计算机资源中生成,传输,接收,存储或托管的任何信息的公众访问和传输,影响到被禁止平台、广告、渠道合作方、用户等多方权益。
(3)严厉的处罚(可处以最高7年有期徒刑,并处以罚款)给中介机构在商业运营和当地政策应对的选择中带来极大压力。Tata Communications, MTNL, BSNL等ISP服务商在印度的多个案例中均曾被要求遵守类似指令,中介机构过去一直针对69A抗议,包括Facebook 在加尔各答高等法院曾经进行起诉。
自2000年颁布以来,无论是基于与宪法上的言论自由权和隐私权的冲突,还是实施方式的透明度, IT法案都一直饱受争议和批评甚至政党的指控,其中69A为被争议最多的条款之一(其他抨击焦点条款还包括第66A条通过通信服务等发送令人反感的消息的处罚,第67A条以电子形式发布或传播包含露骨色情内容等内容的处罚和第79条关于中介责任)。但针对这些质疑和指控,印度政府和最高法院回应认为国家安全高于个人权益,称有足够的程序性保障措施。
三、程序性规定—禁止规则
69A的程序性措施规定于2009年的Information Technology (Procedure and Safeguards for Blocking for Access of Information by Public) Rules,2009《 2009年信息技术(阻止公共访问信息的程序和保障措施)规则》(“ 禁止规则 ”)。根据禁止规则,除非发生 “不允许延迟”的紧急情况或根据, 阻止指令必须按照申请、审核和发布三个流程才准予发放。指定发出后一个叫审核委员会(“Review Committee”)的机构将每2个月开会一次,以评估根据“阻止指令”发布是否符合第69A(1)节规定。除此以外,《禁止规则》未提供其他审查或上诉机制。
正常情况下,申请审核的程序需要一周左右的时间。而禁止规则规定在“不允许延迟”的紧急情况,DO可以直接跳过中间程序(包括征询CER建议)直接向Secretary联系批准阻止指令, Secretary在同意后可以作出临时措施,但是DO应在临时阻止作出后48小时内向CER征询审核建议。
据印媒分析,此次事件属于启动了紧急情况的临时组织措施,据最新报道,所有被封杀的中国App开发公司,已被要求在48小时内参加由印度政府专家小组举行的听证会,以针对涉嫌未经授权使用用户数据的指控,做出澄清并提交说明。
由于存在政治因素介入,此次事件的细节与走向有太多存疑。但而抛开这些因素,各国对于数据安全的防护都已经纷纷提升到国家安全的程度,印度对数据和个人隐私的保护趋势也正在与国际高标准接轨,其立法过程中的《印度个人数据保护法(PBPD)》, 特别针对个人信息的跨境保障提出了严格的要求,包括要求重要资料受托人须委任一名在印度的资料保护负责人,数据受托人必须在印度境内的数据系统留存所有副本;关键个人数据禁止传输出境;而敏感个人数据境外传输基础也应该满足数据主体同意、政府审批、报备等相关原则。这些也给出海企业在域外法律遵守和数据保护合规应对上提出了更高的要求。
或许您还想看
【律师视点】辛小天:无人驾驶车辆信息和数据保护的法律监管思考
【律师视点】辛小天:数据合规的中西大餐, 能否尝出融合的味道?
【律师视点】辛小天:信息保护标准解读系列之二 | 《生物特征识别信息的保护要求》解读
【律师视点】辛小天、王婧宇:长租公寓、业主、租客三方叫苦,租金都去哪儿了? ——再次认识“租金贷”
【律师视点】辛小天、杨玥祺:“Facebook”们在印度将面临的新数据监管要求
作者简介
辛小天
德衡律师集团合伙人,互联网与TMT业务中心总监, 网络空间安全战略与法律委员会委员,清华大学创业引导年度荣誉导师。
辛小天律师曾就职于MayerBrown JSM 律师事务所,美国美富律师事务所,通用电气及奇虎360 。擅长投融资以及并购法律、互联网法律及合规风控、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律、中国房地产开发、房产租赁、融资及抵押相关法律、酒店管理相关法律经验。主要业绩:奇虎360多个对外投资项目、奇虎360内部反舞弊等风控制度设立参与、阿里全资收购瀚海源项目法律顾问、乌云公司海外融资项目法律顾问、清华大数据产业联合会法律顾问,并协助多个投资项目、三里屯房地产项目法律咨询、喜来登、万豪、凯宾斯基、悦榕庄等数个酒店管理项目法律顾问、Apollo 基金中国反垄断申报等。
电话:13911159437
邮箱:xinxiaotian@deheng.com
质控人简介
陈国彧
集团高级联席合伙人
互联网与TMT业务中心副总监
邮箱:chenguoyu@deheng.com
✦本文仅代表作者观点,如需转载、节选,请在后台留言