印度《个人数据保护法(草案)》的数据本地化规定
近期,由退休法官B.N. Srikrishna出任出席的委员会,向印度Union law minister Ravi Shankar Prasad提交了《个人数据保护法(草案)》。目前,DPO社群已经对该《个人数据保护法(草案)》组织翻译,预计这周周末将完工,届时将发布供大家参考。关于DPO社群的有关情况,见【第二期数据保护官沙龙纪实:个人信息安全影响评估指南】
在该法案中文全文翻译发布之前,公号君先就该法案就个人数据本地化的规定做初步讨论,与大家分享。
《个人数据保护法(草案)》第40条为“跨境传输个人数据的限制”,具体规定如下:
(1)每个数据受托人应确保在位于印度的服务器或数据中心存储至少一份本法适用的个人数据的服务副本。
(2)中央政府应公布被认定为“关键个人数据”的类型,关键个人数据仅能在位于印度的服务器或数据中心中处理。
(3)即使第(1)款有任何规定,中央政府可以根据国家的必要性或战略利益,将某些类别的个人数据豁免于遵守第(1)款的规定。
(4)第(3)款所载的任何内容均不适用于个人敏感数据。
Restrictions on Cross-Border Transfer of Personal Data. —
(1) Every data fiduciary shall ensure the storage, on a server or data centre located in India, of at least one serving copy of personal data to which this Act applies.
(2) The Central Government shall notify categories of personal data as critical personal data that shall only be processed in a server or data centre located in India.
(3) Notwithstanding anything contained in sub-section (1), the Central Government may notify certain categories of personal data as exempt from the requirement under subsection (1) on the grounds of necessity or strategic interests of the State.
(4) Nothing contained in sub-section (3) shall apply to sensitive personal data.
短短几行字,包含了巨大的信息量。首先,在法案中实际上确认了存在三个类型的个人数据:个人数据、关键个人数据、个人敏感数据。其中,关键个人数据为个人敏感数据的子集;这一点从该法案41条(1)款的帽段可知。
其次,对于这三类数据,法案规定了不同的出境方案。关键个人数据不得出境,除非
在紧急状态下(该法案15条规定的紧急状态包括个人人身安全、医疗救治、灾难动乱情况下的援助等)
数据接收方所在国家、地区、行业被印度中央政府(会商法案新建立的印度个人数据保护部门后)所许可的,而且印度中央政府认为数据传输不会导致该法案无法有效落实
对于个人数据和关键个人数据之外的个人敏感数据,在以下条件下可以出境,但必须在印度境内保留一份副本:
传输须遵守经法案新建立的印度个人数据保护部门批准的标准合约条款或集团内计划(注:类似于GDPR的BCRs);
数据接收方所在国家、地区、行业被印度中央政府(会商法案新建立的印度个人数据保护部门后)所许可的
经法案新建立的印度个人数据保护部门认定一项特定的传输或一组传输为必要的
除满足A或B条款外,数据主体已同意这种个人数据的转移;
除满足A或B条款外,数据主体已明确规定同意转移敏感的个人数据,但不包括根据第40条第(2)款通知的敏感个人资料类别
最后,《个人数据保护法(草案)》给予政府对个人数据出境非常鲜明的自由裁量权。分别体现在,中央政府可认定关键个人数据、为国家的必要性和战略利益可豁免该法案对数据跨境的规定、可直接认定某些传输为必需的而允许数据直接跨境流动。
与《个人数据保护法(草案)》相配的报告称,印度中央政府应根据战略利益和执法要求确定对国家至关重要的敏感个人数据类别,也就是认定哪些个人敏感数据应当被认定为关键个人数据。
在《个人数据保护法(草案)》中,个人敏感数据将包括密码,财务数据,健康数据,官方标识符,性生活,性取向,生物识别和遗传数据,以及揭示跨性别状态,双性人身份,种姓,部落,宗教或政治信仰或个人隶属关系的数据。