漫谈《印度2019个人数据保护法案》之一： 新法案的“小前传”

漫谈《印度2019个人数据保护法案》之一：

新法案的“小前传”

前言

这几年，全球各国都在不断加强数据保护方面的立法，刹那间，各国家与地区涌现出数据立法热潮和国际性数据保护监管热潮。当然，热门出海地区的亚太国家之一的印度，也不例外。因从事相关出海业务法律工作，故笔者希望就印度最新出台的《个人数据保护法案》进行一些分享和解读，并通过几篇短文，能进一步帮助大家更多地去了解关于这个法案的主要框架脉络与部分关键条款。

了解一个法案的主要框架和关键条款固然重要，但如果可以更进一步了解它是怎么来的，以及有哪些其他的基础法案作为支撑背景的话，可能对于日常法务和律师提供顾问服务工作时候，去洞察当地监管机构的执法态势和动向，把握具体的业务操作风险点，会更有帮助。

01

新法案前有哪些关于个人信息保护的规定？

       犹记得早年在支持印度地区出海业务的时候，当时的印度尚未出台任何具体的隐私法规。那么，在个人信息网络保护方面，印度是通过哪些法律进行个人信息方面的保护呢？

其实，早在2000年的时候，印度就颁布了《信息技术法案》，尔后在2008年，对该《信息技术法案》进行了修订，并颁布了《信息技术法案（修正案）》，并于2009年10月实施。随后，又在2011年颁布了《2011信息技术法规》。这些法规的出台，不但对防范利用信息技术犯罪、利用网络传播色情等内容进行了规定，也对关于数据与个人隐私的信息技术监管进行了相关的规定，例如对未能保护好数据的行为规定了对应的赔偿措施（但该条在最新出台的修正案出被修改了），对关于侵犯隐私权的行为将会受到哪些惩罚进行了规定等。

根据当时的印度法律规定，个人信息主要是指，与自然人相关，且能够与其他法人团体提提供或可能提供的信息结合，直接或间接地识别个人身份的信息。并且根据《2011信息技术法规》的规定，敏感的个人信息是指，相关方需要遵循额外规定和履行额外义务的信息，此类信息包括密码、银行和金融信息，身体和心理状况、生物特征的信息等等。

同时，对于特定的行业，例如，电信行业、医疗行业，金融、信贷业等，印度政府也出台了一些特定的行业规定以便对相关的数据控制主体进行一定的约束，并增加了相应的法律义务。比如说，获取相关的医疗信息，电信信息等要求需要通过设置密码并需要输入密码后进行获取，以保障重要数据的获取时候需要有一定安全保障措施，以防止不恰当的泄露。又比如说，像银行之类的信贷机构等单位，需要制定相关的信用信息规章制度，并进行遵守，以保证从制度上做好数据合规工作。

       另外，印度的通信与信息技术部在2013年7月发布了《印度国家网络安全政策》，里面也有关于保护信息安全的相关规定，例如，规定了在处理、存储、传输信息过程中，应保护信息安全，以捍卫包括未成年人在内的网络用户的隐私权，减少由于网络犯罪或数据窃取所造成的损失。同时，该通信与信息技术部也设置了开放窗口，百姓可以就互联网数据保护和个人隐私保护的相关问题进行反馈，并对政府出台的网络法规提出各种意见。

02

新法案出台过程简述

随着欧盟《通用数据保护条例》（简称GDPR）的出台，各国也开始紧跟欧盟的节奏，不断加快制定数据保护法的步伐，以期希望进一步完善本国数据保护制度，强化数据保护。于是，印度高级别专门委员会在2018年7月27日正式发布了《2018年个人数据保护法案（草案）》（笔者曾对该草案的重点内容进行过解读：印度个人数据保护法案（草案）解读）。

后来经过一年多的筹备和酝酿，印度电子和信息技术部长Ravi Shankar Prasad，于2019年12月11日，在印度的下议院（India’s lower house of Parliament）洛克·萨卜哈（Lok Sabha）推出了最新的《2019个人数据保护法案》（“法案”）草案。该法案已提交给由上下议院议员组成的联合选举委员会（Joint Select Committee）。经与当地律师沟通，了解到，目前该法案还处于“Bill”的阶段，联合特设委员会会在印度议会2020年预算会议（Budget Session of Parliament）向洛克·萨卜哈（Lok Sabha）汇报，按照惯例，这个会议通常会在2月到3月期间举行。届时，印度政府可能会在预算会议中将法案提交议会进行讨论。

这意味着，从“Bill”到“Act”的期间，出海到印度的企业以及落入该法案管辖范围内的企业，相对而言仍然还有一些时间对内部的数据流程、数据跨境传输的布局与部署、数据保护制度等是否合乎当地的要求，进行自我修正和改善，但其实这样的时间也非常紧张，出海企业需要尽早进行相关的当地数据合规工作部署。

03

基础注意内容扼要概述

在进一步解读新法案以及需要关注哪些新增法条和注意事项之前，基于印度已有关于个人数据保护方面的相关法律法规，在日常业务运营过程中，一些基本的个人数据保护合规工作仍然需要继续做到位，比如：

2.      需要在获得被收集者的合法同意之前，才能开始收集个人信息，并且在收集前，企业需要向被收集者发出对应的通知；

3.      企业在收集了信息后只能在设定的收集目的和范围内进行使用，不得超出该授权范围和授权目的等等，如果信息的使用规定了对应的使用期限，则不能超出该使用期限对信息进行保留；

4.      用户有权去查阅自己所持有的信息，企业需要提供对应的查询渠道，并且当用户认为信息有误的情况下，用户有权要求作出修改等等。

当然，基础注意事项不止是上述的内容，还有更多，此处仅就部分内容进行提炼展示。更多内容将会后后续的文章分享中，结合新法案的规定，进行分享。

作者简介