漫谈《印度2019个人数据保护法案》之二：新法案的核心结构与部分关键内容概述

漫谈《印度2019个人数据保护法案》之二：新法案的核心结构与部分关键内容概述

印度新出台的《2019个人数据保护法案》，在印度的立法历程中，属于首部全面系统地规定个人数据保护层面的法规。我们可以先从宏观角度看一下新法案的主要框架，继而再看法案的一些关键条款与新变化。

划重点

01

学习GDPR的好样式

和其他多国新出台的数据保护立法相似，印度这部《2019个人数据保护法案》也深受欧盟《通用数据保护条例》（GDPR）的影响，不仅从大面的立法保护模式上与GDPR相近，在一些关键条款，例如管辖权，处理个人数据的合法依据，数据保护基本原则、数据主体权利以及行政处罚等规定方面，都和欧盟GDPR有很多相似的地方。

印度《2019个人数据保护法案》的第二条主要规定了法案的主要适用情形，从本条可以看出，印度的数据保护立法和欧盟GDPR相类似，也采取了统一的立法模式。这和美国在个人数据保护方面采取分散的立法模式，并且暂不设立统一的个人信息保护机构的做法，是很不一样的。

首先，所谓统一的立法模式，即该法案统一适用于所有机构。不论是印度的邦、印度的公司，还是印度的公民或根据印度法律成立或创建的印度团体或个人等等，都统一适用该法案，并不会对是印度公共部门或印度私人机构进行区分而设立不同的规定。

其次，该统一模式也体现在新法案没有对具体领域进行细分，而是确定了各个领域都将统一适用本数据保护法所确立的统一规则和框架。这一点和欧盟的GDPR非常接近。其核心的框架结构主要围绕（1）确认信息的处理是以合法、合理为基础，（2）明确数据主体的主要权利，（3）为数据主体提供的救济措施，（4）确保信息的透明度原则以及问责措施，（5）明确数据控制者的主要责任，以及（6）明确数据跨境传输的限制等六大方面进行设计。

再次，和欧盟GDPR相似，印度的数据保护法案，也赋予了数据主体统一的数据权利和数据处理方式与限制。通过统一的数据立法，明确了个人信息、个人敏感信息、数据主体、数据控制者等核心概念，统一赋予了数据主体访问权、纠正权、删除权、数据可移植权，被遗忘权等权利。

划重点

02

新法案的主要框架

如前所述，印度的数据保护法案受GDPR的影响，大体框架和逻辑结构与欧盟数据保护条例近似，但也结合了本国的一些特殊情况，就例如数据跨境传输、数据权属、引入新特殊概念，创新沙盒机制等进行了具体的规定。笔者基于印度2019新法案的主要框架结构与脉络进行大体梳理，方便对该法案从整体上有所了解。

主要框架  

脉络与逻辑   

划重点

03

新法案部分关键内容概述

【引入数据受托人新概念】

新法案引入了数据受托人（Data Fiduciaries）的新概念，根据新法案对数据受托人的定义，是指，单独或者与他人一起决定处理个人数据的目的和方式的任何人，包括邦、公司、法律实体或个人。可见，这与GDPR中关于“数据控制者”所定义的实质意思是相类似的，可以将“数据受托人”理解为“数据控制者”。不同的是，印度的数据法案赋予了“信托”的意思在其中，控制数据的主体，除了控制数据之外，还应该需要像信托人一样，谨慎地本着“公平且负责任”的态度对待数据主体的数据。

值得注意的是，根据新法案第六章第26条的规定，印度的数据保护局（DPA）有权决定是否将一个实体定义为“重要数据委托人（significant data fiduciary）”，一旦被定义为“重要数据委托人”，则意味着需要承担更多的数据责任，例如，当“重要数据受托人”将使用新数据处理技术，或者进行大规模的数据画像，又或者使用敏感个人数据（如遗传数据或者生物识别数据），或实施任何其他可能对数据主体造成重大损害的处理行为时，则需要按照法案的规定进行数据保护影响评估（DPIA），没有进行DPIA的话，则不能处理该等数据。又如，还需要任命“数据保护官（DPO）”对DPIA进行评估，并按规定的方式报送到DPA。

【关于域外管辖权】

新法案参考了GDPR的相关规定，在管辖权方面也进行了一定的扩大。新法案不仅适用于在印度境内收集、披露、分享或以其他方式进行处理的数据，还适用于不在印度境内的数据受托人或者数据处理者进行数据处理的行为，只要此类行为是

（1）与在印度经营的业务是相关的，或者与向印度境内的数据主体提供商品或者服务的活动有关；或者

（2）与对印度境内数据主体的画像活动有关。

【关于本地化存储要求】

在原来的2018印度个人数据保护法案中，原本是要求了数据受托人“应确保在印度的服务器或数据中心上至少存储一份本法适用的个人数据服务副本”，并确定了，如果政府指定了个人数据属于“关键的”个人数据时，“只能在印度的服务器或数据中心中进行处理。”

      而在2019新法案中，则删除了要求将所有个人数据的“副本”保留在印度的服务器上，然后才转移到印度境外（除非中央政府特别豁免）的规定。也就是说，根据新法案，对不被视为“敏感”或“关键”的一般的个人数据，不存在本地化或数据传输限制。

【关于数据跨境传输的限制规定】

新法案在印度的立法上，应该属于首次实现数据跨境传输的限制规定，这和莫迪政府一直推崇Digital India的政策有关，以防止重要的个人数据在未经授权的情况下转移到其他国家去。新法案中概述了几种进行跨境数据传输的方式，包括通过（1）标准示范合同（需要获得DPA的批准）；（2）集团内部计划（跨跨境但在公司集团内部，且需要获得DPA批准）；以及（3）由中央政府确定数据将受到“充分保护”，将个人数据传输到指定国家或者某个国家的指定部门或者指定的国际组织，并获得同意的情况。

同时，新法案也明确规定两个非常重要跨境传输的限制要求，第一个是，个人敏感数据可以向印度境外传输，但该等个人敏感数据应当继续存储在印度境内。第二个是，关键的个人数据只能在印度处理。

【关于个人数据的定义】

新法案对不同的个人数据进行了三个层次的分类，并针对不同的数据对应的特殊要求，概括性归纳如下：

【关于处理个人数据的合法依据】

关于该部分的规定比较繁杂，概括而言，新法案主要规定了包括六大方面的处理个人数据的依据：（1）基于同意的基础，（2）国家职能，（3）法院命令，（4）迅速采取行动，（5）基于雇佣的目的，以及（6）基于各种合理目的。值得注意的是，与GDPR不同的是，负责起草法案的委员会并没有把“履行合同义务”作为合法处理的基础，这可能意味着在实际业务过程中，让很多基于合同的业务关系的个人数据的处理变得比较困难。

【关于惩罚措施】

如果违反个人数据保护的相应规定，违反者则需要承担相对应的处罚措施。关于处罚，新法案主要就民事处罚和刑事处罚进行了规定。

在民事处罚方面，主要确立了两类处罚：

•第一类（可归纳为失职进行数据审核的行为）：

最高可处以五千万卢比（约合70万美元）的罚款或数据受托人上一财政年度总收入的2％（以较高者为准）。

•第二类（可归纳为违反法案要求处理和转移个人数据的行为）：

允许罚款不超过1.5亿卢比（约合220万美元），或者是上一财政年度数据受托人总收入的4％，以较高者为准。

•另外，新法案中还规定了一系列的违规行为，这些违规行为都可能会导致相关的数据受托人承担每日的罚金，但罚金也会有对应的上限要求。

在刑事处罚方面，需要注意的一项违法行为是，在没有经过数据受托人或数据处理者的同意下，将去标识化的个人数据进行重新识别的行为，将会被处以最高3年的监禁，或不超过20万卢比的罚款，或两者并罚。

当然，关于新法案值得关注的重要条款，不只有上述的内容，在此处仅将部分我们认为比较关键的内容进行概括总结。更多内容将会在后续的文章中进行分享。

作者简介