背景介绍
6月29日印度政府信息技术部宣布59个APP将在印度被禁用,其中包括抖音和微信。此次禁用给出的理由为名单上的应用有损“印度主权和完整、印度国防、国家安全和公共秩序”(印度信息技术法案第六十九条第一款)。
在此次封杀59个应用之前,之前的“移除中国应用”和抵制tiktok事件已经引起很大水花。当时借YouTube和Tiktok网红大战的由头,大量水军涌入应用商店给中国厂商的应用tiktok打差评并发布攻击性侮辱性评价,一度把tiktok评分拉至1.4分。
印度政府以该国信息技术法案第六十九条第一款为基准,以及《2009年信息技术(阻止公众获取信息的程序和保障措施)规则》的相关规定,认为公布的59款来自中国的应用有“在安卓和iOS系统上存在数据滥用情况,这些应用以未经授权的方式窃取用户数据秘密传输到印度境外的服务器。”的行为。同时印度政府宣称,收到了许多“公民对数据安全性以及与某些应用程序操作有关的隐私风险的担忧”。印度电子和信息技术部对于此次事件的声明直接把数据合规问题上升到了国家案情层面:“对印度国家安全防卫有敌意的分子对于这些数据的汇编、挖掘和分析的,最终会影响印度的主权和完整性,这是一个非常深刻和紧迫的问题,需要采取紧急措施。”在印度,在一些特殊的“必要及紧急”的情况下,例如涉及主权及领土完整,边防与国家安全等问题的,允许中央政府命令中介网络服务提供商(Intermediary)对任何网站进行全站屏蔽。这次事件也正是印度政府借国家安全理由之名,对外来app下手的一个例证。截至昨天,中国驻印度使馆发言人嵇蓉参赞已就印度阻止部分中国手机应用发表声明,“中方对此表示强烈关注,坚决反对。”“印方措施选择性地特定针对部分中国应用程序,歧视性地采取限制,理由模糊牵强,程序有违公正公开,滥用国家安全例外,涉嫌违反世贸组织相关规则,与国际贸易和电子商务发展大趋势背道而驰,更无益于印度消费者利益和促进市场竞争。” 印方的回应尚不得而知。去年四月tiktok就曾被印度马德拉斯高等法院下达禁令,经过字节跳动的上诉、最高院听证、发回重审,一个月内,tiktok就重回印度应用商店(前情摘要:印度马德拉斯高等法院(MadrasHigh Court)认为:“TikTok上存在相当多的色情内容,对印度青少年的身心造成了极大的损害”,并提及了TikTok造成了诱导自杀的负面影响,例举了一个15岁家住孟买的女孩,由于沉溺TikTok,被奶奶责骂以后,一怒之下自杀轻生的例子。于是,该法院要求当地中央政府对TikTok下达禁令(Injunction),要求限制媒体通过),。而本次封杀由印度政府信息技术部发出,非法院所为,无法通过向最高法院上诉来组织该禁令生效,似乎封死了之前踏出的一条验证好的解决路径。不过截至目前,本文作者已经得知一些印度律师已经摩拳擦掌跃跃欲试联系各位受害企业,代表其与印度政府进行argue,乃至于试图说服政府撤销该决定。对正在进行的合作伙伴,上下游供应商的合同履行情况、主要条款进行梳理与排查对收集、处理、存储印度用户数据的情况进行摸排,数据存储情况与回传问题(后文进行具体说明)包括但不限于在网站页面产品页面上及时提供告示、通知,做好预案, 考虑加入出厂预装大礼包等。出海印度的除了短视频、社交软件、游戏外,还有很大一部分是硬件企业, 目前中国出海印度的手机厂商,有部分在出厂时预装了中国的APP,这次6月29日的行政命令也没有涉及的这个方面,虽然并不是大多数,但如果出海APP企业继续想打开印度市场,绑定硬件渠道也可以考虑。在下架时期,新用户无法获取,新的商业模式无法展开,只能尽量避免已有用户流失和已有的合作伙伴。虽然广告收入被影响很大,但此时的当地运营成本不能节省。需要动态关注当地政府监管及合规要求。与欧美、日本、澳加等有着完善法律体制的发达国家相比,作为明星出海地区的东南亚地域以及新兴的中东、非洲等地区,无论是法律制度、法律环境还是执法力度相对而言是不甚完善的,易变性较大,本土化执法特点明显,对法务支持人员的要求更为灵活,需要及时把握政策变化的趋势及风向。例如印度已经出现过政府会对涉及宗教、政治、色情等敏感内容,并可能引起社会动荡的信息的链接或网站进行屏蔽或封锁的事件(但一般政府会屏蔽具体的网页,极少情况下才会进行全站屏蔽)。虽然此次的数据滥用和非法传输境外很大程度上只是一个盖在政治理由上的随机面纱,但在印度印度2019个人数据保护法案草案已经通过国会审核,正在不断提供对个人数据的保护力度的背景下,出海印度的企业为预防整体风险,也需要对数据隐私合规重视起来。对于互联网服务和产品来说,商业模式中涉及大量的用户数据的数据,更要注重个人数据合规体系的搭建,例如在产品设计时,需要用户事先明确同意后才能获取其个人信用信息,并采用技术措施进行加密保护,防止泄露等。1)跨境数据传输风险
如我们在《漫谈《印度2019个人数据保护法案》之二:新法案的核心结构与部分关键内容概述》中的分析,在2018印度个人数据保护法案中,要求了数据受托人“应确保在印度的服务器或数据中心上至少存储一份本法适用的个人数据服务副本”,除非政府行使职权将“某些类别的个人数据”指定为免于本地存储需求。根据2018法案的要求,个人数据只可以法案规定下的情况下才能向印度境外传输,包括例如经过DPA批准的示范条款和集团内部数据传输安排,或经过数据主体的同意的情况,又或者是在政府发现接收国提供“适当”保护的情况下进行。而一般被由政府定义为重要的个人数据基本上是很难转移到印度境外的。
而在2019新法案中,则删除了要求将所有个人数据的“副本”保留在印度的服务器上,然后才转移到印度境外(除非中央政府特别豁免)的规定。需要注意的是,新法案仍然保留了对于“敏感个人数据”与“关键个人数据”的限制。从整体来说,也在比较大的程度上减少了本地化和数据传输限制的范围。即:
对于敏感的个人数据:可转移到印度境外(大多数情况下必须获得数据主体的明确同意),但此类敏感的个人数据应继续存储在印度。
关于敏感数据界定值得注意的是,密码已从新法案中敏感个人数据的定义中删除。
对于关键的个人数据:只能在印度境内进行处理,并为该等数据的境外转移的严格本地化要求提供了例外条件:
(1)在必要情况下,向从事提供公共医疗卫生服务或紧急服务的个人或实体传输;
(2)中央政府可根据草案的规定,允许向某一国家或某一国家的任何实体或某一国际组织传输,并且中央政府认为这种传输并不损害国家的安全和战略利益。
同时,法案允许政府对何为“关键个人数据”进行定义,且对政府进行此类指定的权力没有任何限制,即政府具有比较大的自由裁量权。
2)调整了合理处理个人数据的法律依据
关于处理个人数据的合法依据,在2018法案中,与GDPR不同的一点是,没有把“基于合同必要性”作为合法处理的基础,虽然在2019新法案中,仍然没有把“履行合同义务”作为处理依据写进去,但是对“合理目的”的法律依据进行了调整,这对可能在某些需要履行合同的情况下而处理数据的行为是一个非常有利的信息。
根据2018年法案的规定,允许数据受托人出于合理目的(例如检举揭发、网络与信息安全等)可以在未经用户同意的情况下处理个人数据,但同时需要考虑到各个利益相关方的之间的平衡以及数据主体和环境的合理期望等因素处理(例如公共利益)。同时也规定了该合理目的除了已经在法案中列举出来的,还“可以由法规进行规定”,新法案还将合理目的的扩展到包括“搜索引擎的运营”。
出于就业的目的,新法案的处理理由要比2018年法案所规定的要窄,新法案不再允许数据受托人基于就业目的处理敏感的个人数据。
参见:漫谈《印度2019个人数据保护法案》之三:新旧法案对比知多D——主要新增变化概述
应用出海身在应用商店的屋檐下,不得不紧跟其开发者政策。本次59个应用被封杀,经测试,其中一些app已经在印度Google play上消失,是被下架还是主动认怂下架目前还无法确认,但连政府层面出手都要借助平台,可见平台的重要性。从“处罚”速度的角度说,应用一旦违规,平台的反应速度比政府法院可是要快得多。一旦被下架,内买、广告投放和下载数据都会受到影响。更不要说整个开发者账号被封的可怕程度了。出海项目需要关注当地政策法规的各类特殊要求,特别是大型的出海项目。尤其需要关注这三方面:2)出海企业在当地的经营实体的选择、优劣势对比及税收优惠政策比较;出海企业尤其需要注重知识产权的全球化布局策略,小到域名、字号、logo,大到商标、专利、版权(包括软著、游戏程序、美术作品、字体等)“三位一体”的布局模式,出海企业需要有计划、有步骤、有目标地在不同国家、不同地区地推进主体产品在主要国家的落地申请与布局。一方面,不仅确保自身在服务所涉及的主要地区和国籍拥有对应的权利,另一方面,还能有效阻止对方的恶意抢注或竞争对手的进攻,巩固自身的知识产权壁垒,实现健康出海。
王捷,垦丁海外业务负责人,资深出海法律顾问。广东省法学会信息通讯法学研究会理事,荷兰 RuG 国际经济法与商法硕士,曾任职阿里巴巴大文娱集团,深耕海内外多条业务线,专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。九年多的科技型公司实务经验与中外律所从业背景,能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。 联系方式:微信jie-72,添加微信,请备注来意,如“业务合作”,“学术交流”等等,感谢!
魏彤,数据隐私合规顾问,前欧盟企业DPO联系方式:15926458510
转发,是对作者最大的鼓励
在看,是对作者最大的认可
创作不易,请点击一下“在看”↓