W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读
文/ 王捷 邱世贸 梁佩盈 叶影
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
2023年8月11日,2023年《数字个人数据保护法案(草案)》Digital Personal Data Protection Bill, 2023获得印度总统批准,进而在官方公报颁布了正式的2023年《数字个人数据保护法》Digital Personal Data Protection Act, 2023(以下简称“DPDP”)。该法案规范数字个人数据的处理,并对违反该法案规定的行为设定最高25亿印度卢比(约3100万美元)的罚款金额。DPDP具体的生效日期将由印度政府之后在官方公报上宣布。垦丁W&W国际法律团队对印度现行个人信息保护相关法律和此次DPDP内容进行了系统的整理、归纳、理解,从历史立法进程等四个方面对该法案作出我们的解读。
历史立法进程
印度DPDP的确立,经历了一个漫长的过程。垦丁W&W国际法律团队持续关注印度有关个人数据保护的立法动向,特梳理历史进程,为读者呈现更为清晰的时间线。
2018年
提出《个人数据保护法案(草案)》
2018年,印度提出综合性法律《个人数据保护法案(草案)》Personal Data Protection Bill,并于2019年公布该草案。
2021年12月16日
发布《数据保护法案(草案)》
在提交由印度议会两院成员组成的联合议会委员会(简称“JPC”)处理后,JPC报告与经修订的《数据保护法案(草案)》(《个人数据保护法案(草案)》被改名为《数据保护法案(草案)》)均于2021年12月16日发布。新法案旨在对个人和非个人数据实施监管,这意味着拟定法律的范围已经拓宽。
2022年8月3日
撤销2019年《个人数据保护法案》的动议
铁道、通信、电子和信息技术部长Shri Ashwini Vaishnaw于2022年8月3日在议会下议院提出动议,撤销2019年《个人数据保护法案》(在2021年12月发布报告后,动议旨在撤回经联合议会委员会修订的法案),根据该动议,一份包含撤回该法案原因的声明已分发给议会议员。
左右滑动查看更多
2022年11月18日
《数字个人信息保护法案(草案)》
在2022年11月18日,《数字个人信息保护法案(草案)》(Digital Personal Data Protection Bill, 2022)公开征求意见。
2023年8月3日
提交下议院
2023年8月3日,《数字个人信息保护法案(草案)》(Digital Personal Data Protection Bill, 2023)被提交给印度议会下议院。
2023年8月11日
获总统批准
2023年8月7日,印度2023年《数字个人数据保护法案》获得印度下议院通过,8月9日获得上议院通过,最终于8月11日,获得印度总统批准颁布于公报。
在DPDP通过之前,印度的数据保护要求来自多个不同的立法,但大多数公司,无论属于哪个行业,都受到2000年《信息技术法》Information Technology Act, 2000 (以下简称“IT法”)和2011年《信息技术(合理的安全实践和程序以及敏感个人数据或信息)规则》Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 (以下简称“SPDI规则”)的最强烈影响。尽管新的DPDP即将生效,但DPDP中明确规定,新法是作为补充而非减损当前有效的任何其他法律,若DPDP的规定与当时有效的任何其他法律的规定相冲突,则在冲突范围内以DPDP的规定为准。
关联阅读
亚太观察 | 印度:印度总统批准通过《2023年数字个人数据保护法案》
印度 DPDP规定要点
垦丁W&W国际法律团队在对本法案进行梳理和研究的过程中,特别关注到,DPDP在跨境传输方面,中央政府有权通过通知去限制跨境数据传输,除非满足法定豁免情形。
另外,DPDP规定,若目前生效的任何法律规定了更高的保护程度或者限制数据受托人传输个人数据,应当适用更严格的标准。
DPDP还新增了针对“重要数据受托人”,需要强制任命数据保护官、数据审计员,并进行定期数据保护影响评估的要求。
另在具体适用时,DPDP还规定了以下情形可豁免适用DPDP的全部或部分规定:
· 对于指定机构,为了安全、主权、公共秩序等利益;
· 用于研究、存档或统计目的;
· 对于初创公司或其他已通知类别的数据受托人;
· 执行合法权利和主张;
· 履行司法或监管职能;
· 预防、侦查、调查或起诉犯罪行为;
· 根据外国合同在印度处理非居民的个人数据;
· 经批准的合并、分立等;
· 寻找违约者及其金融资产等。
关联阅读
W&W国际法律团队 | 印度2023年数字个人保护法案提交议会
印度 DPDP与现行其他个人信息保护相关立法的对比
根据垦丁W&W国际法律团队的梳理,在DPDP通过后,目前印度与数据保护有关的主要法律规定包括:2023年《数字个人信息保护法》Digital Personal Data Protection Act, 2023,即DPDP,2000年《信息技术法》Informtion Technology Act, 2000 (简称“《IT法》”)和2011年《信息技术(合理的安全实践和程序以及敏感个人数据或信息)规则》Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 (简称“《SPDI规则》”)。虽然DPDP对《IT法》进行了三处修订(包括删除了《IT法》第43A条“未能保护数据的补偿”;在第81条中插入了DPDP的相关内容;删除了第87条第(2)款中的(ob)项,该项为关于第43A条的内容),但正如上文所述,DPDP明确规定,新法是作为补充,而非减损当时有效的任何其他法律。
由此,在本部分,垦丁W&W国际法律团队将从监管机构、管辖与适用范围等15个部分,对比印度现行与信息保护有关的主要法律中的规定(以下称“现行其他个人信息保护相关立法”)与DPDP新增的规定(以下称“DPDP新增”),旨在更清晰地为出海企业梳理DPDP提出的合规要求,帮助企业认识DPDP规定的内容,以便企业在DPDP生效后在理解法案的基础上采取进一步的合规措施。
法案生效后的影响
目前,印度官方尚未公布DPDP的具体生效时间,但此次DPDP的通过,标志着印度在个人数据保护方面,从曾经的零散立法,进入了一个体系化的全新时代,垦丁W&W国际法律团队将持续跟进DPDP的动态。
DPDP为出海企业勾勒了一副以数字方式处理个人数据时的合规框架:如对数据保护法律中“控制者”和“处理者”等关键概念作出更细致的区分;新增了处理数据的合法性基础;在企业需向用户告知的内容中增设撤回同意权和申诉权的方式、向数据保护委员会提出投诉的方式等内容,并增设数据主体的删除权,强化对数据主体权利的保护;规定“重要数据受托人”的任命数据保护官和数据审计员、定期进行数据保护影响评估要求等数据处理义务,以此增强对数字个人数据的保护;对违反DPDP的行为设定了最高25亿印度卢比(约3100万美元)的罚款金额。
印度电子与信息技术部(MeitY)展望,该法案能以干扰最小的方法改变数据受托人处理数据的方式,促进营商便利性,并赋能印度的数字经济。印度主流媒体The Hindu(《印度教徒报》)报道称,印度私营企业“称赞该法案减少了早期草案中对企业的严格要求”,例如2022年8月撤回的2019《个人数据保护法案(草案)》中饱受争议的数据本地化条款(即要求公司将某些敏感个人数据的副本存储在印度境内,并禁止部分关键个人数据的出口)。垦丁W&W国际法律团队近年来一直持续跟踪印度个人数据保护法的立法进程,今后也将持续密切关注该法案的生效、实施进展,关注其对出海印度的企业和全球科技生态系统的影响,帮助出海企业更合规地在印度开展业务。
垦丁W&W国际法律团队在DPDP历经多次变化期间,对印度的立法及执法动态进行了深入调研,并为多家出海印度的企业提供了有关在印度产品和服务的数据合规和个人信息保护法律合规支持服务,帮助企业出海印度的产品和服务乃至员工数据管理方面进行落地合规制度搭建。
推荐阅读:
W&W国际法律团队 | 印度2023年数字个人保护法案提交议会
亚太观察 | 印度:印度总统批准通过《2023年数字个人数据保护法案》
漫谈《印度2019个人数据保护法案》之一:新法案的“小前传”
漫谈《印度2019个人数据保护法案》之二:新法案的核心结构与部分关键内容概述
漫谈《印度2019个人数据保护法案》之三:新旧法案对比知多D——主要新增变化概述
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
资讯编写
叶影
垦丁律师事务所W&W国际法律团队实习生