前沿分析|印度撤回《个人数据保护法(草案)》
1.引言
2022年8月3日,印度发布通知撤回2019年公布的《个人数据保护法(草案)》(以下简称“被撤回法案”)。被撤回法案提出了对跨境数据流动的严格监管,并提议赋予印度政府从公司获取用户数据的权力,这被视为总理莫迪对科技巨头实施更严格监管的手段之一。
在被撤回之前,该法案的审议进程可谓一波三折。在2019年12月被撤回法案被提交给议会联合委员会(Joint Committee of Parliament)进行分析之后,议会联合委员会提出了6次申请,以延期提交对该被撤回法案的报告。直至2021年12月,议会联合委员会在历经184小时20分钟共计78次会议之后提交了报告。议会联合委员会成员还表示报告表达了对被撤回法案的支持。
然而,印度并没有放弃立法,据印度信息技术部部长透露,印度新的隐私法草案将在不久的将来发布,政府的目标是在2023年初使新草案获得批准成为法律。
2.被撤回法案有哪些内容
目前,印度个人数据处理的规定仅限于《2000年信息技术法案》和《2011年信息技术规则(合理的安全实践和程序以及敏感的个人数据或信息)》。在2017年最高法院认定隐私为一项基本权利后,信息技术部(Ministry of Electronics and Information Technology)于2018年制定了该被撤回法案,并在2019年提交审查。
被撤回法案规定了以下内容:
个人数据归个人所有,定义了数据受托人(data fiduciary)
个人数据、儿童数据、敏感数据的存储必须获得个人明确同意,并规定了处理数据无需获得同意的例外情况
敏感和关键个人数据必须存储在印度境内,跨境流动受到限制
设定数据保护机构(Data Protection Authority of India)
政府有权从公司获得个人数据;政府有权认定关键个人数据类型;有权豁免某些数据不受数据跨境流动规定的制约
被撤回法案有两个值得关注的重点,一是政府自由裁量权较大,二是在数据跨境流动方面作出了严格要求。
在政府权力方面,政府认定关键个人数据类型的权力不仅会影响企业的存储和处理方式,还会对企业能否以及在何种条件下跨境传输数据产生影响。此外,中央政府为了主权、安全、公共利益等有权豁免政府机构适用被撤回法案,但未限定获得豁免的政府机构的类别,也未限定被豁免适用的法律条款。
在数据跨境流动方面,被撤回法案提出了敏感/关键个人数据本地化存储的要求。被撤回法案对数据出境作出了不同的要求,首先,关键个人数据一般不得出境,只有在涉及个人安全等的紧急情况下才能出境。其次,敏感个人数据可以传输到境外,但必须满足一定的条件,且获得了明示同意。上述条件包括:
数据跨境流动是根据数据保护机构批准的合同或集团内部计划进行的;
中央政府与数据保护机构协商后,允许将个人数据传输到指定国家或者某个国家的指定部门或者指定的国际组织;
数据保护机构已允许传输特定目的所需的敏感个人数据或敏感个人数据类别。
3.国内外对被撤回法案的反对声音
3.1.国内反对声音
印度国内的隐私倡导者反对政府在某些条件下自由获取数据压倒性权力,这种权力可能导致政府机构滥用访问权限。
除了法案规定的权力过大外,被撤回法案对数据跨境流动的限制还被指不符合印度产业发展现状。有学者认为,印度是IT与IT服务出口中心,为其他国家处理医疗保健和金融等行业的敏感数据,任何政策都需要考虑到这一点。被撤回法案对敏感数据跨境传输有严格的限制,这可能会影响其他国家对印度IT服务的需求。
3.2.国际反对声音
同时,被撤回法案也遇到了国际反对因素。
美国公司Meta、谷歌、亚马逊和其他互联网公司反对强制将数据存储在印度境内的条款和某些敏感信息处理条款。被撤回法案颁布之后,隶属于美国商会的美印商业委员会(U.S.-India Business Council,USIBC)计划游说美国官员和印度立法者,以淡化印度隐私法案中可能损害企业利益的部分内容。USIBC表示会评估该法案,并将与政府和其他利益相关者接触,“以确保纳入行业对法案的看法”。
2022年6月17日,欧盟宣布与印度重启自由贸易协定谈判(EU-India Free Trade Agreement),并于6月27日在新德里开启了一轮谈判。根据双方正在商讨的自由贸易协定,欧盟正在寻求其与印度之间的数据跨境流动不受到限制,包括印度允许企业在欧盟27个国家存储数据。因为被撤回法案规定了本地化存储的要求,两国拟议的贸易协定内容使得被撤回法案处于尴尬的境地。
3.3.印度政府对撤回法案的回应
2022年,自印度(司法)美联社沙阿委员会关于隐私的报告以来已近10 年,距离印度最高法院认定隐私权为基本权利的判决已过去5年,距离Srikrishna 委员会的报告已过去4年,有观点认为,这些都表明印度迫切需要数据保护法。
印度信息技术部长Ashwini Vaishnaw解释了撤回该法案的原因:“议会联合委员会对2019年《个人数据保护法案》进行了非常详细的审议。针对数字生态系统的综合法律框架提出了81项修正案和12项建议。鉴于议会联合委员会的报告,政府正在制定一个全面的法律框架。因此,在这种情况下,建议撤销2019年《个人数据保护法(草案)》,并提出一项符合综合法律框架的新法案。”
印度反对党表示,撤销该法案的决定是在美国的压力下做出的,大型科技公司现在会很高兴。但印度政府否认这一指控,表示新法律将遵守应对当前和未来挑战的全球标准。
4.小结
印度数字领域发展迅猛,而且人口众多,印度网民是世界上最大的互联网用户群体之一,数据保护对印度政府来说是情理之中也是重中之重。但是印度缺乏数据保护领域的法律,在此背景下,政府于2017年启动了制定《个人数据保护法》的进程,然而,经过数年的数十次讨论,《个人数据保护法(草案)》在旷日持久的博弈中于2022年8月3日被撤销。这是一个句点,也是一个新的起点,在地缘政治局势日益复杂的情况下,印度数据保护法将何去何从,我们期待拟在2023年初出台的“符合综合法律框架的新法案”能够回答这个问题。
参考文献
1. Aditya Kalra, India targets early 2023 approval for new privacy bill - minister, Reuters (August 4, 2022), https://www.reuters.com/world/india/india-targets-early-2023-approval-new-privacy-bill-minister-2022-08-03/。
2. Aditya Kalra, U.S.-India business groups plan to lobby for dilution of India's privacy bill: sources, reuters (Dec 18, 2019), https://www.reuters.com/article/us-india-dataprivacy-idUSKBN1YM0GL。
3. DataGuidance: https://www.dataguidance.com/sites/default/files/personal-data-protection-bill-2019.pdf, 2022年8月5日访问。
4. Dilasha Seth, Ravi Dutta Mishra, EU seeks unrestricted cross-border flow of data, livemint (Aug 5, 2022), https://www.livemint.com/economy/eu-seeks-unrestricted-cross-border-flow-of-data-11659642749158.html。
5. India withdraws data protection and privacy bill, aljazeera (Aug4, 2022), https://www.aljazeera.com/economy/2022/8/4/india-withdraws-data-protection-and-privacy-bill。
6. New Delhi, Why government withdrew bill it brought to protect your data, indiatoday (August 4, 2022), https://www.indiatoday.in/india/story/why-government-withdrew-bill-it-brought-to-protect-your-data-1983734-2022-08-04。
7. Soumyarendra Barik, Explained: Why the Govt has withdrawn the Personal Data Protection Bill, and what happens now, indianexpress (August 4, 2022), https://indianexpress.com/article/explained/explained-sci-tech/personal-data-protection-bill-withdrawal-reason-impact-explained-8070495/。
8. Soumyarendra Barik, Explained: Why the Govt has withdrawn the Personal Data Protection Bill, and what happens now, indianexpress (August 4, 2022), https://indianexpress.com/article/explained/explained-sci-tech/personal-data-protection-bill-withdrawal-reason-impact-explained-8070495/。
9. Soumyarendra Barik, Explained: Why the Govt has withdrawn the Personal Data Protection Bill, and what happens now, indianexpress (August 4, 2022), https://indianexpress.com/article/explained/explained-sci-tech/personal-data-protection-bill-withdrawal-reason-impact-explained-8070495/。
10. 欧盟网站:https://ec.europa.eu/commission/commissioners/2019-2024/dombrovskis/announcements/statement-executive-vice-president-dombrovskis-following-resumption-eu-india-free-trade-agreement_en,2022年8月5日访问。
11. 印度议会官网:http://164.100.47.193/lob/17/IX/SLOB3.8.2022.pdf,2022年8月5日访问。
(完)
往期文章:
1.全球数据治理观察
作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
2.欧盟数据治理模式
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
3、国际数据空间
全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
4、数据权属与数据治理之争
5、产业数据治理
6、数据跨境流动治理
英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理