印度拟发布新的数据保护法草案，或放宽数据本地化要求

Original 数治君数据信任与治理 2023-01-13

收录于合集 #全球数据跨境流动治理 22个

背景/

2022年9月18日，印度电子信息技术与通信部长Ashwini Vashnaw透露，新的数据保护法草案（以下简称“新草案”）起草工作接近完成，预计将于明年2月的预算会议前将新草案提交议会审议。[1]

此前，印度政府于2022年8月3日撤回了2019年《个人数据保护法（草案）》（以下简称“2019年草案”）。2019年草案引来了国内外的诸多批评（详见《前沿分析|印度撤回<个人数据保护法（草案）>》），其中主要集中在赋予印度政府过大的权力和对跨境数据流动过严的限制上。[2]此外，印度电子和技术国务部长Rajeev Chandrasekhar也坦言道撤回法案的主要原因之一是“这将使初创公司难以合规。”[3]

对新草案的期待

随着2019年草案的撤回和新草案的即将发布，许多业内人士也表达了对新法案的期待。其中包括建立更加自由的数据跨境流动机制、更加简化的同意和通知框架、更加全面的数据保护监督机构、更加严密的个人数据保护框架等几方面：

1.1 更加自由的数据跨境流动机制

2019年草案规定了敏感关键个人数据的本地化要求和严格的传输条件。The Dialogue创始董事Kazim Rizvi认为，该规定不仅增加了企业、特别是初创企业的运营成本，且2019年草案与全球通行的隐私标准的不一致也降低了与国家社会的互操作性。他建议新草案要在隐私保护方面贴近国际通行标准，提高国际和国内标准之间的互操作性，要放宽数据本地化要求。此外，他还建议印度政府通过双边或多边协议，与英、美、欧、澳等伙伴国家和地区建立互惠互利关系与提供保障措施，特别是与英国建立可互操作和统一的数据保护制度，以促进数据的自由流动和广泛的自由贸易。[4]

由Facebook、谷歌、亚马逊、LinkedIn、雅虎和其他科技巨头组成的“亚洲互联网联盟”（The Asia Internet Coalition）则全力推动数据跨境流动自由化与反对任何数据本地化要求。该联盟认为，企业需要数据跨境自由流动以利离岸SaaS和云服务，并要求能够明确数据本地化的范围。联盟认为，对数据跨境流动的限制将使业务失败率提高，产品更加昂贵和服务质量的下降。[5]

1.2 更加简化的同意和通知框架

2019年草案创设了极其详尽严格的同意和通知框架。Kazim Rizvi认为，这一方面使草案中的隐私设计部分显得多余，容易导致消费者“同意疲劳”，即收到无数的请求同意通知；另一方面将使得企业合规成本巨大。基于此，他期待新的草案能够简化同意和通知框架，制定更具有包容性、高效、简便的获得同意的方式。[6]

1.3 更加全面的数据保护执法机构

根据2019年草案，将建立数据保护局（DPA）以实施个人数据保护的相关法律制度。目前该草案被批评赋予了印度政府过大的、不受限制的权力。Kazim Rizvi期望，数据保护局能够成为监督包括政府在内的所有利益相关者的独立监督机构，即提高独立性并把政府纳入监督的框架中。此外，提高监管能力及与其他监管机构的协调工作能力。

1.4 更加严密的个人数据保护框架

法律咨询公司律师Priti Suri更加侧重了对迫切加强个人数据保护的期待。他期望新法案能创建一个旨在保护个人数据的框架，平衡隐私，解决和防止可能因违反其规定而产生的情况，并包含有效的保护、补救和执行机制。她认为，新的法案应当遵循五个国际通行的隐私保护原则，包括：通知，选择权与同意，访问和参与，完整性和安全性，执行性。同时，加强对网络安全威胁的应对，有效解决猖獗的数据泄露问题。[7]

新法案的回应与预期

9月26日和10月10日，印度电子和信息技术国务部长Rajeev Chandrasekhar通过媒体透露了新草案的立法方向和可能的内容，并就数据跨境流动等内容回应了外界对新草案的部分期待。

2.1 数据跨境流动问题上可能放宽

在数据跨境流动问题上，新草案仍会坚持本地化要求，但可以预期的是，新的草案相比2019年草案将有一定程度的宽松。

2022年9月26日，他向媒体强调了保护公民数据安全和促使在线平台负责的重要性，指出要在解决数据安全和消费者数据权利保护问题的基础上，发展出数据跨境流动框架，并避免与本地化之间的对立。[8]从这一表述看，新法案会坚持数据本地化的要求。

此后，他于2022年10月10日表示：“修订版的个人数据保护法案可能包含对数据本地化或数据跨境流动的宽松规定，但将确保属于印度公民的所有数据仍然可供执法机构或任何其他合法的政府组织有权访问此类数据。”[9]两个回答中均体现了在数据跨境流动自由化与数据安全、数据主权之间寻求平衡，但侧重点有一定的差异，体现了印度政府在取舍中有一定的摇摆。

在被问及是否会采取类似GDPR中的标准合同条款模式时，他则明确印度没有将GDPR作为特别遵循或效仿的对象。他认为GDPR在处理数据保护方面更加地“绝对主义”，而这对于拥有蓬勃发展中的创新生态系统的印度来说是不适合的。他还强调，在草案的咨询期间，将重点确定充分性、隐私性和商业便利性之间的权重。[10]

在国际合作方面，Rajeev Chandrasekhar认为，寻求获得GDPR的充分性认定是讨论中的重要组成部分。但是就欧洲对2019年草案中有关“国家安全”等规定的担忧，他表示“我们过去盲目地将他国对我国数字问题的看法当作圣杯的时代已经结束”。同时，他还表示乐于与任何人接触以促进在数据方面的协调，并希望在印度担任G20轮值主席国期间公开讨论该议题。[11]

2.2 注重对创新和初创企业的保护

Rajeev Chandrasekhar认为，不应当将数据保护和便利企业业务开展当作一种二元对立的关系，新的数据治理框架（包括新的《个人数据保护法》草案和新版的《信息技术法》等在内）的原则将是在满足公民权利和消费者数据保护期望的同时，“使创新者更容易在印度创新，让投资者更容易投资印度的创新者”。[12]

2.3 数据受托人滥用数据将受到惩罚

Rajeev Chandrasekhar还表示，包括大型科技公司在内的数据受托人滥用数据十分猖獗，新的草案将非常明确会使行为者承担惩罚性后果。在举证问题上，Rajeev Chandrasekhar表示，不赞成公民需要对数据受托人造成的损害进行举证的观点。[13]若该观点成为法律，将极大地便利公民对侵犯数据权利行为的投诉。

小结

从当前信息来看，法案利益相关者期待新草案会更加宽松，而新法案也将对公众关注的问题作出系列回应，特别是突出降低初创企业合规成本和促进创新上，但在数据跨境流动方面会有大程度的变化仍值得进一步观察。

参考文献

[1]Sansad TV, Samvaad: Exclusive Interview with Union Railways, Electronics & IT Minister Ashwini Vaishnaw., Youtube(Sept. 18, 2022), https://www.youtube.com/watch?v=w2x3nPRGStE.

[2]《前沿分析|印度撤回<个人数据保护法（草案）>》，载微信公众号“数据信任与治理”，2022年8月8日。

[3]AIHIK SUR & DEEPSEKHAR CHOUDHURY, Complicated data protection bill would have hurt startups: Rajeev Chandrasekhar, moneycontrol(Aug. 03, 2022), https://www.moneycontrol.com/news/business/complicated-data-protection-bill-would-have-hurt-startups-rajeev-chandrasekhar-8947571.html.

[4]Kazim Rizvi, New data protection bill must enable a progressive data governance framework, timesfindia(Oct. 9, 2022), https://timesofindia.indiatimes.com/blogs/voices/new-data-protection-bill-must-enable-a-progressive-data-governance-framework/.

[5]Simon Sharwood, Big win for Big Tech as Indian IT minister signals reversal of data sovereignty plan, The Register(Oct. 12, 2022), https://www.theregister.com/2022/10/12/india_data_sovereignty/.

[6]Priti Suri, India: Data & Privacy Both Matter: No Step Forward, Countless Steps Backwards, mondaq(Oct. 06, 2022), https://www.mondaq.com/india/data-protection/1233272/data-privacy-both-matter-no-step-forward-countless-steps-backwards.

[7]Soumyarendra Barik, Rajeev Chandrasekhar: EU’s GDPR more absolutist, not possible for us … our law will be clear on data misuse, The Indian EXPRESS(Sept. 26, 2022), https://indianexpress.com/article/business/rajeev-chandrasekhar-eus-gdpr-more-absolutist-not-possible-for-us-our-law-clear-data-misuse-8172858/.

[8]Aashish Aryan & Surabhi Agarwal, Reworked Personal Data Bill may relax rules on data localization, The Economic Times(Oct. 10, 2022), https://economictimes.indiatimes.com/tech/tech-bytes/reworked-personal-data-bill-may-relax-rules-on-data-localisation/articleshow/94745957.cms.

（完）

往期文章

1、全球数据跨境流动治理

欧盟与日本拟将数据跨境流动规则纳入经济伙伴关系协议

美英就跨境数据充分性保障方面的进展发表联合声明

美国发布欧美数据跨境传输行政命令简析

美国或最早于10月3日就欧美数据跨境传输发布新的行政命令

数据跨境流动 | 俄罗斯更新充分性保护国家名单，中国被列入其中

CPTPP数据跨境流动要求遭遇挑战