印度《2022年数字个人数据保护法案》亮点解读
背景
印度是世界上增长最快的数字经济体之一。根据印度电子和信息技术部(MeitY)发布的《关于印度万亿美元数字机会的报告》,印度的数字消费群位居世界第二,并且是全球17个主要经济体中数字化速度第二快的经济体。预计到2025年,印度的数字经济产值将达到1万亿美元。目前,印度有超过7.6亿活跃互联网用户(Digital Nagriks),在接下来的几年里,这一数字预计将达到12亿(12亿)。因此,印度高度重视对数据的利用和保护,陆续启动了个人数据保护立法、国家数据治理政策框架【关于“印度国家数据治理政策框架”的既往研究,请点击查看:印度国家数据治理政策框架(草案)全文翻译(附草案原文)】等法律和政策的制定。
印度关于个人数据保护的立法自2018年法案提交以来可谓是“一波三折”,经历了多次延期和一次撤回。近期,MeitY终于在2022年11月18日发布了印度数据保护法草案的第四版—《2022年数字个人数据保护(DPDP)法案》(以下简称“2022年法案”)。【关于印度个人数据保护立法的既往研究,请点击查看:1.前沿分析|印度撤回《个人数据保护法(草案)》;2.印度拟发布新的数据保护法草案,或放宽数据本地化要求。】
2022年法案共六章,30条,这与之前包含90多个条款的数据保护法案草案相比大幅缩减。2022年法案的主要内容如下表所示:
条文 | 标题 |
第一章 前言 | |
1 | 简称和生效日期 |
2 | 定义 |
3 | 解释 |
4 | 适用范围 |
第二章 数据受托人的义务 | |
5 | 处理数字个人数据的合法性基础 |
6 | 告知 |
7 | 同意 |
8 | 视为同意 |
9 | 数据受托人的一般义务 |
10 | 关于处理儿童数据的特殊义务 |
11 | 关于重要的数据受托人的特殊义务 |
第三章 数据主体的权利和义务 | |
12 | 对个人数据的知情权 |
13 | 更正和删除个人数据的权利 |
14 | 申诉补救权 |
15 | 提名权 |
16 | 数据主体的义务 |
第四章 特殊条款 | |
17 | 将数据传输至印度境外 |
18 | 豁免 |
第五章 合规框架 | |
19 | 印度数据保护委员会 |
20 | 委员会的职责 |
21 | 委员会确保遵循法案规定需遵循的程序 |
22 | 审查与上诉 |
23 | 替代性争议解决 |
24 | 自愿承诺 |
25 | 罚款 |
第六章 其他条款 | |
26 | 规则制定的权力 |
27 | 中央政府修改附表的权力 |
28 | 排除困难 |
29 | 与其他法律的一致性 |
30 | 修订 |
附表1 |
1
限定于“数字个人数据”
2022年法案定义的个人数据,是指“任何可以识别个人或者与个人相关联的数据”,这与GDPR的对个人数据的定义相近。但值得注意的是,法案考虑到印度的特殊社会文化背景,将“一个完整的印度教家庭”(a Hindu Undivided Family)也纳入到了“个人”的范畴。
印度统一家庭(Hindu Undivided Family,HUF)由同一祖先的直系后裔组成,包括他们的妻子和未婚女儿,家庭中所有人都受到共同关系的约束。根据印度1961年《所得税法》,HUF被视为“人”,即独立的法人实体。
值得注意的是,在之前的草案文本中,并未特殊列明个人数据保护法仅关注数字数据,2022年法案将法案的适用范围框定在“数字个人数据”(ditigal personal data)之内,这里的“数字”是指“在线收集的数据”或者“数字化的线下收集的数据”。纯粹线下收集的个人数据、个人数据的非自动化处理、为个人或家庭目的而处理的个人数据以及存在超过100年的个人数据不受该法管辖。此外,与此前2021年的数据保护法案文本相比,2022年法案删除了非个人数据(Non-Personal data)。这主要是回应了2021年法案公布后专家关于非个人数据应当单独规制的建议。
2
区分不同类型的数据受托人
2022年法案定义了“数据受托人”(Data Fiduciary)和“数据处理者”(Data Processor),其中,“数据受托人”是指“任何能够单独或者与其他人一起决定处理个人数据的目的和方式的人”,其含义与GDPR中“数据控制者”相似;“数据处理者”则指“任何代表数据受托人处理数据的人”,其含义与GDPR中的“数据处理者”相似。
2022年法案采取了类似于“守门人”制度的做法:定义了“重要的数据受托人”(Significant Data Fiduciaries)和“较小的数据受托人”(smaller data fiduciaries)。
重要数据受托人的认定将由印度政府以通知形式做出,该决定将考虑“处理的个人数据的数量和敏感程度”、“对数据主体造成损害的风险程度”、“对印度主权完整的潜在影响”、“对民主选举的风险”、“国家安全”、“公共秩序”以及“政府认为必要的其他因素”。可以见得,“重要的数据受托人”的判定将考虑个人数据主体的权益、国家安全、公共利益、甚至是政治安全等因素,相关判定标准存在较大的解释空间。对于“重要的数据受托人”,除了要遵守数据受托人需要遵守的告知-同意、保证数据准确性、防止数据泄露、任命数据保护官等一般性义务外,还需特别遵守:(1)任命一名常驻于印度的数据保护官,在对董事会或类似管理机构负责和同时,作为申诉补救机制联络人;(2)任命一名独立的数据审计员,以评估重要的数据受托人是否遵守法律规定;(3)进行数据保护影响评估和定期审计。
较小的数据受托人的认定依然由印度政府做出,经认定后的较小数据受托人可以豁免不少的义务,包括“同意前发出通知”、“确保个人数据的准确性”、“在达到目的后删除个人数据”、“处理儿童个人数据时的义务”、“重要的数据受托人的义务”和“数据主体对有关个人数据的信息的权利”。
3
数据主体权利规定的变化
2022年法案赋予数据主体(或个人)的权利包括了解有关自己个人数据信息的权利、更正或删除个人数据的权利、申诉补救权和提名权。其中“提名权”指数据主体可以提名其他个人,在其死亡或丧失行为能力的情况下代为行使数据主体的权利。数据受托人需要在规定的时间范围内处理此类请求。值得注意的是,法案特别提到,数据主体可以通过“同意管理软件”(Consent Manager)给予、管理、审查或撤回自己的同意。
此外,与之前的版本相比,2022年法案删除了关于数据可移植性的规定。并且,2022年法案删除了关于“敏感”个人数据和“关键”个人数据的规定,也是本法案的又一重要变化。
4
个人数据跨境流动要求放宽
数据的本地化和数据跨境流动议题一直是印度个人数据保护法案争议的焦点。在最新发布的2022年法案中,此方面最大的变动莫过于取消了此前几轮草案中出现的针对“敏感”和“关键”个人数据跨境传输的一些具体的数据本地化规定,从而打消了科技公司对数据类型界定模糊,导致施加过多本地化限制的担忧。
在新法案中,个人数据传输至印度境外必须满足的条件是目的地必须是印度政府经评估后允许的国家/地区,这一制度与欧盟GDPR中的“充分性认定”相似。但是在现有的条文中,并不清楚印度政府评估的具体判定过程和考虑因素。但无论如何,新法案对数据跨境流动的重大让步,让不少大型科技公司都松了一口气。
5
印度数据保护委员会
2022年法案删去了之前草案中提到的数据保护局(DPA),并以“印度数据保护委员会”(Data Protection Board of India)取代。
该委员会将负责所有不遵守该法律的案件调查以及作出处罚决定。委员会将根据受影响人的投诉、中央或州政府的意见、法院的指示或数据负责人不遵守法案的行为等因素采取行动。如果发生个人数据泄露,委员会还可以指示数据受托人采取紧急措施来补救泄露或减轻对数据主体造成的任何伤害。
编号 | 违法事项 | 处罚 |
1 | 数据处理者或数据受托人未根据本法第9条第(4)款采取合理的安全保障措施,以防止个人数据外泄。 | 最高达25亿卢比的罚款 |
2 | 当个人数据泄露时,未根据本法第9条第5款通知数据保护委员会及受影响的当事人。 | 最高达20亿卢比的罚款 |
3 | 不履行本法第10条规定的有关儿童的特殊义务。 | |
4 | 不履行本法第11条规定的有关重要数据受托人的特殊义务。 | 最高达15亿卢比的罚款 |
5 | 不遵守本法第16条的规定。 | 最高达1万卢比的罚款 |
6 | 不遵守本法除上述1-5项之外的其他规定。 | 最高达5亿卢比的罚款 |
2022年法案下的处罚范围
根据法案第19(2)条规定,委员会的首席执行官将由联办政府任命,因而其是否为独立的监管机构仍不明晰。结合2022法案在数据受托人类别认定、法案的豁免等方面赋予印度政府很大的权力,及该法案许多规定过于简化等问题,印度政府及该委员会是否权力过大受到一定质疑。
6
小结
2022年法案的出台距离之前版本的法案被撤销仅有3个月。新的法案在很多条款上都有不少放宽,特别是数据本地化条款,这使得新的法案看起来对科技公司更加友好。但目前仍有不少对法案批评的声音,比如过度简化的法案无法有效达成对个人数据主体的保护、新法案中的“印度数据保护委员会”将缺乏自主权和独立性、数据受托人将无需告知数据主体他们将存储用户数据多长时间、是否会与第三方共享数据、以及赋予政府的权力过多过大等等。根据MeitY的公告,新的法案将在2022年12月17日之前接受利益相关者的意见,印度数据保护立法是否还会再有延期或曲折,仍有待观察。
参考文献
[1] India Ministry of Electronics & IT: Report on India’s Trillion Dollar Digital Opportunity, 2022年11月21日访问,https://www.meity.gov.in/writereaddata/files/india_trillion-dollar_digital_opportunity.pdf.
[2] EXPLANATORY NOTE TO DIGITAL PERSONAL DATA PROTECTION BILL, 2022,2022年11月21日访问,https://www.medianama.com/wp-content/uploads/2022/11/Explanatory-Note-The-Digital-Personal-Data-Protection-Bill-2022.pdf.
[3] https://en.wikipedia.org/wiki/Hindu_joint_family
(完)
往期文章
1、全球数据治理观察
全球主要数据治理政策对比分析——基于日本、韩国、印度和欧盟的进展
作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
2、全球数据跨境流动治理
EDPB《关于认证作为数据跨境传输工具的第07/2022号指南》中译本
数据跨境流动 | 俄罗斯更新充分性保护国家名单,中国被列入其中
G7国家数据跨境流动政策演进
英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理
3、产业数据治理
数据要素治理|美国拟议消费者数据权利新规,促进金融数据共享流通
4、中心数据治理动态
“中国澳门-欧盟科研数据跨境流动实践”入选“2022携手构建网络空间命运共同体精品案例”
5、我国数据跨境流动治理
香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒
《个人信息出境标准合同规定(征求意见稿)》适用要点解读
6、欧盟数据治理模式
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
7、国际数据空间
【域外执法】欧盟EDPB:发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护(附意见原文)
全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
8、数据权属与数据治理之争