杨婕|信通院互联网法律研究中心高级研究员

黄珂滢|信通院互联网法律研究中心实习生

2022年11月18日,印度电子和信息技术部发布《2022年数字个人数据保护法案》(Digital Personal Data Protection Bill 2022),并于12月17日前公开征求意见,这是印度个人数据保护法案的第四次更迭(法案译文见后文)。此版法案在名称、篇幅和内容上均发生较大变化,特别是删除了数据本地化存储要求、数据泄露的刑事责任、可携权和被遗忘权等内容,引发各界广泛讨论。

0立法背景

当前,印度拥有超过7.6亿活跃互联网用户,用户与数字设备的不断互动产生海量个人数据,个人数据保护已成为用户关心的根本性问题。但是,印度尚未出台专门的个人数据保护法,现行的个人数据保护规定主要为,基于《信息技术法》制定的《信息技术(合理的安全实践和程序以及敏感个人数据或信息)规则》(2011年)。不过,该规则较为简略,难以对个人数据提供有效的保护。特别是自2017年印度最高法院认定隐私权是公民的一项基本权利以来,印度各界对制定专门的个人数据保护法的呼声越来越高涨。

印度个人数据保护立法历程可谓是“一波三折”,目前法案已历经第四次更迭。2018年7月,印度高级别专门委员会提出首版法案-《2018年个人数据保护法案》。后经一年多的讨论和修改,2019年12月,印度电子和信息技术部向联合议会委员会提交了《2019个人数据保护法案》,但该版法案因赋予政府过大的权力以及对数据跨境流动的规定过于严格,遭到了国内外的诸多批评,特别是受到了科技公司的强烈反对,造成了莫迪政府与科技公司之间的紧张关系。2021年12月,印度议会联合委员会在历经共计78次会议后提交了审议报告,包括81项修正案和12项建议,并附有一份新法案,即《2021年数据保护法案》。然而,2022年8月,印度政府以议会联合委员会对法案修改过多为由,撤回了2019年版本,并承诺将制定符合印度国情的个人数据保护法。最终,于2022年11月形成了当前第四版的《2022年数字个人数据保护法案》。

02 变化内容

第四版法案在形式和内容上更为精简,篇幅从90多条缩减到30条,淡化了一些可能引起阻力的争议性条款。其中,较为明显的是名称变化,从“个人数据保护”变更为“数字个人数据保护”,限缩了法案的适用范围。当前法案不再适用于在线下未以数字化方式收集的个人数据,排除了大量仍依赖纸质表格收集的个人数据。法案共六章,包括序言、数据受托人的义务、数据委托人的权利和义务、特别规定、合规框架和其他规定。其中,序言包括生效时间、重要概念的定义和适用范围等内容,特别规定包括数据跨境流动和豁免规则,其他规定包含修订要求、与其他法律的协调机制,附表则规定了罚款限额。本文对法案中较为特殊的规定总结如下:

(一)生效日期灵活

政府将指定法案的生效日期,还可为不同条款分别指定生效日期,即可根据产业发展状况、国内外形势等因素分阶段执行各条款,极具灵活性。

(二)适用范围限缩

法案仅适用于数字个人数据处理行为,不再对敏感个人数据进行专门规定,不适用于在线下未以数字化方式收集的个人数据、个人数据非自动化处理、基于个人或者家庭目的处理个人数据以及存在超过100年的个人数据等情形。

法案规定了可域外适用的情形:虽在印度境外处理个人数据,但分析、评估境内用户的行为,或者以向境内用户提供产品或者服务为目的。同时,法案还规定了域内适用的豁免情形:印度实体根据与外国实体的合同处理外国人的个人数据,可豁免适用有关同意的规定,此规定将有利于印度数据外包行业的发展。

(三)区分不同主体

法案规定了数据委托人,数据受托人、数据处理者以及同意管理人等主体。其中,数据委托人是指个人数据所涉及的个人,如该个人是儿童(未满18周岁),则包括其父母或合法监护人;数据受托人是指单独或与其他主体共同决定处理个人数据的目的和方式的主体,此处“主体”包括个人、公司、企业、国家等主体,与GDPR规定的数据控制者概念类似;数据处理者指代表数据受托人处理个人数据的主体,与GDPR规定的数据处理者概念类似。此外,法案创设了“同意管理人”这一主体,此类主体属于数据受托人,对数据委托人负责并代表数据委托人行事。数据委托人可通过同意管理人建立的透明、可互操作平台,进而管理、审查或撤回本人作出的各项同意。

(四)引入“视为同意”

法案规定,处理个人数据前应获得数据委托人自由作出的具体、知情和明确的同意,处理儿童个人数据还需获取其父母或其他合法监护人的可验证的同意。法案还引入了“视为同意”的概念,即如处理个人数据具有必要性,即使未经数据委托人同意,也可以处理其个人数据,类似于我国《个人信息保护法》规定的除同意外的处理个人信息的合法性基础。具体而言,包括国家机关为履行职能、应对公共卫生事件、基于雇佣关系和公共利益(如防止欺诈、并购、债务追讨和信用评分)等目的。

(五)强化特定主体义务

法案还规定了类似于“守门人”的概念,即“重要数据受托人”(Significant Data Fiduciaries)。对于重要数据受托人的认定将由印度政府以通知的形式作出,政府将综合考虑处理个人数据的数量和敏感性、对数据委托人造成损害的风险、对国家主权、安全、民主以及公共秩序的影响等因素。因此,重要数据受托人的认定具有较大的解释空间。重要数据受托人除应遵守一般性的个人数据保护义务以外,还应遵守特别性义务,包括任命驻印度的数据保护官,独立的数据审计员,还具有开展数据保护影响评估和定期审计的义务。

(六)增加数据委托人权利义务

法案赋予数据委托人知情权、更正权、删除权、申诉权和提名权,但未规定可携权和被遗忘权。提名权是指数据委托人有权提名他人,在其死亡或丧失行为能力时,代为行使数据委托人的权利。法案还对数据委托人施加了相关义务,包括行使权利时应遵守法律规定,不得提起虚假或无根据的申诉,不得提供虚假细节、隐瞒重要信息或冒充他人,在行使更正权和删除权时应提供可核实的真实信息。若违反上述义务,数据委托人可能被处以最高一万卢比的罚款。

(七)数据跨境流动要求放宽

法案不再要求数据本地化存储,而是允许数据受托人在满足印度政府规定的条件下,将个人数据转移到可信赖的国家或地区。此项规定与欧盟GDPR的充分性认定较为类似,目前印度政府进行充分性认定的具体要件尚不明晰。但是,法案在随附的解释性声明中承认,跨境数据流动对经济全球化至关重要,因此印度政府在进行充分性认定时可能不会过于严苛。

(八)政府享有广泛的豁免权

法案保留了印度政府广泛的豁免权,可以“维护印度的主权和完整性、国家安全、与外国的友好关系、维护公共秩序”等为由豁免国家机构适用该法案。而且,此豁免不受2019年版本中规定,但现已删除的保障和监督机制的制约。此外,法案允许印度政府根据数据受托人处理个人数据的数量和类型,豁免数据受托人适用通知、数据存储期限等条款,以降低初创企业的合规成本。

(九)成立数据保护委员会

法案删去了此前规定的数据保护局(DPA),以“印度数据保护委员会”(Data Protection Board of India)代之。法案规定,印度政府应成立数据保护委员会监管法案的执行情况,数据保护委员会有权对违法行为进行裁决和处罚,有权指示数据受托人采取紧急措施应对个人数据泄露事件。法案赋予了数据委员会广泛的调查权,特别是,当数据委员会认为有关争议通过调解或其他争端解决程序解决更为合适时,可指定特定的机构或团体处理。

(十)区分情况规定处罚上限

法案未设置刑事责任,仅规定对数据保护委员认定的严重违法行为可施以罚款,并对个人数据泄露、未履行儿童个人数据保护义务、未履行重要数据受托人特别义务以及其他违法行为的处罚金额上限作出区分性规定。法案还规定,应考虑违规行为的性质、严重程度、持续时间等因素合理进行罚款。

03 各界评价

法案一经公开,便引发印度各界讨论,不乏一些批判声音。印度互联网自由基金会(IFF)认为法案的措辞过于模糊和宽泛,可能引发政府滥用权力和开展大规模监控的风险。例如,政府可能基于“维护公共秩序”“公共利益”等原因,过度收集用户个人数据。此外,法案共十八次提及“可能规定”,条文的模糊可能造成政府权力的不受限,后续可能出台相关规定侵害用户合法权益。民权活动家指出,法案中设立的数据保护委员会缺乏独立性,数据保护委员会的建立和运作、人员的任命、以及主席和其他成员的罢免均由中央政府决定。数据保护委员会本应监督企业和政府机构的个人数据处理行为,但当政府可以直接控制数据保护委员会的运作时,数据保护委员会将丧失自主权。

印度律师指出,虽然该法案规定了高额罚款,但未规定民事赔偿机制。当发生个人数据泄露等情形,导致个人权益遭到损害时,个人无法寻求任何形式的民事救济。此外,法案规定的数据委托人的义务和对其处罚条款,也遭到各界批评。IFF指出,一项本应保护个人权利的立法,却对保护对象施以处罚。法案规定,任何情况下,数据委托人均不得提供虚假信息或隐瞒重要信息。IFF认为,这意味着用户无法使用假名,用户希望的是其个人数据得到保护,而非将各类详尽的个人数据提供给企业。此版法案公开征求意见的截止日期为12月17日,后续法案是否还会有新的修改,有待进一步观察。

参考文献

1.https://www.lexology.com/library/detail.aspx?g=724df06c-cb5d-404b-b767-d5bfd07a19e6

2.https://thewire.in/tech/experts-comment-on-new-data-protection-bill

3.https://www.thehindu.com/sci-tech/technology/how-different-is-the-new-data-protection-bill/article66166438.ece

4.https://internetfreedom.in/iffs-first-read-of-the-draft-digital-personal-data-protection-bill-2022/

5.https://www.barandbench.com/law-firms/view-point/digital-personal-data-protection-bill-2022-a-positive-overhaul-in-need-of-finishing-touches

6.https://iapp.org/news/a/indias-digital-personal-data-protection-bill-2022-does-it-overhaul-the-former-pdpb/

7.https://journalsofindia.com/the-new-digital-personal-data-protection-bill-2022/

8.https://www.nationalheraldindia.com/india/experts-flag-multiple-issues-with-draft-digital-personal-data-protection-bill-2022

9.https://www.indiatoday.in/india/story/why-government-withdrew-bill-it-brought-to-protect-your-data-1983734-2022-08-04

后附印度《2022 年数字个人数据保护法案》全文翻译:

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。