文|时圣辉 中国信通院互联网法律研究中心助理研究员
2023年8月9日,印度在保护数字隐私方面迈出重要一步,《2023年数字个人数据保护法案》(Digital Personal Data Protection Bill,DPDP)最终在印度上院Rajya Sabha通过。该法案的通过意味着印度即将成为全球范围内最新的数据保护法制国家之一,DPDP旨在确保个人数据的隐私和安全得到充分保护,也为此奠定了较为坚实的数据保护法律基础。
立法背景
印度本次个人数据保护立法从2018年首版法案-《2018年个人数据保护法案》开始,因法案过于严格等问题经反复修改、撤回以及更名,于2022年11月方才形成了第四版的《2022年数字个人数据保护法案》(下称“《2022法案》”)。前述法案沿革及对《2022法案》内容的分析详见本中心于2022年12月1日发表的公号文章:《域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)》。本次的DPDP正是在去年《2022法案》的基础上,在保留数据受托人义务、数据委托人的权利和义务以及创设印度数据保护委员会等主体立法框架的同时,对“数字个人数据”、“特征分析”、“特定合法使用”等关键概念以及数据出境、豁免与违法处罚等规则进行了进一步的调整,从而获取了更广泛的赞成意见与通过。
变化内容
接续前述研究已对《2022法案》所做的介绍,在两部法案主体框架基本一致的基础上,本文将聚焦2023年DPDP相较《2022年法案》的重要变动,以把握印度数据立法的执行思路和未来动向。
一、 DPDP的规制范围:“数字个人数据”概念更为精确
在法案标题上,印度本次立法从《2022法案》到DPDP均明确了规制“数字个人数据”(digital personal data)的目标,对法案适用范畴进行了限缩,替代了此前更为广泛的“个人数据保护”,将以线下方式或是非数字化形式收集的个人数据排除在规制范围外,这也是适用印度国土较广和人口较多的不同情形而采取的合理解决途径,即优先对使用范围广、开发价值高、与国际接轨必要性强、法律研究规制也较为充分的“数字个人数据”进行规制。对于何为“数据”和“个人数据”,新旧两版法案并未在概念解释上发生变动,将前者定义为“信息、事实、概念、意见或指示的表达,其方式适合于人类或自动化手段的交流、解释或处理”;而后者定义为“可识别到个人或与个人有关的任何数据”。
但对于何为法案所规制的“数字”或“数字个人数据”,较早的《2022法案》中并未给出直接明确的定义,仅是在第四条中予以提及;而新的DPDP中则直接在定义部分明确,“数字个人数据”是指数字形式的个人资料,并且修改了原第四条(现第三条)的表述。
《2022法案》 | DPDP |
4. 该法的适用 (1) 本法的规定应适用于在印度境内处理数字个人数据,如果: a. 该个人数据是从数据委托人处在线(online)收集的;以及 b. 该离线(offline)收集的个人数据被数字化; | 3. 该法的适用 (1) 本法的规定应适用于在印度境内处理数字个人数据,如果该个人数据收集时是: a. 以数字形式(indigitalform);或 b.以非数字形式(innon-digital form)但其后被数字化的; |
由此可见,新的DPDP对何为“数字个人数据”给出了明确的答案,在法案内部以“数字形式”为关键实现了概念统一,但没有对“数字形式”这一概念进一步予以解释。目前法案刚刚通过,缺乏通过其他文件和执法实践解释的途径,但比照《2022法案》,新法案将“数字”解释的重点从收集方式转移向了收集时数据的存在形式,无疑更贴近所受规制数据的本质。在线收集来的数据,其本身可能是非数字形式的,例如通过视频访谈个人而访谈方手动填写问卷;离线收集来的数据,其本身也可能是数字形式的,例如持有不联网的电子设备自行收集或让当事人填写信息,或是以U盘等物理载体上交电子数据。(“离线”一词对应的《2022法案》原文的“offline”既可能指不与互联网连接的,也可能指现实的,本处根据两种释义试举出两种例子)如果这两者进行比较,无疑后者更属于法案意图规制的范畴,因此DPDP目前的表述确实更为贴近“数字个人数据”的实质,更为妥当。
二、 DPDP的适用:境外适用中“特征分析”情形的删除
此外,另一值得关注的重点是DPDP还删去了《2022法案》中境外适用部分的“特征分析”情形,仅保留了向印度境内数据委托人提供商品或服务相关的境外数据处理应适用法案的规定。“特征分析”在《2022法案》中的定义为“分析或预测与数据委托人的行为、属性或利益相关的方面的任何形式的个人数据处理”。
《2022法案》 | DPDP |
4. 该法的适用 (2) 本法的规定也应适用于在印度境外处理数字个人数据,如果此类处理与印度境内数据委托人的任何特征分析(profiling)或向其提供商品或服务的活动有关。 | 3. 该法的适用 (2) 本法的规定也应适用于在印度境外处理数字个人数据,如果此类处理与向印度境内数据委托人提供商品或服务的任何活动有关。 |
对于“特征分析”的移除,可以做两种理解。第一种理解是,出于很多科技企业尤其是跨国科技企业对过于严格数据监管的批评和跨国执法成本考量,将对商业影响不大的境外“特征分析”剔除出去,缩小监管范围;但是这一观点仍有待未来通过相关法规和执法实践进行验证。第二种理解是,“特征分析”的具体场景一般涉及区域定制化的产品或服务开发,市场营销上的用户画像与市场表现预测,以及一些对印度特定群体进行的研究分析活动,但如前两者的市场活动一般最终都是以向印度境内提供商品或服务作为目的,按照现行DPDP已可将其纳入监管框架内,因此“特征分析”的删减亦可能是综合考虑后避免无谓重复的选择。但对此需要指出的是,如出于第二种以“提供商品、服务”吸收“特征分析”的理解,将可能在DPDP的具体执行中留下漏洞:例如,在印度境外处理数字个人数据进行特定群体分析后将成果出售给其他对印度市场进行前期调研的企业,此时数据处理方与印度业务毫无关联,即使从预调研企业的角度也并未确定将对印度境内数据委托人提供商品或服务,此时便属于在原本“特征分析”范畴内但现有DPDP条文难以规制的情形;另外,如果在印度境外处理数字个人数据时其目的是为接受印度境内数据委托人提供的商品或服务而非向其提供商品或服务,此时也可能落入同样的监管困局中。
因此,印度将在具体执法中如何对DPDP进行境外适用,仍需要进一步关注其后可能发布的相关细则和具体的实践案例,印度境外主体应当对此进行高度关注。
三、 数字个人数据处理的合法性基础:从“视为同意”到“特定合法使用”
在《2022年法案》第五条处理数字个人数据的合法性基础中,“视为同意”作为数据委托人同意之外的合法性基础引起了广泛的关注。《2022年法案》第八条也详细阐述了构成“视为同意”的若干情形来辅助明确“视为同意”的内涵。在DPDP中,合法性基础部分被重新阐述为数据委托人已同意及“特定合法使用”的情况,也保留了《2022法案》中“视为同意”的大部分情形,由此来看,这一修改似乎更接近于形式上的用语调整。
《2022法案》 | DPDP |
5. 处理数字个人数据的合法性基础 个人只能根据本法的规定和根据本法制定的规则处理数据委托人的个人数据,用于数据委托人根据本法的规定已经或被视为已经同意(deemed to have given her consent)的合法目的。就本法而言,“合法目的”是指法律未明确禁止的任何目的。 | 4. 处理数字个人数据的合法性基础 (1) 任何人只能根据本法的规定并出于合法目的处理数据委托人的个人数据, (a) 在数据委托人已同意的情况下;或 (b) 在特定合法使用(certain legitimate uses)的情况下。 |
但从立法技术上来看,“视为同意”的设计实则是为了贴近“同意”这一亚太各个司法辖区中最为普遍的合法性基础。(详见本中心于2022年12月29日发表的公号文章:《域外观察 | 亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析》此举的优势在于表述相对保守的同时又将诸多在个人同意之外的情形纳入到合法性基础的框架内,但却因“视为同意”的本身解释范围有限而《2022法案》引入的情形过多,反而引起了相当大的争议。
本文理解,被更换的“视为同意”概念至少存在两个方面的问题:第一,在词义解释上,“视为同意”应当是指在相关情形发生时,作为一般理性人的数据委托人即使因某些原因未能传递出其同意的意思表示,但在其了解情况后也应会同意对其数字个人数据进行处理;而除去《2022法案》中自愿提供数据且期待服务、医疗紧急情况、雇佣相关目的等符合上述解释的情形外,将国家履职、法律判决或是公共利益等个人并不一定有意愿去进行数字个人数据处理同意的情形解释为“视为同意”,实则是将个人有责任去进行同意的情形也纳入了“同意”的范畴中,很可能招致对公权力侵入私人意思自治领域进行拟制的相关批评,这种对词语的扩张解释又模糊了合法性基础的边界,相关情形中“经考量相关利益和期望后为任何公平和合理的目的而提供的服务”这一类似兜底的条款也将可能给数字个人数据的处理带来滥用风险。第二,将上述情形作为“视为同意”去处理,则可能招致新的疑问,这种同意是否是强制拟制而不可对抗的,即个人能否以某种特定形式提前或当场表示自己对某些情形不同意的明确意愿而不构成“视为同意”。因此,DPDP在删去较为模糊的公共利益(包括应对欺诈、网络信息安全、信用评分、收回债务等)和前述兜底性质的条款后,以“特定合法使用”代替了“视为同意”,既限缩了词语外延,减少了实际处理中因解释空间过大而导致法的安定性受到冲击的可能以及因担忧合法性基础过大而导致数据滥用的批评和反对意见;又直接明确相关情形的法定合法性,避免了存在个人明确表态对抗“视为同意”的可能空间。
此外,关于“特定合法使用”(即原本的“视为同意”)的具体情形。如前所述,《2022法案》中“视为同意”的大部分情形都被DPDP所保留,但具体规定上仍有修正,此外《2022法案》“视为同意”的最后两项被删除,即公共利益所需以及经考量相关利益和期望后为任何公平和合理的目的而提供的服务的情形。
“特定合法使用”/“视为同意”有关情形 | 《2022法案》 | DPDP (限于篇幅,译本进行了概括简化) | 评述 |
数据委托人自愿提供数据 | 自愿提供数据并且有理由期待其愿提供此类个人数据的 | 自愿提供数据并且未向数据受托人表示不同意使用其个人数据的 | 论证要件上更加明确清晰 |
国家或国家机构履职或服务 | 依据法律履行职能,或向数据委托人提供服务或利益,或为数据委托人的行动或活动颁发证书、执照或许可证 | (1)提供补贴、福利、服务、证书、执照或许可证时:接受人同意为此处理其个人数据,或得中央政府通知从官方数据载体中获取;相关处理需按中央政策或现行有效的数据管理法律之标准进行; (2)履行职能:依据印度现行有效的法律履行或为了印度的主权和领土完整或国家安全 | 区分了提供服务和依法履职的情形,并予以了不同的合规标准;增加了依据现行有效之法律的约束;加入了国家主权和安全情形 |
执行判决或命令 | 遵守依据法律发布的判决或命令 | (1)为履行印度现行有效法律中向国家及国家机构披露义务,并遵循有关披露条款进行的; (2)遵守依据印度现行有效的任何法律发布的任何判决、法令或命令,或根据印度境外现行有效的任何法律提出的与合同或民事性质的索赔有关的任何判决或命令的 | 加入了履行披露义务的情形;以及增加了承认执行印度境外民事判决裁定而进行数据处理的情形 |
医疗紧急情况 | 用于响应涉及对数据委托人或其他个人的生命或健康直接威胁的医疗紧急情况 | 一致 | / |
公共健康威胁 | 在流行病、疾病爆发或任何其他公共健康威胁期间,采取措施向个人提供医疗或保健服务 | 一致 | / |
灾害或公共秩序崩溃 | 在灾害或公共秩序崩溃期间,采取措施确保个人的安全,或向个人提供援助或服务 | 一致; 另加入解释:就本条而言,“灾害”一词的含义应与2005年《灾害管理法》第2条(d)款的含义相同 | 明确了“灾害”的定义,避免不足级别的灾害触发本情形 |
雇佣相关目的 | 出于与雇佣相关的目的,包括防止企业间谍活动,维护商业秘密、知识产权、机密信息的保密性,招聘,终止雇佣关系,向作为雇员的数据委托人提供其所寻求的服务或利益,核实出勤情况和评估绩效 | 出于与雇佣相关的目的或与保护雇主免受损失或责任有关的,如防止企业间谍活动,维护商业秘密、知识产权、机密信息,向作为雇员的数据委托人提供其所寻求的服务或利益 | 加入了保护雇主的概括化设置;去除了一些明确适用情况的列举 |
公共利益所需 | 符合公众利益,包括: a. 防止和发现欺诈行为; b. 根据相关法律规定,进行的合并、收购、任何其他类似合并或公司重组交易; c. 网络和信息安全; d. 信用评分; e. 运作搜索引擎处理公开的个人数据; f. 处理公开的个人数据;以及 g. 收回债务 | 删除 | 删除原因可能包括:本处“公共利益”包含情况过多,论证相关条款均符合公众利益存在;可作扩张解释空间过大; 如合并、债务和等情形在DPDP的“豁免”部分有所体现 |
任何合情形的公平和合理的服务 | 在考虑到以下因素后,为可能规定的任何公平和合理的目的而提供的服务: a. 数据受托人在为此目的进行处理时的合法利益是否超过对数据委托人权利的任何不利影响; b. 为此目的进行处理的任何公共利益;以及 c. 数据委托人在考虑处理背景后的合理期望 | 删除 | 该条款作为兜底性质条款,解释空间过大 |
四、 数据受托人的一般义务:更明确的主体责任地位
在《2022法案》和DPDP中均明确了数据受托人应当为其本身以及代表其进行数据处理的数据处理者在遵守法案及相关规则方面负责,但在具体条款的设计和表述上,DPDP更加凸显了数据受托人相比数据处理者承担主体责任的地位。这将有效避免数据受托人与数据处理者间因多头共治而导致数据合规保护缺位的可能,也便于在数据保护不足和数据泄露但未及时通知等情形时对相关责任主体督促履行并落实处罚。
《2022法案》 | DPDP |
9. 数据受托人的一般义务 (4) 每个数据受托人(Data Fiduciary)和数据处理者(Data Processor)应通过采取合理的安全措施来防止个人数据泄露,从而保护其拥有或控制的个人数据。 (5) 如果发生个人数据泄露,数据受托人或数据处理者(视情况而定)应以规定的形式和方式通知委员会和每个受影响的数据委托人。 | 8. 数据受托人的一般义务 (5) 数据受托人应通过采取合理的安全措施来防止个人数据泄露从而保护其拥有或控制的个人数据,包括由其自身进行的处理或是代表其的数据处理者进行的处理。 (6) 如果发生个人数据泄露,数据受托人应以规定的形式和方式通知委员会和每个受影响的数据委托人。 |
从数据转授权的角度,DPDP仅允许数据受托人依据有效合同雇佣、指定、使用或引入数据处理者处理数据,删除了《2022法案》中允许数据受托人通过有效合同向其他数据受托人共享、转让或传输个人数据,以及允许数据处理者在其与数据受托人合同允许情况下根据有效合同进一步雇佣、指定、使用或引入另一个数据处理者来处理个人数据的规定。对此本文的理解是,由于DPDP已经明确了数据受托人首要和唯一的责任地位,这一地位是建立在控制权与责任相适当的基础上的。数据处理者仅是代表数据受托人并按其指示或约定进行数据处理,数据受托人对数据处理者获取、使用、开发乃至删除数据的整个过程都在程序和实质上掌握着控制权和主动权;但对于通过有效合同另行引入的其他数据受托人或其他数据处理者,最初的数据受托人则可能缺乏相应的控制能力,也无法确保对其所有行为负责,故直接删除对应设计。
对于其他数据受托人获取数据的需求,由于原本《2022法案》中也明确“必须取得数据委托人的同意”。现在DPDP虽删除了这一条款,其他数据受托人仍可通过前述的数据委托人同意或特定合法使用的情形取得数据处理的合法性基础,而不再需要在数据委托人同意的基础上通过与已有合法性基础的另一数据委托人之间的有效合同获取数据,从而避免了数据流转中责任划分不清的问题,确保所有数据委托人对其所获取的数据承担主体责任。
而对于其他数据处理者,则理解仍需与最初的数据受托人通过有效合同获取数据并进行处理,但需要指出的是,DPDP与之相关的第八条第二款中仅约定了数据受托人“仅可在有效合同下”引入数据处理者,这一含义并未明确为签订合同,因此可能的解释有:数据受托人必须为对应有效合同的一方;数据受托人是受合同与其他相关合同约束的一方。如作后者解释,原本《2022法案》中数据处理者在与数据受托人的合同允许的情况下根据有效合同进一步雇佣、指定、使用或引入另一个数据处理者来处理个人数据的情形由于两重有效合同对数据受托人、先引入数据处理者和后引入数据处理者的约束,仍是符合DPDP第八条第二款规定的。但具体作何解释,仍需等待DPDP相关规则或执法实践的出现。
《2022法案》 | DPDP |
9. 数据受托人的一般义务 (9) 数据受托人向其他数据受托人共享、转让或传输个人数据,或雇佣、指定、使用或引入数据处理者代表其处理个人数据的,必须取得数据委托人的同意,且只能根据有效的合同实施。如果与数据受托人的合同允许,此类数据处理者可以根据有效合同进一步雇佣、指定、使用或引入另一个数据处理者来处理个人数据。 | 8. 数据受托人的一般义务 (2) 数据受托人仅可在有效合同下(onlyunderavalidcontract)雇佣、指定、使用或通过其他方式引入数据处理者代表其为与向数据委托人提供商品或服务相关的任何活动处理个人数据。 |
DPDP还在数据受托人部分对数据委托人删除权的行使进行了更完善的对应设计。《2022法案》规定在“不再符合特定目的”情况下应当停止保留个人数据的表述,而DPDP在以明确的删除个人数据取代了停止保留个人数据表述的同时,还排除了能将“删除个人数据与特定数据委托人相关联的方式”作为停止保留的可选替代方案的设计,并进一步在此确认了撤回同意时即可触发删除的情形。对于“特定目的”的含义,DPDP与《2022法案》基本保持一致,是指数据受托人根据本法及后续法规规定向数据委托人发出的通知中提及的目的,但DPDP明确了原本较为模糊的“不再符合”概念,规定数据委托人并未以任何方式要求数据受托人履行目的或行使其权利的,视为不再符合原有的数据收集目的。此外,DPDP还修改了《2022法案》允许出于法律或商业目的对个人数据继续保留的规定,改为仅可在遵循现行有效法律之必要的情况下进行保留,从而避免了数据保留例外被滥用的可能。
《2022法案》 | DPDP |
9. 数据受托人的一般义务 (6) 数据受托人必须停止保留个人数据(cease to retain personal data),或删除个人数据与特定数据委托人相关联的方式(remove the means by which the personal data can be associated with particular Data Principals), 一旦有理由认为: a. 保留此类个人数据不再符合收集此类个人数据的目的;以及 b. 出于法律或商业目的,不再需要保留。 | 8. 数据受托人的一般义务 (7) 除却保留数据是遵循任何现行有效法律之必要外,数据受托人应: a.删除个人数据(erase personal data),在数据委托人撤回同意(withdrawing her consent)或一旦有理由假定不再符合特定目的,以孰早为准; b. 使其数据处理者删除数据受托人为相应数据处理者处理数据而提供的任何个人数据。 (8) 第七款(a)项中的“目的”应当被视为不再符合,如果数据委托人没有: a. 要求数据受托人履行特定目的;以及 b. 行使其与数据处理有关的任何权利, 在所规定的期限内,另外对于不同类别的数据受托人和不同的目的可以规定不同的期限。 |
DPDP在《2022法案》对数据受托人处理儿童数据的特殊义务部分加入了对残障人士的保护,要求处理其数据也应得到其监护人同意。此外,DPDP还增加了中央政府授权豁免的情形,即如果中央政府相信相关数据受托人已确保其对儿童个人数据的处理方式是安全的,可确定豁免年龄线,其针对年龄线之上儿童的数据处理特殊义务可被豁免。
其他变动还包括,DPDP删除了印度中央政府可根据其认为必要的其他因素确定重要数据受托人并予以更严格的义务要求的规定,目前印度中央政府仅可通过处理个人数据的数量和敏感性、对数据委托人造成损害的风险、对印度主权和完整性的潜在影响、对民主选举的风险、国家安全及公共秩序这些明确列出的因素来评出重要数据受托人。
五、 数据委托人的权利和义务:细化和调整
关于数据委托人的权利和义务部分,DPDP与《2022法案》在权利和义务设定上基本一致,均包括个人数据知情权、更正和删除个人数据、申诉权、提名权等权利,以及遵守现行法行使权利、不提起虚假无意义申诉或诉讼、不隐瞒重要信息或冒充他人、行使更正或删除权时提供可核实的真实信息等义务。但DPDP也在相关细节上进行了细化或调整,具体包括:
(一)个人数据知情权部分:增加了例外情况,即在数据受托人在其他依法获取授权的数据受托人为防止、发现或调查犯罪或网络事件或起诉、惩罚犯罪而提出书面请求的情况下进行信息分享的,数据委托人不得依据DPDP要求了解其个人数据被分享的对象、数据内容和其他相关信息。
(二)申诉权部分:
(1) 在对数据受托人的申诉之外,明确了数据委托人亦有权获得随时可用的手段以便向同意管理人申诉,其原因可能在于“同意管理人”概念的修改,在之前的《2022法案》中,同意管理人亦被明确了其作为数据受托人的身份,但DPDP以“人”的概念避免了在定义时将其纳入数据受托人的概念中,以避免混淆;为免疑义,DPDP也规定了“人”包括个人、印度教概念下不可分割的家庭、公司、协会团体或其他法人。
《2022法案》 | DPDP |
7. 同意 (6) 数据委托人可以通过同意管理人给予、管理、审查或撤回她对数据受托人的同意。 就本条而言,“同意管理人”是一个数据受托人,使数据委托人能够通过一个可访问、透明和可互操作的平台给予、管理、审查和撤销其同意。 (7) 本条中规定的同意管理人应是对数据委托人负责并代表数据委托人行事的实体。同意管理人应以规定的方式并在规定的技术、运营、财务和其他条件下向委员会注册。 | 2. 定义 (g) “同意管理人”意为一个在委员会注册的人(person),作为单一联络点,使数据委托人能够通过一个可访问、透明和可互操作的平台给予、管理、审查和撤销其同意。 |
(2)DPDP修改了《2022法案》中要求数据受托人应在七天或规定的更短时间内进行回应的严格期限,代之以在规定的时间内回复即可,减少了面对众多用户的大型互联网平台等企业的回复压力;此外,区别于原本数据委托人对申诉回应不满或未在七天或规定的更短时间内收到回复就可向委员会投诉的设计,DPDP目前明确要求数据委托人应穷尽法案规定的申诉方式后方可向委员会投诉。
(三)数据委托人义务部分:《2022法案》此前要求任何情况下均不得提供虚假细节、隐瞒重要信息或冒充他人,这激起了较大的争议和批评,尤其是对于不得提供虚假细节的强制要求,反对者们担忧这将使得在网络上隐藏个人真实身份的意愿变得不再可能,也给公众参与数据收集带来较大不安和负担。在DPDP中,这些义务被修改为:不得在提供个人数据时冒充他人,以及仅在向由国家或国家机构发放的任何文件、唯一标识符、身份证明或地址证明提供个人数据时不得隐瞒任何重要信息,“不得提供虚假细节”的要求被删除。
六、 印度数据保护委员会:更详细的内部设计
印度数据保护委员会是负责保护相关数据主体免遭违法行为的机构,也是DPDP相关规则得以监督和执行的主体机构。相比于《2022法案》较为简单的设计,DPDP对于委员会的制度安排和职能行使进行了更加全面和详细的规定,因改动添加内容甚多,本处不再进行详细对比。概括来说,DPDP所规定的委员会制度包括:委员会应承担接收、调查数据委托人投诉的任务并采取行动。数据保护委员会由一名主席和中央政府可能通知的其他成员组成,并根据其确定的条款和条件任职或罢免,因此中央政府对该委员会有着较强的控制权。此外,委员会还拥有相当于民事法院的裁决权,有权对违规主体处以罚金并可请求警察或中央政府或地方政府官员的协助。
七、 其他重点变化
(一)数据出境:DPDP修改了《2022法案》中较为严格的仅在中央政府进行必要因素评估后通知数据受托人方可个人数据出境的规定,改为中央政府可通知限制相应的个人数据出境行为,但也指出DPDP较为宽松的规定并不限制印度现行有效的任何法律的适用性,如该法律在与任何个人数据或数据受托人或其类别相关的方面为在印度境外的数据受托人转移个人数据提供更高程度的保护或限制。
(二)豁免:如前所述,《2022法案》数据处理的合法性基础部分“视为同意”类型中因公共利益所需进行数据处理的情形被整体删除,而DPDP保留了其中对根据现行有效的任何法律由法院、仲裁庭或其他有权机构批准的公司之间的重组、收购、合并或分立以及为了确定由于贷款或从金融机构获得的预付款未按期支付之人的财务信息以及资产和负债情况而进行的合规数据处理的豁免情形,此时对于DPDP下除数据受托人责任地位和合理保护外的主要义务均可不进行适用。DPDP还特别允许中央政府豁免对印度工商部认可的初创公司的数据合规需要。此外,DPDP还加入了法案生效五年内中央政府具有任意豁免权的设置,即中央政府在法案生效之日起五年内可以通过通知宣布法案的任何规定在指定的期限内不适用于特定数据受托人或特定类别的数据受托人,极大扩充了其豁免权力行使的可能和便捷程度。
(三)处罚:对于违反法案的行为,此前的《2022法案》中对于违反法案规定的行为设置了25亿卢比的最高门槛,但如果委员会在调查结束后认为后果严重,可以增加至50亿卢比。而这种加重处罚的设计在DPDP中被删除,因此目前处罚上限仍为25亿卢比。
结语
DPDP的出台无疑加强了印度对数据领域的监管,使得相关数据的合规处理更加规范。但同样,其对中央政府较多的豁免授权以及法案中多项规定对后续配套规则的依赖,都使得DPDP在执行上仍有较多有待后续明确的空间。目前也有批评集中在DPDP豁免情形应用过于广泛,以及核心监管机构印度数据保护委员会受控于印度中央政府而不具独立性等问题上;对此,印度通信与电子信息部长表示DPDP与政府相关的豁免少于欧盟的《通用数据保护条例》(GDPR),豁免范围符合印度宪法中的规定,DPDP的“最重要的目标”之一是“使大型科技公司承担更多责任”,而DPDP为公民提供了充分保障。在此情况下,DPDP的后续运用和发展依然存在很多可能,因此我们也将持续关注印度对DPDP相关规则的制定以及后期的实际执法实践。
注:
1.本文《2022法案》相关翻译均参照《域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)》。
2.DPDP相关翻译除相同术语与上述《2022法案》翻译保持一致外,其余为作者自行翻译,或有不当错漏之处,敬请谅解。
参考文献:
1.《2023年数字个人数据保护法案》原文,https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf;
2.《2022年数字个人数据保护法案》原文,https://www.meity.gov.in/writereaddata/files/The%20Digital%20Personal%20Data%20Potection%20Bill%2C%202022_0.pdf;
3.Digital Personal Data Protection Bill, 2023: Here Are The Top 8 Changes,https://www.bqprime.com/law-and-policy/digital-personal-data-protection-bill-2023-here-are-the-top-8-changes;
4.Salient Features of the Digital Personal Data Protection Bill, 2023,https://www.lexology.com/library/detail.aspx?g=a628c5c8-3c1b-4c32-8847-13976ffe1b41;
5.The Digital Personal Data Protection Bill, 2023,Ministry: Electronics and Information Technology,https://prsindia.org/billtrack/digital-personal-data-protection-bill-2023#_edn7;
6.《域外观察 |印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)》,https://mp.weixin.qq.com/s/wWQRRgV8sImP2l_FtZyksg;
7.《域外观察 |亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析》),https://mp.weixin.qq.com/s/gWvoRZEe9kQ2q2J7nyyAPw;
8.MoS IT on concerns around Digital Personal Data Protection Act: There will be checks & balances to ensure personal data is not misused,https://indianexpress.com/article/business/economy/concerns-around-contentious-provisions-of-data-protection-law-mos-it-8889933/;
9.Safeguards in data protection law, fear due to previous govts: Ashwini Vaishnaw,https://indianexpress.com/article/india/safeguards-in-data-protection-law-fear-due-to-previous-govts-ashwini-vaishnaw-8891323/;
10.What India’s draft digital privacy law says — and how it compares with data protection laws elsewhere,https://indianexpress.com/article/explained/explained-economics/india-draft-digital-privacy-law-data-protection-laws-8279199/;
11.The Data Protection bill will enable privacy violation, not guard against it,https://indianexpress.com/article/opinion/data-protection-bill-enable-privacy-violation-not-guard-against-8883820/;
12.Nikhil Dey and Aruna Roy write: Data Protection Bill does not protect us — it attacks our rights,https://indianexpress.com/article/opinion/columns/nikhil-dey-and-aruna-roy-write-data-protection-bill-does-not-protect-us-it-attacks-our-rights-8880902/
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
