2018 年7 月27 日,印度高级别委员会正式发布《2018年个人数据保护法案(草案)》(The 2018 Personal Data Protection Bill),这是印度首部全面的个人数据保护法。草案与此前欧盟《通用数据保护条例》(GDPR)、美国《2018加州消费者隐私法案》(CCPA)一起,共同呈现出增强公民对个人数据控制这一全球不可逆转的大趋势。草案已提交给印度电子和信息技术部,该部将审查该草案并考虑启动议会程序。
一、出台背景
随着印度数字经济的发展,数据驱动下的服务和交易不断增加,但印度公民的个人数据保护程度较低。在全球对个人数据保护和法律监管日趋严格的大趋势下,2017 年8 月,印度政府组织成立了由BN Srikrishna大法官领衔的高级别委员会,目标是为印度引入全面的个人数据保护法律。2018 年7 月27 日,该委员会正式发布了一份报告《自由和公平的数字经济:保护隐私、赋能印度民众》( A Free and Fair Digital Economy: Protecting Privacy, Empowering Indians)和一份草案《2018 年个人数据保护法案》(The 2018 Personal Data Protection Bill)。
二、主要内容
印度《2018年个人数据保护法案(草案)》共十五章,除明确适用范围(第一章)外,在数据处理规则和权利义务设定方面,主要包括数据保护义务(第二章)、处理数据的基础(第三章、第四章)、儿童的个人数据和个人敏感数据(第五章)、数据主体的权利(第六章)、透明度和问责措施(第七章)、个人数据跨境传输(第八章)、豁免(第九章)等七个方面;在保障机制方面,主要包括保护机构(第十章、第十二章)、处罚与惩罚(第十一章、第十三章);此外,还规定了过渡性条款及其他事项(第十四、第十五章)。要点内容主要包括:
(一)适用范围
草案设定了较为宽泛的适用范围,效力及于印度境内外的个人数据处理活动。境内适用主要包括两种情形:一是在印度境内进行个人数据处理活动;二是由印度组织和个人或者根据印度法律成立或者创建的个人或者团体处理个人数据。境外适用的情形也主要包括两种情形:一是与在印度进行的业务有关,或者与向印度数据主体提供商品或者服务的系统性活动有关;二是与对印度境内数据主体的画像活动有关。
(二)数据界定
草案将数据视为“信托”问题。印度个人数据保护法案与GDPR不同,GDPR明确将数据定义为“财产”,并明确个人数据属于个人,印度个人数据保护法案却将数据视为“信托”问题,将每一个决定处理个人数据目的和方法的实体定义为“数据受托人”,并要求其承担主要责任。数据受托人系指单独或者与其他人一起决定处理个人数据之目的和方式的任何人,包括邦、公司、法律实体或个人。
(三)目的限制
草案在数据处理中引入“目的限制”,即任何收集或处理“个人数据”的主体必须确定收集和处理该数据的目的,主体必须按照“目的”处理个人数据。例如,如果收集个人数据的目的是提供商品或服务,那么数据就不能被用以“提供其他服务”等任何其他目的,除非对数据主体清楚说明。因此,在收集数据时,每个数据受托人都必须在依据隐私政策收集和处理数据时进行目的限定。
(四)同意规则
草案将“同意”作为处理个人数据的基础,规定了同意应当不迟于处理开始时作出,有效同意必须是自愿、知情、具体、清晰且能够撤回的。此外,数据受托人不得对“同意”设定条件,这些条件可能是任何商品或服务的提供或者商品质量,任何合同的履行或者合法权利、诉求的享有等。草案还界定了单独一类个人数据,即“敏感个人数据”,只有在数据主体“明确同意”的情况下,才可处理“敏感个人数据”。
(五)数据本地化规定
草案提出个人数据跨境传输须在境内留有副本。每个数据受托人应确保在位于印度的服务器或者数据中心存储至少一份个人数据的服务副本。法案中确认了三个类型的个人数据:个人数据、关键个人数据、个人敏感数据,并规定了不同的出境方案。关键个人数据不得出境。其他类型的个人数据在符合条件下方可传输至印度境外。此外,草案给予政府对个人数据出境的自由裁量权。
(六)数据主体权利
草案在数据主体权利部分规定了确认和访问权、纠错权、可移植权、被遗忘权等,并规定了行使权利的一般条件。纠错权是指数据主体有权纠正不准确或者误导性的个人数据,完善不完整的个人数据以及更新过时的个人数据。数据可移植权是指数据主体有权接收采取结构化、通用化和机器可读格式的、与数据主体相关的个人数据。被遗忘权是指在满足条件的情况下,数据主体有权限制或者阻止数据受托人披露与数据主体相关的数据。
(七)处罚
草案规定,任何个人数据被侵犯的惩罚最高可达5亿卢比,或该实体上一财政年度全球营业额的2%,以二者中较高的为准。此外,草案允许任何因违反条款而遭受损害的数据主体,向数据受托人或处理者寻求赔偿。通常只有数据受托人才会承担责任,除非数据处理者的行为超出了其与数据受托人的合同条款,或在保护个人数据方面存在疏忽。
三、评价
尽管草案中超过80%的关键内容几乎与GDPR相同或相似,包括适用范围、数据受托人罚款额度等,但二者之间也存在巨大差距。从制定基础而言,GDPR是自95指令演化而来,而草案只是印度十人委员会在缺少足够借鉴的情况下草拟而成的。相比于GDPR清晰而明确的立场,草案一些内容较为模糊:一是提出了保护公民利益、贸易和工业利益、国家利益三重目的,着力点不清晰。起草者BN Srikrishna在与草案一同提交的报告中将保护公民利益、贸易和工业利益、国家利益三重目的比拟为三角形的三个顶点,认为公民的利益一直处于最高顶点,保持贸易和工业利益以及国家利益的完整作为其他两个顶点,能够达成微妙的平衡。体现在数据权限方面,印度草案似乎既想授权用户,也想授权政府。相比之下,GDPR 完全聚焦于数据安全保护和个人对数据控制,明确清晰。二是将数据确定为信托而非财产,使数据处理过程复杂化。GDPR将数据明确定义为“财产”,并明确个人数据属于个人,为数据治理带来了一种更智能、更高效的方法,而草案的信托设计可能会带来低效结果。例如,为了行使“被遗忘的权利”,数据主体可能必须经历漫长的过程,填写一份长长的表格,证明为什么他不想继续同意使用他们的数据,这违背权利的宗旨。三是处理数据泄露的规定不完善,对通知时间等要素未做明确规定。当涉及到数据泄露的通知时,草案再次留下了模棱两可的余地,称数据泄露通知将由数据受托人“尽快”向数据保护局(DPAI)发出,以防它们对数据主体构成潜在的“伤害”,但没有说明具体时间。相比之下,GDPR明确规定,如发生数据泄露,数据控制者应通知主管监管机构,不得无故拖延。在可行的情况下,不得迟于发现数据泄露后的72小时,以便主管机构评估泄露情况并决定是否需要采取后续行动。
尽管存在前述诸多不足,《2018年个人数据保护法案(草案)》仍然是印度增强公民个人数据保护,强化政府监管的重要举措,其中对个人数据保护的制度设计和探索值得追踪和关注,以为我国《个人信息保护法》出台提供借鉴与参考。
(作者:中国信息通信研究院安全研究所李晓伟)
声明:本文来自互联网新技术新业务安全评估中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。