【印度隐私保护】《2023年数字个人数据保护法》——浅析

电子和信息技术部长于2023年8月3日在Lok Sabha提出的《2023年数字个人数据保护法案》已由议会通过，即Lok Sabha2023年7月7日通过，Rajya Sabha 2023年9月9日一致通过；并于2023年8月11日获得总统批准。

此前的2019年和2022年《个人数据保护法案》被认为是多项修正案，其中涉及数据本地化、透明度、合规性等几个问题，已被中央政府撤回。上述法案是在最高法院在K.S.Puttaswamy法官诉印度联邦案（2017年）中支持“隐私权”作为《印度宪法》第21条规定的基本权利“生命权”的一部分，并建议CG制定一项保护个人数据的法案/制度后产生的。

《2023年数字个人数据保护法》的目的和适用性

该法案的主要目标是建立一个保护和处理个人数据的综合框架（定义如下）。

“该法案规定，数字个人数据的处理方式既承认个人保护其个人数据的权利，也承认为合法目的和相关或附带事项处理此类个人数据的必要性”。

该法案应适用于在印度处理个人数据，包括在线和数字化离线数据，并应进一步扩展到在印度境外处理与在印度提供商品或服务有关的此类数据。

该法案还为其他各种法律奠定了基础，如《数字印度法案》和其他围绕隐私和数据保护的行业特定法律，以加强印度在保护个人数据的同时采用人工智能和其他未来技术的步伐。该法案还可以帮助印度企业在保护个人数据的同时，根据互惠安排加强与其他国际企业的合作。

值得注意的是，该法案是印度第一部在提及个人时使用代词的中央法律。

定义和显著特征

• 数据：对信息、事实、概念、意见和指令的任何表示，能够由人类或通过自动化手段进行沟通、解释和处理。此外，在该法案中，任何可通过此类数据识别或与之相关的个人（数据负责人）数据均被称为个人数据。
• 个人数据处理：处理被定义为通过完全或部分自动化的方式对数字个人数据执行一系列操作，包括收集、存储、索引、共享、使用、披露、传播，并包括删除。此类处理只能出于数据负责人同意的“合法目的”以及该法案规定的某些合法用途。
• 适用性：该法案应适用于印度境内的数字个人数据处理，此类数据为：（i）数字形式，或（ii）非数字形式，随后数字化。然而，如果数字个人数据的处理与向印度境内的数据负责人提供商品或服务的任何活动有关，则该法案也应适用于域外数字个人数据处理。当此类数据（i）由个人出于任何个人或国内目的处理，以及（ii）由数据负责人本人或任何其他有义务（根据当时印度有效的任何法律）公开此类个人数据的人公开或促使公开时，本条不适用于个人数据。
• 同意：该法案第6条规定，只有在获得数据负责人（个人）的同意后，才能出于特定目的处理个人数据。这种同意必须是自由的、具体的、知情的、无条件的、明确的，并有明确的平权行动。在寻求同意之前，数据受托人必须根据第5条发出通知，其中包含有关要收集的个人数据和处理目的的详细信息。正在处理数据的个人可以在任何时候撤回她的同意。值得注意的是，根据第7条，“合法用途”不需要获得此类同意，其中包括：（i）个人自愿提供数据的特定目的，（ii）国家提供补贴、证书、许可证、福利、许可证等福利或服务。，（iii）为了国家安全或为了国家主权和完整（iv）为了应对医疗紧急情况、治疗或卫生服务，（v）为了安全，为了国家安全和公共秩序，以及（vi）就业。对于残疾或十八（18）岁以下的个人，该法案规定，他们的同意将由其父母或法定监护人提供。

然而，国家或国家的任何部门有权保留个人数据或拒绝根据第17（4）条提出的删除个人数据的任何请求。

• 数据负责人的权利和义务：根据第12条至第14条，其数据正在被处理的个人应享有某些权利，其中包括以下权利：（i）获得有关处理的信息，（ii）寻求更正和删除个人数据，（iii）在死亡或无行为能力的情况下提名他人行使权利，（iv）对任何申诉进行补救，以及（v）在处理个人数据期间或之后的任何时候撤回她的同意。此外，根据第15条，数据负责人有义务不：（i）登记虚假或无聊的投诉；（ii）在提供其个人资料时隐瞒任何重大信息；以及（iii）在指明情况下提供任何虚假详情或冒充他人。违反上述义务的行为将受到该法案附件规定的处罚。
• 数据受托人的义务：根据该法案第8条，数据受托人必须：（i）仅处理数据委托人已同意或视为同意的个人数据（当任何个人未向数据受托人表明她不同意使用其个人数据时）；或用于某些合法用途；（ii）尽合理努力确保数据的准确性和完整性，（ii）采取适当措施保护其拥有或控制的个人数据，（iii）回应数据负责人为行使其权利而发出的任何通信，（iv）在发生个人违约时通知印度数据保护委员会和受影响的人员，以及（v）在达到目的后立即删除个人数据，并且出于法律目的不需要保留（存储限制）。在政府实体的情况下，存储限制和数据主体的擦除权将不适用。任何违反上述义务的行为均应按照《法案》第33条及其附件进行处理。
• 在印度境外转移个人数据：第16条允许境外处理和转移个人数据，但CG通过通知限制的国家除外。
• 豁免：根据该法案第17条，该法案第二章（第8（1）和（5）条除外）和第三章（第16条除外）中的规定，即与“数据受托人的义务”和“数据委托人的权利和义务”有关的规定，在特定情况下不适用（豁免），其中包括：（i）预防，调查或起诉犯罪，以及（ii）强制执行法律权利或索赔（iii）不在印度境内（iv）为确定财务信息、资产和负债而进行的处理。此外，根据第17（2）条，该法案的规定不适用于以下情况下的个人数据处理：（i）国家或国家的任何其他机构为了安全和公共秩序的利益，以及；（ii）为研究、归档或统计目的所必需的。
• 印度数据保护委员会：CG应根据该法案第五章的规定，成立一个由主席和其他成员组成的印度数据保护局。董事会将行使和履行该法案第27条和第28条规定的权力和职能，其中包括（i）在个人数据遭到任何侵犯的情况下指示紧急补救/减轻措施；（ii）调查此类侵犯行为；（iii）根据该法案实施处罚。委员会将是一个具有原始管辖权的民事法院，负责受理与该法案有关的投诉/事项，根据第39条，任何其他民事法院将被禁止受理与委员会根据该法案有权裁决的任何事项有关的任何诉讼或程序。
• 上诉：根据第29条，对委员会决定的上诉应由根据1997年《印度电信管理局法》（TRAI法）设立的电信争议解决和上诉法庭（TDSAT）提出。自收到董事会决定之日起六十（60）天内提出上诉。此外，TDSAT通过的命令应可根据《TRAI法案》第18条向最高法院提起上诉。
• 处罚：该法案附表规定了对根据该法案实施的各种犯罪和违规行为的处罚金额。例如，对不遵守与儿童有关的义务的处罚金额为（i）20亿卢比；（ii）根据第8（5）条，因未能采取安全措施防止数据泄露而产生的2.5亿卢比；以及（iii）根据第8（6）条向董事会或数据负责人发出个人数据泄露通知的违约行为，赔偿20亿卢比。此类处罚将由委员会在根据第33条进行调查后实施。

影响和实施

根据这项新法案，以任何方式处理个人数据的公司和企业现在都必须制定标准操作程序并培训其人员，以遵守某些合规规定，例如与重要数据受托人根据该法案第10条任命的数据保护官合作；聘请一名独立数据审计员；建立同意管理机制，收集、维护、跟踪和更新个人的同意；进行评估以保护数据；与数据处理者保持有效的合同；然而，需要澄清将公司和初创企业归类为数据受托人的依据，特别是关于某些阈值和合格性，如净值、资产、规模、人员数量及其资格等。

认真努力保护个人数据以获得合法的控制和监视

目前形式的该法案初步建议保护个人数据，但在技术上可能对条款的实施存在担忧。例如，根据第36条，CG有权要求董事会或任何数据受托人或中介机构提供“此类信息”。这种广泛的权力和广泛的术语一旦从立法的角度来看，就会显示出对CG进行监视的根深蒂固的意图。此外，第17（2）（a）条授权CG免除国家任何部门在处理个人数据方面的严格规定。此外，由于2005年《信息权法》（RTI法案）第8（1）（j）条被该法案第44（3）条修订，因此，《信息权法案》在隐私权和信息权之间取得了平衡，将失去，因为公共信息官员（PIO）的权力可以被视为已经扩大，因为现在这样的PIO可以以所寻求的与个人数据有关的信息为借口拒绝根据《信息权法》提出的申请。

结论

该法案标志着一种独特的保护个人数据的方法，在不断增加的互联网用户、数据生成和跨境贸易的背景下解决了长期存在的需求。然而，人们认为，在印度数据保护委员会成立和根据该法颁布规则后，可能会澄清有关实施的各种细节。从整体上讲，该法案表明了印度在现代数据保护方面的独特立场，并通过广泛的草案后协商得到了丰富。虽然该法案的条款不如欧盟的GDPR详细，但它肯定要求印度企业从现在处理隐私和个人数据的方式进行重大转变，同时使CG控制、保留和监控公民个人信息的行为合法化。

虽然该法案各条款的实施通知仍在等待中，但人们必须等待并观察法院如何解释广泛的授权条款，以及该法案以何种方式演变。

Ishwar Ahuja是Saga Legal的首席合伙人，Sakina Kapadia是Saga律师事务所的合伙人。

本条中表达的观点和意见仅为作者的观点和观点，旨在让读者了解新法案。上述条款的内容并不一定反映佐贺法律的官方立场。建议读者从专业人士/专家那里获得有关其个人案件的具体意见/建议，不要用本条代替专家法律建议。