【印度数据保护】DPDP法案概述：印度数据保护的新曙光

2023年8月3日提交议会的《2023年数字个人数据保护法案》（“法案”）[1]是印度发展通用数据保护制度长达十年的过程的高潮。

通过撤回一份在2021年之前一直在议会审议的精心制定的规范性草案，到2022年11月18日提出一份新的、精简的、基于原则的草案（“草案”）[2]，然后进行广泛的协商过程，据报道，该过程涉及超过20000份意见书，[3] 电子和信息技术部进行了数十次涉及该部最高级别个人参与的讨论，为制定和通过一项定制的印度立法奠定了基础，该立法旨在在便利经商和保护主权和公民权利之间找到平衡，事实证明，这在全球范围内是难以捉摸的。[4]

作为一份33页的简明文件，该法案用简单的语言写成，并附有几幅插图，它与迄今为止占据中心舞台的密集和规范的个人数据保护立法方法有着重大的、几乎不合时宜的背离：

1. 制定广泛的基本规则，其中一些规则，如同意、目的限制和数据最小化[6]，已通过协商过程得到强化；
2. 通过授权立法就父母同意方式和隐私通知等概念提供一些指导，[7]但保留“合理”安全做法以及技术和组织措施等开放概念，供实体解释；[8]
3. 建立一个专门机构，即数据保护委员会[9]，以解决未解决的申诉，并可能处以巨额罚款（最高2.5亿卢比[10]），同时建议禁止惯犯的申请和服务；和
4. 建立一个向电信纠纷解决和上诉法庭以及此后的最高法院提出上诉的机制，[11]该法案规定围绕隐私权建立丰富的判例体系，隐私权的核心是宪法规定的基本权利[12]

该法案代表了印度数据生态系统新开端的可能性，以及为注重创新的经济体制定新的全球个人数据保护方法的令人兴奋的可能性。

作为我们关于该法案系列的第一篇论文，我们现在对照草案和一些全球框架来研究该法案发展的关键方面。

a.适用范围和除外条款

条例草案继续适用于处理个人资料，即任何可由该等资料识别的个人资料，或与该等资料有关的数字形式的个人资料（“资料负责人”），或日后可数字化的个人资料。[13] 该法案也适用于印度，与其他全球框架一样，[14]也适用于在印度境外进行的处理，即与向印度数据负责人提供商品或服务相关的活动。[15]

该法案删除了几个拟议的排除条款，只提出了两个排除条款：

1.  第一种用于个人或国内目的的加工，在全球也很常见[16]；和
2. 第二种后果更为深远，是全面排除数据负责人公开（或促使公开）或根据法律义务公开的任何和所有个人信息[17]。

虽然第二种排除有可能使企业不受限制地广泛使用公共信息，并鼓励人工智能解决方案和搜索引擎，但这也意味着，一旦公开，这些信息就不可撤销地被排除在任何和所有形式的保护范围之外，包括公平处理、存储或目的限制等原则，以及

删除和更正等权利。

这些对条例草案的适用范围及适用范围作出的更改，有助消除一些混淆及含糊的字眼。[18] 印度删除了“剖析”（即预测数据主体的行为）数据主体，作为域外应用的明确依据，加上对公共信息的广泛排斥，使该法案比全球制度更为宽松。[19]

尽管存在很多争论，但该法案仍然将所有个人数据视为单一类别，而不是像现行法律[20]和世界大部分地区那样将其归类为敏感类别。[21]也就是说，根据处理的个人数据的数量和敏感性及其影响等标准，自行处理此类个人数据的实体，继续被称为数据受托人（“数据受托人”），可以被归类为“重大”，并承担更高的合规义务，包括任命常驻数据保护官员，

进行数据影响评估、独立数据审计以及可能规定的其他要求。[22]

b.同意框架

虽然业务同意框架在很大程度上与草案保持一致，但存在某些差异。该法案不再要求以“逐项”的方式提供通知[23]。然而，它也指出，通知的格式可以通过授权立法[24]来规定，并且可以在此类立法中规定进一步的要求。也许是为了明确Puttaswamy判决中的隐私权原则，[25]需要同意的附加语言

个人数据“仅限于特定目的所需的个人数据”[26]，该条款末尾的新说明28已在法案中编纂并强调了数据最小化和目的限制的原则。虽然数据受托人可以在通知中广泛起草“特定目的”，但可能制定的关于同意和通知的规则将为同意通知中的哪些理由可以根据法案通过提供额外的指导。

根据该法案，每次寻求同意时都必须发出通知，如果之前已经同意处理，则必须提供新的通知。[28]允许接收这些通知，并通过法案中保留的同意管理器框架管理同意，可能有助于解决上述可能导致的一些同意疲劳。

数据受托人可以通过提供规定格式的通知[30]，继续处理在法案颁布前已获得处理同意的数据[29]。该法案明确规定，数据受托人可继续处理个人数据，直到数据委托人撤回同意[31]。此举将受到企业的欢迎。

c.合法使用

1. “视为同意”的概念是草案中引入的一个新的处理基础，[32]可能受到新加坡PDPA的启发，[33]已被“合法使用”的概念所取代[34]。
2. 尽管自愿提交个人数据仍然是基于合法使用[35]进行处理的基础，但对处理的“合理预期”[36]的要求已经不复存在。虽然第7（a）[37]条的说明暗示了数据主体撤回同意，但在一次性提交信息的情况下，如何做到这一点尚不清楚。
3. 允许国家处理的规定是在遵守中央政府颁布的适用法律或政策的前提下制定的。鉴于在咨询过程中对某些例外情况提出了担忧，这是一个值得欢迎的举措，可能是朝着跨司法管辖区数据传输的数据充分性决定迈出的一步。[38]有点令人困惑的是，还有一项要求是，为了获得任何补贴[39]，或者，有点矛盾的是，“在任何政府登记册中都可以获得”[40]，必须事先同意进行此类处理。
4. 值得注意的是，有限公共利益例外和合理目的例外在第四章（特别规定）中作为一个单独的条款保留了下来，其他理由，如并购和贷款回收，已经大大缩小了范围。[41]

d.数据受托人的保留和其他义务

虽然义务基本上保持不变，但该法案加强了对数据保留的关注。与草案中关于停止保留个人数据（包括通过匿名化的方式）和出于商业目的保留个人数据的授权语言不同，该法案规定了一项硬性义务，即在撤回同意后删除（并促使处理者删除）个人数据（合规所需的除外），或不再为指定的保留目的服务。[42]

重要的是，该法案认为，如果数据委托人没有出于特定目的与数据受托人接触，也没有在规定的特定期限内行使其权利，则保留的目的将不再有效。根据指定的时间段，对于与数据委托人没有直接联系的几种类型的数据受托人来说，该标准可能过于繁重。

e.儿童个人资料的处理

与草案有重大偏差的是，政府通知的一类数据受托人可以免除对处理儿童个人数据的限制，并遵守可能规定的法规。[43]

此外，根据可能制定的规则以及数据受托人处理儿童个人数据的可验证安全方式的证明，中央政府可以豁免第9条（与处理儿童个人资料有关的额外义务）中处理成年以下儿童个人资料的部分或全部规定。[44]

虽然规则尚未制定，但这是一个受欢迎的举措，尤其是对于在线教育部门和与弱势背景儿童或需要心理或身体挑战支持的儿童合作的组织来说。

f.跨境转移个人资料

可以说，与法案草案相比，最重大的变化是，数据受托人现在有能力将个人数据转移到可能被通知的国家或地区以外的任何国家[45]。

该法案现在也清楚地表明，关于本地化的更具限制性的部门规范将继续适用，并坚决关闭了对更宽松解释的大门。[46]

g.豁免

如上所述，法案草案中被视为同意例外的某些处理活动已移至第四章，该章为法案的执行条款提供了更广泛的例外。虽然增加了司法程序处理、基于法院的计划、合并以及预防和侦查犯罪等行动，但在一项重大变化中，删除了搜索引擎的例外情况。

然而，非常有趣的是，除了豁免某些条款对某些数据受托人的适用性的现有权力外，47中央政府还有权通知某些可能在特定时间内免于实施法案的数据受托人。这项豁免可能对初创企业和许多需要时间重新调整业务流程的新时代技术创新者非常有利

h.中央政府的数据保护委员会和权力

该法案大幅扩大了有关数据保护委员会（“DPB”）的组成和运作的规定。DPB现在有权在个人数据泄露的情况下指示采取紧急或补救缓解措施。非常有趣的是，即使DPB的权力似乎已经扩大，它也被限制不得进入场所或扣留任何设备，或以其他方式对个人的日常运营产生不利影响。[48]

鉴于DPB有民事法院的权力强制人员出庭，检查账簿或文件，并要求警方进行调查，因此必须考虑实际的执行方式[49]。此外，在扩大上诉程序的基础上，该法案规定，对DPB决定的上诉将由指定为上诉机构的TDSAT提出[51]。

值得注意的是，对于屡犯者，根据DPB的建议，中央政府有权撤销违规申请或服务[52]。这是一项重要的权力，再加上高昂的处罚门槛，使数据信托公司面临着因多次违规而导致重大业务中断的幽灵。

总而言之，该法案代表了印度对现代数据保护制度的独特看法，该制度从草案之后的广泛磋商中受益匪浅。虽然这些条款的规定性不如GDPR等一些标准，但它代表了对当前“最先进”以及印度企业围绕隐私和个人数据的心态进行重大转变的要求。在我们系列的下一篇文章中，我们将研究印度企业的关键变化，以及他们在法案颁布后如何遵守该法案。

[1] The Digital Data Protection Bill, 2023 (“Bill”) accessible here.
[2] Notice – Public Consultation on DPDP 2022_1.pdf (meity.gov.in); The Digital Personal Data Protection Bill, 2022 (“Draft”), available here.
[3] The Hindustan Times, Over 20k suggestions sent on data privacy law: Officials; May 1, 2023, available here.
[4] General Data Protection Regulation (“GDPR”), available here; Russia Federal Law No. 152-FZ of July 27, 2006 on Personal Data, available here.
[5] Read our analysis on the 2019 Bill here.
[6] Sections 5, 6, 7 and 8, Bill.
[7] Sections 5(1), 9(1), Bill; Clause 40(2), Bill.
[8] Sections 8(4) and 8(5), Bill.
[9] Sections 18(1) and 29(1), Bill.
[10] Schedule, Bill.

[11] Section 30, Bill.
[12] Right to Privacy has been recognized as a fundamental right under Article 21 by the Supreme Court in Justice K.S. Puttaswamy and Ors. v. Union of India (UOI) and Ors., (2019) 1 SCC 1 (“Puttaswamy Judgment”).
[13] Section 3(a)(ii), Bill.
[14] Article 3, GDPR; Section 4, Personal Information Protection and Electronic Documents Act, available here [read with Office of the Privacy Commissioner of Canada, 411Numbers ceases practice of removing information for a fee, March 25, 2019, available here].
[15] Section 3(b), Bill.
[16] Section 3(c), Bill. For similar exclusions globally, see Recital 18, GDPR; Section 4(1)(a), Personal Data Protection Act, 2012 (“PDPA”), available here.

[17] Section 3(c), Bill.
[18] Refer to our analysis on the Draft here and here.
[19] Recital 71, GDPR.
[20] The Information Technology (Reasonable security practices and procedures and sensitive personal data or information) Rules, 2011 provide substantive protection only to a narrowly defined category of passwords; financial data (such as bank account or credit card or debit card or other payment instrument details); physical, physiological and mental health condition; sexual orientation;
medical records and history; and biometric information.
[21] Article 9, GDPR.
[22] Section10, Bill.
[23] Section 5(1), Bill. See also Section 6(1) of the Draft.

[24] Sections 5(1) and 40(2)(a), Bill.
[25] Puttaswamy Judgment; Clause 8, Bill.
[26] Section 6(1), Bill.
[27] Illustration under Section 6(1) of the Bill.
[28] Section 5(2), Bill.
[29] Section 5(2), Bill.
[30] Sections 5(2) and 40(2)(b), Bill.
[31] Section 5(2)(b), Bill.
[32] Section 8, Draft..
[33] Section 15, PDPA.
[34] Section 7, Bill

[35] Section 8(a), Bill.
[36] Section 8(1), Draft.
[37] Illustration b of Section 7(a), Bill.
[38] Section 7(b), Bill.
[39] Section 7(b)(i), Bill.
[40] Section 7(b)(ii), Bill.

[41] Section 8(8) of the Draft Bill had exempted mergers and acquisitions, business transfers or corporate transactions, however Section 17(1)(e) of the Bill provides exemption only for court-based schemes 42 Section 8(7), Bill.
[43] Section 9, Bill.
[44] Section 10(1), Bill

[45] Section 16(1), Bill.
[46] Section 16(2), Bill.
[47] Section 18(1), Bill.

[48] Section 28(8), Bill.
[49] Section 28(9), Bill.
[50] Section 28(7), Bill.
[51] Section 29(1), Bill

[52] Section 37(1), Bill