x

【印度隐私保护】印度DPDPA的六大运营影响——跨境数据传输

cioctocdo
15 November 2023
SEO Title
Iapp Top 6 operational impacts of India’s DPDPA – Cross-border data transfers

文章分类

发布时间:2023年10月

按主题导航

  • 数据本地化
  • 允许数据传输的依据
  • 重要数据受托人
  • 豁免
  • 继续适用部门法律
  • 展望未来

印度的《数字个人数据保护法》是一部简单、基于原则的法律,将遵守的细节、程序和细节留给将在其作为法律生效之前发布的授权立法。它引入了数据受托人(fiduciaries)的各种义务,相当于《欧盟通用数据保护条例》中的数据控制者,并为数据主体(相当于《通用数据保护规则》下的数据主体)提供了多项权利和义务。它建立了一个新的机构——数据保护委员会——来执行法律,并阐明了一套原则来定义该国数据保护法规的性质。

从具体涉及个人数据跨境转移的条款来看,印度政府的数据本地化方法是在围绕法律进行审议和协商的过程中演变而来的。印度的做法与其他司法管辖区有相似之处,也有不同之处,尤其是欧洲的GDPR。

数据本地化

在印度数据保护立法初稿第40条中,2018年《个人数据保护法案》要求所有个人数据的副本始终存储在印度境内。广泛的利益相关者强烈反对这种数据本地化方法,因为它从根本上扰乱了在线业务的开展方式。

因此,随后的法律版本,即2021年《数字个人数据保护法案》第17条,逐渐淡化了这一立场。朝着这个方向迈出的第一步是允许将个人数据转移到政府将单独提供的某些“白名单”国家。

这在最终制定为法律的版本中被进一步淡化了。DPDPA第16条允许将个人数据自由转移到印度以外的所有国家或地区,中央政府明确确定的国家或地区除外。

有鉴于此,一项最初看起来将绝对禁止跨境数据传输的法律最终对跨境数据传输采取了“黑名单”方式,将其限制在特定列举的国家或地区。

允许数据传输的依据

根据《通用数据保护条例》,如果接收数据的司法管辖区或实体提供的保护水平足以保护被传输数据的欧洲居民的个人数据,则允许数据传输。因此,允许向欧盟委员会确定确保第45条规定的充分保护水平的国家,或在受第47条规定的有约束力的公司规则或第46条规定的适当保障措施约束的司法管辖区内的实体之间进行数据传输。这些条款规定了评估跨境数据传输许可性的原则。

另一方面,DPDPA没有为确定禁止向哪些国家传输数据提供这样的依据。它只列出数据传输将受到限制的国家。没有义务提供充分性的理由,也没有义务提供任何其他机制,相当于标准合同条款或有约束力的公司规则,根据这些条款,可以允许向此类被禁止管辖区内的实体传输数据。

重要数据受托人(Significant data fiduciaries)

该法案还引入了重要数据受托人的概念,即一个因处理大量数据、处理高风险数据或在政治敏感行业运营而受到更高合规门槛约束的实体。

它保留让重要数据受托人遵守中央政府确定的额外合规要求的权利

在这种情况下,可以想象,中央政府可以利用这一权力限制重要的数据受托人将个人数据转移到国外或特定的司法管辖区。

豁免

尽管该法案为针对具体国家的数据传输限制奠定了基础,但第17条澄清了这些限制可能不适用于某些处理活动。此类豁免处理活动的例子,以及政府和私营实体均可利用此类豁免的指示性用例,包括:

  • 根据印度法律预防、侦查、调查或起诉犯罪。
    • 即使对向特定司法管辖区跨境转移个人数据存在限制,印度警方和执法机构在国际刑事调查或引渡任务方面也不会受到这些限制。可以说,当需要转移与正在进行的内部调查或欺诈有关的数据时,私营公司也可以享受这一豁免。
  • 强制执行法定权利或要求。
    • 对个人数据跨境转移到特定司法管辖区的限制不会妨碍执行法律权利所需的转移,如财产纠纷、婚姻纠纷、移民案件、财务索赔等。
  • 根据与外国实体签订的合同进行处理。
    • 对个人数据跨境转移的限制不适用于根据与外国实体签订的合同进行的任何处理。这与印度外包行业主要处理非印度个人数据的部分尤其相关,他们为外国客户处理这些数据。
  • 根据法律批准的公司之间的合并、分拆、收购和其他此类安排进行处理。
    • 任何与外国公司签订此类协议的印度实体都可以利用这一豁免将员工信息和其他个人数据传输给该外国公司,即使该实体位于禁止数据传输的管辖区。
  • 向金融机构确定违约者财务状况的处理。
    • 当金融机构需要确定违约客户的金融资产和负债时,禁止将个人数据跨境转移到特定司法管辖区这一事实将无法阻止此类转移。
  • 履行监管、监督或司法职能。
    • 监管机构不会被禁止根据跨境执法、监管或监督的需要传输个人数据,即使相关司法管辖区被列为禁止数据传输的司法管辖区。

继续适用部门法律

DPDPA第16(1)条明确规定,根据现有法律提供额外要求或更高程度保护的限制也将继续适用。这表明,中央政府根据第16(1)条设定的任何限制都将作为所有类别个人数据的基线保护,但部门监管机构可以根据数据的性质或行业需求,根据需要规定额外的限制或保护。

目前,印度在多个部门都有跨境数据传输限制。例如,该国的银行监管机构印度储备银行规定,某些类别的支付数据,如交易信息和客户凭证,只能存储在印度境内。

同样,某些类别的电信数据,包括与订阅有关的会计信息,也不能转移到印度境外。保险业也有相应的本地化要求。尽管该法案没有规定数据本地化义务,但所有这些限制将继续实施。

展望未来

印度的数据保护法与早期将数据本地化概念引入词典的草案相比已经取得了长足的进步。相比之下,目前的框架提供了一个更加开放和宽松的跨境数据传输制度。

尽管哪些国家将被列入黑名单仍存在一定程度的不确定性,但考虑到印度在全球市场上发挥的关键作用,中央政府不太可能实施严格的本地化规范。相反,它更有可能谨慎地平衡主权利益与商业稳定。

IAPP资源中心还设有一个“印度”主题页面,定期更新IAPP的最新新闻和资源。

印度DPDPA的六大运营影响

可以在此处访问完整系列的概述页面。

  • 第1部分:范围、关键定义和合法数据处理
  • 第2部分:个人权利
  • 第3部分:数据处理实体的义务
  • 第4部分:执法和数据保护委员会
  • 第5部分:跨境数据传输
  • 第六部分:与《欧盟通用数据保护条例》等主要数据隐私法的比较分析
文章链接
https://cpo.work/iapp-top-6-operational-impacts-indias-dpdpa-cross-border-data-transfers

标签