文章分类
TL;DR
电子和信息技术部今天向议会提交了2023年数字个人数据保护法案草案。下面,我们介绍我们对提案草案的初步想法,以及它与2022年草案的比较。我们强烈敦促联邦政府解决民间社会利益攸关方不断提出的众多反复出现的问题。
注:此帖子已于2023年8月4日更新。
背景
2012年10月12日,由前规划委员会大法官A.P.Shah领导的隐私问题专家委员会提交了一份关于国际和国家隐私标准的有影响力的文件。由大法官BN Srikrishna主持的数据保护专家委员会由电子和信息技术部(“MeitY”)于7月31日成立,2017该委员会于2018年7月27日向 MeitY 发布了长达176页的报告,并提出了《2018年个人数据保护法案》。2019年12月11日,《2019年个人数据保护法案》(“PDPB,2019”)一经在议会提出,就被提交给由两院议员组成的联合议会委员会(“JPC”),供其审查和提出建议。经过近两年和几次延期,2019年个人数据保护法案联合委员会于2021年12月16日发布了报告。该报告还包含了新版本的法律,标题为“2021年数据保护法案”(“DBP,2021”)。然而,通信和信息技术部长Ashwini Vaishnaw于2022年8月3日撤回了2021年DPB。电子和信息技术部于2022年11月18日发布了《2022年数字个人数据保护法案》草案(DPDPB,2022),供公众咨询。2022年DPDPB附带的通知指出,作为咨询过程一部分提交的意见书将不会公开。
总体分析
- 咨询和介绍过程引发了关注:2022年DPDPB附带的通知指出,MeitY不会公开收到的评论。此外,咨询过程要求感兴趣的参与者在MyGov网站上注册,以便能够提供意见,这是一个重大障碍。在这里,当信息技术常务委员会在2023年审议DPDPB时,议会程序也可能被规避了,尽管它没有被正式提交给它,这一举动导致常务委员会中的反对党成员退出了通过该报告的会议。
- 该法案的范围被限制为排除公开的个人数据:2023年的DPDPB将数据负责人或其他人为遵守法律而公开的任何个人数据排除在其适用范围之外。该条款将限制数据主体保护其个人数据不受在线抓取的影响。
- 弱通知要求:与2019年和2021年版本相比,数据受托人不必通知委托人他们的数据将与哪些第三方共享、他们的数据存储期限以及他们的数据是否会转移到其他国家。
- 允许对数据进行模糊的非自愿处理:2022年DPDPB允许数据受托人假设数据委托人同意,如果根据某些情况,如公共秩序崩溃、就业相关目的和公共利益,处理是必要的。2022年DPDPB的“视为同意”条款现已被“某些合法用途”条款取代,2023年DPDPB.仅删除了公共利益条款。
- 数据负责人的义务和处罚:数据负责人已承担了不登记虚假或无聊申诉或投诉等义务,违反这些义务可能会受到处罚(最高10000印度卢比)。
- 数据传输的模糊因素:2022年的DPDPB取消了2019年和2021年迭代中包含的数据本地化要求,但建议制定一份有资格接收印度数据的国家的允许名单。DPDPB,2023进一步修改了这一规定,建议将通知印度数据不得传输到的国家的封锁名单。然而,尚未具体说明确定一个国家是否有资格接收印度数据的因素。
- 为私人行为者设立的豁免:2022年的DPDPB为联邦政府提供了豁免某些数据受托人或某类数据受托人的权力。2023年DPDPB保留了这一规定,并特别将初创公司作为联邦政府可能豁免的数据受托人。
- 对政府的豁免进一步扩大:联邦政府保留了豁免任何政府机构(GI)适用DPDPB的权力,2022年。此外,2022年DPDPB也未能制定任何有意义的保障措施,防止过度监控削弱印度公民的隐私权。2023年的DPDPB进一步扩大了这些豁免的范围,将其扩大到包括联邦政府对豁免机构向其提供的信息进行的任何数据处理。因此,这些机构本身收集的数据将被豁免。
- 数据保护委员会的独立性受到质疑:在2022年的DPDPB中,联邦政府有权规定数据保护委员会(Data Protection Board)的力量和组成、选拔过程、任命和服务的条款和条件、主席和其他成员在后期的免职,以及任命委员会首席执行官。然而,2023年的DPDPB进一步削弱了DPB,因为所有任命现在都将由联邦政府做出。
- 2005年《削弱信息权法》:通过修正案,《2023年公共利益保护法》取消了2005年《信息权法”规定的披露个人信息的公共利益例外。
- 未能进行监控改革:除了为国家提供广泛的豁免外,2023年的DPDPB也未能制定任何有意义的保障措施,防止过度监控削弱印度公民的隐私权。
- 引入阻止访问信息的权力:2023年,DPDPB授权联邦政府,如果收到DPB的指示,为了公众的利益限制此类信息,则可以阻止访问任何信息。
- 留给未来执行规则制定的重要规定:DPDPB,2023列出了联邦政府将在稍后阶段通知规则的25种具体情况,并为自己提供了在稍后阶段就“任何其他将要或可能规定的事项”通知规则的余地。这削弱了利益攸关方有意义地参与提案草案的能力。
DPDPB 2023的关键变化分析
A.被视为同意,重新命名为“某些合法用途”
2023年DPDPB第7条涉及“某些合法用途”。本条款名义上取代了DPDPB,2022的“视为同意”条款;然而,该条款的内容基本保持不变。该条款规定,在某些情况下,可以在未经数据主体知情同意的情况下处理个人数据。2022年DPDPB因促进非自愿处理个人数据而受到广泛批评。2023年DPDPB与2022年的迭代有所不同,省略了允许同意被视为符合“公共利益”的子条款。这是一个积极的发展,因为该条款未能严格定义其可能被援引的情况,因此可能被广泛解释为导致滥用。
B.根据封锁名单处理印度境外的个人数据
2023年DPDPB第16条涉及在印度境外转移和处理个人数据。虽然2022年的草案规定了允许向其传输数据的国家的允许列表,但DPDPB,2023提出了不允许向其进行数据传输的国家的阻止列表。因此,数据传输将被允许到不在封锁名单上的所有国家。封锁名单将由联邦政府在评估其认为必要的因素后通知。在这里,令人失望的是,2023年的DPDPB中没有包括联邦政府考虑制定封锁名单的必要因素的详尽清单。至关重要的是,要明确规定列入封锁名单的标准,以防止出现任意标准。
C.扩大政府豁免
2023年DPDPB第17(2)(a)条扩大了向政府机构及其数据处理活动提供的豁免范围。在2022年的草案中,联邦政府通知机构对个人数据的处理被豁免适用该法案。在2023年的DPDPB中,这一豁免已扩大到包括联邦政府对豁免机构向其提供的信息进行的任何数据处理。因此,任何信息一旦由豁免机构收集并与联邦政府共享,将继续不受法案管辖,无论其是否由联邦政府的豁免机构处理。政府机构寻求的任何豁免只有在符合合法性、必要性和相称性标准的情况下才能获得批准。至关重要的是,政府对公民数据的收集和处理要受到监管,以防止滥用。
D.数据保护委员会仍然薄弱
2023年DPDPB的第5章和第6章与数据保护委员会(DPB)有关。与DPB有关的条款已经大大恶化。在2022年的草案中,只有民主党主席由联邦政府任命。然而,在2023年的DPDPB中,DPB的所有成员现在都将由联邦政府任命。这加强了对该法案先前版本的批评,这些版本质疑民主党的独立性。董事会独立于行政控制是至关重要的。印度最高法院在马德拉斯律师协会诉印度联邦案(2020年)中也对此进行了审理,他们表示,“只有当法庭独立于任何行政控制运作时,法庭的司法豁免才能有效:这使法庭具有公信力,并产生公众信心”。此外,2023年DPDPB和其前身一样,只向DPB提供裁决权。在这里,至关重要的是,DPB还应被赋予监管权力,而2019年和2021年数据保护立法的前几次迭代赋予了数据保护局监管权力。这也将与享有裁决权和监管权的各个司法管辖区的监管机构保持一致。已经作出的一个积极变化是,主席和其他成员的薪金、津贴和其他服务条款和条件在任命后不能对他们不利。
E.修订上诉程序
DPDPB,2023表示根据1997年《印度电信监管局法》第14条设立的电信争端解决和上诉法庭,作为对DPB决定提出上诉的上诉法庭。目前尚不清楚为什么会做出这一改变,以及电信纠纷解决和上诉法庭是如何具体选择的。
F.条例草案的适用范围被限制为不包括公开的个人资料
2023年DPDPB第3(c)(ii)条规定,该法案的规定不适用于数据主体公开的任何个人数据,或其他人为遵守法律而披露的任何个人信息。对于这一条款,插图给出了数据主体在社交媒体上共享的个人数据的示例。这项规定将对数据主体保护其数据不受数据处理者在互联网上抓取个人数据的数据处理活动影响的权利产生负面影响。Clearview AI就是一个这样的例子,这是一家有争议的公司,该公司为其面部识别技术系统从互联网上抓取个人图像。(我们要感谢Malavika Raghavan让我们注意到这一点)
建议
DPDPB,2023重申了DPDPB(2022)的缺点,并未能灌输在咨询过程中提出的几项有意义的建议,这些建议随后由相关利益相关者公开。我们强烈敦促联邦政府解决民间社会利益攸关方不断提出的众多反复出现的问题。
以目前的形式,《2023年DPDPB》没有充分保障隐私权,不得颁布。议会必须对该法案草案进行有意义的讨论和辩论,包括将其提交给一个适当的委员会,该委员会可以在审议过程中进一步寻求公众意见,以重新设计该法案,从而保护公民的隐私免受私人实体和国家机构的侵犯。
我们将继续监测2023年DPDPB的发展,并发布进一步的分析,以提高公众对我们对草案的关注。
重要文件
- 登录 发表评论