【印度隐私保护】2023年数据保护与隐私

趋势和发展

背景

印度有关数据保护和隐私的法律制度目前正在进行全面改革。印度的数据保护和隐私主要受《2000年信息技术法》（“信息技术法”）和《2011年信息技术（合理安全做法和程序以及敏感个人数据或信息）规则》的管辖。还存在其他辅助性和针对具体部门的法规，如《2013年信息技术（印度计算机应急小组和履行职能和职责的方式）规则》、印度计算机应急团队的指示；《2019年消费者保护法》；《2020年消费者保护（电子商务）规则》；以及印度监管机构发布的规则，如印度储备银行、印度保险监管与发展局和印度证券交易委员会，这些机构根据其管辖权管理数据保护的各个方面。

最近，印度最高法院在KS Puttaswamy法官诉印度联邦一案中确认，“隐私权”是印度宪法规定的印度公民的基本权利之一。在这一判决之后，印度政府认识到有必要制定强有力的立法来保护公民的隐私权，同时确保数字经济的增长。因此，2017年成立了一个专家委员会，由大法官BN Srikrishna（“Srikrishina委员会”）领导，以确定关键的数据保护问题、补救方法，并制定数据保护法案。

斯里克里希纳委员会于2018年提交了报告和法案草案。据此，印度政府制定了《个人数据保护法案》（“PDP法案”），并于2019年在印度议会下院提出。值得注意的是，PDP法案在各个方面与斯里克里希纳委员会建议的法案草案不同，如稀释数据本地化要求、引入删除权、引入同意管理者和设计隐私的概念等。

此后，人民民主党法案被提交给一个联合议会委员会，并进行了近两年的审议。联合议会委员会最终向印度议会提交了其报告，以及《人民民主党法案》的修订版——《2021年数据保护法案》。然而，2022年，印度政府以联合议会委员会建议的大幅修订为由，从议会撤回了《人民民主党法案》。印度政府提议推出一项新法案，其中包含促进数字经济的全面框架。

此后，印度政府公布了《2022年数字个人数据保护法案》草案（“DPDP法案”）供公众评论，并打算于2023年在议会提出更新后的DPDP法案。以目前的形式，DPDP法案是其前身法案的一个简单得多的版本，旨在修改和引入印度现行法律中与数据隐私有关的某些关键条款。如果通过成为法律，DPDP法案将引入重要的关键条款，这些条款可能会影响科技公司、数字企业、初创企业和整个社会。

DPDP法案

关键原则和适用性

DPDP法案是根据以下原则起草的：

• 合法、透明和公平地使用数据主体的数据；
• 合法目的；
• 数据最小化；
• 合理的保障措施；
• 对数据存储的限制；
• 确保数据的准确性；和
• 责任

以目前的形式，DPDP法案适用于印度境内的数字个人数据处理，其中（a）此类数据是从数据主体在线收集的，以及（b）此类数据离线收集但已数字化。

DPDP法案还具有域外管辖权，适用于在印度境外处理与向印度境内的数据主体提供商品或服务的任何分析或活动有关的数据。

此外，DPDP法案不适用于：

• 个人数据的非自动化处理；
• 离线个人数据；
• 为任何个人/国内目的处理的数据；和
• 与个人有关的个人数据，已存储至少100年。

主要功能

DPDP法案介绍了以下主要功能。

• 个人数据的定义：根据SDPI规则，DPDP法案消除了个人信息与敏感个人信息或数据之间的区别。相反，DPDP法案适用于所有个人数据，即可以通过此类数据识别或与此类数据相关的个人数据。这大大扩大了个人数据的范围，并将所有与个人有关的可识别信息纳入其范围，包括生物特征、医疗和财务信息。
• 同意要求：DPDP法案在很大程度上保留了SDPI规则下的规定，该规则规定，在收集和处理其敏感个人信息或数据时，应获得数据主体的知情同意。DPDP法案对数据受托人提出了一项要求——
  • 向数据负责人提供一份逐项列出的通知，说明要收集和处理的个人数据的描述和目的（以实物或电子形式）；和
  • 为逐项通知中规定的目的处理其个人数据，从数据负责人处获得自由、具体、知情和明确的同意。
• 视为同意：DPDP法案引入了数据主体给予的视为同意的新概念。在以下情况下，数据主体被视为已同意，收集和处理其个人数据可能不需要明确同意——
  • 数据委托人自愿向数据受托人提供其个人数据，并且合理预期他们会提供此类个人数据；
  • 履行任何法律/向数据主体提供任何服务或利益；
  • 遵守法律规定的任何判决或命令；
  • 在涉及数据主体生命威胁的医疗紧急情况下；
  • 在公共卫生威胁、流行病或疾病爆发的情况下提供医疗/保健服务；
  • 在公共服务出现故障时，向数据负责人提供协助；
  • 用于与就业有关的目的；和
  • 在公共利益方面，如在欺诈、信用评分、网络和信息安全等案件中。
• 审查和撤回同意：数据主体有权通过“同意管理器”管理、审查和撤回其同意。DPDP法案中新引入了同意管理人的概念，该概念旨在成为对数据主体负责并在规定的政府机构注册的实体。
• 数据主体的权利：根据DPDP法案，数据主体被赋予了进一步的额外和全面的权利，例如——
  • 获得已处理的个人数据摘要以及与之共享此类数据的所有数据受托人身份的权利；
  • 更正或删除其个人数据的权利；
  • 申诉补救权；和
  • 在丧失工作能力或死亡的情况下，提名被提名人行使数据负责人权利的权利。
• 数据受托人的义务：DPDP法案对数据受托人规定了主要在以下方面的义务：
  • 保护所收集的个人数据；
  • 数据泄露情况下的通知要求；
  • 当个人数据的目的不再实现或法律或商业目的不需要保留时，对个人数据存储的限制；
  • 任命一名数据保护官员，以回应数据负责人的询问；和
  • 建立申诉补救机制。
• 与儿童有关的额外义务：DPDP法案规定了在收集和处理儿童个人数据方面获得父母同意或合法监护人同意的额外义务。此外，数据受托人被限制监控儿童或进行任何针对儿童的定向广告。
• 重要数据受托人：DPDP法案将数据受托人分为常规数据受托人和重大数据受托人。重要数据受托人是指政府根据处理的个人数据的数量和敏感性、对选举州的风险、对数据主体的伤害、国家安全等因素通知的实体
  • 任命一名独立的数据审计员，以评估其对DPDP法案和IT法案的遵守情况；和
  • 采取政府可能规定的其他措施，如数据保护影响评估和定期审计。
• 印度以外的数据传输：DPDP法案没有规定严格的数据本地化要求，允许在印度以外的国家向印度政府通知的国家传输数据，并符合政府在这方面可能规定的条款和条件。
• 引入数据保护委员会：《数据保护法案》引入了一个独立的数据保护委员会，以确定是否遵守《数据保护协议法案》，纠正数据主体的不满，并在不遵守的情况下对数据受托人进行处罚。董事会的组成尚待政府决定。DPDP法案进一步授权董事会传唤和强制要求人员出席，在宣誓后对这些人员进行检查，并检查任何数据、账簿、文件、登记册、账簿或任何其他文件，以进行调查，确定数据受托人是否遵守法律。
• 严厉的经济处罚：DPDP法案建议，如果不遵守其要求，将处以最高25亿卢比的严厉经济处罚。

潜在影响

英国数学家和数据科学企业家克莱夫·亨比表示：“数据是新的石油。”。

在世界各地，当涉及到隐私和数据保护时，有一个复杂的参与者网络：大型科技公司、初创企业、研究和技术、政府，最后是其数据是所有其他参与者感兴趣的主题的个人。

虽然这不是一个完全零和的游戏，但监管钟摆的方向可能会对其中一个或多个参与者产生重大影响。一个僵化且难以实施的同意机制，严重偏向个人权利，对初创企业的影响可能比拥有多种资源的全球科技利益相关者更大。一个拥有大型初创企业生态系统的国家可能倾向于更宽松的数据保护，这可能会遭到公民甚至强大的私营市场参与者的反对，他们可能不希望出现其他竞争对手。正是在这个复杂的网络中，印度政府试图平衡相关参与者的利益。

工商界和民间社会利益攸关方对DPDP法案的反应不一。某些因素，如放宽跨境数据传输，受到了全球行业参与者的赞赏。然而，诸如取消刑事处罚等方面受到了批评。此外，DPDP法案试图修订2005年《信息权法》，规定个人的个人信息将根据2005年《知情权法》免于披露，从而限制了该法案的范围和效力。

DPDP法案为印度法律制度提供了一个机会，使现有法律框架与各部门新兴的数据应用程序相协调。然而，DPDP法案并不适合新兴技术，如人工智能、区块链、医疗保健和金融科技创新，这可能会在这些技术与新兴数据应用的接口方面造成法律真空。

关于DPDP法案潜在影响的某些关键意见如下所述。

• 申请和过渡期：DPDP法案没有提及实施时间表或过渡期。这种模糊性可能会给需要足够时间过渡其系统和机制以满足DPDP法案的组织带来重大担忧。
• 不适用于离线数据：DPDP法案在离线收集的数据方面引入了一个漏洞，因为该法案仅适用于在线数据。这一点尤其重要，因为印度立法尚未强制要求保留数字记录而非实物记录。
• 逐项通知要求：DPDP法案没有澄清此类要求是否具有前瞻性，或者是否也适用于数据受托人已经收集和处理的个人数据。在后者的情况下，这对商业组织来说可能是一项繁重的合规工作。
• 视为同意和父母同意：视为同意的概念承认，在不可行或不可能获得同意的情况下，组织有必要处理数据，这与承认未经获得同意处理数据的次要依据的全球框架一致。然而，此类情况可以被视为独立的豁免，以避免不公平地使用此类概念对数据主体不利。此外，不包括根据合同进行处理的数据可能会导致必须反复从数据主体处获得同意，从而导致“同意疲劳”。此外，DPDP法案没有确定获得父母同意的方式和形式。这可能导致在不同阶段（包括数字平台）验证数据主体的年龄，以确保无需父母同意。此外，DPDP法案的作用是假设数据受托人已被识别（出于同意和处理个人数据的目的）。例如，在以去中心化数据处理为功能的区块链网络中，这可能是不可能的。
• 重要数据受托人：DPDP法案没有明确重要数据受托人为其角色、义务和要求，导致大型商业组织或公司可能处于这一范围内。
• 新科技世界中的存储限制：DPDP法案规定，应保留个人数据，直到其保留不再符合收集个人数据的目的，并且出于法律或商业目的不再需要保留个人数据。例如，在人工智能技术的情况下，这种限制带来了挑战，因为删除个人数据可能会严重阻碍此类技术的发展。此外，在个人数据被用于训练人工智能软件的情况下，删除此类个人数据可能会阻碍此类技术的运行。同样，区块链技术中的数据销毁将涉及从数据记录的角度对区块链进行重大销毁和重建，这与区块链技术的基本原理相冲突，需要进行重大处理。
• 跨境传输：DPDP法案对个人数据的跨境传输采用了“白名单方法”，政府有权列出允许数据传输的国家。如果政府采取严格的国家识别方法，这可能会无意中导致当地的储存要求。
• 重大处罚：DPDP法案将合规义务赋予数据受托人，并在不合规的情况下引入重大罚款，例如，不受组织营业额或收入的影响。首先，该法案还规定了数据主体的合规义务，如果不遵守，最高可处以10000卢比的罚款。
• 关于数据泄露的信息：DPDP法案规定了在个人数据泄露的情况下向数据保护委员会发出通知的要求。然而，此类通知要求已经到位，例如，根据2022年4月28日的指示，参考号为20（3）/2022 Cert in。此外，DPDP法案没有规定发布此类通知的任何基于风险的阈值，并规定了以不损害或威胁收集/处理的个人信息安全的方式报告违规行为的繁重要求。
• 数据可移植性：该法案没有规定数据可移植，这将使数据主体能够从数据受托人处获取和转移其数据供自己使用，或将其数据迁移到另一个数据受托人。
• 目的限制：DPDP法案要求将收集的个人数据用于通知中规定的目的并进行处理，并征得数据主体的同意。然而，这种目的限制可能会限制人工智能等新兴技术。此外，收集数据的原始目的可能会在一段时间内发生变化，因此，在收集数据时，可能出现的所有目的可能都无法实际预见。因此，数据主体可能会求助于确定通用的可能应用，这可能会导致不确定性和创造性的解释。
• 数据保护影响评估：DPDP法案规定重要数据受托人（如上所述）有义务采取数据保护影响评价等措施，以实现DPDP法案的立法目标。数据保护影响评估是对处理操作的预防性审查，以确定任何潜在的高风险后果，并采取补救措施将此类风险和后果降至最低。然而，DPDP法案没有定义任何此类风险或提供此类风险的实例，这可能是进行此类评估的重要数据受托人的基石。此外，快速发展的新技术拥有未经测试的应用，这可能对自然人的权利、自由和运作构成风险。如果此类技术涉及处理大量敏感数据，也可能带来更大的风险。因此，任何此类技术的开发和运营都可能引发对重要数据受托人定期评估的繁重要求。

法规之间的相互作用

DPDP法案规定，该法案中的条款是对印度现行任何其他法律的补充，而不是减损。电子和信息技术部发布的解释性说明指出，该法案旨在横向适用于各个部门，同时允许针对特定部门的立法。然而，如果与此类法律有任何冲突，DPDP法案具有压倒一切的效力。在以下示例中，需要将DPDP法案中的规定与现有的特定行业法规相协调。

• 跨境数据传输：根据2018年4月6日根据《2007年支付和结算系统法》发布的印度储备银行（RBI）指令2017-18/153，注册支付系统运营商只能在印度存储其数据。印度储备银行发布的《数字贷款指南》（适用于银行和非银行金融公司）和《支付聚合器和支付网关监管指南》要求将数据存储在位于印度的服务器中。此外，所有保险公司都必须存储与在印度签发的保单和索赔有关的保险数据。因此，可能与DPDP法案相冲突的特定行业限制和法规可能会给利益相关者带来更多的歧义。
• 数据保留：DPDP法案允许数据受托人根据业务需要保留数据。然而，其他法规规定了不同的保留期。例如，2002年《防止洗钱法》要求交易记录至少保存五年。
• 同意要求：特定行业的法规要求数据主体明确同意。例如，印度储备银行发布的2017年《数字借贷指南》和《对等借贷平台（储备银行）指示》分别要求借款人和参与者明确同意。同样，印度的医疗法，如《2016年印度电子健康记录标准》，要求获得患者的同意，以允许收集者访问和/或披露他们的信息。鉴于上述要求，视为同意的概念可能不可行。

结论

DPDP法案旨在为数据受托人提供更大的灵活性和便利性，同时试图为从数据主体收集的个人数据提供适当的保护，从而在印度提供一种新的数据保护制度。然而，目前形式的DPDP法案可能无法完全解决下一代技术，如人工智能、区块链、网络3.0、NFT和元宇宙，这些技术已经在敲我们的门，而印度目前的法律制度仍在努力应对现有的挑战，而不是准备应对明天的技术。例如，人工智能是建立在底层数据集之上的。然而，就内部过程而言，目前的人工智能模型是一个黑洞，虽然目前摄入的数据可能不会从模型中反编译，但这可能是一颗等待爆炸的潜在定时炸弹。同样，尽管区块链是开放、分布式和不可变的，但它正在触及隐私和执法的障碍（例如，在勒索软件攻击的背景下），导致一方面要求匿名，另一方面要求KYC。所有这些技术都在等待，但可能不会在当前的DPDP法案中得到解决。

这种法律上的不确定性可能导致逃避和规避立法要求，从而违背《数据保护和数据保护法案》的立法意图，并增加数据保护和个人隐私的风险、执法失误和立法合规性逐渐下降。因此，政府有必要通过发布规则和相关通知，进一步完善DPDP法案，以解决此类歧义，并使现有法律与拟议的法律框架相协调。