印度拟议的数据保护法已经制定了很长时间。2018年，由印度政府组成的专家委员会发布了拟议数据保护法初稿。2019年底，该草案的修订版本，名为2019年个人数据保护法案（“PDPB”），提交给印度议会。PDPB受到争议的困扰，特别是在政府机构的豁免、匿名数据的处理、数据本地化要求和受监管的跨境传输方面。为了更深入地审查拟议的法律，草案被提交给由议会两院议员组成的联合议会委员会（“委员会”）。

2021 12月16日，委员会最终向议会提交了“2019年个人数据保护法案联合委员会报告”（简称“报告”）。该报告实质上包括委员会关于个人发展规划的总体建议和个人发展规划修订草案。现在被称为《2021数据保护法案》（以下简称“法案”），更新后的法律草案包含了其前身的精神，即寻求保护公民的数字隐私，并在处理其数据的个人和实体之间建立信任关系，但也向前迈出了几步。

参与者

该法案规定了“数据受托人”和“数据处理者”。“数据受托人”，很像GDPR下的数据控制人，是指单独或与他人一起确定处理个人数据的目的和方式的任何人。“数据处理者”是指代表数据受托人处理个人数据的任何人。“数据负责人”是与个人数据相关的自然人。

该法案设立了印度数据保护局（“管理局”），以监督和管理数据处理。政府有权任命管理局成员。遴选委员会的成员包括印度总检察长、负责法律事务的部或部门的印度政府秘书、政府提名的独立专家以及印度技术研究所和印度管理研究所的主任。根据该法案，管理局拥有广泛的权力，并将随着时间的推移发布法规，以解决法律的各个操作方面。委员会建议管理局在法律颁布后三个月内成立，并在六个月内开始活动。

管理局有权根据处理的个人数据量、此类数据的敏感性、处理造成的损害风险以及数据受托人的营业额，创建称为“重要数据受托人”的数据受托人子类别。重要数据受托人须遵守法案规定的强化义务，并须向管理局登记。

某些类型的“社交媒体平台”（即主要支持用户之间的在线互动并允许他们创建、传播和修改数据和信息的平台）也可以被归类为重要的数据受托人。

过渡期

委员会建议，为实施条例草案的规定，应规定约24个月的期限，以使数据受托人和数据处理人能够有效遵守条例草案的要求。

适用性

实质适用性：

该法案的适用范围比《个人隐私法》更广：适用于个人数据、敏感个人数据和非个人数据（包括匿名个人数据）的处理。拟议法律的标题更改为“2021数据保护法案”，突显出委员会抵制区分个人数据和其他类型的数据和信息，并对不同类型的数据实施单独的法律框架。

定义：“个人数据”定义为关于或关于可直接或间接识别的自然人的数据，考虑到该自然人身份的任何特征、特征、属性或其他特征。法案将“非个人数据”定义为除个人数据之外的任何数据。值得注意的是，本条例草案的若干条文适用于非个人资料，而管理局的权力范围现已扩展至规管非个人资料的处理。该法案还规定了“敏感个人数据”的处理，这是个人数据的一个子集，除其他类别外，包括金融数据、健康数据、性取向和生物特征数据。政府可与管理局协商，扩大该清单。此外，该法案对“关键个人数据”的处理施加了某些限制。在现阶段，关键个人数据范围的轮廓仍不清楚。政府有权创建和修改此类数据。

地域适用性：

该法案适用于：

• 在印度境内处理个人数据，此类数据已在印度境内收集、存储、披露、共享或以其他方式处理；
• 任何人根据印度法律处理个人数据；和
• 不在印度境内的数据受托人或数据处理人对个人数据的处理，如果处理涉及以下任何方面：
• 在印度开展的业务，或向印度境内的数据负责人提供商品或服务的任何系统性活动；或
• 涉及对印度数据主体进行分析的活动。

 

与PDPB的关键分歧

法律草案现在将扩展到“非个人”数据的处理：一个广泛的类别，包括所有非个人数据。这种方法与最近监管非个人数据的政策举措相呼应。

适用豁免

政府机构：

该法案允许政府免除任何政府机构适用其条款：（a）为了印度的主权或完整、国家安全、与外国的友好关系或公共秩序的利益，或（b）为了防止任何煽动实施与印度主权或完整有关的任何可认定罪行，国家安全、与外国的友好关系或公共秩序。行使这项权利必须符合公正、公平、合理和相称的程序，并将受到政府规定的保障和监督机制的约束。

违反法律、法律和司法程序、个人或家庭用途以及新闻目的：

本条例草案的某些条文不适用于个人资料的处理，如果处理是：

为了预防、侦查、调查和起诉任何犯罪或违反任何法律；

执行任何法律权利或相关索赔、寻求救济、辩护指控、反对索赔或在即将到来的法律诉讼中获得法律顾问建议所必需的；

由任何法院或法庭行使司法职能；

由自然人出于个人或家庭目的进行，除非处理涉及向公众披露，或与任何专业或商业活动相关；或

为新闻目的所必需或相关，且此类处理符合根据法案发布的规则和条例以及印度新闻委员会或任何法定媒体监管组织发布的任何道德规范。

处理印度境外数据主体的数据：

该法案允许印度政府豁免在印度注册的数据处理者（或一类数据处理者）处理印度境外数据负责人的个人数据，这些数据处理者根据与印度境外人员签订的合同处理此类数据。

用于研究、存档或统计目的

管理局有权有条件地豁免出于研究、存档或统计目的类别下的个人数据处理，使其不受法案规定的约束。

小型实体的非自动化处理：

小型实体（即属于管理局分类的特定类别的实体）的非自动化处理被授予法案某些条款的有限豁免。

监管沙箱中包含的数据受托人和初创企业：

管理局可能会创建一个监管沙箱，以鼓励人工智能、机器学习或其他符合公共利益的新兴技术的创新。该法案的某些条款将不适用于属于沙箱一部分的组织。

与PDPB的关键分歧

政府豁免政府机构遵守该法案规定的权利并非没有争议。委员会认识到需要维护宪法保障的基本隐私权，因此采用了要求根据公正、公平、合理和相称的程序行使这项权利的措辞。

数据受托人的义务

目的和收集限制：

个人数据只能以公平合理的方式处理，以确保数据主体的隐私。只能在处理所需的范围内收集。

隐私声明：

数据受托人必须向数据负责人提供通知，详细说明具体信息，包括处理目的、收集的个人数据的性质和类别以及处理基础。本通知必须清晰、准确、易于个人理解，并在必要和可行的范围内使用多种语言。值得注意的是，如果提供此类通知会影响为公共利益处理个人数据（定义见下文），则无需通知。

个人数据的质量：

数据受托人必须采取必要措施，确保处理的个人数据完整、准确、不误导和更新。

数据保留：

个人数据只能在处理目的所需的期限内保留，并且必须在该期限结束时删除该数据，除非数据负责人明确同意相反的规定，或者如果有必要遵守任何现行法律。

问责：

数据受托人负责遵守法案以及根据法案制定的任何规则和条例，以及他们或代表他们进行的任何处理。在这种情况下，数据受托人必须与数据处理者签订合同。

数据处理的理由

同意：

• 同意是根据法案处理个人数据的主要依据。
• 个人数据只能由数据负责人在处理开始时提供自由、知情、具体和明确的同意，并且可以撤回。
• 敏感个人数据只能在数据负责人明确同意的情况下进行处理。
• 证明是否已寻求数据委托人同意的责任由数据受托人承担。
• 数据受托人只能出于数据负责人同意的目的或与该目的附带或相关的目的处理个人数据，并且数据负责人会合理预期与该目的相关的处理，以及收集个人数据的背景和情况。
• 货物或服务的提供、合同履行或法律权利或索赔的享有不能（i）以同意处理任何不必要的数据为条件，以及（ii）基于选择的行使而被拒绝。

未经同意：

• 个人数据和敏感个人数据均可在未经数据负责人同意的情况下进行处理（“公共利益”）：
  • 用于执行某些政府功能；
  • 遵守印度法院、准司法当局或法庭的命令或判决；
  • 应对涉及数据负责人或任何其他个人生命或健康威胁的医疗紧急情况；
  • 采取措施，在流行病、疾病爆发或其他公共健康威胁期间提供医疗或保健服务；或
  • 在灾难或公共秩序崩溃期间向任何个人提供安全措施、援助或服务。
• 个人数据可以在未经同意的情况下处理，用于与雇佣相关的目的，包括招聘、解雇、评估和员工出勤验证（如有必要），或者数据负责人可以合理预期。然而，敏感的个人数据不能以此为理由进行处理。
• 出于合理目的，如公司重组或合并交易、网络或信息安全、债务回收或运营搜索引擎，在考虑以下因素后，可在未经同意的情况下处理个人数据：
  • 数据受托人的合法权益；
  • 数据受托人是否可以合理预期，以及获得同意是否可行；
  • 任何公共利益；
  • 对数据负责人权利的不利影响程度；和
  • 数据负责人的合理期望。

“合理目的”的范围没有明确界定：管理局有权规定合理目的的范围，并制定额外的条例，以确保根据该理由处理数据的数据负责人受到保护。

儿童个人资料

必须以保护儿童权利的方式处理儿童（即18岁以下的人）的个人数据。在处理儿童的个人数据之前，数据受托人必须核实儿童的年龄，并以规定的方式获得其父母或监护人的同意。

禁止数据受托人对儿童进行分析、跟踪或行为监控或直接针对儿童的广告，或进行可能对儿童造成重大伤害的任何处理。

与PDPB的关键分歧

委员会建议删除“监护人数据受托人”的概念，根据PDPB，这些数据受托人（a）为儿童运营商业网站或提供在线服务，或（b）处理大量儿童个人数据。相反，处理儿童个人数据或为儿童提供服务的数据受托人将被归类为“重要数据受托人”，因此将自动承担更严格的合规义务。

数据主要权利

• 确认和获取信息的权利：
  • 数据负责人有权：
    • 寻求确认数据受托人是否正在处理或已经处理此类数据委托人的个人数据；
    • 访问正在处理的所有个人数据或此类数据的摘要；
    • 提供有关其数据处理活动的信息；
    • 以清晰简洁的方式获取此类信息，在类似背景下，合理的个人易于理解；和
    • 访问任何数据受托人共享个人数据的数据受托人的身份，以及共享的个人数据类别。
  • 虽然PDPB没有提及已故个人的隐私权，但委员会已确定数据负责人在死亡时需要拥有特定的权利。因此，数据负责人有权提名法定继承人或代表作为被提名人，他们可以在数据负责人去世后代表数据负责人行使特定权利。
• 更正和删除权：
  • 数据负责人有权：
    • 更正不准确或误导性的个人数据；
    • 填写并更新个人资料；和
    • 如果满足收集目的，寻求删除个人数据。
• 数据受托人必须采取必要且切实可行的步骤，将任何个人数据的任何更正、完成、更新或删除通知给其披露此类数据的所有实体或个人。
• 被遗忘的权利：
  • 数据委托人有权向管理局申请限制数据受托人继续披露或处理其个人数据，如果数据：
    • 已达到目的或不再需要；
    • 因撤回同意而不允许处理；或
    • 违反任何适用法律处理
  • 根据本条例草案委任的“审裁官”可基于以下理由批准被遗忘的请求：
    • 个人数据的敏感性；
    • 披露或处理的规模以及所寻求的可访问性的限制程度；
    • 数据负责人在公共生活中的作用；
    • 此类个人数据对公众的相关性；和
    • 披露或处理的性质以及对数据受托人活动的影响。
    • 除非数据负责人证明其阻止继续披露或处理其个人数据的权利优先于：
    • 言论和言论自由权，或任何其他公民的知情权；或
    • 数据受托人根据法案保留、使用和处理此类数据的权利。
• 数据可移植性权利：
  • 数据负责人有权接收结构化、常用和机器可读格式的数据，如果处理是通过自动方式进行的，并将该数据传输给任何其他数据受托人，除非：
    • 处理是国家职能、遵守法律、任何法院、准司法机构或法庭的任何判决或命令所必需的；或
    • 数据受托人的合规性在技术上不可行。管理局将规定指导此类决策的法规。
• 行使权利和纠正冤情：
  • 作为一般流程，数据负责人可以直接向数据受托人或通过同意管理人（这是一个数据受托人，使数据负责人能够给予、撤回或以其他方式管理其同意）行使其权利。然而，必须向管理局提出行使被遗忘权的请求。数据受托人必须按照管理局规定的时间表和流程遵守这些请求；任何拒绝根据此类请求采取行动的行为必须附有合理的解释。如果数据受托人未能遵守请求，数据负责人有权向管理局提出投诉。

与PDPB的关键差异

如果数据负责人死亡，数据负责人有权指定合法继承人和代表行使特定的数据负责人权利。

被遗忘权的行使必须与数据受托人根据法案规定保留、使用和处理个人数据的权利相平衡。

透明度、问责制和安全

设计隐私：

设计隐私原则已纳入法律，数据受托人必须在这方面制定政策，并由管理局认证。

透明度：

数据受托人需要确保并保持其处理活动的透明度，并提供特定信息，如收集和处理的个人数据的详细信息、数据信任分数、跨境传输的详细信息，用于处理个人数据的算法的使用以及此类算法的公平性等。管理局有权制定法规，以管理如何提供此类信息。

安全保障措施：

该法案要求所有数据受托人和数据处理者实施安全标准和做法，包括身份识别和加密技术，以及保护个人数据完整性和防止其被滥用、未经授权访问、修改、披露或破坏的能力。应定期审查这些保障措施。

去标识化：

• 取消识别是指数据受托人或数据处理人从个人数据中移除或屏蔽标识符，或用其他虚构的名称或代码替换标识符的过程，这些名称或代码对个人而言是唯一的，但其本身并不直接识别数据主体。
• 取消身份识别是一项强制性安全保障措施。
• 管理局将制定业务守则，以促进数据保护的良好做法，其中将包括取消身份的方法。

违约通知：

• 数据受托人必须在意识到违反行为后72小时内向管理局报告其处理的个人数据的任何违反行为。
• 管理局有权决定是否应通过说明个人数据泄露和对数据负责人造成的损害的严重程度，将此类泄露事件通知数据负责人。此外，管理局可指示相关数据受托人采取措施补救违约行为或减轻对数据委托人造成的损害。
• 管理局有权在非个人数据被违反的情况下确定步骤和流程。

数据保护官员：

• 重要数据受托人必须任命一名数据保护官员（“DPO”），该官员必须是州的高级官员或公司的关键管理人员，或者是其他实体中具有同等能力的员工。
• DPO具有多个职能，如就合规事宜向数据受托人提供咨询、制定内部机制、进行数据保护影响评估、监测数据受托人的处理活动、向管理局提供协助并与管理局合作、维护数据受托人维护的记录清单、，并充当申诉补救的联络点。
• DPO必须位于印度。

数据保护影响评估：

如果所有重要数据受托人打算进行涉及新技术、大规模分析或使用敏感个人数据的任何处理，或对数据主体造成重大损害风险的其他处理，则需要进行数据保护影响评估。

数据审计：

所有重要数据受托人都必须进行由独立数据审计师进行的数据审计。

遵约认证机制：

数据审计完成后，数据审计人员将“数据信任分数”分配给重要的数据受托人。管理局有权确定该分数的标准。

与PDPB的关键差异

违反通知要求也适用于涉及非个人数据的安全事件。

根据PDPB，如果数据违反可能对任何数据主体造成损害，数据受托人必须向管理局报告数据违反情况。这种基于危害的评估现已取消，数据受托人必须向管理局报告所有安全事件。该法案还建议，提交此类报告的时间为72小时。

DPO必须是组织内的“关键管理人员”（或另一实体中具有同等能力的员工）。

地理限制

跨境数据传输：

• 只有在数据负责人明确同意的情况下，并基于以下原因之一，才能将敏感个人数据转移到印度境外：
  • 经管理局与政府协商批准的合同或集团内部计划。请注意，如果合同或集团内部方案违反公共或国家政策，将不予批准；
  • 政府批准向已批准或被判定为“适当”的国家或组织转移，转移不会影响法律的执行。对于根据适当性决定进行的转移，除非获得政府批准，否则不得与外国政府或机构共享敏感个人数据；或
  • 管理局的批准（在与政府协商后提供此类批准的情况下）。
• 关键个人数据只能在以下情况下转移到印度境外：
  • 从事卫生或应急服务或目的的个人或实体；或
  • 国家或政府就国家安全和战略利益批准的实体。
• 数据本地化：
  • 所有敏感个人数据的副本必须存储在印度。
  • 关键个人数据只能在印度处理

与PDPB的关键差异

根据《个人数据保护法》，跨境转移敏感个人数据的理由之一是依赖管理局批准的集团内部合同或计划。根据该法案，此类批准将需要当局与政府协商，如果此类合同或计划违反“公共或国家政策”——即助长违反任何法律、不符合公共政策或国家政策或有损害国家或公民倾向的行为——则将不获批准。

未经政府事先批准，不得与外国政府或当局共享根据适当性决定传输的敏感个人数据。

处罚

该法案规定了不同的处罚。

Nature of Offence	Maximum Penalties
A data fiduciary's failure to comply with its security and transparency obligations	The government has the right to prescribe penalties, but such penalties cannot exceed the higher of INR 150,000,000 or 4% of a data fiduciary's worldwide turnover in the preceding year (or the higher of INR 50,000,000 or 2% of a data fiduciary's worldwide turnover in the preceding year, depending on the nature of the offence).
A failure to comply with data principals' requests in respect of data principals' rights	Significant data fiduciaries: INR 1,000,000 Data fiduciaries: INR 500,000
Failure to furnish reports and information to the Authority	Significant data fiduciaries: INR 2,000,000 Data fiduciaries: INR 500,000
Failure to comply with orders or directions of the Authority	Data fiduciaries: INR 20,000,000 Data processors: INR 5,000,000
Reidentification and processing of de-identified personal data without the consent of a data fiduciary or data processor	Both, imprisonment of up to 3 years and a fine which may extend to INR 200,000
Offences for which specific penalties have not been provided	Significant data fiduciaries: INR 10,000,000 Data fiduciaries and data processors: INR 2,500,000

本文：https://cioctocdo.com/india-guide-data-protection-bill-2021