2019年，《2019年个人数据保护法案草案》(PDPB2019)（“法案”）被提交给一个由印度议会两院议员组成的联合委员会，名为《2019年私人数据保护法案联合委员会》（“委员会”）。在多次延期后，委员会终于于2021 12月16日在议会两院面前提交了报告2（“报告”）。该报告包含对法案的逐条审查以及委员会对文本的拟议修订，体现在2021《数据保护法》（“法案”）中。来自Spice Route Legal的Mathew Chacko、Aadya Misra和Shambhavi Mishra从数据主体权利的范围、关键定义和规定方面概述了该法案。

法案的范围

该法适用于：

• 在印度境内处理个人数据，这些数据已在印度境内收集、存储、披露、共享或以其他方式处理；
• 任何人根据印度法律处理个人数据；和
• 不在印度境内的数据受托人或数据处理人对个人数据的处理，如果该处理与以下任何相关：
  • 在印度开展的业务，或向印度境内的数据负责人提供商品或服务的任何系统性活动；或
  • 涉及分析印度数据主体的活动。

该法案授权印度中央政府（“政府”）根据与印度境外公民签订的合同，豁免处理非印度境内公民的个人数据。

委员会建议将“非个人数据”（即非个人数据）的监管纳入该法案的范围。因此，该法案现在规范个人数据、敏感个人数据和非个人数据。虽然委员会在报告中进一步澄清，该法案应保护个人的数字隐私，且“非数字化”数据不应包含在其范围内，但该法案的条款也继续规范非数字化数据。

数据保护的监管机构;

该法案授权政府建立印度数据保护局DPA（“该局”），该局将是监管个人和非个人数据的总括机构。委员会建议，管理局应在颁布后三个月内成立，并在新法律通知后六个月内开始活动。

管理局的首要责任是保护数据主体的利益，保护个人数据的滥用，确保遵守该法案，并提高数据保护意识。其他职能包括但不限于监测和执行法案的适用，对数据泄露采取及时和适当的行动，监测跨境数据传输，就数据保护方面向政府提供咨询，以及处理投诉等义务。

委员会还强调了管理局在数据泄露方面的义务和责任，并规定了管理局管理数据泄露时应遵循的某些原则。

此外，委员会还建议管理局促进创新，并在这方面牢记初创企业的利益，鼓励沙箱。

最后，委员会建议管理局确保在制定政策时维护政府利益。这就引发了对管理局独立性的质疑——我们期待着就管理局和行政部门之间的隔离问题展开进一步辩论。

法案下的关键定义

数据受托人（Data fiduciary）

与《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”）下的数据控制人类似，“数据受托人”是指单独或与其他人一起确定处理个人数据的目的和方式的任何人（包括国家、公司、非政府组织、法律实体和个人）。

数据处理者（Data processor）

“数据处理者”是指代表数据受托人处理个人数据的任何人（包括国家、公司、非政府组织、法律实体和个人）。

个人数据、非个人数据和敏感个人数据

“个人数据”是关于或与直接或间接可识别的自然人有关的数据，考虑到该自然人身份的任何特征、特征、属性或任何其他特征，无论是在线还是离线，或这些特征与任何其他信息的任何组合，并包括从这些数据中提取的用于分析的任何参考。另一方面，“非个人数据”是指非个人数据，包括匿名个人数据。

“敏感个人数据”是指可能揭示、涉及或构成财务数据、健康数据、官方标识符、性生活、性取向、生物特征数据、遗传数据、变性或中间人身份、种姓或部落、宗教或政治信仰或从属关系的个人数据。政府与管理局和适用的部门监管机构协商后，有权将某些类别的个人数据归类为敏感个人数据。

数据主体（Data principal）

与GDPR下的数据主体（Data subject ）类似，“数据主体”是与个人数据相关的自然人。

处理个人数据的法律依据

同意

• 根据条例草案，同意是处理个人资料的主要依据。
• 个人数据只能由提供自由、知情、具体和明确同意的数据负责人进行处理，并可在处理开始时撤回。
• 只有在数据负责人明确同意的情况下，才能处理敏感个人数据。
• 如果已寻求数据委托人的同意，则由数据受托人承担举证责任。
• 数据受托人只能出于数据负责人同意的目的或与该目的相关的目的处理个人数据，并且数据负责人在收集个人数据的背景和情况下合理预期会针对该目的进行处理。
• 提供货物或服务、履行合同或享有法定权利或索赔不得：
  • 以同意处理不需要的任何数据为条件；和
  • 基于行使选择权而被拒绝。

法律义务

该法允许在未经同意的情况下处理个人数据：

• 用于执行某些状态功能；
• 根据适用法律的要求；和
• 遵守印度法院、准司法机构或法庭的判决或命令。

公共利益

该法允许在未经同意的情况下处理个人数据：

• 应对涉及对数据负责人的生命构成威胁或对其健康构成严重威胁的医疗紧急情况；
• 在流行病或疾病爆发等公共健康受到威胁时提供医疗或保健服务；或
• 在灾难或公共秩序崩溃期间采取措施确保安全或向任何个人提供援助或服务。

合法利益

该法案允许在考虑到数据受托人的合法利益后处理个人数据，但仅限于管理局可能规定的某些合理目的。例如，根据适用法律，举报、合并、收购和其他类似的公司重组或合并交易，处理公开的个人数据，以及运营搜索引擎。

与就业有关的目的

该法允许处理个人数据（敏感个人数据除外），而无需同意为就业目的进行必要的处理，如招聘、解雇或核实员工。

该法案不承认为数据负责人的利益进行处理或与数据负责人签订的合同相关的处理等理由。

数据处理原理

该法案规定了数据受托人在个人数据处理方面的以下义务（详见下文第7节）：

• 处理必须仅符合该法案，数据受托人仍需对合规性负责；
• 处理必须以公平合理的方式进行，并确保数据委托人的隐私；
• 处理必须仅用于数据负责人同意的目的，或与该目的相关或附带的目的（不需要同意的情况除外），且数据负责人在考虑收集个人数据的目的、背景和情况后，合理预期个人数据将用于该目的；
• 必须仅在处理此类个人数据所需的范围内收集个人数据；
• 数据受托人必须向数据负责人提供处理通知；
• 处理的个人数据必须完整、准确、不具误导性，并且是最新的；和
• 个人数据的保存期限不得超过为满足收集目的所需的期限。

控制者和处理者义务

数据处理通知

该法案要求“重要数据受托人”向管理局注册，管理局有权根据处理的个人数据量、此类数据的敏感性、处理造成的伤害风险以及数据受托人的营业额，创建称为“重要数据信托人”的数据受托人子类别。

数据传输（数据出境)

委员会采取了支持本地化的立场，并建议政府制定和实施数据本地化政策，以维护印度的主权和完整、国家安全以及促进商业、创新和投资。根据该法：

• 敏感个人数据可能会转移到印度境外，但此类数据的副本必须继续存储在印度境内；和
• 关键个人数据（其类别尚未通知）只能在印度处理。

只有在数据负责人明确同意的情况下，并基于以下条件，才能在印度境外转移敏感个人数据：

• 经管理局与政府协商后批准的合同或集团内计划，前提是，如果该合同或集团内部计划违反公共或国家政策，并且包含关于保护数据主体权利和数据受托人因不遵守规定而造成损害的责任的规定，则该合同或计划将不予批准；
• 政府对转移至经批准或判断为“适当”的国家或组织的批准，转移不会影响法律的执行。对于根据充分性决定进行的转移，除非政府批准，否则不得与外国政府或机构共享敏感个人数据；或
• 管理局的批准（与政府协商后提供的批准）。

另外，关键个人数据只能在以下情况下转移到印度境外：

• 从事健康或紧急服务或目的的个人或实体；或
• 国家或政府就国家安全和战略利益批准的实体。

数据处理记录

数据受托人需要维护并提供某些信息，如所收集的个人数据的类别、收集目的、数据委托人权利的存在和程序、数据委托人为数据受托人提出投诉的权利、数据信任分数、与跨境转移相关的信息、数据受托人的个人数据、数据委托方的个人数据、，以及用于个人数据处理的算法或方法的公平性。

重要数据受托人需要维护与数据生命周期中的重要操作相关的额外记录，定期审查安全保障措施、影响评估和处理的其他方面。

数据保护影响评估

该法案要求重要数据受托人进行数据保护影响评估（“DPIA”），前提是：

• 使用新技术进行任何加工；
• 进行大规模画像；
• 使用敏感个人数据；或
• 处理过程可能对数据主体造成重大损害。

DPIA必须包含：

• 拟议处理操作的详细说明、其目的以及处理的个人数据的性质；
• 对数据负责人造成的任何潜在损害的评估；和
• 管理、减轻和消除此类危害的措施。

指定的数据保护官员（“DPO”）必须审查DPIA，并将其结果提交给管理局。管理局有权要求数据受托人停止处理，或指示数据受托人遵守附加条件，如果发现处理可能对数据主体造成损害。

DPO任命

只有重要数据受托人才需要任命DPO，DPO必须满足某些资格标准，并且必须位于印度。

数据泄露通知

数据泄露被定义为包括个人数据泄露和非个人数据泄露。关于违约通知：

• 数据受托人必须在意识到违规行为后72小时内向管理局强制报告其处理的任何个人数据违规行为。
• 管理局有权决定是否应通过考虑个人数据违规和对数据负责人造成伤害的风险，将此类违规事件通知给数据负责人。此外，管理局可指示相关数据受托人采取措施补救违约或减轻对数据委托人造成的损害。
• 管理局有权在非个人数据被侵犯的情况下确定步骤和流程。

数据保留

该法没有规定任何确切的保留期。但是，数据受托人不得在满足收集目的所需的期限之外保留个人数据。在此期间结束时，必须删除数据。

儿童数据

委员会注意到，该法案对儿童达到成年年龄（印度为18岁）时的同意要求不明确。委员会接着建议，根据该法颁布的即将颁布的规则必须纳入以下规定：

• 专门处理儿童数据的数据受托人必须向管理局注册；
• 1875年《多数法》应适用于数据受托人和数据委托人达成多数时的合同；
• 数据受托人应在数据委托人获得多数之前三个月通知数据委托人在获得多数之日再次提供同意；和
• 只有当数据主体选择退出处理时，才必须停止服务。

必须以保护儿童权利的方式处理儿童（即18岁以下的人）的个人数据。数据受托人必须在处理儿童的个人数据之前，核实儿童的年龄，并以规定的方式获得其父母或监护人的同意。

禁止数据受托人对儿童进行分析、跟踪或行为监控或直接针对儿童的广告，或进行可能对儿童造成重大伤害的任何处理。

敏感个人数据

• 明确同意：处理敏感个人数据时，必须明确获得数据负责人的同意：
  • 在告知他们处理的目的或信息后，可能对数据负责人造成重大损害；
  • 以明确的术语，不依赖于从行为或上下文中得出的推论；和
  • 在给予他们单独同意使用与处理相关的不同类别敏感个人数据的操作目的的选择之后；和
• 管理局有权为重复、持续和系统地收集敏感个人数据以及基于该数据的分析规定额外的保障措施或限制。

控制者和处理者合同

数据受托人需要与他们参与处理的处理方签订合同。数据受托人负责遵守法案，并负责其或其代表进行的任何处理，合同必须据此起草。

数据主体的权利

委员会建议在数据主体权利的行使之间取得平衡，必须简化数据主体权利，并使数据受托人能够以实际方式实施数据主体权利。

知情权

数据受托人需要在数据收集时或在合理可行的情况下尽快向数据负责人提供通知（如果该等数据不是从数据负责人处收集的）。

通知必须包含与处理目的、被处理数据的性质和类别、数据受托人或数据保护官员的身份或联系方式、数据负责人的权利、处理的法律依据、所收集数据的来源、第三方接收人、跨境转移的详细信息、申诉补救程序、，向当局提出投诉的权利、实体的数据信任分数以及任何其他规定的细节。

访问权

数据主体有权：

• 寻求确认数据受托人是否正在处理或已处理该数据委托人的个人数据；
• 访问正在处理的所有个人数据或此类数据的摘要；
• 提供关于其数据的处理活动的简要概述；
• 以清晰、简洁的方式获取此类信息，在类似情况下，合理的个人容易理解；和
• 访问与任何数据受托人共享个人数据的数据受托人的身份，以及共享的个人数据类别。

虽然该法案对已故个人的隐私权保持沉默，但委员会已确定数据负责人在去世时需要拥有特定权利。因此，数据负责人有权提名合法继承人或代表作为被提名人，在数据负责人去世后，他们可以代表数据负责人行使特定的数据负责人权利。

矫正权

数据负责人有权纠正不准确或误导性的个人数据，并以其他方式完成和更新其数据。数据受托人必须采取必要且切实可行的步骤，将任何个人数据的任何更正、完成或更新通知给其披露该等数据的所有实体。

数据受托人一般有义务采取措施，确保处理的个人数据完整、准确、不误导和更新。这些步骤必须考虑个人数据是否可用于对数据负责人作出决定，是否将其披露给第三方，以及其保存形式是否将基于事实的个人数据与基于意见或评估的个人数据区分开来。

删除权

数据负责人有权删除其个人数据，这些数据对于其处理目的不再必要。当数据被擦除时，数据受托人需要采取必要和切实可行的步骤，通知向其披露此类数据的所有相关实体和个人。

反对/选择退出的权利

通过被遗忘的权利，数据主体有权限制其个人数据的继续披露或处理，如果披露或处理：

• 已达到收取该款项的目的，或不再需要该款项；
• 在数据主体的同意下完成，且该同意自那时起已被撤回；或
• 违反本法案或任何其他有效法律。

数据可移植权

数据负责人有权接收结构化、常用和机器可读格式的数据，如果处理是通过自动化方式进行的，并将该数据传输给任何其他数据受托人，除非：

• 处理对于国家职能、遵守法律、任何法院、准司法机构或法庭的任何判决或命令是必要的；或
• 数据受托人的合规性在技术上不可行。管理局将制定指导此类决策的法规。

不受自动决策约束的权利

该法案没有规定这项权利。

其他权利

• 获得赔偿的权利

受侵害的数据负责人有权向数据受托人或处理人寻求赔偿。

处罚

该法规定了不同的处罚，具体取决于违规或犯罪的性质和所涉行为者的类型。

• 数据受托人违反其与数据违规相关的义务、向管理局注册、进行DPIA、任命DPO或进行数据审计可能会招致不超过5000万卢比（约586860欧元）或上一财年全球总营业额2%的罚款。
• 数据受托人违反其与个人数据处理、儿童数据处理、安全保障措施实施和跨境数据传输相关的义务可能会受到不超过1.5亿卢比（约170万欧元）或上一财年全球总营业额4%的处罚。
• 如果数据受托人违反其遵守数据主要权利的义务而没有任何解释，则可能会对重大数据受托人处以100万卢比（约11735欧元）的最高罚款，否则将处以500000卢比（约5870欧元）的罚款。
• 如果数据受托人未能向管理局提供任何报告、回报或信息，则对于重要数据受托人，最高罚款可能为200万卢比（约23470欧元），否则最高罚款为500000卢比（约5870欧元）。
• 数据受托人未能遵守管理局的指示可能会受到2000万卢比（约234700欧元）的最高处罚，而类似性质的数据处理人可能会受到500万卢比（约合58660欧元）的最大处罚。
• 如果该法没有具体规定处罚，则对于重要数据受托人，规定的剩余处罚为1000万卢比（约117360欧元），否则为250万卢比（约合29340欧元）。
• 受侵害的数据负责人有权向数据受托人或处理人（如适用）寻求赔偿。
• 未经数据受托人或处理人许可，重新识别已被数据受托人或者处理人取消识别的任何数据并处理此类重新识别的数据的人可能面临最多三年的监禁、不超过200000印度卢比（约2350欧元）的罚款，或者两者兼而有之。

本文：https://cioctocdo.com/india-overview-data-protection-act