【印度数据保护】2023年改写印度已有数十年历史的技术法

印度的技术法律框架将于2023年进行重大改革。3月，政府开始了期待已久的《数字印度法案》的磋商进程。电子和信息技术部的代表会见了整个行业的利益相关者，公布了取代已有20年历史的2000年《信息技术法》（IT法）的理由。国防情报局的草案虽然预计将于4月底公布，但尚未公布。

在决定就DIA咨询利益相关者之前，政府公布了数据保护法草案《2022年数字个人数据保护法案》（DPDP法案），该法案于2022年11月发布供公众咨询。与之前的法案相比，DPDP法案采用了一种更简单的数据保护方法，后者更紧密地模仿了《通用数据保护条例》。然而，DPDP法案的修订草案（其最终形式尚不清楚）预计将于今年7月或8月提交议会。DIA和DPDP法案都可能大大改变依赖互联网的企业的运营方式。

新旧交替：当我们从《信息技术法》走向国防情报局时，会有什么期待

国防情报局预计将专注于：

• 确保开放的互联网
• 在线安全与信任
• 问责制和服务质量
• 及时补救申诉的裁决机制，以及
• 解决新技术（如人工智能）可能造成的危害的框架。

鉴于不断变化的技术格局，政府认为这些变化是必要的，但提供的关于如何实现这些目标的信息有限。

取代《信息技术法》面临的挑战

用国防情报局取代《信息技术法》绝非易事。作为母技术法法规，《信息技术法》除其他外规定了电子记录的定义；中介人安全港豁免的先决条件；合法的拦截和内容屏蔽程序；网络犯罪；报告和管理网络安全事件；以及敏感个人数据的保护条件。废除《信息技术法》还意味着废除根据《信息技术法案》制定的每一项授权立法，从规定政府机构必须遵守的关键程序保障的法规，到中介机构的尽职调查义务。

重塑网络安全事件响应机制

国防情报局希望解决的一个缺陷是缺乏协调的网络安全事件应对机制。现有框架由2013年《信息技术法》（2013年规则）规定的某些规则组成，这些规则（直到2022年）仅管辖网络安全事件的识别和向网络安全监管机构印度计算机应急响应小组（CERT-in）的报告。现在，CERT In在2022年发布的某些最新指示（2022年指示）与2013年规则一起管理这一领域。该框架的一个实际问题是，它创建了一个双重评估程序：在报告事件之前，实体必须确定该事件是否构成网络事件和/或网络安全事件（定义不同）。2013年规则附带的网络安全事件列表和2022年指示附带的网络事件列表确定了一个重叠的事件类别，这使情况变得复杂。要求在更短的时间内报告某些网络事件，而某些其他类型的网络安全事件可以在合理可行的情况下尽快向CERT In报告，这进一步加剧了这种复杂性。国防情报局有可能将两种制度下的识别和报告机制浓缩为一个机制，澄清向CERT-In报告的事件的性质，并扩大和加强CERT-In的权力和职能。

重塑中介机构和安全港豁免权

政府打算引入某些新条款，并重新审视《信息技术法》的核心概念。例如，国防情报局将重新评估：

• 如何对中介机构进行分类，并根据其服务的功能确定不同类别的中介机构（例如，电子商务、数字媒体、搜索引擎、游戏、云服务）
• 是否所有中介机构都有资格获得安全港豁免，以及
• 适用于每类中介机构的规则。

其他注意事项

国防情报局还旨在解决技术进步带来的其他问题，例如：

• 识别和裁决新形式的网络危害（如报复性色情、网络欺凌和多克星），以及执法的监管框架
• 内容管制与货币化
• 监管高风险人工智能系统和相关用户伤害，以及
• 防止市场力量集中和把关，以确保无歧视地获得数字服务。

2023年在印度保护数字个人数据——这有多新颖？

与国防情报局一样，DPDP法案重新审视并重新定义了印度技术法的一部分：数据保护和数据隐私。如今，该领域由一个主要旨在保护敏感个人数据的精简监管框架管理：2011年《信息技术（合理的安全实践和程序以及敏感个人数据或信息）规则》。虽然这项法律在2011年的印度并没有不同步，但在2023年却明显落后。印度备受期待的数据保护法，即最终确定的DPDP法案，预计将于今年年底成为法律。然而，在这之前，它必须在议会提出，在获得总统批准之前，议会可能会对它进行辩论和可能的修改。如果成功，这将标志着建立一个全面的法律框架来管理印度如何处理个人数据的6年历程的结束。

DPDP法案比其前身（2019年《个人数据保护法案》和2021年《数据保护法案草案》）和其他数据保护制度更精简，这让许多人质疑它是更简单，还是简单。可预见的是，DPDP法案的特点是全球数据保护框架（如GDPR）的核心概念，即放置数据受托人（相当于数据控制器）；数据主体（相当于数据主体）；以数据处理器为核心。同样，它也大量借鉴了其他方面的跨司法管辖区先例（例如，个人数据的跨境转移），结果喜忧参半。然而，它并没有在几个重要方面遵循这一原则。例如，DPDP法案缩小了“个人数据”的范围，并免除了根据个人数据的敏感程度对其进行隔离和保护。

哪些处理活动将受到拟议法律的管辖？

与GDPR一样，处理的地点也无关紧要。根据DPDP法案，只要与印度有某种联系，处理活动就可能属于该法案的范围。具体而言，它将管理印度境内的个人数据处理，在印度，个人数据是从数据主体在线收集或离线收集，然后数字化。同样，在印度境外处理个人数据将属于该法案的职权范围，前提是该数据与印度境内数据负责人的任何简介或向其提供商品或服务的活动有关。个人数据，即：

• 未使用自动化手段进行处理（广义定义为包括任何基于计算机的处理）
• 离线性质
• 由个人出于任何个人或国内目的处理，或
• 关于一个人，并包含在至少有100年历史的记录中
• 被排除在DPDP法案的范围之外。

值得注意的是，《个人资料保障条例草案》确实适用于处理非居民资料当事人的个人资料。此类处理受制于有限的合规要求，即数据受托人和数据处理人只需采取（目前未定义）合理的安全保障措施，以防止个人数据泄露。以这种方式限制其义务对印度的业务流程外包服务具有积极影响。非居民数据主体在发生个人数据泄露事件时并非没有补救措施。当居民数据处理者未能采取合理的安全保障措施而导致个人数据泄露时，非居民数据负责人可以根据《数据保护法案》向执法机构（即数据保护委员会，其职能更多地是执法机构而非监管机构）提出投诉。严重违规行为可能会被处以高达2.5亿卢比（3000万美元）的罚款。

一些关键概念：个人数据、危害和个人数据泄露

个人资料(Personal data)

与GDPR不同，DPDP法案没有根据敏感度对数据进行分类，也没有因此对某些类别的数据进行特殊保护。相反，DPDP法案保护个人数据，其定义为“可通过此类数据识别或与此类数据相关的任何个人数据”。这一定义可能包括其范围内的推断数据。然而，它可能不包括与个人无关的数据，但可以与其他数据结合，以创建“可通过此类数据识别的个人或与此类数据相关的个人”的数据。这与更广泛的GDPR方法形成了鲜明对比，GDPR方法将信息视为个人数据，只要其直接或间接涉及已识别或可识别的自然人。

伤害

危害在确定数据受托人的处理活动是否具有足够的风险以使其有资格成为重要的数据受托人（因此，需要承担额外的义务）方面发挥着关键作用，其定义非常狭隘。它包括一组封闭的事件（即实际的身体伤害、身份的扭曲或盗窃、骚扰或阻止合法利益或重大损失的因果关系），其中忽略了其他类型的伤害，如歧视性待遇、拒绝或撤回服务以及心理伤害。

个人数据泄露

根据DPDP法案，这些被广泛定义为任何未经授权处理个人数据或意外披露、获取、共享、使用、更改、破坏或失去对个人数据的访问，从而损害个人数据的机密性、完整性或可用性。这意味着，即使是意外的过度处理，损害了个人数据的机密性，也可能构成个人数据泄露，从而触发（根据DPDP法案）立即生效的报告义务。如果不遵守，可能会因未报告个人数据泄露而被处以20亿卢比（2500万美元）的罚款，以及因不遵守DPDP法案而被处以其他罚款（例如，最高5000万卢比（600万美元））。

简化通知程序，放开同意

DPDP法案免除了繁琐的通知和同意程序，选择了更实用的合规结构。

注意

根据DPDP法案，数据受托人只需向数据主体提供一份通知，说明：

• 收集了哪些个人数据
• 处理此类个人数据的目的，以及
• 受托人的数据保护官员或负责响应数据主体要求行使其在DPDP法案下权利的人员的联系方式。

通知必须清晰明了，语言通俗易懂，并允许数据主体选择用英语或《印度宪法》附表八中的22种印度语之一访问。此类通知义务也适用于过去的处理。目前尚不清楚在没有直接从数据主体收集个人数据的情况下（例如，一个人在下订单将食品杂货交付给他们时提供了另一个人的姓名和地址），将如何交付此类通知。

明示同意

根据DPDP法案处理个人数据的同意可以明确提供，也可以视为已给予。与GDPR要求就一个或多个特定目的达成明确同意不同，DPDP法案将同意理解为特定目的，即“在向数据主体提交的[相应]通知中提及”。这使知情的数据主体能够同意对其个人数据进行任何和所有类型的处理，前提是他们已被告知。数据主体有权撤回其同意，一旦撤回，将阻碍继续处理：数据受托人必须停止处理相关的个人数据，或在合理时间内删除与数据主体相关的手段。DPDP法案还明确禁止数据受托人以同意非必要的额外处理为条件继续提供其服务。

视为同意

非明示同意在DPDP法案中占据了中心地位，不再仅仅是该规则的一个狭隘例外。一系列情况——即数据主体被视为已提供同意——共同构成了处理个人数据的“视为同意”基础。一些理由（例如，遵守判决或命令、医疗紧急情况和就业相关目的）是全球公认的非自愿处理理由（例如《通用数据保护条例》）。然而，某些理由的制定方式是DPDP法案所特有的：即，

• 数据主体自愿提供其个人数据，并被合理预期提供其个人信息（理由1），以及
• 其中为了公共利益可能需要处理（地面2）。

在Ground 1的情况下，数据受托人必须证明数据主体自愿提供了在这种情况下合理预期提供的某些数据。在处理活动明显且不可避免的情况下，这是一个容易满足的标准（例如，处理电话号码以实现手机充值）。

地面2的适用性也有限，特别是对私营实体而言。尽管任何符合公共利益的处理都需要征得数据主体的同意，但（公共利益仅包括国家安全和公共秩序维护等情况；还需要满足其他符合条件的要素之一（例如，在并购、预防和检测欺诈、信用评分和债务回收的背景下进行处理）。

处理儿童数据

未经可验证的父母同意（VPC），无法处理儿童（18岁以下的人，与其他考虑降低数字同意年龄的数据保护制度不同，例如根据GDPR）的数据。DPDP法案没有提及什么将被视为专有网络，但印度可能会像1998年美国《儿童在线隐私保护法》（COPPA）规定的那样，采用一份非详尽的专有网络机制清单（例如，亲自签署和张贴/传真同意书；使用信用卡/借记卡通知账户持有人交易）。然而，印度的名单可能不会像《联合国气候变化框架公约》那样具有规定性。这种方法与《通用数据保护条例》的立场一致，该立场没有规定批准的方法清单，但指出了其他司法管辖区认可的方法（例如，由联邦贸易委员会根据《联合国气候变化框架公约》批准的方法）作为蓝图。实际上，数据受托人还必须考虑年龄验证——这是确定数据主体是否为儿童的必要步骤，因此，是否需要可验证的父母同意。

儿童数据的处理也受到追踪或行为监控儿童以及针对儿童的广告的快捷条的进一步限制。然而，除了遵守专有网络的要求外，政府还可以免除某些加工活动遵守这些限制。然而，这一点以及VPC的方式将由授权立法决定。

跨境转账

根据DPDP法案，允许跨境传输所有个人数据，但须符合以下条件：

• 转移到政府通知允许的地区
• 政府可能规定的未指明的条款和条件。

预计政府将采取“黑名单”方法，这可能会确定不允许数据传输的不友好司法管辖区。与其他司法管辖区相比，这似乎是一个相对简单的制度（例如，受GDPR下的充分性决定或遵守标准合同条款的约束）。然而，这里的未知数很可能是政府目前可能规定的未指明的条款和条件。

强制执行和处罚

DPDP法案在执行方面选择了胡萝卜胜于大棒，选择对不遵守规定的行为处以相对较低的罚款（600万至3000万美元不等），并将每次罚款上限定为6000万美元。这与其他制度（以及法律草案的先前迭代）形成了鲜明对比，其他制度采用了更严厉的惩罚制度，这些制度被描述为不合规实体营业额的百分比（例如，根据GDPR，高达前一年全球年营业额的2%或4%）。只有在严重违规的情况下才可能受到处罚，处罚范围从未采取合理的安全措施保护个人数据免受数据泄露的2.5亿卢比（3000万美元）罚款到未报告个人数据泄露的20亿卢比（2500万美元）。其他不合规行为将被处以最高5000万卢比（600万美元）的罚款。然而，如果不合规实体提交了以某种方式遵守的“自愿承诺”，则可以避免此类处罚。

转向新方法

尽管DIA和DPDP法案的最终形式尚未公开，但很明显，未来的技术法律制度将与目前的制度截然不同。然而，大部分不确定性源于这样一个事实，即国防情报局提出了一种基于规则的方法，如DPDP法案，该法案也将细节留给授权立法。两者都面临着艰难的道路，因为它们旨在弥合过时的数据和技术法律框架与新兴技术带来的复杂性之间的差距。他们将在多大程度上实现这一目标还有待观察。