【印度隐私保护】印度DPDPA的六大运营影响——数据处理实体的义务

发布时间：2023年10月

印度的数据隐私法《数字个人数据保护法》的独特之处在于，它避开了《欧盟通用数据保护条例》的数据隐私立法模式，转而采用一项更简单、规范性更低的法律。

因此，DPDPA省略了欧洲法规中的几个概念，包括使GDPR更全面的立法的一些细节。

DPDPA中我们几乎没有看到监管的一个领域与数据处理器有关，只有少数条款涉及该主题。该法案将数据处理者定义为代表数据受托人处理个人信息的任何人，该术语根据法律用于指代数据控制者。相应地，数据受托人被定义为“单独或与他人共同决定个人数据处理目的和方式”的任何人

该法律几乎完全关注数据受托人，包括履行数据主体与访问、更正和删除个人信息有关的权利。与儿童个人数据的特殊保护、实施处理数据主体申诉的程序以及其他几项规定有关的规定适用于数据受托人。

该法案要求签订一份有效的合同，根据该合同将个人信息传输给数据处理者。值得注意的是，数据受托人有责任确保数据处理者遵守该法案。因此，可以解释为，该法案并没有将义务直接强加给数据处理者，而是强加给数据受托人。

这意味着，如果数据处理者违反了该法案，可能只有数据受托人承担责任。然而，这一点并不完全清楚。在处罚一览表中，只有两项条款专门提及数据受托人的义务，包括保持合理安全保障的要求。处罚条款指的是“个人”，而不是数据受托人。尽管个人数据负责人也可能因未能遵守法律规定的义务而承担责任，但这些条款对仅强加给数据受托人的责任产生了一些疑问。

数据受托人在与数据处理者谈判合同时应格外谨慎，因为数据受托人必须假设他们将对数据处理者的任何违规行为负责。因此，数据受托人希望包括一项赔偿条款，要求数据处理者对数据受托人因数据处理者违反行为而支付的任何罚款负责。

值得注意的是，这意味着数据受托人最初将对数据处理者的违规行为负责。此外，印度数据保护委员会或上诉机构可能会认定发生了违规行为，但可能不会在数据受托人和数据处理人这两个相关方之间分配责任程度，在没有仲裁条款的情况下，需要向印度法院提起诉讼。这可能涉及实质性的证据程序，以确定谁应对此负责以及责任的程度。

还应该强调的是，该法案并没有像GDPR那样专门处理多个数据受托人或联合数据受托人的情况。根据数据受托人的定义，如果多个实体决定了数据处理的方式和目的，则可能存在多个数据受托人。在这种情况下，代表数据受托人处理个人数据的一方可能是数据受托人，而不是数据处理者，并将承担直接责任。当相关实体独立于数据受托人确定处理目的和方式时，通常会发生这种情况。

在印度，数据隐私合规仍处于相对初级阶段，数据受托人可能会对数据处理者违反隐私法的可能后果感到更加恐惧。撇开责任不谈，数据受托人可能更重要的是确保数据处理者不会违反该法案。因此，数据受托人可能需要对数据处理者实施严格的标准，包括定期审计。这也可能增加外包成本。

全球影响

印度凭借其庞大的外包和离岸产业在数字经济中发挥着关键作用。该国处理世界上很大一部分数据。那么，DPDPA如何适用于印度的数据处理器呢？

该法案的一项条款豁免了根据跨境合同在印度处理的印度境外人员的大多数个人数据。这意味着大部分法律不适用于在印度处理的印度境外人员的个人数据。

这最初可能会引起人们的质疑——毕竟，制定数据隐私法的原因之一是确保个人数据在印度受到保护。然而，当个人数据在数据主体所在国收集时，是根据该国法律进行的。应用处理器的定律会导致混乱，尤其是在数据处理器的定律明显不同的情况下。

举例来说，鉴于GDPR和DPDPA下收集个人数据的基础各不相同，欧盟的控制人可以根据合法利益收集和处理个人数据，而根据印度法律，同一控制人需要获得同意。这方面的一项关键规定是要求数据受托人确保有合理的安全保障措施来保护个人数据。因此，如果在保护个人数据方面存在疏忽，数据处理者的法律体系完全有责任追究数据处理者。

关于与印度境外人员个人信息有关的条款网，可能仍有必要作出一些澄清。该法案的两项条款对数据受托人施加了重要义务：强制遵守该法案，包括由数据处理者代表其进行处理，以及要求建立合理的安全保障措施。印度数据处理者未能维持合理的安全保障措施是否会导致外国数据受托人而非处理者承担责任，还有待观察。

欧盟监管机构需要考虑“Schrems II”判决引发的问题，同时允许在印度处理个人信息。到目前为止，这还不是一个严重的挑战，尽管存在一些担忧，主要是缺乏对政府监控的独立监督。缺乏具体性也可能意味着，如果愿意的话，它可以调用大型个人信息数据库。该法案赋予政府非常广泛的权力，可以要求数据受托人或中介机构提供任何信息，尽管这一权力可能受到语言的限制，这些语言表明这种权力只能为该法案的目的行使。此外，尽管该法律不直接适用于印度的数据处理者，而且数据受托人很可能是印度以外的客户，但数据处理者可以被视为中间人，仍然受行使这一权力的约束。

此外，现行电信和信息技术法对政府监控的保护并未在该法案中复制。一旦该法律生效，印度工业界在其解释方面面临挑战，这些问题有望得到解决。然而，有人担心，印度表面上的数据保护机构印度数据保护委员会只是一个没有监管权力的裁决机构，比如像欧洲数据保护委员会那样发布指导说明。这可能会阻碍印度围绕有关这些和其他问题的新立法发展自己的判例法。

IAPP资源中心还设有一个“印度”主题页面，定期更新IAPP的最新新闻和资源。

印度DPDPA的六大运营影响

可以在此处访问完整系列的概述页面

• Part 1: Scope, key definitions and lawful data processing
• Part 2: Individual rights
• Part 3: Obligations of data processing entities
• Part 4: Enforcement and the Data Protection Board
• Part 5: Cross-border data transfers
• Part 6: Comparative analysis with the EU General Data Protection Regulation and other major data privacy laws