x

【印度数据保护】了解印度新的数据保护法

cioctocdo
21 November 2023
SEO Title
Understanding India’s New Data Protection Law

文章分类

2023年8月初,印度议会通过了《2023年数字个人数据保护法》。本工作文件分析了该法律,并评估了其在五年多的审议过程中的发展。

引言

2023年8月初,印度议会通过了《数字个人数据保护法》,2023.1新法律是印度第一部跨部门的个人数据保护法律,经过五年多的审议后颁布。2本文讨论的关键问题是,这段看似无休止的审议期是否产生了一部“好”的法律——该法律是否充分保护了个人数据,此外,正如该法序言所述,“个人保护其个人数据的权利”和“为合法目的处理此类个人数据的必要性”。

为了回答这个问题,本文首先详细介绍了该法律的主要特征,并将其与早期版本进行了比较,特别是与政府于2019年在议会提出的先前官方法案进行了比较。9.3论文的第二部分从两个角度审视了DPDP法案。首先,它强调了这项法律的某些潜在问题,以了解其对消费者、企业以及印度政府的影响。其次,它将该法案置于过去五年左右的发展和审议背景下。第三部分推测了未来几年将影响印度数据保护法规发展的关键因素。

2023年法案是议会提出的法案的第二个版本,也是第四个版本。最初的版本由一个专家委员会编写,并于2018年分发给公众反馈。4随后是2019年在议会提出的政府版本的法案——《2019年个人数据保护法案》。议会委员会对该版本进行了研究,并于2020年12月发布了报告。1.5然而,政府撤回了该法案,并于2022年11月发布了一份供公众咨询的新草案——《2022.6数字个人数据保护法案》草案。2023年的法律在很大程度上是基于这一草案。然而,对于本文试图回答的问题,它有一些新的规定。

在这四份草案之前,印度最高法院于2017年对K.s.Puttaswamy和Anr法官作出了具有里程碑意义的判决。v.印度和Ors联盟。7判决宣布,隐私权是印度基本生命权的一部分,信息隐私权是这一权利的一部分。然而,该判决没有描述信息隐私权的具体轮廓,也没有规定保护这一权利的具体机制。

此后,该法律的第一个政府版本,即《2019年个人数据保护法案》于2019年12月在议会提出。该版本的范围很广,建议由一个强大的数据保护监管机构——数据保护局(DPA)监督跨部门、全经济范围的数据保护法规。2019年的法案规定了一个预防框架。8它对收集个人数据的实体规定了一些义务——提供通知并征得个人同意,以安全的方式存储准确的数据,以及仅将其用于通知中列出的目的。企业还被要求在达到目的后删除数据,并为消费者提供访问、擦除和移植数据的权利。企业被要求维护安全保障和透明度要求,实施“设计隐私”要求,并建立申诉补偿系统。最后,该法案引入了一个名为“同意管理人”的实体,即代表个人收集和向企业提供同意的中介机构。9

该法案将个人数据分为不同类别,并要求提高对“敏感”和“关键”个人数据的保护级别。某些企业也被归类为“重要数据受托人”,并为它们提出了额外的义务——在印度注册、数据审计和数据影响评估。此外,该法案对某些类别数据的跨境流动施加了本地化限制。国防部有权对违反这些要求的企业进行处罚。该法案还提议将与匿名数据集中的个人去匿名化相关的活动定为犯罪。

2019年的法案免除了某些实体和企业在某些情况下的通知和同意要求,包括合法的国家职能、紧急情况或流行病期间的医疗和卫生服务、公共秩序崩溃、与就业相关的数据处理、非法活动的预防和检测、举报和信用回收等。

2019年的法案还有一项条款,授权政府监管非个人数据。它允许政府要求私人实体按照规定的条件交出政府要求的特定非个人数据。简言之,2019年的法案提出了一个全面的跨部门框架,该框架基于对企业(定义为“数据受托人”)的预防要求和对个人或消费者(“数据主体”)的权利。

这一监管结构主要基于斯里克里希纳委员会提出的2018年法案草案。该委员会由退休的最高法院法官B.N.斯里克里什纳法官担任主席,由电子和信息技术部于2017年7月成立,旨在帮助制定数据保护规范。反过来,该委员会的建议是基于委员会工作期间流行的主要监管发展。其中最主要的是欧盟的《通用数据保护条例》(GDPR)。10虽然2019年法案的总体预防框架受到欢迎,但其广泛范围存在问题。它制定了一系列重要的合规要求,这些要求将影响经济中的大公司和小公司。它还建议设立一个具有重大法规制定和监督权力的政治部。这些规定将进一步详细说明法案中已经很重要的合规要求。该法律的新颖性和之前在实施这种性质的数据保护法方面缺乏经验,将产生过度监管或监管不足的严重风险。11

DPDP法案基于政府于2022年11月提出的草案,该草案对数据保护监管采取了完全不同的方法。12下一节详细介绍了该法案的关键条款。

DPDP法案的主要特点,2023

与2019年版本的法案相比,2023年的DPDP法案更为温和——它减少了对企业的义务和对消费者的保护。一方面,监管结构更简单,但另一方面,在某些情况下,它赋予中央政府无指导的自由裁量权。

适用于非居民

DPDP法案适用于收集印度居民数据的印度居民和企业。有趣的是,它也适用于居住在印度的非公民,他们的数据处理“与提供商品或服务有关的任何活动”发生在印度境外。

数据收集和处理的目的

2023年法案允许出于任何合法目的处理个人数据。14处理数据的实体可以征得相关个人的同意,也可以用于“合法用途”,这一术语已在法律中得到解释。

同意必须是“自由、具体、知情、无条件和明确的,并有明确的平权行动”和特定目的。所收集的数据必须限于特定目的所需的数据。必须向消费者提供包含这些细节的明确通知,包括相关个人的权利和申诉补偿机制。如果同意是处理数据的依据,个人有权撤回同意。

合法使用被定义为:

  1. 个人出于特定目的自愿提供个人数据的情况;
  2. 印度政府的任何机构或部门提供任何补贴、福利、服务、许可证、证书或许可证,前提是该个人之前已同意接受该州的任何其他此类服务(这是一个潜在问题,因为它使提供这些服务的不同政府机构能够访问与政府其他机构存储的个人数据);15
  3. 主权或安全;
  4. 履行向国家披露信息的法律义务;
  5. 遵守判决、法令或命令;
  6. 医疗紧急情况或生命威胁、流行病或公共健康威胁;
  7. 和灾难或公共秩序崩溃。16

数据相关产品和服务的用户/消费者的权利

《DPDP法案》还规定了个人的权利和义务。其中包括获得所有收集数据摘要的权利,以及了解与之共享个人数据的所有其他数据受托人和数据处理人的身份以及共享数据的描述的权利。个人也有权更正、完成、更新和删除其数据。此外,他们有权为自己的不满获得补偿,并有权提名接收他们数据的人。

数据受托人的义务

负责收集、存储和处理数字个人数据的实体被定义为数据受托人,并有明确的义务。这些措施包括:

  1. (a)维持安全保障;
  2. (b) 确保个人数据的完整性、准确性和一致性;
  3. (c) 以规定方式向印度数据保护委员会(DPB)告知数据泄露;
  4. (d) 在撤回同意或指定用途到期时删除数据;
  5. (e) 数据受托人必须任命一名数据保护官员并建立申诉补偿机制;
  6. 以及(f)对于儿童/未成年人(18岁以下),父母/监护人的同意是强制性的。DPDP法案还规定,任何可能对儿童产生不利影响的处理都是不允许的。法律禁止针对儿童的跟踪、行为监控和定向广告。18政府可以为特定目的规定这些要求的豁免。这可能是一个问题,因为豁免的权力很广泛,没有任何指导方针。

虽然2023年法案在很大程度上保留了广泛的义务类别,但与2019年法案的关键区别在于,监管机构DPA没有对这些义务做出详细规定的范围。此外,每一类的实质性所需经费都有所减少。

还有一类额外的数据受托人,称为重要数据受托人(SDF)。政府将根据某些标准——数据的数量和敏感性以及对数据保护权、主权和完整性、选举民主、安全和公共秩序的风险——将数据受托人指定为SDF。19

SDFs 将承担额外的义务,包括:

  1. (a)任命一名驻印度的数据保护官员(DPO),该官员将对SDFs 的董事会或管理机构负责,并担任申诉补救的联络点;
  2. (b)进行数据保护影响评估和审计,并采取政府规定的其他措施。2019年的法案要求SDF在印度注册。这一要求已从2023年法案中删除。

数据本地化要求的调节

2023年的法律在数据本地化问题上改变了方向。虽然2019年的法案限制了某些数据流,但2023年的法律只规定,政府可以通过通知限制流向某些国家。虽然这一点并不明确,但限制数据流动的权力似乎是为了国家安全目的为政府提供必要的法律权力。法律还规定,这不会影响具有或可能实施本地化要求的特定部门机构所采取的措施。例如,印度储备银行的本地化要求将继续具有法律效力。

法律规定的义务豁免

法律规定,在某些情况下,不受同意和通知要求以及数据受托人的大多数义务和相关要求的约束:

  1. (a)执行任何法律权利或索赔需要进行处理;
  2. (b) 个人数据必须由法院或法庭处理,或用于预防、侦查、调查或起诉任何犯罪;
  3. (c) 在印度境内处理非印度居民的个人数据;等等。20

此外,法律完全豁免某些目的和实体的采购。这些目的和实体包括:

  1. 为了印度主权和完整、国家安全、与外国的友好关系、维护公共秩序或防止煽动任何可认定的罪行而进行处理。这将允许调查和安全机构不受这项法律的管辖。
  2. 如果个人数据不用于做出特定于数据负责人的任何决定,则出于研究、归档或统计目的所需的数据处理。
  3. 政府可以豁免某些类别的数据受托人,包括初创公司,不受某些条款的约束——通知、完整性、准确性、一致性和擦除。
  4. 一项有问题的条款允许政府“在本法案生效之日起五年内”宣布,在通知中规定的期限内,本法的任何条款均不适用于此类数据受托人或数据受托人类别。这是一项重要而广泛的自由裁量权,不受任何关于此类豁免基础、可能豁免的类别以及此类豁免可以实施的时间段的指导的限制。

监管数据隐私的新监管结构

2023年的法律彻底改变了拟议的监管制度设计。2019年的法案提议设立一个独立的监管机构。DPA是根据许多欧盟国家的类似政府机构提出的,这些机构独立于政府运作并执行GDPR。拟议中的印度DPA可以说更强大,因为它被提议拥有比GDPR下的DPA更广泛的监管权力。除了制定法规外,国防部还将负责制定企业行为准则,调查违规案件,收集监管信息,并对企业实施处罚。

相比之下,2023年的法律规定了DPB.委员会不是监管实体,与DPA非常不同。与后者相比,委员会监督防止数据泄露和直接补救行动的授权有限,并对不遵守法律的行为进行调查和处罚。23委员会无权制定法规或行为准则,也无权要求提供信息来监督企业的运作。它只能在进行调查的过程中这样做

委员会成员将由政府任命,其服务条款和条件将在政府制定的规则中规定。24法律规定,这些条款和条件在任职期间不得因对成员不利而改变。

法律允许委员会处以最高2.5亿卢比(约合3050万美元)的罚款。对委员会命令的上诉将提交给现有的法庭——电信纠纷解决和上诉法庭(TDSAT)。除了罚款外,该法案还允许数据受托人向委员会提供自愿承诺,作为解决任何针对他们的投诉的一种形式。26因此,与DPA相比,委员会在设计上是一个非常不同的机构。

最后,2023年的法律包含了一项新颖的条款,以前的任何版本都没有包含或讨论过。这是第37条,该条允许政府根据委员会的参考,阻止公众获取任何使数据受托人能够在印度提供商品或服务的信息。这必须基于两个标准:(a)委员会曾两次或多次对此类数据受托人进行处罚,以及(b)委员会建议进行封锁。在采取此类行动之前,政府必须为数据受托人提供一个听取意见的机会。

分析DPDP法案,2023

本节从两个角度分析2023年法案。首先,它解释了法律的广泛结构,并强调了其主要特点和问题。其次,它将法律置于在此之前提出的不同草案的背景下,并详细阐述了导致该法律的审议情况。

2023年DPDP法案在多大程度上保护了隐私?

2023年法案首次在印度制定了数据隐私法。它要求在处理个人数据之前征得同意,并提供了法律明确列举的有限数量的例外情况。除了提名权外,它还为消费者提供了访问、更正、更新和擦除数据的权利。它为处理儿童数据提供了额外的保障。对于企业来说,它规定了提供数据收集和处理通知的目的限制和义务,并规定了安全保障措施。法律要求企业建立申诉补偿机制。DPB还将处理投诉和申诉,并有权对不遵守法律的行为进行处罚。

因此,印度首次有了数据保护的法定框架。该法律的存在将逐步导致收集数据的企业制定最低行为标准和合规性。在这方面,政府实施和执法的方法将是关键变量——例如,实施将集中在数据密集型企业还是整个经济体将是一个重要因素。

然而,除了与执行有关的悬而未决的问题外,人们还对该法律的不同条款及其破坏该法律中似乎给予的保护的可能性表示担忧。

首先,与私人实体相比,为同意而制定的例外情况大大赋予了国家权力,并将国家的当务之急置于不同的地位。

虽然在某些情况下,如灾难或紧急情况下,这可能是真正合法的,但法律扩大了这种情况的范围。例如,该法律第7(b)条允许政府在政府服务受益人之前同意从国家获得任何其他福利的情况下回避同意要求。虽然这可以更容易地访问接受政府服务的受益人的个人数据,但也为政府聚合数据库创造了潜力。这是因为真正利用这项规定的潜力意味着政府机构必须免于目的限制,即要求在满足个人数据的目的后删除个人数据。

另一个例子是,出于调查、起诉和国家安全目的,国家可以豁免。在第17(1)(c)条中,法律免除了为“预防、侦查、调查或起诉任何犯罪或违反任何法律的行为”而进行处理时通知和同意的要求。27虽然这是可以理解的,但第17(2)(a)条随后向政府可能通知的任何政府机构提供了全面豁免,为了主权、安全、完整、公共秩序和防止煽动。鉴于第17(1)(c)条已经存在,第17(2)(a)条仅表明议会希望确保数据保护法完全不适用于某些国家机构。

此类规定创建了一个单独的活动类别,超出了数据隐私要求的范围。印度政府没有受到私营实体的许多限制,这是有问题的,尤其是在没有迫切要求这种例外的情况下。

其次,在某些情况下,政府根据法律拥有的自由裁量权可能会破坏法律提供的保护。

例如,根据第17(5)条,政府有权宣布,在该法律生效后的五年内,该法律的任何条款都不适用于任何企业或任何类别的企业。该豁免的实施没有时间框架,也没有关于如何使用该条款的任何指导。对这一条款的乐观解释表明,这可以用来让朝阳行业或初创企业有一段时间遵守法律。然而,第17(3)条已经对此做出了规定,该条对初创企业和政府可能通知的其他行业提供了有限的豁免。因此,第17(5)条可能会以违背法律目的的方式使用。值得重申的是,该法律只限制了政府在最初五年内给予这些豁免的权力。它没有规定这些豁免可以持续多久的任何限制。

同样,政府有一些非指导性的规则制定权力,可以免除企业处理儿童数据的某些要求。第9(1)条至第9(3)条规定了同样的某些要求——它们要求父母同意,并禁止进行剖析等。第9(4)条允许政府“在符合规定条件的情况下”豁免任何企业或类别的企业,使其不受第9(1)至9(3)条的约束。该条款再次未能说明给予该豁免的理由、如何确定条件等。由于缺乏足够的指导,该条款也可能被滥用。

虽然还有其他条款规定政府有权规定条件和制定实质性规则,但上述例子几乎没有提供任何指导。如果根据印度行政法的原则来判断,这也是有问题的。印度行政法要求法律不应赋予执行当局无指导和过度的自由裁量权。28如果使用不当,这些法律条款可能违反印度宪法。

第三,DPB的设计存在问题。该委员会是一个授权有限的独立机构,政府将建立成员选拔和任命机制。

虽然法律规定了成员的资格,但没有规定委员会应有多少成员,只要求其中一人是法律专家。最后一项规定是一个问题,因为委员会的主要职能之一是对违规行为进行处罚和指示。

此外,DPB主席有权授权任何委员会成员履行“委员会的任何职能并进行任何程序”。主席可能不会授权委员会的法定成员进行导致罚款的程序。这种设计也未能在进行调查的成员和主席之间保持内部职能分离。由于主席任命成员进行调查,他们可能无法在所有情况下公正履行这一职能。

因此,尽管《DPDP法案》首次在法律上规定了数据隐私保护,但如果政府不以最谨慎的方式采取行动,法律中的某些条款可能会有效地损害其利益。

立法之争的演变溯源

与2018年的法案草案和2019年在议会提出的法案相比,DPDP法案是数据保护立法方法的显著转变。这种转变在2022年11月的法案草案中最为明显,现在已被写入2023年的法律。有三个主轴可以看到这种转变。

1.权利和义务的减少以及合规性:

2018年和2019年版本的法案通过了一个更广泛、更全面的数据保护框架。正如本文前面的部分所解释的那样,这些权利和义务中的许多权利和义务要么被稀释,要么被放弃——例如,数据可移植性被完全删除,而其他权利,如被遗忘权,则被重新塑造为更简单的“删除”权利

关于通知内容和隐私设计要求等的详细规定已被废弃,现在由企业来翻译这些要求。这是一种更好、更利于创新的方法。鉴于缺乏先前的数据保护法律和判例,公司将尝试不同的方法将其转化为商业实践。不符合DPDP法案要求的做法将在DPB、TDSAT和法院进行裁决。这一进程将使适合印度国情的良好做法有机地出现。

规范性要求的减少和总体遵守情况也应在从刑事定罪转向刑事定罪的背景下看待。2018年的法案创造了一系列刑事犯罪。2019年的法案将这一点减少为一个——匿名化。2022年的草案和2023年的版本没有规定任何刑事犯罪,只规定了由民主党指示的罚款。

2.更加关注数据隐私:

2018年的草案,以及2019年的草案中,包括了几项与数据隐私仅略有关联的条款。例如,强制共享非个人数据的条款并没有以任何方式促进隐私利益。类似地,数据本地化要求已被证明与数据隐私只有切向关系,并且存在更好的替代方案来实现相同的目标。他们在2018年和2019年法案中的存在是不确定性的来源。此外,数据本地化成为数据主权等问题辩论的代理,而这与隐私问题没有直接关系。

3.放弃“监管”法:

2018年和2019年的法案创建了一个具有高度监管强度的立法框架——这些法案提供了一个全面独立的监管机构,即政治部,该机构拥有广泛的权力,可以就这些法案中的许多条款制定法规和行为准则,如通知和同意要求、安全保障、,此外,政治部有权收集确保遵守法律所需的信息,并对不遵守法律的行为进行处罚。因此,《政治协议》被提议与经济有更多的接触点,根据定义,其任务要求它相对更具干预性。

这些立法提案使DPA成为监管框架的核心,预计该机构将像印度证券交易委员会和印度电信监管局等其他印度独立监管机构一样运作。预计国防部将在印度经济的所有部门行使这些权力。它必须为通过法规规定标准制定要求的所有法律条款规定标准,定期修改和更新这些标准,在不同的经济部门进行必要的利益相关者协商,创建或确定支持其监管议程的研究,并建立其监管合法性。因此,《政治发展法》在2018年和2019年的拟议立法作用是高度监管的。鉴于职权范围如此之广,它将面临明显的挑战,包括决定其总体方法、在其众多职能和目标中确定优先次序,以及建立履行这一广泛任务所需的内部能力。

DPDP法案废除了像DPA这样的独立监管机构的想法。根据这项法律,民主党没有太多制定法规的权力。其权力仅限于确保对任何数据泄露采取补救行动,并向企业发出要求其遵守法律的指示。此外,DPB可以通过命令,对不遵守法律的行为进行处罚或强制自愿和解。这不是一个与2018年和2019年版本中拟议的DPA相同的“监管”设计,也是方法的重大转变。DPB有限的授权将减少与经济的接触点,尽管其关于合规或不合规的命令将极其重要。

这些变化在过去几年中逐渐发生。2018年的法案在GDPR的基础上提出了一项广泛的法律。2019年的法案合理化了一些条款,同时保留了大部分条款,增加了监管范围。在某些情况下,它引入的担忧充其量与隐私问题无关。2022年法案和2023年法案是对这一庞大框架的重大转变。这表明议会和印度政府现在对数据保护法对印度经济的重要性的看法发生了变化。在2017年和2018年,有一些生动的因素导致了该法案的早期版本。最高法院最近宣布隐私是一项基本权利,并即将对印度生物识别ID项目Aadhaar的合宪性作出裁决。此外,GDPR即将实施,引发了一场关于数据保护监管的全球辩论。该条例于2016年颁布,并于2018年生效。当时,它被视为一个可行的通过模板,并影响了对印度法律的审议。29

到2022年,《通用数据保护条例》已经生效四年,其设计和实施方面的许多问题都得到了解决。30印度最高法院支持将Aadhaar用于某些目的,潜在的宪法问题已经得到解决。可以说,对不同版本的数据保护立法的审议也使人们能够始终如一地表达对拟议框架的担忧。这一点在数据本地化等问题上尤为明显。31因此,经过长时间的审议,最终颁布了一部更务实的法律。

然而,政府对该法律的态度有一部分保持了明显的一致性——对国家职能的豁免。国家监控机构一直不受数据保护要求的约束。2018年的法案草案试图缩小豁免范围,并提出了一些制衡措施,但在2019年的法案中有所淡化。2019年的法案赋予中央政府豁免任何国家安全机构遵守拟议立法的任何或所有条款的权力。一项类似的条款现在已经被制定为法律——其他与安全无关的政府数据使用将继续不受法律某些部分的约束。最后,如前所述,《民主党法案》在某些情况下也赋予了政府有问题的自由裁量权。

本文的下一部分推测了两种正在发展的数据相关监管——数据保护法的实施和对国家安全和主权的担忧——可能会为印度下一阶段的数据监管提供信息。

期待《数据保护法》的实施

既然DPDP法案已经成为法律,那么在同一法案下,监管发展将有三个关键来源。

首先是中央政府制定的实施该法律的规则。DPDP法案为中央政府提供了重要的规则制定权力。其中包括:

  1. 向消费者发出通知的方式;32
  2. 同意管理人的运作方式;33
  3. 企业将数据泄露告知消费者和DPB的方式;34
  4. 处理儿童数据和相关豁免时寻求父母同意的方式;35
  5. 消费者对数据受托人行使权利的方式;36
  6. DPB成员的任命方式、服务条款和条件以及委员会运作程序;37
  7. 重要数据受托人要采取的数据影响评估和其他措施;38和
  8. 上诉法庭TDSAT在审理DPB.39的上诉时应遵循的程序

这些都不是微不足道的权力。然而,正如已经讨论过的那样,这些制定规则的权力与之前拟议的法律版本中提议赋予政治部的权力相比显得微不足道。因此,根据DPDP法案,监管强度将远低于2019年法案。在制定这一框架时,印度议会选择了一种温和的方法来制定详细的规则和条例。与2019年法案及其前身相比,这将为印度技术领域的实验和创新提供更大的空间。

虽然其中许多权力与程序问题有关,但中央政府也有实质性的规则制定权。事实上,这些制定规则的权力属于中央政府,这是有问题的。

其中最重要的是授予豁免的权力。行使这一权力将取决于两个因素——中央政府相关部门的技术官僚能力程度,以及相关官员自主和技术官僚运作的程度。从历史上看,印度政府为提高经济监管的能力和自主权而做出的回应是将这些职能转移到独立的监管机构。然而,在这种情况下,这些权力一直保留在中央政府手中。

另一方面,之前缺乏任何关于数据保护的监管专业知识,这也有助于在监管发展的初期阶段支持更多的政治投入。从历史上看,印度政府在将许多主体移交给独立监管机构之前直接对其进行监管,并在此过程中在相关部门内发展了一定程度的制度能力。保险、养老、电信、电力等各个部门都是如此。虽然这些部门不一定能很好地监管,但这些权力的行使确实在相关部门内部创造了一些技术和监督能力。

因此,关键的考虑因素是,DPDP法案的起草者是否将法律框架视为发展独立监管机构的第一步。

监管发展的第二个关键来源将是DPB在对受监管实体发起调查的情况下的决定。DPB的理由及其发布的处罚和指示将是新法律下关于数据隐私监管的第一套决定。这些决定不仅将有助于该主题的判例,还将为企业如何实施和遵守DPDP法案提供指导。委员会遵循的程序、推理的质量和决策的清晰度将影响印度的市场行为和未来监管。

在这方面,委员会的组成及其进行调查的成员的资格至关重要。正如前面讨论的那样,该法律在这方面有明显的弱点。因此,该法律的正确实施将取决于政府在任命和选拔方面采用最佳做法,并创造一种不干涉的文化,因为该法律没有包含印度其他法律中的许多标准条款。

监管发展的第三个关键来源将是DPB根据法律有权发布的方向。虽然DPDP法案要求委员会在进行调查和发布处罚时遵守某些特定的程序规则,但它没有为向受监管实体发布指示提供任何此类指导。这是有问题的,因为指示也将具有约束力,并带来合规成本。因此,委员会应该为发布指示建立一定的制衡机制。至少,委员会应该为任何受监管实体提供一个正式的机会,在正式向其发出指示草案之前,提供对该指示草案的回应。如果没有这一点,委员会可能会倾向于通过方向进行监管。

这三条监管决策的轨迹将在未来几年对印度的技术市场和数据相关政策产生重大影响。由于该法律没有包含足够的制衡,中央政府将有责任确保通过《DPDP法案》授权其制定的程序规则纳入行政法和决策的最佳实践。

影响数据保护监管发展的另一个主要因素将是对印度的数据和数据业务行使主权控制的更大必要性。DPDP法案的制定受到了对印度数据进行控制以造福印度人的呼吁的重大影响。这一点在关于数据本地化和非个人数据相关问题的辩论中最为明显。虽然最后法律中的条款与提案草案中的条款相比有很大的缓和,但对主权和安全的更大关切将影响这项法律的发展。

一个明显的例子是该法律第37条,该条允许中央政府阻止访问数据受托人可以传达的任何信息。这是一个新的插入,这一条款是否与个人数据隐私有关,值得商榷。

在DPDP法案之外,监管社交媒体公司、IT服务和企业等的不断发展的法律框架也将对数据保护监管的发展产生间接影响。2021年,印度政府发布了针对社交媒体中介机构的新指导方针,其中要求采取措施,追踪顶级(OTT)消息平台上社交媒体内容的发起者。这些要求在法庭上受到质疑,目前正在等待最终裁决。结果将决定调查机构根据《DPDP法案》授予的豁免所享有的权力的性质和范围。

另一个例子是数据本地化。虽然DPDP法案没有限制数据跨境流动,但许多印度部门监管机构,如印度储备银行,确实提出了本地化要求。其他监管机构逐步采用本地化可能会使DPDP法案的自由条款变得多余。

由于印度在过去十年中的快速数字化转型,以及监管框架已经过时,一些旨在监管社交媒体和大型科技公司的法律要求正在有机地产生。40印度信息技术部长表示,正在制定2000年《印度信息技术法》的替代方案。这一新版本的《信息技术法》以及其他类似立法也可能影响《DPDP法》的实施。在每一个事态发展中,重要的是要确保行使主权控制的性质和范围是出于合法目的,并且不会过度满足印度政府的需求,损害隐私、商业和创新。

结论

虽然DPDP法案是五年多辩论和审议的高潮,但它标志着法定个人数据保护法规的开始。未来几年的监管发展和制度安排将决定个人数据隐私的保护程度。新法律提供了必要的脚手架,但这还不足以实现事实上的数据隐私。

该法案的早期版本是否会以任何有意义的方式带来更好的隐私保护,这是有争议的。41然而,不同版本法律内容的转变表明政府对隐私保护的态度发生了变化。与早期版本相比,当前版本的法律给印度企业带来的成本要低得多,这一事实是积极的。

总的来说,该法律本身是适度和务实的。这是受欢迎的。然而,在某些情况下,情况极为严重,可能会损害隐私利益。中央政府在实质性问题上拥有很大程度的自由裁量权,这意味着在很大程度上取决于政府对保护隐私的承诺。

注释

  1. 1The Digital Personal Data Protection Act, 2023 (No. 22 of 2023), Gazette of India, August 11, 2023, https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf.
  2. 2Starting with the Supreme Court’s judgment declaring privacy to be a fundamental right in Justice K.S. Puttaswamy and Anr. v. Union of India and Ors. (10 SCC 1, Supreme Court of India, 2017). .
  3. 3The Personal Data Protection Bill, 2019 (Bill No. 373 of 2019), accessed December 16, 2019, http://164.100.47.4/BillsTexts/LSBillTexts/Asintroduced/373_2019_LS_Eng.pdf.
  4. 4The Personal Data Protection Bill, 2018, accessed March 8, 2019, https://www.thehinducentre.com/resources/article24561526.ece/binary/Personal_Data_Protection_Bill,2018_0.
  5. 5“Report of the Joint Committee on the Personal Data Protection Bill, 2019,” 17th Lok Sabha Secretariat, December 16, 2021, https://eparlib.nic.in/bitstream/123456789/835465/1/17_Joint_Committee_on_the_Personal_Data_Protection_Bill_2019_1.pdf.
  6. 6The Digital Personal Data Protection Bill, 2022, Ministry of Electronics & Information Technology, Government of India, accessed August 9, 2023, https://www.meity.gov.in/writereaddata/files/The%20Digital%20Personal%20Data%20Potection%20Bill%2C%202022_0.pdf.
  7. 7Justice K.S. Puttaswamy and Anr. v. Union of India and Ors.
  8. 8Anirudh Burman, “Will India’s Proposed Data Protection Law Protect Privacy and Promote Growth?,” Carnegie India, March 9, 2020, https://carnegieindia.org/2020/03/09/will-india-s-proposed-data-protection-law-protect-privacy-and-promote-growth-pub-81217.
  9. 9Ibid.
  10. 10“Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation),” Official Journal of the European Union, May 4, 2016, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679.
  11. 11Anirudh Burman, “The Withdrawal of the Proposed Data Protection Law Is a Pragmatic Move,” Carnegie India, August 22, 2022, https://carnegieindia.org/2022/08/22/withdrawal-of-proposed-data-protection-law-is-pragmatic-move-pub-87710.
  12. 12The Digital Personal Data Protection Bill, 2022.
  13. 13Ibid., Section 3.
  14. 14The Digital Personal Data Protection Act, 2023, Section 4.
  15. 15Ibid., Section 7(b).
  16. 16Ibid., Section 7.
  17. 17See ibid., Sections 11–14.
  18. 18Ibid., Sections 8 and 9.
  19. 19Ibid., Section 10.
  20. 20Ibid., Section 17(1).
  21. 21Ibid., Section 17(2).
  22. 22Ibid., Section 18.
  23. 23Ibid., Sections 27 and 28.
  24. 24Ibid., Sections 19 and 20.
  25. 25Ibid., Schedule to the Act, Section 33.
  26. 26Ibid., Section 32.
  27. 27Ibid., Section 17(1)(c).
  28. 28See, for example, A.N. Parasuraman etc. v. State of Tamil Nadu [SCC (4) 683, 4 Supreme Court Cases 683, Supreme Court of India, 1989]; Agricultural Market Committee v. Shalimar Chemical Works Ltd. [Supp. (1) SCR 164, Supp. (1) Supreme Court Reporter 164, Supreme Court of India, 1997]. In this case, the court observed that “the essential legislative function consists of the determination of the legislative policy and the Legislature cannot abdicate essential legislative function in favour of another. . . . The Legislature should, before delegating, enunciate either expressly or by implication, the policy and the principles for the guidance of the delegates.” See also I.P. Massey, “Chapter 4” in Administrative Law, 10th ed. (Lucknow: Eastern Book Company, 2022), 94–104.
  29. 29See, for example, Committee of Experts under the Chairmanship of Justice B.N. Srikrishna, A Free and Fair Digital Economy: Protecting Privacy, Empowering Indians, Ministry of Electronics & Information Technology, Government of India, July 27, 2018, 3, https://meity.gov.in/writereaddata/files/Data_Protection_Committee_Repo… “The EU, at the vanguard of global data protection norms has recently enacted the EU GDPR, which has come into force on 25 May 2018. . . . It is a comprehensive legal framework. . . . It is both technology and sector-agnostic and lays down the fundamental norms to protect the privacy of Europeans. . . . We are informed that 67 out of 120 countries outside Europe largely adopt this framework or that of its predecessor.”
  30. 30See, for example, Axel Voss, “Fixing the GDPR: Towards Version 2.0,” EPP Group in the European Parliament, May 25, 2021, https://www.axel-voss-europa.de/wp-content/uploads/2021/05/GDPR-2.0-ENG.pdf; Daniel Mikkelsen et al., “GDPR compliance since May 2018: A continuing challenge,” McKinsey & Company, July 22, 2019, https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/…; Martin Brinnen and Daniel Westman, What’s wrong with the GDPR? Description of the challenges for business and some proposals for improvement, Svenskt Naringsliv - Swedish Enterprise, December 2019, https://www.svensktnaringsliv.se/material/skrivelser/xf8sub_whats-wrong-with-the-gdpr-webbpdf_1005076.html/What%27s+wrong+with+the+GDPR+Webb.pdf; Ilse Heine, “3 Years Later: An Analysis of GDPR Enforcement,” Strategic Technologies Blog, Center for Strategic & International Studies, September 13, 2021, https://www.csis.org/blogs/strategic-technologies-blog/3-years-later-analysis-gdpr-enforcement; Alec Stapp, “Against Privacy Fundamentalism in the United States,” Niskanen Center, November 19, 2018, https://www.niskanencenter.org/against-privacy-fundamentalism-in-the-united-states/.
  31. 31Soumyarendra Barik, “For better compliance, tech transfer, Govt to ease data localisation norms,” Indian Express, August 14, 2022, https://indianexpress.com/article/india/for-better-compliance-tech-transfer-govt-to-ease-data-localisation-norms-8088627/.
  32. 32The Digital Personal Data Protection Act, 2023, Section 5.
  33. 33Ibid., Section 6(8).
  34. 34Ibid., Section 8(6).
  35. 35Ibid., Section 9.
  36. 36Ibid., Sections 11, 12, 13, and 14.
  37. 37Ibid., Sections 22, 23, and 28.
  38. 38Ibid., Section 10(2).
  39. 39Ibid., Section 29(8).
  40. 40For more on this, see the section on data in Suyash Rai and Anirudh Burman, “India: Testing Out New Policies on Globalization - Rewiring Globalization,” in Rewiring Globalization, Sinan Ülgen et al. (Brussels: Carnegie Europe, 2022), https://carnegieindia.org/2022/02/17/india-testing-out-new-policies-on-globalization-pub-86370.
  41. 41Burman, “Will India’s Proposed Data Protection Law.”
文章链接
https://cpo.work/understanding-indias-new-data-protection-law

标签