2019年12月11日，电子和信息技术部长拉维·尚卡尔·普拉萨德（Ravi Shankar Prasad）将《2019年个人数据保护法案》（PDP法案2019）提交给了洛萨巴。此前，对该法案的条款进行了两年多的辩论。

截至2020年3月，联合议会委员会（JPC）正在与行业专家和利益相关者协商，对该法案进行分析。JPC成立于2019年12月，由印度人民党议员Meenakshi Lekhi领导。

虽然JPC的任务是在2020年预算会议之前完成报告，但它已经争取了更多的时间。JPC报告预计将在即将举行的印度议会季风会议的第二周提交，并将于2020年通过。

该法案概述了保护敏感个人数据的机制，并提议设立一个新的独立监管机构，称为数据保护局（DPA）。此外，2019年法案有2018年法案草案中没有的关键条款，如中央政府可以免除任何政府机构的法案，个人的擦除权也被称为被遗忘权。

与许多数据保护法案一样，该法案的影响范围超出了印度，可能会影响到在印度开展业务的任何组织。印度由于其人口规模、国内生产总值和不断增长的互联网用户数量，拥有制定全球隐私法的独特机会，就像欧盟对GDPR所做的那样。

话虽如此，该法案因奥威尔主义、保护主义和极权主义倾向的条款而招致印度国内外的批评。其他人则表示，该法案在保护个人隐私方面做得不够。

为什么推出2019年个人数据保护法案？

2017年8月，印度最高法院九名法官在K.S.Puttaswamy诉印度联盟案（2017）“隐私权案”中确认了隐私权。法院援引了印度宪法第21条规定的生命权和人身自由权。

在该案期间，印度政府成立了一个由B.N.Srikrishna法官担任主席的专家委员会，以审查与印度数据保护相关的各种问题。在对白皮书进行公开咨询后，委员会于2018年7月向电子和信息技术部提交了一份个人数据保护法案草案和一份题为“自由和公平的数字经济：保护隐私，赋予印度人权力”的随附报告。

《2019年个人数据保护法案》基于专家委员会的建议以及中央政府内外利益相关者的建议。

《2019年个人数据保护法案》的目的是什么？

该法案的目的是：

规定保护个人与其个人数据相关的隐私，规定个人数据的流动和使用，在处理个人数据的个人和实体之间建立信任关系，保护其个人数据被处理的个人的基本权利，创建数据处理中的组织和技术措施框架，为社交媒体中介、跨境转移、处理个人数据实体的责任、未经授权和有害处理的补救措施制定规范，并为上述目的以及与之相关或附带的事宜建立印度数据保护局。

接着概述了三个要点：

• 隐私权是一项基本权利，作为信息隐私的一个重要方面，有必要保护个人数据
• 数字经济的增长扩大了数据作为人与人之间通信的关键手段的使用
• 有必要创造一种集体文化，促进自由和公平的数字经济，尊重个人的信息隐私，并通过数字治理和包容以及与之相关或附带的事项确保授权、进步和创新。

如上所述，该法案是通过与众多利益相关者的持续参与和协商制定的，其中包括印度执法部门，他们希望在涉及国家安全的调查期间访问美国存储的数据，以及印度对谷歌和脸书等西方大科技公司的“数据殖民主义”的厌恶。

该法案建议删除与公司因数据泄露和数据隐私失效而应支付的赔偿有关的规定，以取代2000年《信息技术法》（第43-A节）。

2019年个人数据保护法案中有哪些内容？

《个人数据保护法案》中的许多与同意相关的条款类似于欧盟《一般数据保护条例》（GDPR）。

根据该法案，数据受托人和数据处理人必须在处理其数据之前获得数据负责人的同意。数据受托人是指任何个人，包括国家、公司、任何法律实体或任何个人，他们单独或与其他人一起决定处理个人数据的目的和方式。同样，数据处理者是代表数据受托人处理个人数据的任何人，包括国家、公司、任何法律实体或个人。

数据采集者还需遵守新的报告要求，例如要求父母或监护人同意收集属于儿童的数据。

该法案还规定了数据主体的权利，这些主体是正在收集数据的数据主体。

如果法案生效，数据受托人和数据处理人必须：

• 通知数据主体他们的数据收集
• 在处理有关数据主体的数据之前寻求同意
• 收集并存储已发出通知和已收到同意的证据
• 允许消费者撤销同意，以及访问、更正和删除其数据
• 允许消费者将其数据（包括企业对此类数据的任何推断）传输给其他企业
• 进行组织更改以保护数据，例如遵循“按设计保护隐私”原则并创建安全保障措施

该法案还要求所有“敏感个人数据”存储在印度，并且“关键个人数据”不得转移出印度。这被批评为保护主义，因为它将扭曲市场驱动的决策，迫使公司使用本地数据存储服务提供商。

DPA可以基于以下因素将一个数据受托人或一类数据受托人视为重要数据受托人：

• 处理的个人数据量
• 处理的个人数据的敏感性
• 数据受托人的营业额
• 数据受托人的处理可能造成损害
• 使用新的加工技术；和
• 造成此类加工伤害的任何其他因素。

重要数据受托人必须履行额外职责，如数据审计和任命数据保护官员。

条例草案亦有违反通知的规定。如果数据泄露“可能对任何数据委托人造成损害”，数据受托人必须“尽快”通知DPA。DPA还可以指示数据受托人在其网站上发布违约信息（或者可以在其自己的网站上发布）。

这就是说，当数据受托人收集印度公民的个人信息时，该法案确实有一些例外情况。例如，国家或其他实体遵守法院命令、执法、提供公共福利或服务以及处理医疗紧急情况时，可获得同意豁免。

对于举报、并购、信用评分和搜索引擎运营等情况，还有其他“合理目的”豁免。

• 最后，该法案包括关于非个人数据的规则。根据该法案，政府可以要求任何企业与政府共享有价值的非个人数据（如谷歌地图或优步收集的聚合移动数据）。

《2019年个人数据保护法案》中的个人数据是什么？

数据可大致分为两类：敏感数据和非敏感数据。由于全球引入了一般数据保护法，越来越多的个人数据现在被视为敏感数据。

《2019年个人数据保护法案》中的个人数据是指与可用于识别个人的特征、特征或属性相关的任何此类数据。

相反，非个人数据包括无法识别个人的聚合数据。例如，个人的位置将构成个人数据，而来自数千个单独位置的信息（如用于分析交通流的数据）不被视为个人数据。

除上述定义外，法案还进一步明确了敏感个人数据，即金融数据、健康数据、官方身份、性生活、性取向、生物特征数据、基因数据、变性身份、中间人身份、种姓或部落以及宗教或政治信仰。

印度目前如何监管个人数据？

根据2000年《信息技术法》，个人数据的使用和传输目前受2011年《信息科技规则》的监管。

根据现行规则，个人数据的处理意味着如果数据安全性差导致敏感数据暴露，公司可能会承担责任，并必须赔偿受影响的个人。

提出该法案的原因是，政府认为数字经济的发展速度导致了现有法规的不完善。

例如，目前对敏感个人数据的定义很窄，其中一些规定可能会被联系人覆盖。此外，《信息技术法》仅适用于公司，而不适用于印度政府本身。

2019年个人数据保护法案何时生效？

截至2020年3月，该法案仍由联合议会委员会（JPC）与专家和利益相关者协商分析。

JPC成立于2019年12月，预计在2020年预算会议之前完成法律草案的最后期限很短，但此后要求有更多时间研究该法案并咨询利益相关者。

预计JPC将在印度议会季风会议的第二周提交报告。

谁必须遵守2019年个人数据保护法案？

该法案对在印度运营的大多数企业提出了数据保护要求。该法案不仅针对科技、电子商务和社交媒体公司，还针对实体、房地产、医院和制药公司。

此外，如果外国公司处理在印度的个人数据，它也适用于这些公司。这类似于GDPR、PIPEDA、CCPA、屏蔽法和FIPA等其他一般数据保护法规。

唯一的豁免是像零售商这样的小型实体，他们手动收集信息并满足DPA规定的其他条件。

不遵守《个人数据保护法案》的处罚是什么？

​该法案赋予DPA对任何不符合DPA或印度政府制定的法案或法规的企业进行罚款的权力。

可处以的最高罚款为1.5亿印度卢比（约合210万美元），或该公司上一财年全球营业额的4%。

对《2019年个人数据保护法案》有何批评？

学者和活动家对该法案最大的担忧是政府获得的豁免。第35节规定，只要政府出于“印度主权和完整、国家安全、与外国的友好关系和公共秩序的利益”认为“必要或适宜”，可以对收集规则、报告要求和其他要求作出例外

印度最高法院前法官B.N.Srikrishna法官表示，该法案可能会将印度变成一个“奥威尔国家”。Srikrishna在接受《经济时报》采访时表示，“他们已经取消了保障措施。这是最危险的。政府可以基于主权或公共秩序随时访问私人数据或政府机构数据。这具有危险的影响”。

印度金融系统政策研究机构Dvara Research回应了Srikrishna的批评，指出了七个可能削弱公民隐私权的消费者保护问题。

在印度语中，互联网自由基金会执行董事阿帕尔·古塔（Apar Gutpa）说，“在这篇篇幅庞大的文件中，隐私只被提及一次——49次提到‘安全’，56次提到‘技术’。”。

外交部警告说，印度的监视状态日益严重，“新技术威胁到世界最大民主国家的自由”。

 

本文：https://cioctocdo.com/what-personal-data-protection-bill-2019