印度《个人数据保护法案》立法评析



  2019年底,印度方面提交了《个人数据保护法案(2019年版)》(简称“2019法案”)。报道称,印度联合议会委员会要求在2020年2月25日前审议该法案。恰逢我国《个人信息保护法》的立法工作已经如火如荼地展开,为兹借鉴,笔者特以印度2018年及2019年的《个人数据保护法案》立法草案为视角,对印度的个人数据保护立法工作进行简要介绍和评析。


一、印度数据保护立法过程梳理


二、印度《个人数据保护法案》体系结构及其变动

(一)2018法案

      2018法案的印度个人数据保护法案共分为十五章,共112个条文,外加两个附录(2000 年第 21 号法案的修正案及2005 年第 22 号法案的修正案)。

(二)2019法案

      2019法案的印度个人数据保护法案共分为十四章,共98个条文,外加一个附录(2000 年第 21 号法案的修正案)。

(三)体系结构的主要变化

      2018法案的第二章表述为“数据保护义务”,而2019法案表述为“数据受托人的义务”。2018法案的印度个人数据保护法案中,用第三章、第四章两个章的篇幅规定了个人数据处理的合法性基础;而2019法案则主要以第三章一个章的篇幅表述了同一问题。

      2018法案的第八章章名为“个人数据跨境运输”,而2019法案表达为“个人数据跨境运输的限制”。

      2019法案在2018法案基础上增加了“第十二章 财政、账目和审计”,删掉了原第十四章“过渡性条款”这一章。同时,个别条文进行了增删调及整合拆分,并且个别条文的外部体系位置发生了变动。

      具体变动如表格所示:

三、2019法案内容亮点及主要变动

(一)立法目的

      2019法案指出:隐私权是一项基本权利,有必要将个人数据作为信息隐私的一个重要方面来予以保护;数字经济的发展进一步拓展了数据作为人与人之间的重要沟通手段的运用;有必要通过数字治理和数字融合,营造一种尊重个人信息隐私,确保赋权、进步和创新的整体文化,以促进自由和公平的数字经济。

      该法案旨在规定与个人数据相关的个人隐私的保护,规定个人数据的流动和使用,在个人和处理个人数据的实体之间建立信任关系,保护其个人数据被处理的个体权利,为处理数据的组织和技术手段建立一个框架,为社交媒体中介、跨境传输、处理个人数据的实体问责制、未经授权和有害的数据处理的救济措施制定规范,并为上述目的以及与其相关或附带的事项建立印度数据保护局。

(二)法案的域外管辖范围

      2019法案除了适用于国内的情形,对于不在印度境内的数据受托人或者数据处理者处理个人数据,如果此类处理行为(a)与在印度运营的业务有关,或者与向印度境内的数据主体提供商品或者服务的系统性活动有关;或者(b)与对印度境内数据主体的画像活动有关;则该法案仍然适用。

(三)数据受托人

      2019法案不同于GDPR规定的“数据控制人”概念,而创造了“数据受托人(data fiduciary)”概念。2019法案中也同时确立了重要数据受托人、监护型数据受托人及同意管理人等概念。

(四)个人数据、个人敏感数据,抑或关键个人数据?

(六)处理个人数据的合法性基础

      在处理个人数据的合法性基础问题上,2018法案与2019法案采用了不同的立法技术。2018法案分别针对个人数据的处理和个人敏感数据的处理分别制定了不同的、递进的规则。但是2019法案采用对个人数据和个人敏感数据进行统一规制,只不过在某些方面对个人敏感数据的处理提出了特殊的要求。

(七)数据主体的权利

      根据2018法案,数据主体共有五种权利,分别为:确认权、访问权、纠错权、数据可移植权及被遗忘权。而在2019法案中,除了保留了数据主体的上述五项权利之外,还增加了一种,即删除权。

(八)数据处理的各项保证措施

      2019法案对于数据受托人的数据处理行为加以种种限制,包括隐私设计政策、个人数据处理的透明度、安全保障、个人数据泄露的报告、重要数据受托人制度、数据保护影响评估、记录维护、对政策和处理行为等的审计、数据保护官制度等等。当然,有具体的制度在2018法案的基础上进行了修正。

(九)数据本地存储规则

        2019法案规定,个人敏感数据可以向印度境外传输,但此类个人敏感数据应继续存储在印度境内。而关键个人数据只能在印度处理。言下之意就是个人敏感数据和关键个人数据应该本地化存储,而对于一般的个人数据则不作要求。有观点认为这是对2018法案要求本地存储个人数据规则的放宽。但笔者看来,即使根据2018法案第四十条第一款结合同条第三款的规定,中央政府可以根据国家的必要性或者战略利益豁免某些一般个人数据的本地化存储。因此对于个人敏感数据(包括关键个人数据)来说,在本地存储方面2018法案与2019法案没有区别;只不过对于一般个人数据来说,其不被要求本地存储在2018法案中需要中央政府的具体裁量而在2019法案中则直接被豁免。

(十)数据跨境传输

      2019法案第三十四条规定了个人敏感数据跨境传输的条件。但是需要注意的是,这些条件在2018法案中属于除关键个人数据外的个人数据跨境传输的条件。当然相比之下,2019法案在2018法案若干条件之外,还额外规定个人敏感数据只能在数据主体明确同意的情况下,出于处理的目的向印度境外传输。

      根据2019法案第三十三条第二款,关键个人数据只能在印度处理。当然,同法第三十四条第二款有条件地设置了两种豁免情形。

(十一)沙盒机制

      根据2019法案新增加的规定,为鼓励人工智能、机器学习或其他公共利益下的新兴技术的创新,保护局应建立沙盒机制。

(十二)处罚

      根据2019法案,将根据企业违反规定的不同情形,处以最高五亿卢比(折合人民币四千八百余万元)或者上一财政年度全球总营业额 2%的罚款(以较高者为准)或者处以最高十五亿卢比(折合人民币一万四千六百五十余万元)或者上一财政年度全球总营业额的 4%的罚款(以较高者为准)。


四、小结

          可以看出,印度《个人数据保护法案》2019法案相比于2018法案的变化非常大,笔者随后将就印度立法中的诸多亮点和重点内容一一深入探讨。


责任编辑:郑通