漫谈《印度2019个人数据保护法案》

2020-02-12
全球各国都在不断加强数据保护方面的立法,刹那间,各国家与地区涌现出数据立法热潮和国际性数据保护监管热潮。当然,热门出海地区的亚太国家之一的印度,也不例外。

图虫创意-262764080611459218.jpg

编者按:本文是资深出海法律顾问 Jackie Wong (微信公众号ID:Legal-Jackie)投稿内容,创业邦经授权发布。

这几年,全球各国都在不断加强数据保护方面的立法,刹那间,各国家与地区涌现出数据立法热潮和国际性数据保护监管热潮。当然,热门出海地区的亚太国家之一的印度,也不例外。因从事相关出海业务法律工作,故笔者希望就印度最新出台的《个人数据保护法案》进行一些分享和解读,并通过几篇短文,能进一步帮助大家更多地去了解关于这个法案的主要框架脉络与部分关键条款。

了解一个法案的主要框架和关键条款固然重要,但如果可以更进一步了解它是怎么来的,以及有哪些其他的基础法案作为支撑背景的话,可能对于日常法务和律师提供顾问服务工作时候,去洞察当地监管机构的执法态势和动向,把握具体的业务操作风险点,会更有帮助。

新法案的“小前传”

新法案前有哪些关于个人信息保护的规定

犹记得早年在支持印度地区出海业务的时候,当时的印度尚未出台任何具体的隐私法规。那么,在个人信息网络保护方面,印度是通过哪些法律进行个人信息方面的保护呢?

其实,早在 2000 年的时候,印度就颁布了《信息技术法案》,尔后在 2008 年,对该《信息技术法案》进行了修订,并颁布了《信息技术法案(修正案)》,并于 2009 年 10 月实施。随后,又在 2011 年颁布了《2011 信息技术法规》。这些法规的出台,不但对防范利用信息技术犯罪、利用网络传播色情等内容进行了规定,也对关于数据与个人隐私的信息技术监管进行了相关的规定,例如对未能保护好数据的行为规定了对应的赔偿措施(但该条在最新出台的修正案出被修改了),对关于侵犯隐私权的行为将会受到哪些惩罚进行了规定等。

根据当时的印度法律规定,个人信息主要是指,与自然人相关,且能够与其他法人团体提提供或可能提供的信息结合,直接或间接地识别个人身份的信息。并且根据《2011 信息技术法规》的规定,敏感的个人信息是指,相关方需要遵循额外规定和履行额外义务的信息,此类信息包括密码、银行和金融信息,身体和心理状况、生物特征的信息等等。

同时,对于特定的行业,例如,电信行业、医疗行业,金融、信贷业等,印度政府也出台了一些特定的行业规定以便对相关的数据控制主体进行一定的约束,并增加了相应的法律义务。比如说,获取相关的医疗信息,电信信息等要求需要通过设置密码并需要输入密码后进行获取,以保障重要数据的获取时候需要有一定安全保障措施,以防止不恰当的泄露。又比如说,像银行之类的信贷机构等单位,需要制定相关的信用信息规章制度,并进行遵守,以保证从制度上做好数据合规工作。

另外,印度的通信与信息技术部在 2013 年 7 月发布了《印度国家网络安全政策》,里面也有关于保护信息安全的相关规定,例如,规定了在处理、存储、传输信息过程中,应保护信息安全,以捍卫包括未成年人在内的网络用户的隐私权,减少由于网络犯罪或数据窃取所造成的损失。同时,该通信与信息技术部也设置了开放窗口,百姓可以就互联网数据保护和个人隐私保护的相关问题进行反馈,并对政府出台的网络法规提出各种意见。

新法案出台过程简述

随着欧盟《通用数据保护条例》(简称 GDPR)的出台,各国也开始紧跟欧盟的节奏,不断加快制定数据保护法的步伐,以期希望进一步完善本国数据保护制度,强化数据保护。于是,印度高级别专门委员会在 2018 年 7 月 27 日正式发布了《2018 年个人数据保护法案(草案)》。

后来经过一年多的筹备和酝酿,印度电子和信息技术部长 Ravi Shankar Prasad,于 2019 年 12 月 11 日,在印度的下议院(India’s lower house of Parliament)洛克·萨卜哈(Lok Sabha)推出了最新的《2019 个人数据保护法案》(“法案”)草案。该法案已提交给由上下议院议员组成的联合选举委员会(Joint Select Committee)。经与当地律师沟通,了解到,目前该法案还处于“Bill”的阶段,联合特设委员会会在印度议会 2020 年预算会议(Budget Session of Parliament)向洛克·萨卜哈(Lok Sabha)汇报,按照惯例,这个会议通常会在 2 月到 3 月期间举行。届时,印度政府可能会在预算会议中将法案提交议会进行讨论。

这意味着,从“Bill”到“Act”的期间,出海到印度的企业以及落入该法案管辖范围内的企业,相对而言仍然还有一些时间对内部的数据流程、数据跨境传输的布局与部署、数据保护制度等是否合乎当地的要求,进行自我修正和改善,但其实这样的时间也非常紧张,出海企业需要尽早进行相关的当地数据合规工作部署。

基础注意内容扼要概述

在进一步解读新法案以及需要关注哪些新增法条和注意事项之前,基于印度已有关于个人数据保护方面的相关法律法规,在日常业务运营过程中,一些基本的个人数据保护合规工作仍然需要继续做到位,比如:

1. 互联网企业需要清晰明确地发布隐私政策,并在里面明确说明收集信息的类型、收集信息的目的、信息披露的对象、是否采取了相关的信息安全保障措施等等;

2. 需要在获得被收集者的合法同意之前,才能开始收集个人信息,并且在收集前,企业需要向被收集者发出对应的通知;

3. 企业在收集了信息后只能在设定的收集目的和范围内进行使用,不得超出该授权范围和授权目的等等,如果信息的使用规定了对应的使用期限,则不能超出该使用期限对信息进行保留;

4. 用户有权去查阅自己所持有的信息,企业需要提供对应的查询渠道,并且当用户认为信息有误的情况下,用户有权要求作出修改等等。

新法案的核心结构与部分关键内容概述

印度新出台的《2019 个人数据保护法案》,在印度的立法历程中,属于首部全面系统地规定个人数据保护层面的法规。我们可以先从宏观角度看一下新法案的主要框架,继而再看法案的一些关键条款与新变化。

1 学习 GDPR 的好样式

和其他多国新出台的数据保护立法相似,印度这部《2019个人数据保护法案》也深受欧盟《通用数据保护条例》(GDPR)的影响,不仅从大面的立法保护模式上与 GDPR 相近,在一些关键条款,例如管辖权,处理个人数据的合法依据,数据保护基本原则、数据主体权利以及行政处罚等规定方面,都和欧盟 GDPR 有很多相似的地方。

印度《2019 个人数据保护法案》的第二条主要规定了法案的主要适用情形,从本条可以看出,印度的数据保护立法和欧盟 GDPR 相类似,也采取了统一的立法模式。这和美国在个人数据保护方面采取分散的立法模式,并且暂不设立统一的个人信息保护机构的做法,是很不一样的。

首先,所谓统一的立法模式,即该法案统一适用于所有机构。不论是印度的邦、印度的公司,还是印度的公民或根据印度法律成立或创建的印度团体或个人等等,都统一适用该法案,并不会对是印度公共部门或印度私人机构进行区分而设立不同的规定。

其次,该统一模式也体现在新法案没有对具体领域进行细分,而是确定了各个领域都将统一适用本数据保护法所确立的统一规则和框架。这一点和欧盟的 GDPR 非常接近。其核心的框架结构主要围绕(1)确认信息的处理是以合法、合理为基础,(2)明确数据主体的主要权利,(3)为数据主体提供的救济措施,(4)确保信息的透明度原则以及问责措施,(5)明确数据控制者的主要责任,以及(6)明确数据跨境传输的限制等六大方面进行设计。

再次,和欧盟 GDPR 相似,印度的数据保护法案,也赋予了数据主体统一的数据权利和数据处理方式与限制。通过统一的数据立法,明确了个人信息、个人敏感信息、数据主体、数据控制者等核心概念,统一赋予了数据主体访问权、纠正权、删除权、数据可移植权,被遗忘权等权利。

2 新法案的主要框架

如前所述,印度的数据保护法案受 GDPR 的影响,大体框架和逻辑结构与欧盟数据保护条例近似,但也结合了本国的一些特殊情况,就例如数据跨境传输、数据权属、引入新特殊概念,创新沙盒机制等进行了具体的规定。笔者基于印度 2019 新法案的主要框架结构与脉络进行大体梳理,方便对该法案从整体上有所了解。

微信图片_20200212215131.jpg

主要框架、脉络与逻辑

3 新法案部分关键内容概述

引入数据受托人新概念

新法案引入了数据受托人(Data Fiduciaries)的新概念,根据新法案对数据受托人的定义,是指,单独或者与他人一起决定处理个人数据的目的和方式的任何人,包括邦、公司、法律实体或个人。可见,这与 GDPR 中关于“数据控制者”所定义的实质意思是相类似的,可以将“数据受托人”理解为“数据控制者”。不同的是,印度的数据法案赋予了“信托”的意思在其中,控制数据的主体,除了控制数据之外,还应该需要像信托人一样,谨慎地本着“公平且负责任”的态度对待数据主体的数据。

值得注意的是,根据新法案第六章第 26 条的规定,印度的数据保护局(DPA)有权决定是否将一个实体定义为“重要数据委托人(significant data fiduciary)”,一旦被定义为“重要数据委托人”,则意味着需要承担更多的数据责任,例如,当“重要数据受托人”将使用新数据处理技术,或者进行大规模的数据画像,又或者使用敏感个人数据(如遗传数据或者生物识别数据),或实施任何其他可能对数据主体造成重大损害的处理行为时,则需要按照法案的规定进行数据保护影响评估(DPIA),没有进行 DPIA 的话,则不能处理该等数据。又如,还需要任命“数据保护官(DPO)”对 DPIA 进行评估,并按规定的方式报送到 DPA。

关于域外管辖权

新法案参考了 GDPR 的相关规定,在管辖权方面也进行了一定的扩大。新法案不仅适用于在印度境内收集、披露、分享或以其他方式进行处理的数据,还适用于不在印度境内的数据受托人或者数据处理者进行数据处理的行为,只要此类行为是

(1)与在印度经营的业务是相关的,或者与向印度境内的数据主体提供商品或者服务的活动有关;或者

(2)与对印度境内数据主体的画像活动有关。

关于本地化存储要求

在原来的 2018 印度个人数据保护法案中,原本是要求了数据受托人“应确保在印度的服务器或数据中心上至少存储一份本法适用的个人数据服务副本”,并确定了,如果政府指定了个人数据属于“关键的”个人数据时,“只能在印度的服务器或数据中心中进行处理。”

而在 2019 新法案中,则删除了要求将所有个人数据的“副本”保留在印度的服务器上,然后才转移到印度境外(除非中央政府特别豁免)的规定。也就是说,根据新法案,对不被视为“敏感”或“关键”的一般的个人数据,不存在本地化或数据传输限制。

关于数据跨境传输的限制规定

新法案在印度的立法上,应该属于首次实现数据跨境传输的限制规定,这和莫迪政府一直推崇 Digital India 的政策有关,以防止重要的个人数据在未经授权的情况下转移到其他国家去。新法案中概述了几种进行跨境数据传输的方式,包括通过(1)标准示范合同(需要获得 DPA 的批准);(2)集团内部计划(跨跨境但在公司集团内部,且需要获得 DPA 批准);以及(3)由中央政府确定数据将受到“充分保护”,将个人数据传输到指定国家或者某个国家的指定部门或者指定的国际组织,并获得同意的情况。

同时,新法案也明确规定两个非常重要跨境传输的限制要求,第一个是,个人敏感数据可以向印度境外传输,但该等个人敏感数据应当继续存储在印度境内。第二个是,关键的个人数据只能在印度处理。

关于个人数据的定义

新法案对不同的个人数据进行了三个层次的分类,并针对不同的数据对应的特殊要求,概括性归纳如下:

关于处理个人数据的合法依据

关于该部分的规定比较繁杂,概括而言,新法案主要规定了包括六大方面的处理个人数据的依据:(1)基于同意的基础,(2)国家职能,(3)法院命令,(4)迅速采取行动,(5)基于雇佣的目的,以及(6)基于各种合理目的。值得注意的是,与 GDPR 不同的是,负责起草法案的委员会并没有把“履行合同义务”作为合法处理的基础,这可能意味着在实际业务过程中,让很多基于合同的业务关系的个人数据的处理变得比较困难。

关于惩罚措施

如果违反个人数据保护的相应规定,违反者则需要承担相对应的处罚措施。关于处罚,新法案主要就民事处罚和刑事处罚进行了规定。

在民事处罚方面,主要确立了两类处罚:

第一类(可归纳为失职进行数据审核的行为):

最高可处以五千万卢比(约合 70 万美元)的罚款或数据受托人上一财政年度总收入的 2%(以较高者为准)。

第二类(可归纳为违反法案要求处理和转移个人数据的行为):

允许罚款不超过 1.5 亿卢比(约合 220 万美元),或者是上一财政年度数据受托人总收入的 4%,以较高者为准。

另外,新法案中还规定了一系列的违规行为,这些违规行为都可能会导致相关的数据受托人承担每日的罚金,但罚金也会有对应的上限要求。

在刑事处罚方面,需要注意的一项违法行为是,在没有经过数据受托人或数据处理者的同意下,将去标识化的个人数据进行重新识别的行为,将会被处以最高 3 年的监禁,或不超过 20 万卢比的罚款,或两者并罚。

新旧法案对比知多D——主要新增变化概述

一、 放宽了数据本地化和数据传输的限制

如在《漫谈《印度2019个人数据保护法案》之二:新法案的核心结构与部分关键内容概述》中的分析,在2018印度个人数据保护法案中,要求了数据受托人“应确保在印度的服务器或数据中心上至少存储一份本法适用的个人数据服务副本”,除非政府行使职权将“某些类别的个人数据”指定为免于本地存储需求。根据2018法案的要求,个人数据只可以法案规定下的情况下才能向印度境外传输,包括例如经过DPA批准的示范条款和集团内部数据传输安排,或经过数据主体的同意的情况,又或者是在政府发现接收国提供“适当”保护的情况下进行。而一般被由政府定义为重要的个人数据基本上是很难转移到印度境外的。

而在2019新法案中,则删除了要求将所有个人数据的“副本”保留在印度的服务器上,然后才转移到印度境外(除非中央政府特别豁免)的规定。

需要注意的是,新法案仍然保留了对于“敏感个人数据”与“关键个人数据”的限制。从整体来说,也在比较大的程度上减少了本地化和数据传输限制的范围。即:

  • 对于敏感的个人数据:可转移到印度境外(大多数情况下必须获得数据主体的明确同意),但此类敏感的个人数据应继续存储在印度。

值得注意的是,在敏感个人数据的定义中,密码已从新法案的定义中进行了删除。

  • 对于关键的个人数据:只能在印度境内进行处理,并为该等数据的境外转移的严格本地化要求提供了例外条件:

(1)在必要情况下,向从事提供公共医疗卫生服务或紧急服务的个人或实体传输;

(2)中央政府可根据草案的规定,允许向某一国家或某一国家的任何实体或某一国际组织传输,并且中央政府认为这种传输并不损害国家的安全和战略利益。

同时,法案允许政府对何为“关键个人数据”进行定义,且对政府进行此类指定的权力没有任何限制,即政府具有比较大的自由裁量权。

二、对数据主体的权利进行了扩展:增加删除权

2018法案中规定了类似欧盟GDPR中的多种数据主体权利,包括确认和访问权(Right to confirmation and access),被遗忘权(Right to be forgotten),数据可移植权(Right to data portability),纠正权(Right to correction)等等。但是其中的“被遗忘权”的权利主要是指:数据受托人仅被要求``限制或防止”个人信息持续披露''数据”,但却没有赋予数据主体可以删除该等数据的权利。

而在2019新法案中,在纠正权中加入一项删除权,即当“不再需要出于处理目的而使用个人数据的时候,数据主体可以要求对该等数据进行删除。”。

三、调整了问责机制责任范围:重要数据受托人

2018法案采用了类似欧盟GDPR的责任机制,即当数据控制者满足一定条件或情况时,需附加对应的责任和义务,包括例如进行DPIA(数据保护影响评估),任命DPO(数据保护官),进行数据年度审核等等。

而2019新法案则会通过规定该等情况下仅适用于“重要数据受托人”来调整受此类要求约束的范围。例如,“重要数据受托人”将使用新数据处理技术,或者进行大规模的数据画像,又或者使用敏感个人数据时,需要进行DPIA,没有进行DPIA的话,则不能处理该等数据;又如,“重要数据受托人”需要按规定保存新法案规定的不同情形下的数据,并确保其准确与更新性。

四、“社交媒体中介”的新规定:身份验证

2019新法案的序言中国增加了一个新目标,即“为社交媒体中介(social media intermediary)制定具体规则”。

首先,新法案要求社交媒体中介机构以政府规定的方式进行身份验证。即“使在印度注册其服务或在印度使用其服务的用户自愿验证其账户”。经过验证的账户,需要向他们提供“可证明的,可见的验证标记”。

其次,新法案引入了“社交媒体中介”的定义内容,允许政府与DPA协商,将社交媒体中介指定为“重要数据受托人”。即,明确了任何用户超过中央政府通知的阈值,并且其行为已经可能对印度的选举民主、国家安全、公共秩序或印度的主权和完整产生重大影响的“社交媒体中介”,应当被中央政府经与数据保护局协商后通知为“重要数据受托人”。如前文所述以及,如果被认定为“重要数据受托人”,将带来更多的合规责任。

五、调整了合理处理数据的法律依据

关于处理个人数据的合法依据,在2018法案中,与GDPR不同的一点是,没有把“基于合同必要性”作为合法处理的基础,虽然在2019新法案中,仍然没有把“履行合同义务”作为处理依据写进去,但是对“合理目的”的法律依据进行了调整,这对可能在某些需要履行合同的情况下而处理数据的行为是一个非常有利的信息。

根据2018年法案的规定,允许数据受托人出于合理目的(例如检举揭发、网络与信息安全等)可以在未经用户同意的情况下处理个人数据,但同时需要考虑到各个利益相关方的之间的平衡以及数据主体和环境的合理期望等因素处理(例如公共利益)。同时也规定了该合理目的除了已经在法案中列举出来的,还“可以由法规进行规定”,新法案还将合理目的的扩展到包括“搜索引擎的运营”。

但是,在就业方面,该法案的处理理由要比2018年法案所规定的要窄,新法案不再允许数据受托人基于就业目的处理敏感的个人数据。

六、政府有权指示数据受托人提供匿名数据

新法案就“匿名数据”进行了定义:与个人数据相关的“匿名化”,系指将个人数据转换或者转化为数据主体无法被识别的形式的不可逆过程且符合保护局规定的不可逆标准。“匿名数据”系指经过匿名化处理的数据。

新法案将授予政府“指示任何数据受托人或数据处理者提供匿名的任何个人数据或其他非个人数据的权力,以使中央可以更好地确定服务的提供或制定基于充分证明的政策。

七、对刑事处罚进行了一定程度的放宽

在2018法案中,规定了较多犯罪行为,而在2019新法案中,将对部分的犯罪行为的刑事责任进行减免或删除。

例如,在2018法案中,规定了“违反法案规定,为了获取,转让或出售个人数据,以及敏感个人数据的行为,或重新识别未识别数据的行为,而对数据主体造成损害的,将被处以监禁。而在新法案中,则删除了“违反法案规定获取、转让或者出售个人数据、敏感个人数据而对数据主体造成损害被处以监禁”的规定,保留了 “除非在未经数据主体或数据当事人同意的情况下,某人“明知或有意重新识别了由数据信托人或数据处理者取消识别的个人数据,将被处理最高三年以下的监禁”。如果公司犯了该罪行,则该法案将允许对“负责该公司的业务并对该公司负责的任何人”处以罚款。

八、鼓励创新的监管沙盒机制

新法案借鉴其他国家的监管创新机制,要求DPA“为鼓励人工智能、机器学习或其他公共利益下的新兴技术的创新”建立沙盒机制。并明确了任何数据受托人的隐私设计政策如果符合DPA的认证,该数据委托人可以加入沙盒。

新旧法案的区别和新增变化不只上述内容,笔者仅就其主要新增变化内容进行概述和对比。

本文为专栏作者授权创业邦发表,版权归原作者所有。文章系作者个人观点,不代表创业邦立场,转载请联系原作者。如有任何疑问,请联系editor@cyzone.cn。