【印度跨境数据传输】印度跨境数据传输的数据保护标准：建议的方法和前进的道路

近年来，随着跨境数字服务贸易的发展，全球数据流大幅增加。根据世界银行发布的报告，2020年，全球互联网流量估计约为3兆字节，相当于每人每天1 GB。预计未来几年这一数字将翻一番。如此庞大的数据流正在推动国际贸易的增长。跨境数据流动促进了货物贸易，提高了生产力并降低了成本；它也是数字服务交易的主要手段。跨境数据流动和国际贸易是相互依存的，跨境数据传输是国际贸易指数增长的关键因素之一。在当今世界，电子支付系统、基于互联网的广告和零售以及云计算已经成为几乎所有企业的组成部分，无论它们在哪个行业运营。事实上，很难想象不涉及数据传输的国际贸易交易。

制定完善的跨境数据传输法律框架对任何国家的经济增长都至关重要，并且应该是考虑到全球数据流动速度不断增长及其在国家安全、数据泄露和隐私问题方面潜在滥用的首要任务。这样一个框架的目的是确保个人数据在传输过程中得到充分保护，不会被滥用或滥用

GDPR是跨境数据传输最全面的框架之一。它适用于所有处理欧盟公民个人数据的企业，无论企业位于何处。GDPR要求企业在收集个人数据之前必须获得个人的明确同意，并提供有关如何使用这些数据的明确信息。亚太经合组织隐私框架是一个自愿框架，为保护亚太地区的个人数据提供了指导方针。它基于九项隐私原则，包括收集限制原则、数据质量原则和安全保障原则。美国-欧盟隐私保护框架是一个允许企业在欧盟和美国之间传输个人数据的框架。它基于通知、选择、后续传输责任、安全、数据完整性和目的限制、访问和追索等原则

例如在印度，缺乏跨境数据传输的全面立法框架。根据2000年《信息技术法》，《2011年信息技术（合理安全做法和程序以及敏感个人数据或信息）规则》要求公司在转让其敏感个人数据之前必须征得个人同意。此外，印度储备银行发布了金融服务外包指南，要求公司确保服务外包不会导致客户数据泄露。

印度将于今年向议会提交《2023年数字个人数据保护法案》（DPDP法案）。DPDP法案第17条谈到了在印度境外转移个人数据的问题。它指出，“中央政府可以在对其认为必要的因素进行评估后，根据可能规定的条款和条件，通知数据受托人可以向其转移个人数据的印度以外的国家或地区。”看来，中央政府。可能会根据DPDP法案第17条制定某些规则，该条规定了任何打算与印度进行数据传输的国家必须遵守的数据保护标准。

在制定规则下的数据保护标准时，可以考虑以下方法和建议——

监管跨境数据传输的成熟方法：

在监管跨境数据传输的三种模式中，即开放模式、条件模式和控制模式，印度可能会考虑在开放模式和条件模式之间采取一种既不过于严格也不过于宽松的中间方法，旨在建立国家增长和数据隐私之间的平衡。应努力促进国际贸易，同时保障数据主体的权利和国家安全，不阻碍创新和经济的金融增长。

• 有条件模式的最好例子是欧盟的GDPR，它主要关注数据主体的权利和保护数据主体的隐私，同时为企业保持平庸的合规性。
• 南非、新加坡、日本和其他国家在制定跨境数据传输法规时也选择了类似的方法。
• 印度政府也可以根据《通用数据保护条例》制定其基线，特别是采用其原则，如跨境数据传输的数据本地化，并为数据主体提供一套全面的权利，使其在任何情况下都能完全拥有和访问其数据。由于印度是一个发展中国家，其目标是到2025年成为一个5万亿美元的经济体，如果不促进国际贸易，这是不可能的，因此印度必须保持跨境数据合规要求的灵活性和宽松性，将商业需求置于个人权利之上。
• 美国放宽了跨境数据传输的数据隐私标准，并使其国家更加开放，以方便实体开展业务。

利益相关者为发展“信任的数据自由流动”文化而采取的集体行动：

无论跨境转让的监管框架有多严格或宽松，更多的是取决于参与转让安排的外国是否有责任和义务采取所有相关的技术、行政或社会措施，确保他们从另一个国家收集的数据是安全和受保护的，他们遵守其他国家法律的所有尽职调查要求。外国的这种负责任的行为可能会在各国之间建立信任，使它们能够越来越多地相互进行国际贸易，而不必担心本国的数据被滥用或泄露。为此，印度可以与利益相关者社区开展接触计划，这可能有助于了解他们的利益以及他们在跨境数据传输时可能面临的挑战。这种方法将增加其他利益相关者的潜力，同时保护传输的数据，并为利益相关者之间的跨境数据传输创造一个更广泛、更开放、更包容的环境。

在数据转移到印度境外的情况下，一种现代化和更新的同意机制：

《规则》必须在跨境数据传输的情况下对同意机制提供更严格的方法，而不是遵循从数据主体获得同意的传统方法。由于印度的数字识字率很低，要征得这些数字文盲公民的“实际同意”是一个挑战，因为他们不了解获得同意的条款和条件、目的和数据类型。规则必须规定明确同意的含义，如果数据被转移到印度境外，则必须获得额外的单独同意。取得的同意必须是明确的，例如在勾选同意复选框时；关于数据传输的条款和条件以及其他相关信息必须是文本到语音的格式，其中数据主体可以选择以其选择的语言收听相关信息。

数据泄露通知的时间段：

委托从事跨境数据传输的商业实体在发生任何数据泄露时进行更高级别的尽职调查。一旦商业实体确定数据泄露，它应立即通知公民数据成为目标的各个国家的政府，以及个人数据被泄露的数据主体，以便双方都能立即采取措施。“立即”一词意味着，一旦商业实体核实了违约行为的存在或对违约行为的发生有合理的确定性。为此，可以向受害的数据主体发送电子通知，明确说明发生了数据泄露，并进一步采取适当措施保护其个人数据或在线账户中的任何其他信息。

数据可移植权：

在数据转移到国外的情况下，数据主体的一项重要权利是数据可移植性权利，这确保数据主体可以轻松地从一个互联网基础设施获得、重复使用、移动、复制或转移其个人数据到另一个互联网基础设施。特别是当数据主体的个人数据与外国实体共享时，数据主体应具有数据可移植性的权利，并以机器可读和结构化的方式接收其个人数据，并可进一步传输给另一实体。举个例子，一位数据主体从德国的一家医院接受了咨询，现在他想搬到澳大利亚的医院。在这种情况下，数据主体在德国共享的个人数据必须以结构良好的方式提供给数据主体，以便数据主体可以进一步使用这些数据，而不会受到任何阻碍和担心丢失数据。

对参与跨境数据传输的实体的额外尽职调查要求-

沉迷于跨境数据传输的外国实体必须有义务采取最佳做法来保护数据主体的个人数据。为此，加强网络安全措施和防止数据滥用的基础设施、数据主体的简易投诉和申诉补救机制、定期进行网络安全审计、数据隐私影响评估和风险评估等要求，定期监控和跟踪不良行为者阻碍数据隐私的不同作案手法，并在发现风险时立即采取措施。外国实体必须在设计和默认情况下采用数据保护。

全球贸易的未来在很大程度上取决于一个国家的国内法规是如何制定的，以及这些法规是否为经商提供了广泛的便利范围，而外国的合规要求则较低。对于像印度这样拥有世界上最大人口的国家来说，制定跨境数据传输法规并非易事，因为它们必须将如此庞大人口的数据置于危险之中，同时确保数据主体的权利，保护国家安全，促进国家经济增长。上述建议性方法可能有助于中央政府制定DPDP法案下的跨境数据传输规则，并作为决策者的基本指导方针。