【印度数据保护】《2023年数字个人数据保护法案》2023年8月7日通过

部委：电子与信息技术

法案要点

• 该法案将适用于印度境内的数字个人数据处理，这些数据是在线收集的，或离线收集并数字化的。如果是在印度提供商品或服务，它也将适用于印度以外的此类加工。
• 只有在个人同意的情况下，才能出于合法目的处理个人数据。对于特定的合法用途，如个人自愿共享数据或国家处理许可证、执照、福利和服务，可能不需要征得同意。
• 数据受托人有义务维护数据的准确性，确保数据安全，并在达到目的后删除数据。
• 该法案赋予个人某些权利，包括获取信息、寻求更正和删除以及申诉补救的权利。
• 中央政府可以出于国家安全、公共秩序和预防犯罪等特定理由，豁免政府机构适用该法案的规定。
• 中央政府将成立印度数据保护委员会，对不遵守法案规定的行为进行裁决。

关键问题及分析

• 国家以国家安全为由对数据处理的豁免可能导致数据收集、处理和保留超出必要范围。这可能侵犯基本隐私权。
• 该法案没有规定处理个人数据所产生的伤害风险。
• 条例草案并没有赋予资料当事人资料可移植的权利及被遗忘权。
• 该法案允许将个人数据转移到印度境外，但中央政府通知的国家除外。这一机制可能无法确保对允许转移个人数据的国家的数据保护标准进行充分评估。
• 印度数据保护委员会的成员任期两年，有资格再次任命。有重新任命余地的短期可能会影响董事会的独立运作。

第一部分：法案要点

上下文

个人数据是指与已识别或可识别个人相关的信息。企业和政府实体处理个人数据以提供商品和服务。处理个人数据可以了解个人的偏好，这可能有助于定制、定向广告和开发推荐。处理个人数据也可能有助于执法。未经检查的处理可能会对个人隐私产生不利影响，而个人隐私已被公认为一项基本权利。[1] 它可能会使个人受到经济损失、名誉损失和个人简介等伤害。

目前，印度没有关于数据保护的独立法律。个人数据的使用受到2000年《信息技术法》的监管。[2]，[3]2017年，中央政府成立了一个数据保护专家委员会，由大法官B.N.Srikrishna担任主席，负责审查该国与数据保护有关的问题。委员会于2018年7月提交了报告。[4]根据委员会的建议，《2019年个人数据保护法案》于2019年12月在人民院提出。[5]该法案被提交给议会联合委员会，该委员会于2020年12月提交了其报告。1.2 2022年8月，该法案从议会撤回。2022年11月，一份法案草案发布，供公众咨询。[6] 2023年8月，《2023年数字个人数据保护法案》在议会提出。[7]

主要功能

• 适用性：该法案适用于印度境内的数字个人数据处理，这些数据是：（i）在线收集的，或（ii）离线收集并数字化的。如果在印度提供商品或服务，它也将适用于印度境外的个人数据处理。个人数据是指可通过此类数据识别或与之相关的任何个人数据。处理被定义为对数字个人数据执行的全部或部分自动化操作或一组操作。它包括收集、存储、使用和共享。
• 同意：只有在获得个人同意后，才能出于合法目的处理个人数据。在征求同意之前必须发出通知。通知应包含有关要收集的个人数据和处理目的的详细信息。同意书可随时撤回。“合法用途”不需要征得同意，包括：（i）个人自愿提供数据的特定用途，（ii）政府提供福利或服务，（iii）医疗紧急情况，以及（iv）就业。对于18岁以下的个人，父母或法定监护人将给予同意。
• 数据负责人的权利和义务：其数据正在被处理的个人（数据负责人）将有权：（i）获得有关处理的信息，（ii）寻求更正和删除个人数据，（iii）在死亡或丧失工作能力的情况下提名另一人行使权利，以及（iv）申诉补救。数据主体将承担某些职责。他们不得：（i）登记虚假或无聊的投诉，以及（ii）在特定情况下提供任何虚假信息或冒充他人。违反职责将被处以最高10000卢比的罚款。
• 数据受托人的义务：确定处理目的和方式的实体（数据受托人）必须：（i）做出合理努力确保数据的准确性和完整性，（ii）建立合理的安全保障措施以防止数据泄露，（iii）在发生泄露时通知印度数据保护委员会和受影响的人员，以及（iv）在达到目的后立即删除个人数据，并且出于法律目的不需要保留（存储限制）。对于政府实体，存储限制和数据主体的擦除权将不适用。
• 印度境外个人数据传输：该法案允许在印度境外传输个人数据，但中央政府通过通知限制的国家除外。
• 豁免：数据主体的权利和数据受托人的义务（数据安全除外）不适用于特定情况。这些措施包括：（i）预防和调查犯罪，以及（ii）强制执行合法权利或索赔。中央政府可发出通知，豁免某些活动适用该法案。其中包括：（i）政府实体为了国家安全和公共秩序的利益进行处理，以及（ii）研究、存档或统计目的。
• 印度数据保护委员会：中央政府将成立印度数据保护局。委员会的主要职能包括：（i）监督合规情况并实施处罚，（ii）指示数据受托人在数据泄露的情况下采取必要措施，以及（iii）听取受影响人员的申诉。董事会成员任期两年，有资格再次任命。中央政府将规定董事会成员人数和选拔程序等细节。TDSAT将对委员会的决定提出上诉。
• 处罚：该法案的附表规定了对各种罪行的处罚，例如：（i）不履行对儿童的义务最高可达20亿卢比，（ii）不采取安全措施防止数据泄露最高可达25亿卢比。委员会将在进行调查后予以处罚。

第二部分：关键问题及分析

国家豁免可能对隐私产生不利影响

根据该法案，国家对个人数据处理给予了若干豁免。根据《宪法》第12条，国家包括：（i）中央政府，（ii）州政府，（iii）地方机构，以及（iv）政府设立的机构和公司。此类豁免可能存在某些问题。

该法案可能允许国家对数据进行未经检查的处理，这可能侵犯隐私权

最高法院（2017年）认为，任何侵犯隐私权的行为都应与此类干预的必要性相称。1国家的豁免可能导致数据收集、处理和保留超出必要范围。这可能不相称，可能侵犯基本隐私权。

该法案授权中央政府为了国家安全和维护公共秩序等目的，豁免政府机构处理任何或所有条款。数据负责人的权利和数据受托人的义务（数据安全除外）均不适用于某些情况，如预防、调查和起诉犯罪的处理。该法案不要求政府机构在达到处理目的后删除个人数据。利用上述豁免，基于国家安全的理由，政府机构可以收集公民的数据，以创建一个360度的监控档案。它可以利用各个政府机构为此目的保留的数据。这就提出了一个问题，即这些豁免是否符合相称性测试。

对于以国家安全等理由拦截通信，最高法院（1996年）规定了各种保障措施，包括：（一）确定必要性，（二）目的限制，以及（三）储存限制。[8] ，[9]这些类似于法案规定的数据受托人的义务，其应用已被豁免。斯里克里什纳委员会（2018）建议，在以国家安全、预防和起诉犯罪等为由进行处理的情况下，除公平合理的处理和安全保障措施外，其他义务不应适用。4委员会指出，储存限制和用途说明等义务（如适用）将通过单独的法律实施。印度没有任何这样的法律框架。

在英国，2018年颁布的数据保护法为国家安全和国防提供了类似的豁免。[10] 然而，政府机构为情报和执法活动批量处理个人数据集等行为受到2016年《调查权力法》的监管。[11]国务卿（即内政部长）签发此类行动的搜查令，需要事先获得司法专员的批准。必须确定采取这种行动的必要性和相称性。超过授权期限的数据保留受到限制。该法律还规定了议会监督。

出于福利、补贴、许可证和证书等目的的优先同意是否合适

在国家处理个人数据以提供福利、服务、许可证、许可证或证书的情况下，该法案凌驾于个人的同意之上。它特别允许将为其中一个目的处理的数据用于另一个目的。它还允许将国家现有的个人数据用于任何这些目的。因此，它取消了目的限制，这是保护隐私的关键原则之一。目的限制意味着数据应用于特定目的，并且仅用于该目的。4问题是这种豁免是否合适。

由于为各种目的采集的数据可以合并，因此可以对公民进行分析。另一方面，如果需要同意，个人将对收集和共享其个人数据拥有自主权和控制权。

该法案不规范处理个人数据所造成的损害

该法案没有规定处理个人数据所产生的伤害风险。Srikrishna委员会（2018）观察到，伤害可能是个人数据处理的后果。4伤害可能包括物质损失，如经济损失和无法获得福利或服务。4还可能包括身份盗窃、名誉损失、歧视、，以及不合理的监视和分析。4它曾建议，应根据数据保护法对危害进行监管。4

2019年《个人数据保护法案》将伤害定义为：（i）精神伤害，（ii）身份盗窃，（iii）经济损失，（iv）声誉损失，（v）歧视性待遇，以及（vi）数据主体不合理预期的观察或监视。[12] 2019年法案

未规定数据可移植权和被遗忘权

该法案没有规定数据可移植性的权利和被遗忘权。议会提出的2018年法案草案和2019年法案规定了这些权利。[16] ，[17]联合议会委员会在审查2019年法案时，建议保留这些权利。2 GDPR也承认这些权利。[18] Srikrishna委员会（2018）指出，数据主体的一系列强大权利是数据保护法的重要组成部分。4这些权利基于自主、透明和问责原则，以使个人能够控制其数据。4

• 数据可移植性权利：数据可移植权允许数据主体以结构化、通用和机器可读的格式从数据受托人处获取和转移其数据供自己使用。它使数据主体能够更好地控制其数据。它可以促进数据从一个数据受托人迁移到另一个数据信托人。一个可能的担忧是，它可能会泄露数据受托人的商业秘密。4 Srikrishna委员会（2018）建议，在不泄露此类商业秘密的情况下提供信息的范围内，必须保障这一权利。4联合议会委员会注意到，商业秘密不能成为否认数据可移植性权利的理由，只能以技术可行性为由予以否认。2
• 被遗忘权：被遗忘权是指个人限制在互联网上披露个人数据的权利。4斯里克里希纳委员会（2018）指出，被遗忘权是一种试图将记忆的局限性灌输到无限数字领域的想法。4然而，委员会还强调，这项权利可能需要与相互竞争的权利和利益相平衡。行使这项权利可能会干扰他人的言论和表达自由权以及接受信息的权利。1其适用性可能取决于待限制的个人数据的敏感性、个人数据对公众的相关性以及数据主体在公共生活中的作用等因素。1

数据跨境传输时的充分保护

该法案规定，中央政府可以通过通知限制向某些国家转移个人数据。这意味着在没有任何明确限制的情况下将个人数据转移到所有其他国家。这个问题是这个机制是否能提供足够的保护。

监管印度境外个人数据传输的目的是保护印度公民的隐私。2在另一个国家没有强有力的数据保护法律的情况下，存储在那里的数据可能更容易被泄露或未经授权与外国政府和私人实体共享。2019年法案要求，对于某些类别的数据，只有在提供足够保护的情况下，才允许向某个国家传输。[19] 2022年法案草案采取了不同的方法，中央政府通知可能转移任何个人数据的国家。[20] 这两种机制都要求对数据可能转移到的每个国家的标准进行个案评估。选择性地限制国家的机制不需要进行如此详尽的评估。

任期较短可能影响董事会的独立性

该法案规定，印度数据保护委员会的成员将作为一个独立机构发挥作用。委员任期两年，并有资格再次获委任。短期内有重新任命的余地可能会影响董事会的独立运作。

委员会的主要职能是监督遵守情况、进行调查和判定处罚。就法庭而言，最高法院（2019年）注意到，短期内再任命的规定增加了对行政部门的影响力和控制。[21]具有裁决作用的监管机构，如印度中央电力监管委员会和竞争委员会，根据各自的法案，任期为五年。[22]，[23]如果是TRAI，任期为三年。[24]SEBI的任期为五年，由《规则》规定。[25]

为儿童提供的附加条款

附加义务适用于处理儿童数据。我们将在下面讨论与这些条款有关的问题。

儿童的定义不同于其他司法管辖区

虽然处理儿童数据应受到更大保护是一项公认的原则，但不同司法管辖区对儿童同意处理个人数据的定义存在差异。根据该法案，儿童被定义为18岁以下的人。在美国和英国，13岁以上的人可以同意处理个人数据。[26]，[27]欧盟《通用数据保护条例》将这一年龄设定为16岁，成员国可以将其降低至13岁。[28]斯里克里希纳委员会（2018）建议，在确定儿童的同意年龄时，应考虑某些因素。其中包括：（i）最低年龄13岁，最高年龄18岁，以及（ii）确保实际实施的单一门槛。4它还指出，从儿童完全自主发展的角度来看，18岁可能过高。4然而，为了与现有法律框架一致，同意年龄应为18岁。4根据1872年《印度合同法》，签订合同的最低年龄是18岁

获得可验证的父母同意可能需要在数字平台上验证每个人的年龄

该法案要求所有数据受托人在处理儿童的个人数据之前，必须获得法定监护人的可核实同意。为了遵守这一规定，每个数据受托人都必须核实每个注册其服务的人的年龄。需要确定此人是否为儿童，从而获得其法定监护人的同意。这可能有助于避免儿童做出虚假声明的情况。然而，这可能会降低数字领域的匿名性。

不清楚什么对儿童的福祉有害

该法案规定，数据受托人不会进行任何对儿童福祉有不利影响的处理。该法案没有界定有害影响。它也没有为确定这种影响提供任何指导。

豁免同意通知可能不合适

该法案授权中央政府通知某些数据受托人或数据受托人类别，包括初创公司免除某些义务。这必须在适当考虑个人数据的数量和性质的情况下进行。可以豁免的义务之一是通知同意。寻求自由和知情同意的要求将继续适用于这些实体。然而，如果没有义务就收集的数据的性质和处理目的提供通知，则可能会有人认为数据主体将无法提供知情同意。

起草问题

第27（1）（e）条提及第36条第（2）款，但第36条没有任何小节。

《数据保护法》各草案之间的主要差异

表1：《数据保护法》各草案比较

资料来源：《个人数据保护法案草案》，2018年；Lok Sabha提出的《2019年个人数据保护法案》和《2023年数字个人数据保护条例》；议会联合委员会关于《2019年个人数据保护法案》的报告；PRS。