【印度隐私保护】DPDPB，2023年在议会：对话、戏剧和不和

经过大约2个小时的联合讨论，《2023年数字个人数据保护法案》（DPDPB，2023）于8月9日在议会两院获得通过。这篇文章总结了议会两院对该法案的讨论（或缺乏讨论）。

此帖子于2023年8月16日更新。请参阅此处存档的原始版本。

免责声明：鉴于这篇帖子总结了议会对该法案的讨论，我们将其称为DPDPB，2023，而不是一项法案。

tl;dr

在最近结束的季风会议上，议会两院通过了《2023年数字个人数据保护法案》（DPDPB，2023）。经过大约2个小时的共同讨论，这项酝酿了6年多的法案才获得通过。2023年8月11日，《2023年民主党法案》获得总统批准，成为议会法案。这篇文章总结了议会两院对该法案的讨论（或缺乏讨论），并揭示了该法案从开始（咨询过程）到结束（法案通过）令人失望的立法历程。

你为什么要在意？

自2022年11月发布类似版本供公众咨询以来，我们一直在表达我们对2023年DPDPB的担忧和担忧[点击此处阅读我们关于2022年版本的公开简报]。2023年8月3日，当《2023年DPDPB》在Lok Sabha推出时，我们为制定一项强有力、全面、以隐私为重点的数据保护立法而进行的斗争受到了打击[点击此处阅读我们关于2023年《DPDPB）》推出的声明]。但我们仍然希望就该法案进行有意义、透明、多样和尊重的讨论。回顾过去，令人遗憾的是，在辩论中，代表现任政府的国会议员的贡献是敷衍了事的，而反对派议员的贡献由于他们的缺席而受到限制。看着一个主要负责保护和推进我们的宪法自由和权利，包括隐私权的机构受到侵蚀，令人痛心。

话语上的分歧：

该法案于2023年8月3日在人民院提出，仅用了52分钟就于8月7日获得通过，9名议员参加了讨论。

《2023年数字个人数据保护法案》已由人民院审议并通过。（1/n）https://t.co/nmcTESPN2ypic.twitter.com/6WQEm9tXhH

--关于议会（@IFFonParrestment）2023年8月7日

这些成员属于7个不同的政党，其中3名发言人来自印度人民党。

该法案在下议院通过后，于2023年8月9日在Rajya Sabha进行审议。

《2023年数字个人数据保护法案》已于下午04:54在Rajya Sabha审议通过。（1/n）pic.twitter.com/hVAsZFLAIQ

--关于议会（@IFFonParrestment）2023年8月9日

经过1小时7分钟的辩论，7名议员就法案发言，上议院通过了这项立法。这些成员属于6个不同的政党，其中2名发言人属于YSR大会。

在审议过程中，议会两院都提出了一些支持和反对该法案的关键问题。

支持条例草案的论据如下：

包括部长在内，共有9名议员表示支持这项法案。许多支持该法案的论点需要进一步结合具体情况，以证明仍然存在缺陷。为了更好地理解这些，请阅读我们对该法案的一读分析。

彻底的协商过程：

在向人民院介绍立法时，电子和信息技术联盟部长Ashwini Vaishnaw表示，该法案经过了彻底的协商，收到了公众和40多个政府部委的意见和反馈。即使在向Rajya Sabha发表的讲话中，部长也声称该法案已经制定了6年，联合议会委员会（JPC）已经就该立法举行了100多次会议。

部长的发言可能是准确的，但并不能全面反映协商进程。当电子和信息技术部（MeitY）发布2022年DPDPB草案供公众咨询时，随附的通知指出，收到的意见将不会公开。该部还拒绝分享RTI申请中收到的评论。此外，咨询过程要求感兴趣的参与者在MyGov网站上注册，以便能够提供意见，这被证明是一个重大障碍。就连工会部长提到的JPC会议也发布了不同的数据保护立法草案，即《2019年个人数据保护法案》。此外，2021年发布的下一份法案草案也于2022年8月3日被部长撤回。部长没有提供撤回该法案的实质性理由，尽管该法案经过了充分的协商。

这里要考虑的另一个问题是可能规避议会议定书。有报道称，通信和信息技术常务委员会的成员退出了通过其报告的会议，因为该委员会讨论了《数字个人数据保护法案》草案的各个方面，尽管该法案从未正式提交给委员会审查。

数据保护委员会（DPB）的成立[第18条]：

政府称赞数据保护委员会的成立是印度数据保护制度成功的重要一步。部长表示，该委员会的成立将确保法院不会因该法案下的问题而负担过重，只有上诉才会提交电信争端解决和上诉法庭（TDSAT），最终提交最高法院。

2023年DPDPB通过授权联邦政府提名董事会所有成员，大大削弱了DPB的独立性。此外，DPB只获得了裁决权，而没有获得监管权。此外，在上诉法庭选择TDSAT的原因尚不清楚，对DPB的决定提出的上诉将向上诉法庭提出。

22种语言的通知[第5（3）条]：

为了确保整个印度都能获得该法律，Ashwini Vaishnaw表示，2023年DPDPB下的通知将以《印度宪法》附表八中列出的所有22种语言发布。

隐私的主要原则：

在向Rajya Sabha发表的首次讲话中，部长强调了该法案满足的隐私原则如下：

• 👉目的限制：目的限制原则规定，数据将只为其最初打算用于的有限对象存储。
• 👉数据最小化：根据数据最小化的原则，政府的目标是只存储定义目的所需的数据。
• 👉准确性原则：根据法律，所有数据主体都将被允许确保其存储的个人数据是准确的，如果有任何不准确之处，他们将能够联系数据受托人进行更正。
• 👉存储限制原则：在存储限制下，政府只会在数据收集对象下存储指定期限的个人数据。

人们对该法案坚持其中几项原则的事实几乎没有信心。条例草案未能坚持这些原则的具体例子如下：

• 目的限制：与“某些合法用途”有关的条款[第7（b）条]损害了该原则，该条款允许在未经数据主体同意的情况下处理数据。
• 数据最小化和存储限制：删除权的提及受到保留信息以“遵守当时有效的任何法律”的需要的限制[第12（3）条]，当与各种部门/其他数据保留要求相结合时，可能会严重削弱这一权利。此外，第17（3）条还包括对第8（7）条的豁免，该条规定受托人有义务在撤回同意后（并达到目的）删除个人数据/要求数据处理者删除个人数据。任何和所有据称维护隐私原则的条款，都必须与豁免条款以及其他广泛的限定词一起阅读。
• 准确性：第17（3）条赋予联邦政府豁免数据受托人（包括初创企业）遵守第8（3）条款的能力，该条款要求数据受托人确保个人数据的完整性、准确性和一致性。允许这样做的原因既没有任何保障/限制，也没有任何理由。

他还列出了根据该法案赋予数据主体的权利：

• 👉信息访问权
• 👉删除权（部长将其等同于被遗忘权）
• 👉申诉补救权
• 👉死亡/丧失工作能力时的提名权

值得注意的是，第17（3）条赋予联邦政府豁免数据受托人遵守第11条的能力，该条涉及数据主体从数据受托人处获取/访问其个人数据信息的权利。因此，数据受托人可以免于向数据主体提供其正在处理的个人数据和所进行的处理活动的摘要、与之共享个人数据的所有其他受托人和处理者的身份以及如此共享的个人数据的描述，以及可能规定的任何其他信息。根据适用对象的不同，这种豁免可能会大大削弱这一权利。

数据可移植性权利和被遗忘权尽管在之前的一些迭代中存在，但尚未包含在法案中。此外，2021年《数据保护法案》对“删除”和“停止披露”进行了区分，并将被遗忘权与停止披露联系起来。现在，DPDPB，2023将这种被遗忘权包含在擦除的权利之下。一般删除权与被遗忘权之间的这种混淆导致了模糊性，被遗忘权是个人数据披露特有的。由于需要保留信息以确保遵守现有法律，人们对删除权被削弱的担忧已经在前面概述过了。

对数据主体引入责任和相应的处罚可能会对数据主体产生威慑作用。例如，第15（d）条规定，数据主体有责任确保不会向数据受托人或DPB登记虚假或无聊的申诉或投诉。虽然引入寻求申诉补救的权利可能被认为是值得注意的，但纳入这一义务以及因不遵守该义务而被处以高达10000印度卢比的相关罚款，极有可能会阻碍报告真正的申诉。

Puttaswamy下的测试：

政府声称，该法案遵循了最高法院在Puttaswami判决中规定的三重隐私测试，即合法性、相称性和合法性原则。这意味着，存储的个人数据只能在2023年DPDPB或任何其他有效法律的法律基础上进行，存储的数据在性质上是成比例的，即目标和实现目标的方法之间存在合理的联系。

没有像以前版本那样的监管过载：

另一位议员表示，该法案减轻了私营部门的合规和监管负担，这与以前版本的预期数据保护法相比是一个值得欢迎的变化。

第40条列出了联邦政府可以制定规则的25个具体事项，以及“将要或可能制定的”任何其他事项。鉴于该法案中的许多细微之处有待未来通过制定规则来规定，现在说该法案减少了合规性和监管负担可能还为时过早。

初创企业豁免：

根据第17（3）条给予初创企业的豁免也被誉为该国经济发展的积极举措。在澄清这一条款时，部长确实提到，对初创企业的豁免仅基于合规性，而不是法案的基本原则。他还表示，一旦获得概念证明并成立初创公司，这些豁免将被取消。

2022年DPDPB为联邦政府提供了豁免某些数据受托人或某类数据受托人遵守选定条款的权力。2023年DPDPB保留了这一规定，并特别将初创公司作为联邦政府可能豁免的数据受托人。他们可以豁免的条款包括向数据主体发出通知，确保数据的完整性、准确性和一致性，删除数据，重要数据受托人的额外义务，访问个人数据信息的权利，以及“自法案制定之日起5年内的法案任何条款”，期限尚未具体说明。

比较欧盟GDPR和2023年DPDPB下的政府豁免：

在议会两院，Ashwini Vaishnaw将2023年的DPDPB与欧盟GDPR进行了比较，指出后者对政府有16项豁免，而2023年民主党只有4项（Lok Sabha见此处，Rajya Sabha见此）。

然而，这是不准确的，因为该法案将第7条和第17条小节中出现的几个单独的豁免理由合并为一个

此外，即使在列举了这些理由之后，该法案似乎也列出了第7条下的9个单独的豁免理由（称为某些合法用途）和第17条下的11个豁免理由，而根据《通用数据保护条例》，第23条第（1）款规定了10项个人豁免，并包括限定词“当这种限制尊重基本权利和自由的本质，并且是民主社会中需要保障的必要和相称的措施时”

《通用数据保护条例》第23（1）条规定的额外豁免仅适用于少数条款，而《2023年DPDPB》则豁免政府遵守法案的所有条款。根据《通用数据保护条例》第23（2）条，豁免受到进一步限制，因为它要求立法机构在使用第23（1）条规定的豁免时定义参数，而《2023年DPDPB》上述条款规定的豁免为政府提供了不受约束的理由，而没有提供额外的保障。

2023年的DPDPB扩大了豁免范围，豁免任何政府机构（GI）对联邦政府就豁免机构向其提供的信息进行的任何数据处理。因此，这些机构本身收集的数据将被豁免。

基于原则的立法：

在为该法案辩护时，政府表示，该立法是基于原则的，而不是故意不具有规定性，以允许灵活应用。Ashwini Vaishnaw表示，联邦政府的目的是制定一项技术不可知的法案，这样就不需要随着技术的更新而不断修改。在他看来，程序将随着董事会的裁决和对法律的更多认识的传播而发展。

《2023年DPDPB》列出了联邦政府将在稍后阶段通知规则的25种具体情况，并为自己提供了在稍后阶段就“将要或可能规定的任何其他事项”通知规则的余地。这限制了利益攸关方有意义地参与提案草案的能力。立法采用的这种“基于原则”的方法，其中详细的规定将通过规定的规则来制定，也可能导致模糊性增加，以及目前可能无法预见的合规负担。“SARAL”（简单、可访问、合理和可操作）、“基于原则”和“灵活”的目标不应成为逃避具体性和保障措施的幌子，因为这些并不相互排斥。

反对该法案的论点

• 定义模糊[第2条]：几位议员对2023年DPDPB中删除“隐私”、“伤害”和“赔偿”等术语及其定义表示担忧。他们对在没有这些定义的情况下难以确定责任和提供赔偿表示关切。
• 缺乏关键权利和原则：议员们质疑为什么被遗忘权和数据可移植性的权利在2023年的DPDPB中被删除，而这是2019年版本的一部分。在一份澄清中，一位议员驳斥了部长关于法案中包含数据最小化原则的说法。
• 对民主党的行政控制[第18条]：许多议员对民主党的独立性提出了质疑，理由是担心联邦政府提名董事会所有成员的权力、成员任期短等。表达的情绪是民主党严重倾向于政府。
• 全面豁免[第7条]：议员们对侵犯隐私权和减少问责制表示担忧，因为该法案允许政府仅通过发布通知就可以豁免任何私营部门实体和政府机构适用法律规定。议员们特别提醒不要因为向初创公司等数据受托人提供豁免而滥用数据。一些议员甚至认为，广泛而全面的豁免允许权力过度集中。大体上，议员们敦促在法案中缩小豁免范围。
• 新的屏蔽权：几位议员对第37（1）条中对不同意见的无节制审查表示担忧，该条基本上授权联邦政府屏蔽互联网上的任何内容。
• 2005年《信息权法》的淡化[第44（3）条]：对《信息权法案》的拟议修正案遭到了几位议员的反对，并敦促重新考虑。议员们还指出，“个人信息”的定义没有包括在《信息权法》或《2023年DPDPB》中，并敦促将其包括在内。
• 缺乏监控改革：反对该法案的议员强调，该法案并没有带来急需的监控改革，而是建立了一个监控公民的框架。几位议员强调了现任政府以前进行监视的例子，并询问该法案是否解决了这些问题。
• 对在印度境外处理的数据没有保护：几位国会议员也对在印度以外处理的数据以及缺乏对任何滥用或违规造成的伤害的保护表示担忧。
• 削弱的同意框架：关于“某些合法用途”的条款[第7条]因赋予政府收集和处理法案的广泛授权而受到批评。

结论：

Lok Sabha和Rajya Sabha通过了2023年的DPDPB，并最终成为议会法案，这突显出该国基于权利的立法的未来趋势令人担忧。不透明的协商过程和议会程序的次级版本的实施（例如分配极其有限的发言时间，没有正式提交给委员会进行进一步研究）使公众、民间社会、议会委员会和其他利益攸关方提交的意见毫无价值。我们看到议会两院进行了近2个小时的辩论，只有16名议员对该法案做出了贡献。虽然人民院的反对派成员被要求在几分钟内表达他们的观点，但由于反对派成员的罢工，Rajya Sabha目睹了一座几乎空无一人的房子，导致几乎没有任何关于该法案的辩论。值得注意的是，尽管许多人对该法案提出了重要关切，但由于众议院出席人数较少，很少有议员反对该法案，甚至Rajya Sabha的反对党议员提出的修正案也没有付诸表决，因为提出修正案的议员不在众议院。令人失望的是，对该法案的逐条投票没有任何反对意见，导致议会记录显示对该法案中的任何条款都没有反对意见。在正在进行的季风会议上，这种逃避议会职责的趋势为进一步立法数字权利甚至其他方面描绘了一幅令人担忧的画面。

该职位由IFF政策实习生Saharsh Panjwani在政策小组的帮助下起草。

重要文件：

1. The draft Digital Personal Data Protection Bill, 2023 dated August 3, 2023 (link)
2. Public brief on the draft Digital Personal Data Protection Bill, 2022 dated February 16, 2023 (link)
3. Living document containing key changes in the DPDPB, 2023 when compared to the DPDPB, 2022  (link)
4. First read on the DPDPB, 2023 (link)