2019年《个人数据保护法案》由电子和信息技术部长拉维·尚卡尔·普拉萨德先生于2019年12月11日在洛萨巴提出。该法案旨在保护个人的个人数据，并为此设立数据保护机构。

适用性：

该法案管理以下机构处理个人数据：

• （i）政府，
• （ii）在印度注册的公司，
• 以及（iii）处理印度个人个人数据的外国公司。

个人数据是与身份特征、特征或属性相关的数据，可用于识别个人。条例草案将某些个人资料归类为敏感个人资料。这包括金融数据、生物特征数据、种姓、宗教或政治信仰，或政府与管理局和相关部门监管机构协商后指定的任何其他类别的数据。

数据受托人的义务：

数据受托人是决定处理个人数据的方式和目的的实体或个人。此类处理将受到某些目的、收集和储存限制。例如，个人数据只能用于特定、明确和合法的目的。此外，所有数据受托人必须采取一定的透明度和问责制措施，如：

• （i）实施安全保障措施（如数据加密和防止数据滥用），
• 以及（ii）建立申诉纠正机制以解决个人投诉。

在处理儿童的敏感个人数据时，他们还必须建立年龄核实和父母同意的机制。

个人权利：

该法案规定了个人（或数据主体）的某些权利。这些权利包括：

• （i）获得受托人对其个人数据是否已被处理的确认，
• （ii）寻求更正不准确、不完整或过时的个人数据，
• （iii）在某些情况下将个人数据传输给任何其他数据受托人，
• 以及（iv）限制受托人继续披露其个人数据，如果不再需要或撤回同意。

处理个人数据的理由：

只有在个人提供同意的情况下，法案才允许受托人处理数据。但是，在某些情况下，可以不经同意处理个人数据。这些措施包括：

• （i）如果国家要求为个人提供福利，
• （ii）法律诉讼，
• （iii）应对医疗紧急情况。

社交媒体中介：

该法案将其定义为包括允许用户之间在线互动并允许信息共享的中介。所有此类中介机构的用户超过通知的阈值，其行为可能影响选举民主或公共秩序，它们都有一定的义务，包括为印度的用户提供自愿用户验证机制。

数据保护局：

法案设立了一个数据保护局，该局可以：

• （i）采取措施保护个人利益，
• （ii）防止个人数据被滥用，
• 以及（iii）确保遵守法案。

它将由一名主席和六名成员组成，在数据保护和信息技术领域拥有至少10年的专业知识。当局的命令可向上诉法庭提出上诉。法庭的上诉将提交最高法院。

印度境外的数据传输：

• 如果个人明确同意，并遵守某些附加条件，敏感个人数据可以传输到印度境外进行处理。
• 然而，此类敏感个人数据应继续存储在印度。
• 某些由政府通知为关键个人数据的个人数据只能在印度处理。

豁免：

中央政府可豁免其任何机构遵守该法的规定：

• （i）为了国家安全、公共秩序、印度主权和完整以及与外国的友好关系，
• 以及（ii）防止煽动实施与上述事项有关的任何可认定罪行（即无逮捕证逮捕）。出于某些其他目的，如：（i）预防、调查或起诉任何罪行，
• 或（ii）个人、家庭或
• （iii）新闻目的，个人数据的处理也不受法案规定的约束。

然而，这种处理必须有特定、明确和合法的目的，并有一定的安全保障。

违法行为：

该法案规定的违法行为包括：

• （i）违反该法案处理或转移个人数据，处以1500万卢比或信托人年营业额的4%的罚款，以较高者为准；
• （ii）未进行数据审计，处以5000万卢比或受托人年营业额2%的罚款（以较大者为准）。
• 未经同意重新识别和处理已取消识别的个人数据将被处以三年以下监禁或罚款，或两者兼有。

与政府共享非个人数据：

中央政府可指示数据受托人向其提供任何：

• （i）非个人数据和
• （ii）匿名个人数据（如果无法确定数据主体），以更好地定位服务。

对其他法律的修正：该法案修正了2000年《信息技术法》，删除了有关公司因未能保护个人数据而应支付赔偿的规定。

本文：https://cioctocdo.com/personal-data-protection-bill-2019