印度个人数据保护法草案

印度个人数据保护立法经历了长期酝酿和多次修订。2019年,印度政府首次向议会提交了个人数据保护法案。2023年,印度议会正式通过了数字个人数据保护法案,结束了长达数年的立法过程。2024年,相关配套规则和实施细则陆续发布。DPDPA的通过标志着印度成为全球数据保护立法的主要参与者,对在印度市场运营的企业产生了直接影响。

DPDPA的适用范围明确且具有域外效力。法律适用于在印度境内收集、披露、共享或以其他方式处理数字个人数据的活动。同时也适用于在印度境外处理数字个人数据但该处理与向印度境内数据主体提供商品或服务相关的活动。2023年法案精简了适用范围,不再对个人数据类别进行过于复杂的分类,但保留了域外管辖条款。

数据受托人是DPDPA下承担主要合规责任的实体。数据受托人指单独或与他人共同确定数据处理目的和方式的任何个人。数据受托人需履行DPDPA规定的一系列义务,包括确保数据处理符合法律规定、建立处理投诉机制、实施安全保障措施以及向数据保护委员会报告数据泄露事件。重要的数据受托人将承担更严格的合规责任,包括进行数据保护影响评估和指定数据保护官。重要数据受托人的认定标准由政府通知确定,通常涉及处理大量个人数据、处理敏感个人数据或涉及重大公共利益的场景。

数据主体权利在DPDPA下受到保护。知情权允许数据主体了解其个人数据被处理的方式。更正权允许数据主体要求更正不准确的个人数据。删除权允许数据主体在特定条件下要求删除其个人数据。申诉权保障数据主体有权向数据保护委员会提出关于数据受托人不履行义务的申诉。DPDPA还引入了数据可携权、被遗忘权等权利类别。数据主体行使权利需通过数据受托人建立的投诉处理机制进行。

同意是DPDPA下数据处理的主要法律基础。数据处理需基于数据主体的同意或特定合法目的。同意需为明确、特定、知情且无障碍的意愿表示。数据主体需在完全知情的情况下做出同意,每个目的需分别获取同意。数据受托人需为数据主体提供便利的撤回同意方式,撤回同意不影响撤回前已进行的数据处理的合法性。数据受托人不得将数据处理服务的提供与超出服务所需范围的同意捆绑。DPDPA还规定了若干无需同意的合法数据处理目的,例如为履行国家职能、遵守法院命令、应对医疗紧急情况以及在就业场景下进行的特定数据处理。

数据保护委员会的设立是DPDPA执法体系的核心。DPDPA设立数据保护委员会作为专门的执法机构,负责监督DPDPA的遵守情况、调查违规行为、施加罚款以及发布整改指令。数据保护委员会的权力包括要求数据受托人提供信息、进入场所检查、命令数据受托人采取整改措施以及施加罚款。数据保护委员会的决定在法定期限内可向上诉法庭提出上诉。

DPDPA的罚款结构具有强威慑力。对于不同类别的违规行为,法律设定了不同的罚款上限。数据受托人未采取合理安全保障措施导致数据泄露的,可被处以高额罚款。未向数据保护委员会报告泄露事件的,将面临进一步的罚款。未履行数据主体请求或未建立投诉处理机制的,同样面临罚款风险。罚款由数据保护委员会在考虑违规性质、严重程度和影响范围后确定。

跨境数据传输在DPDPA下受到专门规范。数据受托人需满足特定条件才能向印度境外转移个人数据。DPDPA授权中央政府通知特定的国家或地区,数据受托人可向通知中列出的国家或地区转移个人数据。对于未被通知覆盖的国家,数据受托人需通过数据保护委员会批准的合同条款或其他合规机制实现数据传输。数据传输还需符合中央政府通知的数据本地化要求。

数据本地化是DPDPA的突出特征之一。法律要求在印度境内存储特定类别的个人数据。中央政府有权就数据本地化范围发布通知。数据本地化带来对外资企业的影响在于,企业需在印度境内建立或租用数据存储设施。数据本地化的合规成本需要在企业的数据管理策略中重点考虑。

敏感个人数据的处理在DPDPA中受到额外关注。DPDPA将敏感个人数据定义为政府通知中确定的特定类别个人数据,包括健康数据、财务数据、生物识别数据、种姓、宗教信仰、性取向等。处理敏感个人数据的数据受托人需履行更严格的义务。重要数据受托人需进行数据保护影响评估并对敏感个人数据进行审计。

DPDPA与印度其他数据法律的关系需要协调。印度信息技术法下有关数据保护的规定在DPDPA生效后将被替代。但印度针对特定行业的法规,如银行业、电信业和医疗行业的数据保护要求,与DPDPA共同适用。数据受托人需同时满足行业监管要求。数字主权是印度数据法律体系的重要考量。

儿童数据保护是DPDPA的重要关注领域。数据受托人在处理儿童个人数据时需承担更严格的义务。数据受托人需获得儿童的父母或法定监护人的可验证同意。数据受托人不得对儿童进行跟踪或行为监控,也不得向儿童投放定向广告。处理儿童个人数据的数据受托人需特别谨慎,确保其处理活动符合儿童全面保护原则。

北京企密安提供DPDPA合规咨询服务。方案包括管辖权分析、数据映射与处理记录编制、同意机制重新设计、跨境数据传输方案、数据本地化评估以及数据保护委员会应对支持。如需帮助,欢迎联系北京企密安:010-63711822,或访问baomiwang.com获取更多信息。

FAQ

问:DPDPA是否要求数据本地化? 答:是的。DPDPA要求特定类别的个人数据存储在印度境内。中央政府有权发布通知确定数据本地化的具体范围和类别。数据受托人需在印度境内存储相关数据。

问:DPDPA规定的罚款上限是多少? 答:DPDPA对不同违规类别设定了不同的罚款上限。数据保护委员会在确定具体罚款金额时,将考虑违规的性质、严重程度、持续时间和影响范围等因素。