印度通过《2023年数字个人数据保护法案》

2023年8月7日，印度议会下议院（Lok Sabha）通过《2023年数字个人数据保护法案》（Digital Personal Data Protection Bill 2023）。8月9日，该法案获得上议院（Rajya Sabha）批准。

- 该法案将适用于在印度境内处理在线收集或离线收集并数字化的数字个人数据。该法案也适用于印度境外为在印度提供商品或服务而进行的此类处理。

- 只有在个人同意的情况下，才能为合法目的处理个人数据。对于特定的合法用途，如个人自愿共享数据或国家为获得许可、执照、福利和服务而进行的处理，可能不需要征得同意。

- 数据受托人有义务保持数据的准确性，保证数据安全，并在达到目的后删除数据。

- 法案赋予个人某些权利，包括获取信息、寻求更正和删除以及申诉的权利。

- 出于国家安全、公共秩序和防止犯罪等特定原因，中央政府可豁免政府机构适用该法案的规定。

- 中央政府将成立印度数据保护委员会，对不遵守法案规定的行为进行裁决。

- 国家以国家安全等理由豁免数据处理，可能导致数据收集、处理和保留超出必要范围。这可能会侵犯基本隐私权。

- 法案未对处理个人数据所产生的危害风险进行规范。

- 法案没有赋予资料当事人资料可携带权和被遗忘权。

- 法案允许将个人数据转移到印度境外，但转移到中央政府通知的国家除外。这一机制可能无法确保对允许转移个人数据的国家的数据保护标准进行充分评估。

- 印度数据保护委员会成员的任期为两年，可连任。短期任命并可连任可能会影响委员会的独立运作。

个人数据是与已识别或可识别的个人有关的信息。企业和政府实体处理个人数据以提供商品和服务。处理个人数据可以了解个人的偏好，这可能有助于定制、有针对性的广告和开发建议。处理个人数据还有助于执法。未经检查的处理可能会对个人隐私造成不利影响，而个人隐私已被确认为一项基本权利。

目前，印度还没有独立的数据保护法。个人数据的使用受2000年《信息技术法》的监管。2017年，中央政府成立了一个数据保护专家委员会，由B. N. Srikrishna法官担任主席，负责审查与印度数据保护有关的问题。委员会于2018年7月提交了报告。根据委员会的建议，《2019年个人数据保护法案》于2019年12月提交至人民院。该法案被提交至议会联合委员会，该委员会于2021年12月提交了报告。2023年8月，《2023年数字个人数据保护法案》（Digital Personal Data Protection Bill, 2023）提交给议会。

适用性：该法案适用于印度境内数字个人数据的处理，这些数据：(i) 在线收集，或 (ii) 离线收集并数字化。该法案也适用于印度境外为在印度提供商品或服务而对个人数据的处理。个人数据被定义为可通过该数据或与该数据相关识别的个人的任何数据。处理被定义为对数字个人数据进行的全部或部分自动化操作或一系列操作。它包括收集、存储、使用和共享。

同意：只有在征得个人同意后，才能为合法目的处理个人数据。在征求同意之前必须发出通知。通知中应详细说明将收集的个人数据和处理目的。同意可随时撤回。合法用途包括：(i)个人自愿提供数据的指定用途，(ii) 政府提供的福利或服务，(iii)医疗紧急情况，以及(iv)就业，这些用途无需征得同意。对于18岁以下的个人，将由其父母或法定监护人提供同意书。

数据当事人的权利和义务：数据被处理的个人（数据当事人）有权 (i) 获取有关数据处理的信息，(ii) 要求更正和删除个人数据，(iii) 在死亡或丧失行为能力的情况下指定他人行使权利，以及 (iv) 申诉。资料当事人须履行若干责任。他们不得：(i)登记虚假或无意义的投诉；(ii)在特定情况下提供虚假信息或冒充他人。违反义务者将被处以最高10,000卢比的罚款。

数据受托人的义务：确定处理目的和方式的实体（数据受托人）必须(i)做出合理努力确保数据的准确性和完整性，(ii)建立合理的安全保障措施以防止数据泄露，(iii)在数据泄露的情况下通知印度数据保护委员会和受影响的个人，以及 (iv)一旦达到目的且出于法律目的没有必要保留时，立即删除个人数据（存储限制）。对于政府实体，存储限制和数据委托人的删除权将不适用。

个人数据向印度境外转移：法案允许将个人数据传输到印度境外，但中央政府通过通知限制的国家除外。

豁免：数据委托人的权利和数据受托人的义务（数据安全除外）不适用于特定情况。这些情况包括(i)预防和调查犯罪，以及(ii)执行法律权利或索赔。中央政府可发出通知，豁免某些活动，使其不受《条例草案》管辖。这些活动包括(i) 政府实体为维护国家安全和公共秩序而进行的处理，以及(ii)为研究、存档或统计目的而进行的处理。

印度数据保护委员会：中央政府将成立印度数据保护委员会。该委员会的主要职能包括(i)监督合规情况并实施处罚，(ii)指导数据受托人在发生数据泄露时采取必要措施，(iii)听取受影响者的申诉。委员会成员的任期为两年，并可连任。中央政府将规定委员会成员人数和遴选程序等细节。对委员会决定的上诉将由TDSAT受理。

处罚：该法案的附表规定了对各种违法行为的处罚，如最高可达(i)对未履行儿童义务的行为处以20亿卢比的罚款，(ii)对未采取安全措施防止数据泄露的行为处以25亿卢比的罚款。委员会将在进行调查后实施处罚。

对国家的豁免可能对隐私产生不利影响

国家处理个人数据在《法案》中有几项豁免。根据《宪法》第12条，国家包括中央政府、州政府、地方机构、政府设立的机构和公司。此类豁免可能存在某些问题。

该法案可能会使国家能够不受约束地处理数据，从而侵犯隐私权

最高法院（2017年）认为，对隐私权的任何侵犯都应与这种干涉的必要性相称。国家的豁免可能导致数据收集、处理和保留超出必要范围。这可能不相称，也可能侵犯基本隐私权。

法案授权中央政府，为了国家安全和维护公共秩序等目的，政府机构的处理可以不受任何或所有规定的约束。数据委托人的权利和数据受托人的义务（数据安全除外）将不适用于某些情况，如为防止、调查和起诉犯罪而进行的处理。法案不要求政府机构在处理目的达到后删除个人数据。根据上述豁免规定，政府机构可以国家安全为由收集公民数据，以建立360度档案进行监控。为此，政府机构可以利用各政府机构保留的数据。这就提出了这些豁免是否符合相称性测试的问题。

对于以国家安全等理由截取通信，最高法院（1996 年）规定了各种保障措施，包括：确定必要性、目的限制、以及存储限制。Srikrishna委员会（2018年）建议，在以国家安全、预防和起诉犯罪等为由进行处理的情况下，除公平合理的处理和安全保障之外的义务不应适用。印度没有这样的法律框架。

在英国，2018年颁布的数据保护法为国家安全和国防提供了类似的豁免。然而，政府机构为情报和执法活动而对个人数据集进行批量处理等行为受2016 年《调查权力法》的监管。此类行为的授权令由国务大臣（即内政大臣）签发，需要事先获得司法专员的批准。此类行动的必要性和相称性必须得到证实。超过授权令期限的数据保留受到限制。该法还规定了议会监督。

为福利、补贴、许可证和证书等目的凌驾于同意之上是否适当

当国家为提供福利、服务、执照、许可证或证书而处理个人数据时，《法案》优先于个人的同意。它特别允许将为其中一种目的处理的数据用于另一种目的。它还允许将国家已掌握的个人数据用于上述任何目的。因此，它取消了目的限制，而目的限制是保护隐私的关键原则之一。目的限制是指数据应为特定目的而收集。

由于为各种目的收集的数据可以合并在一起，这可能会导致对公民进行特征分析。另一方面，如果需要征得同意，个人将对收集和分享其个人资料拥有自主权和控制权。

法案没有规范处理个人资料所造成的损害

法案没有规管处理个人资料所产生的伤害风险。4它还可能包括身份盗窃、名誉损失、歧视以及不合理的监视和定性。4委员会建议，应在数据保护法中对伤害进行规范。

2019年《个人数据保护法案》对伤害的定义包括2019年《个人数据保护法案》将伤害定义为包括：精神伤害、身份盗窃、经济损失、名誉损失、歧视性待遇，以及非数据委托人合理预期的观察或监视。2欧盟《一般数据保护条例》（GDPR）也对损害风险做出了规定，并规定在损害发生时对数据委托人做出赔偿。

沒有提供资料可转移的权利及被遗忘的权利

法案没有规定数据可携带权和被遗忘权。Srikrishna委员会（2018 年）指出，一套强有力的数据委托人权利是数据保护法的重要组成部分。4这些权利基于自主、透明和问责原则，赋予个人对其数据的控制权。

- 数据可携带权：数据可携带权允许数据委托人以结构化、常用和机器可读的格式从数据受托人处获取并转移其数据供自己使用。它使数据委托人对其数据有更大的控制权。它可以促进数据从一个数据受托人迁移到另一个数据受托人。4联合议会委员会认为，商业秘密不能成为剥夺数据可携性权利的理由，只能以技术可行性为由予以剥夺。

- 被遗忘权：4Srikrishna委员会（2018 年）认为，被遗忘权是一种试图将记忆的局限性灌输到原本无限的数字领域的想法。这项权利的行使可能会干涉他人的言论自由权和接受信息的权利。1 这项权利的适用性可以根据一些因素来决定，如要限制的个人数据的敏感性、个人数据与公众的相关性以及数据主体在公共生活中的作用。

跨境转移数据时的充分保护

法案规定，中央政府可通过通知限制将个人数据传输到某些国家。这意味着个人资料可以在没有任何明确限制的情况下转移到所有其他国家。问题是这一机制能否提供足够的保护。

2如果另一个国家没有健全的数据保护法律，存储在那里的数据可能更容易受到侵犯，或在未经授权的情况下被外国政府和私人实体共享。2019年法案要求，对于某些类别的数据，只有在某个国家提供足够保护水平的情况下，才允许向该国转移数据。2022 年法案草案采取了不同的方法，由中央政府通知可转移任何个人数据的国家。有选择地限制国家的机制则不需要这种详尽的评估。

较短的任期可能影响委员会的独立性

法案规定，印度数据保护委员会成员将作为独立机构运作。委员会成员的任期为两年，并有资格连任。短期任期和连任可能会影响委员会的独立运作。

委员会的主要职能是监督合规情况、开展调查和裁定处罚。就法庭而言，最高法院（2019 年）指出，短期任期和连任规定会增加行政部门的影响力和控制力。中央电力监管委员会和印度竞争委员会等具有裁决作用的监管机构根据各自的法案任期为五年。《规则》规定SEBI的任期为五年。

为儿童提供的附加条款

附加义务适用于处理儿童数据。我们将在下面讨论与这些条款有关的问题。

儿童的定义不同于其他司法管辖区

虽然处理儿童数据应受到更大保护是一项公认的原则，但不同司法管辖区对儿童同意处理个人数据的定义存在差异。根据该法案，儿童被定义为18岁以下的人。在美国和英国，13岁以上的人可以同意处理个人数据。欧盟《通用数据保护条例》将这一年龄设定为16岁，成员国可以将其降低至13岁。斯里克里希纳委员会（2018）建议，在确定儿童的同意年龄时，应考虑某些因素。其中包括：（i）最低年龄13岁，最高年龄18岁，以及（ii）确保实际实施的单一门槛。4它还指出，从儿童完全自主发展的角度来看，18岁可能过高。4然而，为了与现有法律框架一致，同意年龄应为18岁。4根据1872年《印度合同法》，签订合同的最低年龄是18岁。

获得可验证的父母同意可能需要在数字平台上验证每个人的年龄

该法案要求所有数据受托人在处理儿童的个人数据之前，必须获得法定监护人的可核实同意。为了遵守这一规定，每个数据受托人都必须核实每个注册其服务的人的年龄。需要确定此人是否为儿童，从而获得其法定监护人的同意。这可能有助于避免儿童做出虚假声明的情况。然而，这可能会降低数字领域的匿名性。

不清楚什么对儿童的福祉有害。

该法案规定，数据受托人不会进行任何对儿童福祉有不利影响的处理。该法案没有界定有害影响。它也没有为确定这种影响提供任何指导。

豁免同意通知可能不合适

该法案授权中央政府通知某些数据受托人或数据受托人类别，包括初创公司免除某些义务。这必须在适当考虑个人数据的数量和性质的情况下进行。可以豁免的义务之一是通知同意。寻求自由和知情同意的要求将继续适用于这些实体。然而，如果没有义务就收集的数据的性质和处理目的提供通知，则可能会有人认为数据主体将无法提供知情同意。

参考链接：

https://prsindia.org/billtrack/digital-personal-data-protection-bill-2023