印度《数字个人数据保护法案 2023》(Digital Personal Data Protection Bill 2023)已于 2023 年 8 月 7 日经下议院(Lok Sabha)通过、8 月 9 日经上议院(Rajya Sabha)批准,等待总统签署后即成为法律;对违规行为设定最高 25 亿卢比(约合 3100 万美元)的罚款。法案确立同意、目的限制、数据最小化等七项处理原则,并区分数据受托人(Data Fiduciary)与数据处理者,概念上与 GDPR 的控制者、处理者对应。
TL;DR
2023 年 8 月 7 日,印度下议院通过法案;8 月 9 日上议院批准;随后提交总统签署。8 月 9 日,印度电子与信息技术部(MeitY)发布了法案的显著特点。法案旨在以最小干扰引入数据保护制度,既承认个人保护其个人数据的权利,也承认为合法目的处理数据的需要。对不遵守法案的行为,最高可处 25 亿卢比罚款。
法案确立了个人数据处理的七项基本原则:
法案还标榜其符合 SARAL 原则(简单、易懂、合理、可执行):使用通俗语言、以插图呈现法律概念、避免复杂附带条件、减少交叉引用。
数据受托人须采取安全保障措施、在发生泄露时向数据主体与数据保护委员会通报、在数据不再需要或数据主体撤回同意时删除数据,并建立申诉与纠正机制、指定官员回应查询。被政府通知为**重要数据受托人(Significant Data Fiduciary)**的,还须额外履行三项义务:任命一名常驻印度的数据保护官、任命独立数据审计员、开展数据保护影响评估(DPIA)与定期审计。
法案界定了几类主体:数据受托人(决定处理目的与方式,对应 GDPR 的控制者)、数据处理者(代表受托人处理数据)、同意管理者(Consent Manager,通过可互操作平台代数据主体管理同意)、以及重要数据受托人。这些定义与 GDPR 合理利益等合法性基础的框架 一脉相承,出海企业可对照理解。
法案赋予个人四项权利:知晓其数据处理情况、更正与删除、申诉救济,以及在死亡或丧失行为能力时提名他人代为行使权利。数据主体可先联系数据受托人,不满意再向数据保护委员会投诉。
在儿童数据方面,数据受托人仅在获得父母同意的情况下方可处理儿童(未满 18 周岁)个人数据,并严格禁止有损儿童福祉的处理、以及对儿童的跟踪、行为监控或定向广告。这一取向与美国 COPPA 对 13 岁以下儿童数据的严格限制 方向一致,只是年龄门槛更高。
法案为若干情形设定豁免,包括:为安全、主权、公共秩序等利益的指定机构处理;研究、存档或统计目的;执行法律权利与主张;履行司法或监管职能;犯罪的预防、侦查与起诉;根据外国合同在印度处理非居民数据;经批准的合并分立等。
印度数据保护委员会(Data Protection Board of India)作为独立机构运作,职能包括指示补救或减轻泄露、调查泄露与投诉并处以罚款、将投诉提交替代性争议解决、建议政府封锁屡次违规者的网站或应用。
相比早前草案,法案不再对敏感个人数据单独规定,也删除了跨境转移须政府事先批准的条款,改为由政府通过通知限制向特定国家或地区转移数据。对进入印度市场的企业而言,需要把七项原则落到产品与流程:以同意为基础、按目的收集、到期删除,并为儿童数据与重要数据受托人义务预留合规能力。数据跨境路径的安排可参考 数据跨境企业的隐私合规文档实践,把法律义务翻译成可执行的内部规则。