編者按：本文是資深出海法律顧問 Jackie Wong （微信公眾號ID：Legal-Jackie）投稿內(nèi)容，創(chuàng)業(yè)邦經(jīng)授權(quán)發(fā)布。

這幾年，全球各國都在不斷加強(qiáng)數(shù)據(jù)保護(hù)方面的立法，剎那間，各國家與地區(qū)涌現(xiàn)出數(shù)據(jù)立法熱潮和國際性數(shù)據(jù)保護(hù)監(jiān)管熱潮。當(dāng)然，熱門出海地區(qū)的亞太國家之一的印度，也不例外。因從事相關(guān)出海業(yè)務(wù)法律工作，故筆者希望就印度最新出臺的《個人數(shù)據(jù)保護(hù)法案》進(jìn)行一些分享和解讀，并通過幾篇短文，能進(jìn)一步幫助大家更多地去了解關(guān)于這個法案的主要框架脈絡(luò)與部分關(guān)鍵條款。

了解一個法案的主要框架和關(guān)鍵條款固然重要，但如果可以更進(jìn)一步了解它是怎么來的，以及有哪些其他的基礎(chǔ)法案作為支撐背景的話，可能對于日常法務(wù)和律師提供顧問服務(wù)工作時候，去洞察當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)的執(zhí)法態(tài)勢和動向，把握具體的業(yè)務(wù)操作風(fēng)險點，會更有幫助。

新法案的“小前傳”

新法案前有哪些關(guān)于個人信息保護(hù)的規(guī)定

猶記得早年在支持印度地區(qū)出海業(yè)務(wù)的時候，當(dāng)時的印度尚未出臺任何具體的隱私法規(guī)。那么，在個人信息網(wǎng)絡(luò)保護(hù)方面，印度是通過哪些法律進(jìn)行個人信息方面的保護(hù)呢？

其實，早在 2000 年的時候，印度就頒布了《信息技術(shù)法案》，爾后在 2008 年，對該《信息技術(shù)法案》進(jìn)行了修訂，并頒布了《信息技術(shù)法案（修正案）》，并于 2009 年 10 月實施。隨后，又在 2011 年頒布了《2011 信息技術(shù)法規(guī)》。這些法規(guī)的出臺，不但對防范利用信息技術(shù)犯罪、利用網(wǎng)絡(luò)傳播色情等內(nèi)容進(jìn)行了規(guī)定，也對關(guān)于數(shù)據(jù)與個人隱私的信息技術(shù)監(jiān)管進(jìn)行了相關(guān)的規(guī)定，例如對未能保護(hù)好數(shù)據(jù)的行為規(guī)定了對應(yīng)的賠償措施（但該條在最新出臺的修正案出被修改了），對關(guān)于侵犯隱私權(quán)的行為將會受到哪些懲罰進(jìn)行了規(guī)定等。

根據(jù)當(dāng)時的印度法律規(guī)定，個人信息主要是指，與自然人相關(guān)，且能夠與其他法人團(tuán)體提提供或可能提供的信息結(jié)合，直接或間接地識別個人身份的信息。并且根據(jù)《2011 信息技術(shù)法規(guī)》的規(guī)定，敏感的個人信息是指，相關(guān)方需要遵循額外規(guī)定和履行額外義務(wù)的信息，此類信息包括密碼、銀行和金融信息，身體和心理狀況、生物特征的信息等等。

同時，對于特定的行業(yè)，例如，電信行業(yè)、醫(yī)療行業(yè)，金融、信貸業(yè)等，印度政府也出臺了一些特定的行業(yè)規(guī)定以便對相關(guān)的數(shù)據(jù)控制主體進(jìn)行一定的約束，并增加了相應(yīng)的法律義務(wù)。比如說，獲取相關(guān)的醫(yī)療信息，電信信息等要求需要通過設(shè)置密碼并需要輸入密碼后進(jìn)行獲取，以保障重要數(shù)據(jù)的獲取時候需要有一定安全保障措施，以防止不恰當(dāng)?shù)男孤?。又比如說，像銀行之類的信貸機(jī)構(gòu)等單位，需要制定相關(guān)的信用信息規(guī)章制度，并進(jìn)行遵守，以保證從制度上做好數(shù)據(jù)合規(guī)工作。

另外，印度的通信與信息技術(shù)部在 2013 年 7 月發(fā)布了《印度國家網(wǎng)絡(luò)安全政策》，里面也有關(guān)于保護(hù)信息安全的相關(guān)規(guī)定，例如，規(guī)定了在處理、存儲、傳輸信息過程中，應(yīng)保護(hù)信息安全，以捍衛(wèi)包括未成年人在內(nèi)的網(wǎng)絡(luò)用戶的隱私權(quán)，減少由于網(wǎng)絡(luò)犯罪或數(shù)據(jù)竊取所造成的損失。同時，該通信與信息技術(shù)部也設(shè)置了開放窗口，百姓可以就互聯(lián)網(wǎng)數(shù)據(jù)保護(hù)和個人隱私保護(hù)的相關(guān)問題進(jìn)行反饋，并對政府出臺的網(wǎng)絡(luò)法規(guī)提出各種意見。

新法案出臺過程簡述

隨著歐盟《通用數(shù)據(jù)保護(hù)條例》（簡稱 GDPR）的出臺，各國也開始緊跟歐盟的節(jié)奏，不斷加快制定數(shù)據(jù)保護(hù)法的步伐，以期希望進(jìn)一步完善本國數(shù)據(jù)保護(hù)制度，強(qiáng)化數(shù)據(jù)保護(hù)。于是，印度高級別專門委員會在 2018 年 7 月 27 日正式發(fā)布了《2018 年個人數(shù)據(jù)保護(hù)法案（草案）》。

后來經(jīng)過一年多的籌備和醞釀，印度電子和信息技術(shù)部長 Ravi Shankar Prasad，于 2019 年 12 月 11 日，在印度的下議院（India’s lower house of Parliament）洛克·薩卜哈（Lok Sabha）推出了最新的《2019 個人數(shù)據(jù)保護(hù)法案》（“法案”）草案。該法案已提交給由上下議院議員組成的聯(lián)合選舉委員會（Joint Select Committee）。經(jīng)與當(dāng)?shù)芈蓭煖贤?，了解到，目前該法案還處于“Bill”的階段，聯(lián)合特設(shè)委員會會在印度議會 2020 年預(yù)算會議（Budget Session of Parliament）向洛克·薩卜哈（Lok Sabha）匯報，按照慣例，這個會議通常會在 2 月到 3 月期間舉行。屆時，印度政府可能會在預(yù)算會議中將法案提交議會進(jìn)行討論。

這意味著，從“Bill”到“Act”的期間，出海到印度的企業(yè)以及落入該法案管轄范圍內(nèi)的企業(yè)，相對而言仍然還有一些時間對內(nèi)部的數(shù)據(jù)流程、數(shù)據(jù)跨境傳輸?shù)牟季峙c部署、數(shù)據(jù)保護(hù)制度等是否合乎當(dāng)?shù)氐囊螅M(jìn)行自我修正和改善，但其實這樣的時間也非常緊張，出海企業(yè)需要盡早進(jìn)行相關(guān)的當(dāng)?shù)財?shù)據(jù)合規(guī)工作部署。

基礎(chǔ)注意內(nèi)容扼要概述

在進(jìn)一步解讀新法案以及需要關(guān)注哪些新增法條和注意事項之前，基于印度已有關(guān)于個人數(shù)據(jù)保護(hù)方面的相關(guān)法律法規(guī)，在日常業(yè)務(wù)運營過程中，一些基本的個人數(shù)據(jù)保護(hù)合規(guī)工作仍然需要繼續(xù)做到位，比如：

1. 互聯(lián)網(wǎng)企業(yè)需要清晰明確地發(fā)布隱私政策，并在里面明確說明收集信息的類型、收集信息的目的、信息披露的對象、是否采取了相關(guān)的信息安全保障措施等等；

2. 需要在獲得被收集者的合法同意之前，才能開始收集個人信息，并且在收集前，企業(yè)需要向被收集者發(fā)出對應(yīng)的通知；

3. 企業(yè)在收集了信息后只能在設(shè)定的收集目的和范圍內(nèi)進(jìn)行使用，不得超出該授權(quán)范圍和授權(quán)目的等等，如果信息的使用規(guī)定了對應(yīng)的使用期限，則不能超出該使用期限對信息進(jìn)行保留；

4. 用戶有權(quán)去查閱自己所持有的信息，企業(yè)需要提供對應(yīng)的查詢渠道，并且當(dāng)用戶認(rèn)為信息有誤的情況下，用戶有權(quán)要求作出修改等等。

新法案的核心結(jié)構(gòu)與部分關(guān)鍵內(nèi)容概述

印度新出臺的《2019 個人數(shù)據(jù)保護(hù)法案》，在印度的立法歷程中，屬于首部全面系統(tǒng)地規(guī)定個人數(shù)據(jù)保護(hù)層面的法規(guī)。我們可以先從宏觀角度看一下新法案的主要框架，繼而再看法案的一些關(guān)鍵條款與新變化。

1 學(xué)習(xí) GDPR 的好樣式

和其他多國新出臺的數(shù)據(jù)保護(hù)立法相似，印度這部《2019個人數(shù)據(jù)保護(hù)法案》也深受歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）的影響，不僅從大面的立法保護(hù)模式上與 GDPR 相近，在一些關(guān)鍵條款，例如管轄權(quán)，處理個人數(shù)據(jù)的合法依據(jù)，數(shù)據(jù)保護(hù)基本原則、數(shù)據(jù)主體權(quán)利以及行政處罰等規(guī)定方面，都和歐盟 GDPR 有很多相似的地方。

印度《2019 個人數(shù)據(jù)保護(hù)法案》的第二條主要規(guī)定了法案的主要適用情形，從本條可以看出，印度的數(shù)據(jù)保護(hù)立法和歐盟 GDPR 相類似，也采取了統(tǒng)一的立法模式。這和美國在個人數(shù)據(jù)保護(hù)方面采取分散的立法模式，并且暫不設(shè)立統(tǒng)一的個人信息保護(hù)機(jī)構(gòu)的做法，是很不一樣的。

首先，所謂統(tǒng)一的立法模式，即該法案統(tǒng)一適用于所有機(jī)構(gòu)。不論是印度的邦、印度的公司，還是印度的公民或根據(jù)印度法律成立或創(chuàng)建的印度團(tuán)體或個人等等，都統(tǒng)一適用該法案，并不會對是印度公共部門或印度私人機(jī)構(gòu)進(jìn)行區(qū)分而設(shè)立不同的規(guī)定。

其次，該統(tǒng)一模式也體現(xiàn)在新法案沒有對具體領(lǐng)域進(jìn)行細(xì)分，而是確定了各個領(lǐng)域都將統(tǒng)一適用本數(shù)據(jù)保護(hù)法所確立的統(tǒng)一規(guī)則和框架。這一點和歐盟的 GDPR 非常接近。其核心的框架結(jié)構(gòu)主要圍繞（1）確認(rèn)信息的處理是以合法、合理為基礎(chǔ)，（2）明確數(shù)據(jù)主體的主要權(quán)利，（3）為數(shù)據(jù)主體提供的救濟(jì)措施，（4）確保信息的透明度原則以及問責(zé)措施，（5）明確數(shù)據(jù)控制者的主要責(zé)任，以及（6）明確數(shù)據(jù)跨境傳輸?shù)南拗频攘蠓矫孢M(jìn)行設(shè)計。

再次，和歐盟 GDPR 相似，印度的數(shù)據(jù)保護(hù)法案，也賦予了數(shù)據(jù)主體統(tǒng)一的數(shù)據(jù)權(quán)利和數(shù)據(jù)處理方式與限制。通過統(tǒng)一的數(shù)據(jù)立法，明確了個人信息、個人敏感信息、數(shù)據(jù)主體、數(shù)據(jù)控制者等核心概念，統(tǒng)一賦予了數(shù)據(jù)主體訪問權(quán)、糾正權(quán)、刪除權(quán)、數(shù)據(jù)可移植權(quán)，被遺忘權(quán)等權(quán)利。

2 新法案的主要框架

如前所述，印度的數(shù)據(jù)保護(hù)法案受 GDPR 的影響，大體框架和邏輯結(jié)構(gòu)與歐盟數(shù)據(jù)保護(hù)條例近似，但也結(jié)合了本國的一些特殊情況，就例如數(shù)據(jù)跨境傳輸、數(shù)據(jù)權(quán)屬、引入新特殊概念，創(chuàng)新沙盒機(jī)制等進(jìn)行了具體的規(guī)定。筆者基于印度 2019 新法案的主要框架結(jié)構(gòu)與脈絡(luò)進(jìn)行大體梳理，方便對該法案從整體上有所了解。

主要框架、脈絡(luò)與邏輯

3 新法案部分關(guān)鍵內(nèi)容概述

引入數(shù)據(jù)受托人新概念

新法案引入了數(shù)據(jù)受托人（Data Fiduciaries）的新概念，根據(jù)新法案對數(shù)據(jù)受托人的定義，是指，單獨或者與他人一起決定處理個人數(shù)據(jù)的目的和方式的任何人，包括邦、公司、法律實體或個人。可見，這與 GDPR 中關(guān)于“數(shù)據(jù)控制者”所定義的實質(zhì)意思是相類似的，可以將“數(shù)據(jù)受托人”理解為“數(shù)據(jù)控制者”。不同的是，印度的數(shù)據(jù)法案賦予了“信托”的意思在其中，控制數(shù)據(jù)的主體，除了控制數(shù)據(jù)之外，還應(yīng)該需要像信托人一樣，謹(jǐn)慎地本著“公平且負(fù)責(zé)任”的態(tài)度對待數(shù)據(jù)主體的數(shù)據(jù)。

值得注意的是，根據(jù)新法案第六章第 26 條的規(guī)定，印度的數(shù)據(jù)保護(hù)局（DPA）有權(quán)決定是否將一個實體定義為“重要數(shù)據(jù)委托人（significant data fiduciary）”，一旦被定義為“重要數(shù)據(jù)委托人”，則意味著需要承擔(dān)更多的數(shù)據(jù)責(zé)任，例如，當(dāng)“重要數(shù)據(jù)受托人”將使用新數(shù)據(jù)處理技術(shù)，或者進(jìn)行大規(guī)模的數(shù)據(jù)畫像，又或者使用敏感個人數(shù)據(jù)（如遺傳數(shù)據(jù)或者生物識別數(shù)據(jù)），或?qū)嵤┤魏纹渌赡軐?shù)據(jù)主體造成重大損害的處理行為時，則需要按照法案的規(guī)定進(jìn)行數(shù)據(jù)保護(hù)影響評估（DPIA），沒有進(jìn)行 DPIA 的話，則不能處理該等數(shù)據(jù)。又如，還需要任命“數(shù)據(jù)保護(hù)官（DPO）”對 DPIA 進(jìn)行評估，并按規(guī)定的方式報送到 DPA。

關(guān)于域外管轄權(quán)

新法案參考了 GDPR 的相關(guān)規(guī)定，在管轄權(quán)方面也進(jìn)行了一定的擴(kuò)大。新法案不僅適用于在印度境內(nèi)收集、披露、分享或以其他方式進(jìn)行處理的數(shù)據(jù)，還適用于不在印度境內(nèi)的數(shù)據(jù)受托人或者數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)處理的行為，只要此類行為是

（1）與在印度經(jīng)營的業(yè)務(wù)是相關(guān)的，或者與向印度境內(nèi)的數(shù)據(jù)主體提供商品或者服務(wù)的活動有關(guān)；或者

（2）與對印度境內(nèi)數(shù)據(jù)主體的畫像活動有關(guān)。

關(guān)于本地化存儲要求

在原來的 2018 印度個人數(shù)據(jù)保護(hù)法案中，原本是要求了數(shù)據(jù)受托人“應(yīng)確保在印度的服務(wù)器或數(shù)據(jù)中心上至少存儲一份本法適用的個人數(shù)據(jù)服務(wù)副本”，并確定了，如果政府指定了個人數(shù)據(jù)屬于“關(guān)鍵的”個人數(shù)據(jù)時，“只能在印度的服務(wù)器或數(shù)據(jù)中心中進(jìn)行處理。”

而在 2019 新法案中，則刪除了要求將所有個人數(shù)據(jù)的“副本”保留在印度的服務(wù)器上，然后才轉(zhuǎn)移到印度境外（除非中央政府特別豁免）的規(guī)定。也就是說，根據(jù)新法案，對不被視為“敏感”或“關(guān)鍵”的一般的個人數(shù)據(jù)，不存在本地化或數(shù)據(jù)傳輸限制。

關(guān)于數(shù)據(jù)跨境傳輸?shù)南拗埔?guī)定

新法案在印度的立法上，應(yīng)該屬于首次實現(xiàn)數(shù)據(jù)跨境傳輸?shù)南拗埔?guī)定，這和莫迪政府一直推崇 Digital India 的政策有關(guān)，以防止重要的個人數(shù)據(jù)在未經(jīng)授權(quán)的情況下轉(zhuǎn)移到其他國家去。新法案中概述了幾種進(jìn)行跨境數(shù)據(jù)傳輸?shù)姆绞剑ㄍㄟ^（1）標(biāo)準(zhǔn)示范合同（需要獲得 DPA 的批準(zhǔn)）；（2）集團(tuán)內(nèi)部計劃（跨跨境但在公司集團(tuán)內(nèi)部，且需要獲得 DPA 批準(zhǔn)）；以及（3）由中央政府確定數(shù)據(jù)將受到“充分保護(hù)”，將個人數(shù)據(jù)傳輸?shù)街付▏一蛘吣硞€國家的指定部門或者指定的國際組織，并獲得同意的情況。

同時，新法案也明確規(guī)定兩個非常重要跨境傳輸?shù)南拗埔?，第一個是，個人敏感數(shù)據(jù)可以向印度境外傳輸，但該等個人敏感數(shù)據(jù)應(yīng)當(dāng)繼續(xù)存儲在印度境內(nèi)。第二個是，關(guān)鍵的個人數(shù)據(jù)只能在印度處理。

關(guān)于個人數(shù)據(jù)的定義

新法案對不同的個人數(shù)據(jù)進(jìn)行了三個層次的分類，并針對不同的數(shù)據(jù)對應(yīng)的特殊要求，概括性歸納如下：

關(guān)于處理個人數(shù)據(jù)的合法依據(jù)

關(guān)于該部分的規(guī)定比較繁雜，概括而言，新法案主要規(guī)定了包括六大方面的處理個人數(shù)據(jù)的依據(jù)：（1）基于同意的基礎(chǔ)，（2）國家職能，（3）法院命令，（4）迅速采取行動，（5）基于雇傭的目的，以及（6）基于各種合理目的。值得注意的是，與 GDPR 不同的是，負(fù)責(zé)起草法案的委員會并沒有把“履行合同義務(wù)”作為合法處理的基礎(chǔ)，這可能意味著在實際業(yè)務(wù)過程中，讓很多基于合同的業(yè)務(wù)關(guān)系的個人數(shù)據(jù)的處理變得比較困難。

關(guān)于懲罰措施

如果違反個人數(shù)據(jù)保護(hù)的相應(yīng)規(guī)定，違反者則需要承擔(dān)相對應(yīng)的處罰措施。關(guān)于處罰，新法案主要就民事處罰和刑事處罰進(jìn)行了規(guī)定。

在民事處罰方面，主要確立了兩類處罰：

第一類（可歸納為失職進(jìn)行數(shù)據(jù)審核的行為）：

最高可處以五千萬盧比（約合 70 萬美元）的罰款或數(shù)據(jù)受托人上一財政年度總收入的 2％（以較高者為準(zhǔn)）。

第二類（可歸納為違反法案要求處理和轉(zhuǎn)移個人數(shù)據(jù)的行為）：

允許罰款不超過 1.5 億盧比（約合 220 萬美元），或者是上一財政年度數(shù)據(jù)受托人總收入的 4％，以較高者為準(zhǔn)。

另外，新法案中還規(guī)定了一系列的違規(guī)行為，這些違規(guī)行為都可能會導(dǎo)致相關(guān)的數(shù)據(jù)受托人承擔(dān)每日的罰金，但罰金也會有對應(yīng)的上限要求。

在刑事處罰方面，需要注意的一項違法行為是，在沒有經(jīng)過數(shù)據(jù)受托人或數(shù)據(jù)處理者的同意下，將去標(biāo)識化的個人數(shù)據(jù)進(jìn)行重新識別的行為，將會被處以最高 3 年的監(jiān)禁，或不超過 20 萬盧比的罰款，或兩者并罰。

新舊法案對比知多D——主要新增變化概述

一、 放寬了數(shù)據(jù)本地化和數(shù)據(jù)傳輸?shù)南拗?/p>

如在《漫談《印度2019個人數(shù)據(jù)保護(hù)法案》之二：新法案的核心結(jié)構(gòu)與部分關(guān)鍵內(nèi)容概述》中的分析，在2018印度個人數(shù)據(jù)保護(hù)法案中，要求了數(shù)據(jù)受托人“應(yīng)確保在印度的服務(wù)器或數(shù)據(jù)中心上至少存儲一份本法適用的個人數(shù)據(jù)服務(wù)副本”，除非政府行使職權(quán)將“某些類別的個人數(shù)據(jù)”指定為免于本地存儲需求。根據(jù)2018法案的要求，個人數(shù)據(jù)只可以法案規(guī)定下的情況下才能向印度境外傳輸，包括例如經(jīng)過DPA批準(zhǔn)的示范條款和集團(tuán)內(nèi)部數(shù)據(jù)傳輸安排，或經(jīng)過數(shù)據(jù)主體的同意的情況，又或者是在政府發(fā)現(xiàn)接收國提供“適當(dāng)”保護(hù)的情況下進(jìn)行。而一般被由政府定義為重要的個人數(shù)據(jù)基本上是很難轉(zhuǎn)移到印度境外的。

而在2019新法案中，則刪除了要求將所有個人數(shù)據(jù)的“副本”保留在印度的服務(wù)器上，然后才轉(zhuǎn)移到印度境外（除非中央政府特別豁免）的規(guī)定。

需要注意的是，新法案仍然保留了對于“敏感個人數(shù)據(jù)”與“關(guān)鍵個人數(shù)據(jù)”的限制。從整體來說，也在比較大的程度上減少了本地化和數(shù)據(jù)傳輸限制的范圍。即：

• 對于敏感的個人數(shù)據(jù)：可轉(zhuǎn)移到印度境外（大多數(shù)情況下必須獲得數(shù)據(jù)主體的明確同意），但此類敏感的個人數(shù)據(jù)應(yīng)繼續(xù)存儲在印度。

值得注意的是，在敏感個人數(shù)據(jù)的定義中，密碼已從新法案的定義中進(jìn)行了刪除。

• 對于關(guān)鍵的個人數(shù)據(jù)：只能在印度境內(nèi)進(jìn)行處理，并為該等數(shù)據(jù)的境外轉(zhuǎn)移的嚴(yán)格本地化要求提供了例外條件：

（1）在必要情況下，向從事提供公共醫(yī)療衛(wèi)生服務(wù)或緊急服務(wù)的個人或?qū)嶓w傳輸；

（2）中央政府可根據(jù)草案的規(guī)定，允許向某一國家或某一國家的任何實體或某一國際組織傳輸，并且中央政府認(rèn)為這種傳輸并不損害國家的安全和戰(zhàn)略利益。

同時，法案允許政府對何為“關(guān)鍵個人數(shù)據(jù)”進(jìn)行定義，且對政府進(jìn)行此類指定的權(quán)力沒有任何限制，即政府具有比較大的自由裁量權(quán)。

二、對數(shù)據(jù)主體的權(quán)利進(jìn)行了擴(kuò)展：增加刪除權(quán)

2018法案中規(guī)定了類似歐盟GDPR中的多種數(shù)據(jù)主體權(quán)利，包括確認(rèn)和訪問權(quán)（Right to confirmation and access），被遺忘權(quán)（Right to be forgotten），數(shù)據(jù)可移植權(quán)（Right to data portability），糾正權(quán)（Right to correction）等等。但是其中的“被遺忘權(quán)”的權(quán)利主要是指：數(shù)據(jù)受托人僅被要求``限制或防止”個人信息持續(xù)披露''數(shù)據(jù)”，但卻沒有賦予數(shù)據(jù)主體可以刪除該等數(shù)據(jù)的權(quán)利。

而在2019新法案中，在糾正權(quán)中加入一項刪除權(quán)，即當(dāng)“不再需要出于處理目的而使用個人數(shù)據(jù)的時候，數(shù)據(jù)主體可以要求對該等數(shù)據(jù)進(jìn)行刪除?！?。

三、調(diào)整了問責(zé)機(jī)制責(zé)任范圍：重要數(shù)據(jù)受托人

2018法案采用了類似歐盟GDPR的責(zé)任機(jī)制，即當(dāng)數(shù)據(jù)控制者滿足一定條件或情況時，需附加對應(yīng)的責(zé)任和義務(wù)，包括例如進(jìn)行DPIA（數(shù)據(jù)保護(hù)影響評估），任命DPO（數(shù)據(jù)保護(hù)官），進(jìn)行數(shù)據(jù)年度審核等等。

而2019新法案則會通過規(guī)定該等情況下僅適用于“重要數(shù)據(jù)受托人”來調(diào)整受此類要求約束的范圍。例如，“重要數(shù)據(jù)受托人”將使用新數(shù)據(jù)處理技術(shù)，或者進(jìn)行大規(guī)模的數(shù)據(jù)畫像，又或者使用敏感個人數(shù)據(jù)時，需要進(jìn)行DPIA，沒有進(jìn)行DPIA的話，則不能處理該等數(shù)據(jù)；又如，“重要數(shù)據(jù)受托人”需要按規(guī)定保存新法案規(guī)定的不同情形下的數(shù)據(jù)，并確保其準(zhǔn)確與更新性。

四、“社交媒體中介”的新規(guī)定：身份驗證

2019新法案的序言中國增加了一個新目標(biāo)，即“為社交媒體中介（social media intermediary）制定具體規(guī)則”。

首先，新法案要求社交媒體中介機(jī)構(gòu)以政府規(guī)定的方式進(jìn)行身份驗證。即“使在印度注冊其服務(wù)或在印度使用其服務(wù)的用戶自愿驗證其賬戶”。經(jīng)過驗證的賬戶，需要向他們提供“可證明的，可見的驗證標(biāo)記”。

其次，新法案引入了“社交媒體中介”的定義內(nèi)容，允許政府與DPA協(xié)商，將社交媒體中介指定為“重要數(shù)據(jù)受托人”。即，明確了任何用戶超過中央政府通知的閾值，并且其行為已經(jīng)可能對印度的選舉民主、國家安全、公共秩序或印度的主權(quán)和完整產(chǎn)生重大影響的“社交媒體中介”，應(yīng)當(dāng)被中央政府經(jīng)與數(shù)據(jù)保護(hù)局協(xié)商后通知為“重要數(shù)據(jù)受托人”。如前文所述以及，如果被認(rèn)定為“重要數(shù)據(jù)受托人”，將帶來更多的合規(guī)責(zé)任。

五、調(diào)整了合理處理數(shù)據(jù)的法律依據(jù)

關(guān)于處理個人數(shù)據(jù)的合法依據(jù)，在2018法案中，與GDPR不同的一點是，沒有把“基于合同必要性”作為合法處理的基礎(chǔ)，雖然在2019新法案中，仍然沒有把“履行合同義務(wù)”作為處理依據(jù)寫進(jìn)去，但是對“合理目的”的法律依據(jù)進(jìn)行了調(diào)整，這對可能在某些需要履行合同的情況下而處理數(shù)據(jù)的行為是一個非常有利的信息。

根據(jù)2018年法案的規(guī)定，允許數(shù)據(jù)受托人出于合理目的（例如檢舉揭發(fā)、網(wǎng)絡(luò)與信息安全等）可以在未經(jīng)用戶同意的情況下處理個人數(shù)據(jù)，但同時需要考慮到各個利益相關(guān)方的之間的平衡以及數(shù)據(jù)主體和環(huán)境的合理期望等因素處理（例如公共利益）。同時也規(guī)定了該合理目的除了已經(jīng)在法案中列舉出來的，還“可以由法規(guī)進(jìn)行規(guī)定”，新法案還將合理目的的擴(kuò)展到包括“搜索引擎的運營”。

但是，在就業(yè)方面，該法案的處理理由要比2018年法案所規(guī)定的要窄，新法案不再允許數(shù)據(jù)受托人基于就業(yè)目的處理敏感的個人數(shù)據(jù)。

六、政府有權(quán)指示數(shù)據(jù)受托人提供匿名數(shù)據(jù)

新法案就“匿名數(shù)據(jù)”進(jìn)行了定義：與個人數(shù)據(jù)相關(guān)的“匿名化”，系指將個人數(shù)據(jù)轉(zhuǎn)換或者轉(zhuǎn)化為數(shù)據(jù)主體無法被識別的形式的不可逆過程且符合保護(hù)局規(guī)定的不可逆標(biāo)準(zhǔn)?！澳涿麛?shù)據(jù)”系指經(jīng)過匿名化處理的數(shù)據(jù)。

新法案將授予政府“指示任何數(shù)據(jù)受托人或數(shù)據(jù)處理者提供匿名的任何個人數(shù)據(jù)或其他非個人數(shù)據(jù)的權(quán)力，以使中央可以更好地確定服務(wù)的提供或制定基于充分證明的政策。

七、對刑事處罰進(jìn)行了一定程度的放寬

在2018法案中，規(guī)定了較多犯罪行為，而在2019新法案中，將對部分的犯罪行為的刑事責(zé)任進(jìn)行減免或刪除。

例如，在2018法案中，規(guī)定了“違反法案規(guī)定，為了獲取，轉(zhuǎn)讓或出售個人數(shù)據(jù)，以及敏感個人數(shù)據(jù)的行為，或重新識別未識別數(shù)據(jù)的行為，而對數(shù)據(jù)主體造成損害的，將被處以監(jiān)禁。而在新法案中，則刪除了“違反法案規(guī)定獲取、轉(zhuǎn)讓或者出售個人數(shù)據(jù)、敏感個人數(shù)據(jù)而對數(shù)據(jù)主體造成損害被處以監(jiān)禁”的規(guī)定，保留了 “除非在未經(jīng)數(shù)據(jù)主體或數(shù)據(jù)當(dāng)事人同意的情況下，某人“明知或有意重新識別了由數(shù)據(jù)信托人或數(shù)據(jù)處理者取消識別的個人數(shù)據(jù)，將被處理最高三年以下的監(jiān)禁”。如果公司犯了該罪行，則該法案將允許對“負(fù)責(zé)該公司的業(yè)務(wù)并對該公司負(fù)責(zé)的任何人”處以罰款。

八、鼓勵創(chuàng)新的監(jiān)管沙盒機(jī)制

新法案借鑒其他國家的監(jiān)管創(chuàng)新機(jī)制，要求DPA“為鼓勵人工智能、機(jī)器學(xué)習(xí)或其他公共利益下的新興技術(shù)的創(chuàng)新”建立沙盒機(jī)制。并明確了任何數(shù)據(jù)受托人的隱私設(shè)計政策如果符合DPA的認(rèn)證，該數(shù)據(jù)委托人可以加入沙盒。

新舊法案的區(qū)別和新增變化不只上述內(nèi)容，筆者僅就其主要新增變化內(nèi)容進(jìn)行概述和對比。