全文|印度新版《数字个人数据保护法》：取消数据本地化及刑罚，高达200亿卢比罚款取而代之
2022/11/19 18:55:15 数据法盟

     联系微信：heguilvshi 领取优惠券，加入DPOHUB会员!

     整理人：何渊，DPOHUB主理人未经授权，请勿转载!

     近日，印度电子和信息技术部正式发布了新版《数字个人数据保护法(2022)》(Digital Personal Data Protection Bill 2022)，该法案取消了之前的旧版《个人数据保护法案(2019)》中的数据本地化要求，将允许数据的跨境转移和在批准的可信任国家和地区存储。该法案还取消了对数据泄露事件的刑事处罚，取而代之的是：对未能采取 "合理的安全保障措施 "来防止个人数据泄露的实体将被罚款高达250亿卢比，需要重点考量每次数据泄露受影响用户的总人数。

     旧版印度个人数据保护法中关于刑事处罚、非个人数据(non-personal data)和社交媒体监管条款以及关于数据本地化条款是最具争议的。当时遭到了大型科技公司和印度初创企业的强烈反对。

     印度政府将建议在数据保护法案的新草案中允许数据跨境转移和存储在 "受信任的地理区域"，取消早期版本中提出的数据本地化要求。政府将持续定义哪些地区是 "受信任的"。

     在新的草案中，对涉及数据泄露的公司雇员的刑事处罚也将被取消，取而代之的是对每起数据违规事件处以高达200亿卢比的经济罚款，重点考量受影响的用户数量。印度将成立一个数据保护委员会，以 "裁定任何数据泄露的后果 "并决定处罚。

     旧版的个人数据保护(PDP)法案在提出五年后于今年8月被撤回，新法将被重新命名为数字个人数据保护法案。修订后的草案还将放弃监管非个人数据和社交媒体的条款。

     这是一个与PDP法案不同的法案。它涉及数字个人数据，它是一个更简单的法案，因此它不会成为数据保护的最后方案。它将随着技术变化而继续发展。

     今年8月，印度政府撤回了旧版的法案，该法案有81条修订建议，另有12条其他调整建议。因此，印度政府将带来一个全新修订的草案，以及一个全面的数字法律框架。

     修订后的法案涉及与受托人的义务和数据委托人的权利有关的规定。将会有一个数据保护委员会，对任何数据泄露的后果进行裁决。它将裁决任何关于滥用或违反数据的纠纷。

     关于数据本地化，数据传输和存储将在受信任的地区进行。这意味着，印度政府将不时说明哪些地区可以信任或不信任，以及这些地区与印度政府的 "对等性原则"。

     修订后的草案，将不会对数据进行分级，如敏感数据、重要数据或个人数据。先前的分级定义似乎毫无意义。个人数据就是个人数据，无论是否敏感，违规就是违规。但对考量数据泄露事件的严重程度以及罚款金额依然具有重要意义。

     七项原则

     第一条原则是："组织对个人数据的使用必须以合法的方式进行，对有关个人公平，对个人透明"。

     第二条原则指出，个人数据必须只用于收集数据的目的。

     这第三条原则是数据的最小化，而第四条原则强调了在收集数据时的准确性。

     第五项原则，所收集的个人数据不能 "默认永久存储"，存储应限制在一个固定的时间内。

     第六项原则指出，应该有合理的保障措施，以确保 "没有未经授权收集或处理个人数据"。

     第七项原则"是决定处理个人数据的目的和方式的人应该对这种处理负责"。

     数据委托人(Data Principal，个保法意义上的个人)和数据受托人(Data Fiduciary，个保法意义上的处理者)

     该法案使用 "数据委托人 "一词来表示其数据被收集的个人。

     "数据受托人 "指实体(可以是个人、公司、企业、国家等)，决定 "处理个人数据的目的和方式"。

     该法还承认，对于儿童--定义为所有18岁以下的用户--他们的父母或合法监护人将被视为他们的 "数据委托人"。

     根据法律规定，个人数据是 "可以识别个人身份的任何数据"。处理是指 "可以对个人数据进行的整个操作周期"。因此，根据该法案，从数据的收集到存储都属于数据处理的范畴。

     该法案还确保个人应该能够以印度宪法第八附表中规定的语言 "获取基本信息"。该法案还明确规定，个人需要在其数据被处理之前给予同意，并且 "每个人都应该知道数据受托人想要收集哪些个人数据，以及这种收集和进一步处理的目的"。

     此外，数据收集的通知需要用清晰和容易理解的语言。个人也有权利从数据受托人那里撤回同意。

     重要数据受托人

     该法案还提到了 "重要数据受托人，他们处理大量的个人数据。印度政府将根据一些因素，从处理的个人数据量到对印度主权和完整性的潜在影响的伤害风险，来确定谁被指定为这一类别。

     根据该法案的解释性说明，"这一类别需要履行某些额外的义务，以便能够对其做法进行更严格的审查。

     这类实体将必须任命一名 "数据保护官员"，他们将是救济和申诉的联络人。他们还必须任命一名独立的数据审计师，评估他们对该法案的遵守情况。

     小微企业的豁免

     印度政府还可以根据用户数量和实体处理的个人数据量，豁免某些企业遵守该法案的规定。这样做是考虑到该国的初创企业曾抱怨该法案的前一版本的合规密度和合规成本。

     以下是印度《数字个人数据保护法(2022)》草案目录

     第1章 序言1.短标题2.定义3.解释4.本法的适用

     第2章 数据受托人的义务5.处理数字个人数据的理由6.通知7.同意8.视为同意9.数据受托人的一般义务10.与处数据受托人的额外义务

     第3章 数据委托人的权利与义务12.获得有关个人数据信息的权利13. 更正和删除个人数据的权利14. 申诉的权利15. 提名的权利16.数据委托人的义务

     第4章 特别条款17.将个人数据转移到印度境外18.豁免

     第5章 遵从框架19.印度数据保护委员会20.委员会的职能21.委员会为确保遵守法案的规定所遵循的程序22.审查和上诉23.替代性争议解决方案24.自愿承诺25.经济处罚

     第六章 其他规定26.制定规则的权力27.中央政府修改附表的权力28.困难29.与其他法律保持一致30.修正案

     以下是印度《数字个人数据保护法(2022)》草案全文

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

     每天两块钱，实时获取全球数据合规风险预警

     如需印度《数字个人数据保护法》PDF版，请加入圈子免费下载

     招募讲师：欢迎加入DPOHUB课程平台

     平台介绍：数据合规权威平台之一，数据法盟和数据保护官的专业粉丝超过10万，学员超过2万。讲师收益：权威平台的免费宣传，塑造讲师个人职业品牌及影响力；收益共享权。申请条件：只要在数据隐私、安全及治理等方面具有落地经验或理论积累，都可以申请加入。授课方式：既可以是体系性课程(每讲20-30分钟)，也可以是一次在线讲座(60-90分钟)。申请方式：请将“简历、课程名称及大纲”发送到微信：heguilvshi 或邮箱：11535782@qq.com

    

    

    源网页  http://weixin.100md.com
返回 数据法盟 返回首页 返回百拇医药