文章分类
探索印度《2023年数字个人数据保护法》的细微差别,以及遵守数据共享协议(DSA)的必要性。考虑到该法案对印度企业和数据处理的影响,了解DSA在确保负责任的数据共享、降低法律风险和建立信任方面的重要性。
印度是世界上增长最快的数字经济体之一。印度拥有超过14亿互联网用户,是企业数据的宝库。然而,印度的数据收集、使用和披露受到许多法律法规的约束。
印度管理数据共享的关键法律之一是《2023年数字个人数据保护法》(DPDPA)。DPDPA要求企业在收集或使用其个人数据之前,必须获得数据主体的同意。DPDPA还对个人数据在印度境外的传输施加了某些限制。
为了按照DPDPA共享数据,企业应签订数据共享协议(DSA)。DSA是具有法律约束力的合同,用于管理双方或多方之间如何共享数据。起草良好的DSA将帮助企业确保以负责任和合乎道德的方式共享数据,降低法律风险,并与客户和合作伙伴建立信任。
什么是数据共享协议?
数据共享协议(DSA)是双方或多方之间具有法律约束力的合同,概述了共享数据的条款和条件。DSA通常用于企业需要相互共享数据以进行项目合作、向客户提供服务或改进其产品和服务的情况。
根据印度DPDPA,所有数据共享活动都需要DSA,无论数据是在印度境内还是在印度境外共享。
根据印度DPDPA,我们什么时候需要DSA?
当企业与另一方共享个人数据时,无论另一方位于印度境内还是境外,都需要DSA。这包括与第三方供应商、合作伙伴或其他企业共享个人数据。
以下是DPDPA要求DSA时的一些具体示例:
- 使用云计算服务存储客户数据的企业需要向云计算提供商输入DSA。
- 使用第三方数据分析公司分析客户数据的企业需要与数据分析公司签订DSA。
- 与另一家企业合作共同营销或销售产品或服务的企业需要与合作伙伴企业签订DSA。
- 正在收购另一家企业的企业需要与正在收购的企业签订DSA。
- 在印度境外传输个人数据的企业需要与接收数据的实体签订DSA。
即使根据DPDPA,企业不需要签订DSA,这样做可能仍然有益。
为什么我们需要DSA?
DSA的目的是确保以负责任和合乎道德的方式共享数据。DSA通常包括规定以下内容的条款:
- 可以共享的数据类型
- 共享数据的目的
- 保护数据必须采取的安全措施
- 数据的保留期
- 不再需要数据时删除数据的过程
DSA还可以包括解决其他重要问题的条款,例如:
- 知识产权
- 数据泄露责任
- 争议解决
印度DPDPA下DSA的适用性是什么?
DPDPA的适用性有一些豁免,但这些豁免的定义很窄。例如,DPDPA不适用于为国家安全目的处理数据的政府机构或企业。
以下是一些受DPDPA约束并需要加入DSA的企业的具体示例:
- 电子商务业务
- 社交媒体公司
- 金融机构
- 医疗保健提供者
- 教育机构
- 人力资源公司
- 营销和广告公司
为什么DSA在印度很重要?
DSA在印度很重要,原因有很多。
- 首先,它们帮助企业遵守DPDPA。DPDPA要求企业在收集、使用或共享其个人数据之前,必须获得个人的同意。DSA可以帮助企业在与其他企业共享数据之前,获得个人的同意并记录下来。
- 其次,DSA可以帮助企业降低法律风险。DPDPA对收集和处理个人数据的企业规定了许多义务。例如,企业必须实施适当的安全措施来保护个人数据,并且必须在不再需要时删除个人数据。
- 第三,DSA可以帮助企业与客户和合作伙伴建立信任。通过加入DSA,企业正在展示他们对保护客户数据隐私的承诺。这可以提高客户忠诚度,改善与合作伙伴的关系。
印度DSA的关键要素
印度起草完善的DSA应包括以下关键要素:
- 缔约方:DSA应明确识别共享数据的缔约方。
- 目的:DSA应指定共享数据的目的。
- 数据类型:DSA应指定可以共享的数据类型。
- 安全性:DSA应指定为保护数据而必须采取的安全措施。这可能包括加密数据、将其存储在安全服务器上以及限制授权人员访问数据等措施。
- 保留:DSA应指定接收方可以保留数据的时间。
- 删除:DSA应指定不再需要数据时应如何删除数据。
- 审计:DSA应包括审计条款,允许披露方审计接收方对DSA条款的遵守情况。
除了这些关键要素外,印度的DSA还应符合PDPA的以下要求:
- 同意:披露方在与接收方共享其个人数据之前,必须获得数据主体的同意。
- 数据本地化:某些类型的个人数据必须存储在印度。DSA必须考虑这些数据本地化要求。
- 跨境数据传输:如果DSA涉及在印度境外传输个人数据,披露方必须确保传输符合PDPA。这可能涉及与接收方签订数据传输协议。
印度起草DSAs的最佳实践
在起草数据共享协议(DSA)时,除了标准条款外,还应考虑以下内容:
数据共享协议应明确规定共享的数据类型、共享目的以及数据是公共数据还是个人数据。
公共数据可供公众使用,对安全和保护的要求可以忽略不计。个人数据受到更严格的数据保护和安全要求的约束,未经主体事先许可,不得共享。
示例子句:
本协议的目的:本协议有助于向X公司提交数据,以创建、使用和维护Z国公民的综合社会、健康和教育数据系统。这些数据将用于更全面地了解服务需求、服务差距和服务影响。
数据共享:【主体】同意允许向本协议附件A所示的实体披露个人身份信息,前提是(i)已获得个人或个人父母或监护人的适当同意或授权,以及(ii)根据附件A的规定分配基于角色的访问控制。
数据共享期限必须在协议中明确规定,以及另一方可以使用数据的期限,以及共享数据在终止后会发生什么,是被退回还是被销毁。
示例子句:
期限:本协议自生效日期起五年有效,除非根据终止条款提前终止。协议期限结束后,双方可通过共同决定续订本协议。
终止:任何一方均可提前三十(30)天书面通知另一方终止本协议。终止后,双方应根据要求,(1)删除根据本协议获得的所有包含个人身份信息的数据,以及(2)在十(10)个工作日内书面证明存储在基于云或本地服务器、备份服务器、备份介质或其他介质上的所有数据副本已被永久擦除或销毁。
协议应规定数据是有限使用还是无限使用,以及数据是否可以存储、保护和传输。
协议还应说明接收方是否只能将数据用于单一目的,或者是否可以根据需要重复使用。此外,协议应规定接收方是否可以与其他第三方、子公司或附属公司共享数据,以及在多大程度上共享数据。
示例子句:
数据使用:X公司和Y组织将共同保管原始数据集和链接数据集,并负责遵守所有使用条件,建立和维护本协议规定的安全安排,以防止未经授权的访问。
数据存储和保护:除非本协议另有规定或修改,否则X公司和Y组织应按照本协议附件C的规定管理、链接和存储数据。
数据共享:除本协议规定的目的外,X公司不会将保密信息用于任何其他目的。如果成年个人或18岁以下未成年人的父母或监护人要求审查[主体]向X公司和/或Y组织披露的个人身份信息,或希望撤销与X公司和(或)Y组织共享数据的同意,X公司和Y组织将与[主体]充分合作。[主体]将通知如果Camden Coalition和CFS获得与X公司和Y组织共享数据的书面同意,撤销与X公司或Y组织共享信息的同意,或从成年人或18岁以下未成年人的父母/监护人处请求审查Camden X公司和Y组织存储的个人可识别信息。
第三方共享:【主体】不会将其因参与本协议而收到的任何数据发布给未经本协议特别授权访问此类数据的任何第三方。
共享的数据类型为整个协议奠定了基调。
例如,如果数据是个人可识别的且受到高度限制,则应对其进行严格审查和保护。相反,匿名信息需要较少的保护措施。
示例子句:
数据安全和保密:提供商将以足够安全的方式提供数据,双方将根据适用的数据保护法律处理所有数据,并对数据保密。
接收方作为数据控制者:就数据而言,根据适用的数据保护法,接收方将被视为单独的数据控制者,用于处理接收方研究计划的数据。
接收方的技术和组织措施:接收方将实施适当的技术和机构措施,以满足适用数据保护法律对数据控制者的要求。
个人数据泄露通知:如果接收方意识到个人数据泄露,接收方将立即通知提供商。在这种情况下,双方将充分合作,对个人数据泄露进行补救,及时履行法定通知义务,并补救任何损害。“个人数据泄露”一词指《通用数据保护条例》第33条和第34条。
受试者撤回同意:如果受试者撤销对使用数据的同意,提供商将向接收方提供足够的信息,接收方将立即停止使用相关数据并删除相关数据的所有副本。根据提供商的要求,接收方将以书面形式确认完全删除数据。
提供者作为数据控制者:在数据提供给接收方之前,提供者将是GDPR项下数据的数据控制者。
数据保护条款应包括两个方面:(1)通过存储和传输条款保护数据和安全;(2)通过单独的条款保护商业秘密和其他知识产权,明确说明合同期间和之后的所有权,以及接收方如何使用披露方的知识产权。
示例子句:
主题数据中的所有权利、所有权和权益均为主题的财产。提供商对托管、存储或转移到提供商提供的产品或云服务平台或从提供商提供的云服务平台转移的主题数据,或主题的保密信息,不具有知识产权或其他权利要求。提供商将与受试者合作,保护受试者的知识产权和受试者数据,并在意识到根据本协议可能侵犯这些权利时立即通知受试者。
数据主体必须始终同意共享其个人数据,并且必须就共享和使用的范围达成一致。任何偏离约定份额的行为都构成违约。
示例子句:
提供者责任:提供者有责任在使用或向接收方披露受试者的任何个人数据之前获得受试者许可和授权。
数据共享协议应根据数据的数量、格式和可用性来解决共享数据的成本问题。例如,谁将承担存储设备、数据复制和数据传输的成本?
示例子句:
数据共享成本:接收方应承担提供商提供的50 TB数字数据的存储设备、数据复制和数据传输成本。
即使在需要数据共享的情况下,在以下情况下也不应共享:
-披露方不拥有知识产权。
-受试者已选择退出数据共享。
-数据被预先存在的协议禁止或限制。
-这些数据涉及诉讼。
责任条款应明确规定违反任何合同义务的各方的后果,例如向未经授权的各方披露数据。
示例条款:
提供商同意监控和维护其数据安全措施,并在出现任何未经授权的数据访问或数据泄露时通知接收方并与其合作。提供方将保护接收方免受因提供方违反本条款而产生的任何第三方索赔,接收方自身行为造成的索赔除外。
我在印度DPDA下的业务需要DSA吗?
是的,如果您收集、使用或共享个人数据,您需要根据印度DPDA为您的企业提供DSA。特别是,如果您是数据处理器,则需要使用数据控制器进入DSA。DSA应包括个人数据共享的条款和条件,如数据共享的目的、共享的数据类型、数据接收方必须实施的安全措施、保留期和删除程序。
DSA和保密协议有什么区别?
保密协议(NDA)是一项具有法律约束力的合同,要求双方对彼此共享的任何信息保密。NDA通常用于企业需要相互共享机密信息,如商业机密或专有数据。根据保密关系,至少一方不得在未经许可的情况下披露任何信息。换句话说,保密协议是一种禁止分享任何信息的合同。
DSA和NDA之间的关键区别在于DSA专门处理数据共享。DSA通常包括关于可以共享的数据类型、共享数据的目的以及必须采取的保护数据的安全措施的更详细的规定。
DSA和MOU有什么区别?
谅解备忘录(MOU)是一种可用于管理双方或多方之间关系的法律文件。谅解备忘录通常用于概述双方或多方之间关系的一般原则或条款。谅解备忘录可能包括关于关系目标、各方角色和责任以及解决争端的程序的规定。
DSAs和MOU都是管理双方或多方关系的有用工具。但是,重要的是要根据具体情况选择正确的文件。如果关系复杂或涉及敏感数据的共享,DSA通常是更好的选择。如果这种关系不那么复杂,也不涉及敏感数据的共享,那么谅解备忘录就足够了。
政府部门和其他公共机构,如监管机构、执法机构,可以相互签订一份谅解备忘录,其中包括数据共享条款,并履行数据共享协议的作用。
什么是《2023年印度数字个人数据保护法》?
《2023年数字个人数据保护法》(DPDPA)是印度的主要数据保护法。印度议会于2023年8月通过了DPDPA,预计将于2024年生效。
DPDPA是一项全面的法律,涵盖个人数据的收集、使用、存储、披露和传输。DPDPA还赋予个人对其个人数据的某些权利,例如访问其数据的权利、更正或删除其数据的权力,以及撤回对处理其数据的同意的权利。
DPDPA适用于所有收集、使用或存储个人数据的企业,无论其位置如何。然而,某些类型的企业也有某些豁免,例如政府机构和出于国家安全目的处理数据的企业。
印度DPDPA下的个人数据和非个人数据
DPDPDA将个人数据定义为“可通过此类数据识别或与之相关的任何个人数据”。这包括可用于直接或间接识别个人的任何数据,如姓名、地址、电话号码、电子邮件地址、IP地址、生物特征数据或财务信息。
非个人数据是指不能识别个人身份的任何数据。这可能包括诸如聚合数据、匿名数据或去标识数据之类的数据。
DPDPA适用于所有收集、使用或存储个人数据的企业,无论其位置如何。这包括在印度经营的企业、针对印度客户的企业以及在印度境外转移个人数据的企业。
DPDPA对收集、使用或存储个人数据的企业规定了许多义务。这些义务包括:
- 在收集、使用或共享个人数据之前获得个人同意
- 实施适当的安全措施以保护个人数据
- 不再需要时删除个人数据
- 为个人提供访问其个人数据的权限
- 允许个人更正或删除其个人数据
DPDPA还对个人数据在印度境外的传输施加了一些限制。在印度境外传输个人数据的企业必须确保接收实体符合DPDPA的数据本地化要求。
个人数据和非个人数据之间的差异
个人数据和非个人数据之间的关键区别在于,个人数据可以用来识别个人,而非个人数据则不能。个人数据通常比非个人数据更敏感,企业需要采取额外的预防措施来保护个人数据。
DPDPA的主要功能
DPDPA包括以下关键功能:
- 同意:DPDPA要求企业在收集、使用或存储其个人数据之前,必须获得个人的同意。同意必须是自由的、具体的、知情的和明确的。
- 数据本地化:DPDPA要求在印度存储某些类型的个人数据。这包括敏感的个人数据,如生物特征数据和财务数据。
- 数据共享:DPDPA限制与第三方共享个人数据。企业只有在获得数据主体同意或出于收集数据的目的需要共享个人数据的情况下,才能与第三方共享个人数据。
- 数据主体权利:DPDPA赋予个人对其个人数据的某些权利,例如访问其数据的权利、更正或删除其数据的权力,以及撤回对处理其数据的同意的权利。
- 强制执行:DPDPA设立了一个数据保护机构来执行法律规定。数据保护局有权调查投诉、向企业发布命令和罚款。
DPDPA的好处
DPDPA预计将为印度的个人和企业提供许多福利。对于个人而言,DPDPA将使他们能够更好地控制个人数据,并有助于保护他们的隐私。对于企业来说,DPDPA将明确数据保护规则,并帮助他们与客户建立信任。
印度是否有其他数据保护法?
《2019年个人数据保护法案》
目前的印度DPDPA覆盖了PDP法案草案,该法案涵盖了不同形式的个人数据及其由中央数据保护机构或监管机构进行的保护。它扩大了个人对其个人数据及其保护的权利。法案中也列出了对违规行为的处罚。该法案草案的适用具有域外性质,如果外国组织与主体之间就个人数据的泄露建立了合理的联系,也将使外国组织对主体的个人数据的任何泄露承担责任。
2017年《医疗保健数字信息安全法》
与其他所有部门一样,甚至卫生部门也实现了数字化。从在线咨询、送药到实验室检测,受试者的个人健康数据遍布互联网,很容易出现隐私泄露的风险。
《医疗保健数字信息安全法》(“DISHA”)颁布后将是印度第一部针对健康数据的立法,并将附带管理受试者健康数据存储和交换的条款。更严格的数字健康数据隐私和安全计划,并有一个中央和州级监管机构负责执行和裁决。
非个人数据治理框架
这将详细说明可能收集的不同类型的非个人数据,并规定与之相关的私人和公共权利。将有一个单独的监管机构来监管此类数据的数据共享过程,私人实体免于任何此类转移。
结论
DSA是印度企业共享数据的重要工具。通过签订起草良好的DSA,企业可以确保数据共享符合DPDPA和其他适用的法律法规。这将帮助企业减轻法律风险,与客户和合作伙伴建立信任,并保护数据主体的隐私。
- 登录 发表评论