文章分类
发布时间:2023年10月
按主题导航
- 实施方面的挑战
- 权力和申诉补救程序
- 政府的广泛权力
- 上诉机构
- 处罚
- 前进的道路和结论
虽然印度的《数字个人数据保护法》尚未生效,但政府表示将在未来几个月分阶段实施和执行该法案。各利益攸关方之间的讨论正在进行中,政府计划举行几次磋商,以最终确定即将出台的实施规则。
考虑到即将到来的执法,各组织正在迅速做好合规的准备,政府也面临着同样艰巨的任务,即确保采取必要的措施,建立制衡机制,以顺利实施。
实施方面的挑战
DPDPA远比《2000年信息技术法》和《2011年信息技术(合理安全做法和程序以及敏感个人数据或信息)规则》所涵盖的现有数据保护框架更为详尽。因此,就像任何新立法的实施一样,组织可能会面临一些变化。
一个是执行的时间框架不够明确。尽管政府有明确的时间框架,但隐私专业人士,尤其是大型组织的隐私专业人士可能希望得到更多的澄清。他们需要了解可能实施的进一步合规要求,这些规定将如何以及何时生效,以及在采取重大措施进行过渡之前,他们应该在多大程度上编辑现有的隐私程序。
人力和资源方面的高昂合规成本是另一个令人担忧的主要原因,尤其是对于可能需要利用技术和资源来确保合规的小型组织来说。组织可能还需要更新技术或采购软件,以帮助遵守该法案的一些要求,如数据可移植性、同意机制和提供数据擦除权。
对于那些将人工智能和区块链等新兴技术作为商业产品的一部分,在无意中处理个人数据的组织来说,其中许多要求变得更加具有挑战性。
权力和申诉补救程序
数据负责人就数据处理提出的任何申诉必须首先由数据受托人采用的内部申诉补救机制解决。如果失败,印度数据保护委员会有权接收和调查数据负责人提出的投诉。
根据该法案成立的数据保护委员会是一个独立的监督机构,将作为“数字办公室”,这是印度第一个此类办公室。董事会拟由一名主席领导,成员由政府任命,任期两年,可连任。
董事会被赋予了广泛的权力,可以在收到数据负责人、同意管理人、政府的投诉或数据受托人自身的通知后发起调查、调查投诉、罚款和处罚,并采取其他必要行动。董事会还被授予将争议各方提交调解的权力,并接受数据受托人的自愿承诺,以采取或避免某些行动作为和解。然而,该法案并没有赋予董事会发布指示或法规的任何立法权力。
政府的广泛权力
政府被授予了广泛的权力和自由裁量权,可以制定规则,规定数据受托人回应数据主体请求的方式和时间表,授权与数据泄露通知有关的细节,通过授权立法,制定获得数据主体同意处理数据的有效通知要求,以及实施所需的其他行动。
除此之外,该法案还授权政府要求数据受托人、任何处理个人数据的实体、中介机构(如《信息技术法》所定义)或董事会访问任何信息。这一权限极为广泛,受到的限制比现有《信息技术法》和SPDI规则规定的限制更少。此外,在委员会至少两次制裁相关数据受托人并建议政府发布此类命令后,政府也有权命令或指示任何政府机构和中介机构“为了公众利益”阻止公众访问信息。
上诉机构
尽管根据1908年《民事诉讼法》,委员会被授予民事法院的权力,有权传唤和强制任何人出庭、接受宣誓书、要求出示和检查文件,但该法案明确禁止个人根据法律向民事法院寻求救济。看看这与最高法院根据印度宪法第21条认定公民享有基本隐私权的裁决之间的关系会很有趣。相反,该法案赋予任何因委员会命令而感到不满的人向电信纠纷解决和上诉法庭提起上诉的权利。
虽然TDSAT的权力来自电信部,但电子和信息技术部率先通过了该法案。因此,考虑到TDSAT最初是为了处理与电信和信息技术有关的争议而设立的,而该委员会的成立纯粹是为了监管印度的数字个人数据处理,该法案的上诉程序引出了一个问题,即TDSAT是否是处理数据隐私上诉的正确上诉机构。
此外,虽然《信息技术法》第43A条将在DPDPA生效时被废除,但《信息技术法案》的其余条款仍然有效。因此,在数据泄露的情况下,如果触发了《信息技术法》的多个条款,数据负责人或任何受影响的一方都可能通过向最有可能提供有利结果的法庭/当局寻求追索权来沉迷于论坛购物。这可能会导致受影响方和监管机构之间的混乱和冲突。
也就是说,网络上诉法庭是《信息技术法》规定的某些通知事项的上诉机构,于2017年与TDSAT合并。因此,TDSAT可能是受理对董事会通过的决定的上诉的合乎逻辑的选择。然而,这并没有解决人们的担忧,即TDSAT在历史上的主要作用是作为电信纠纷的上诉机构。
处罚
DPDPA根据违规行为规定了不同的罚款金额。数据受托人可能会因违反法案或实施规则中未规定具体处罚的任何条款而被罚款5000万卢比(约600万美元),因未能履行采取合理安全保障措施防止个人数据泄露的义务而被罚款2.5亿卢比(约3000万美元)。
该法案还规定了可用于确定适当处罚的一般参数,如违规行为的性质、严重性和持续时间、受影响个人数据的类型和性质、违规行为的重复性和影响等。根据《信息技术法》第43A条,公司违反其个人数据义务,从而造成不当损失或收益,有责任向受影响的个人支付损害赔偿。根据该法案,数据主体获得赔偿的权利已被剥夺。然而,鉴于委员会已被授予广泛的权力,可以发布指示履行该法案规定的职能,包括赋予民事法院的权力,目前尚不清楚这些权力是否延伸到向数据主体提供赔偿。
此外,政府保留了实施额外规则的广泛权力。因此,当该法案生效时,是否会实施任何与数据主体补偿有关的规则或指示,还有待观察。
此外,与《欧盟通用数据保护条例》和《加州消费者隐私法》不同,DPDPA允许董事会对数据主体征收罚款,以确保他们不会因自己的行为而不当利用法律规定的任何违规行为。如果数据委托人未能履行法案规定的职责,董事会可以对其处以最高10000卢比(约120美元)的罚款。
前进的道路和结论
DPDPA规定的强制执行条款是对印度现有数据保护框架的重大升级,在方法上是平衡的。一方面,该法案允许企业继续运营,减少运营挑战,但另一方面,阻止数据处理实体允许数据泄露发生。
虽然各组织需要采取具体措施,如更新隐私政策、通知数据负责人以及更新与供应商和服务提供商的第三方合同,但政府可能需要解决的一个关键挑战是该法案对受不同当局监管的组织的影响,以及特定行业法规之间的相互作用。
虽然该法案规定,如果其条款与任何其他法律之间存在任何冲突,则以该法案为准,但鉴于目前大多数监管机构都规定了有关数据本地化和数据安全的条款,政府必须审查由不同当局监管的不同法律规定的任何类似或冲突的义务,以及澄清什么将被视为废除,什么将是部门监管机构规定的补充义务。
除此之外,随着企业的发展,将DPDPA的条款与GDPR和其他司法管辖区的法律相协调,对于确保印度达到促进跨境数据处理顺利所需的充分性标准至关重要。
IAPP资源中心还设有一个“印度”主题页面,定期更新IAPP的最新新闻和资源。
印度DPDPA的六大运营影响
可以在此处访问完整系列的概述页面。
- 第1部分:范围、关键定义和合法数据处理
- 第2部分:个人权利
- 第3部分:数据处理实体的义务
- 第4部分:执法和数据保护委员会
- 第5部分:跨境数据传输
第六部分:与《欧盟通用数据保护条例》等主要数据隐私法的比较分析
- 登录 发表评论