【印度隐私保护】印度DPDPA的六大运营影响——范围、关键定义和合法数据处理

发布时间：2023年9月

按主题导航

• 范围
• 关键定义
• 特殊数据类别
• 豁免
• 处理依据
• 同意和通知
• 结论

自印度最高法院在2017年一项具有里程碑意义的判决中宣布“隐私权”为基本权利，并敦促国家政府建立数据保护制度以来，政策制定者一直致力于通过保护隐私的中央立法。8月11日，印度颁布了《数字个人数据保护法》，最终实现了这一目标。

DPDPA取代了根据2000年《信息技术法》第43A条制定的一套规则，这些规则表面上类似于数据保护法，但执法系统没有发挥作用，迄今为止没有报告案件。

在制定DPDPA时，印度政府审查了其他国家建立的隐私框架，包括《欧盟通用数据保护条例》，该条例的影响通过该法案中的一些法律概念显而易见。也就是说，尽管个人数据隐私和消费者权利是GDPR和其他地方类似数据保护法的核心，但DPDPA似乎也受到了印度对国家安全和其他政治问题的担忧的推动。这可能解释了该法案偏离GDPR和类似数据隐私制度的独特之处。

范围

DPDPA涵盖在印度境内处理数字个人数据的任何实体。不包括非数字形式的数据。该法案还规定了域外管辖权，并涵盖在印度境外处理的数据，如果这些数据是为了向印度境内的个人提供商品和服务。

然而，该法案与《通用数据保护条例》的不同之处在于，如果与向数据主体提供任何商品或服务无关，则将来自印度境外的数据主体的简介排除在其权限之外。例如，出于统计目的从位于印度的个人外部进行分析可能不会触发数据处理实体根据该法案承担的任何义务。

关键定义

“数据受托人”是指单独或与其他人共同决定个人数据处理目的和方式的任何人。这一概念直接借鉴了GDPR。

“数据主体”是指与个人数据相关的个人。如果该个人是儿童，则该术语包括其父母或合法监护人。如果个人是残疾人，则包括代表其行事的合法监护人。

“数据处理者”是指代表数据受托人处理个人数据的任何人。值得注意的是，与GDPR不同，该法案没有直接将此类义务强加给数据处理者。相反，该法案要求数据受托人确保其通过数据处理协议参与的数据处理者遵守规定。

特殊数据类别和重要数据信托

与GDPR和之前的规则明显不同，前者都根据敏感度对数据进行分类，DPDPA统一适用于所有类型的个人数据——定义为“可通过此类数据识别或与此类数据相关的任何个人数据”

对于所涵盖的实体来说，这可能是一个好消息，DPDPA并没有像早期法律草案中提议的那样，对处理敏感个人数据（根据规则确定）或关键个人数据的数据处理实体施加额外的义务。它也没有提及GDPR中明确提及的任何特殊类别的数据，如种族或民族出身、政治观点或性取向，这些数据需要根据欧洲法规加强保护。

然而，公司确实需要考虑他们是否是“重要的数据受托人”，因为这些数据处理实体的合规负担更高。重要数据受托人根据个人数据的数量和敏感性以及其他规定的标准进行分类。这意味着，经常处理敏感或大量个人数据的公司可能会被归类为此类数据，因此，应特别关注审查其数据隐私做法，以确保遵守该法案。

谁和什么是豁免的？

除了将个人出于个人或家庭目的进行的处理排除在其应用程序之外，DPDPA还明确排除了大多数公开的个人数据，只要这些数据是公开的：由数据主体（例如，社交媒体用户公开的观点）；或者由其他有法律义务发布数据的人发布（例如受监管公司必须依法公开披露的董事个人数据）。公开信息的第一种形式似乎允许外部公司从社交网络中抓取数据并进行处理。

该法案还豁免了出于研究或统计目的所需的个人数据处理，这是一个极其广泛的例外。但如果研究或统计活动被用于做出“特定于数据主体的任何决定”，该法案仍将适用于此类处理

此外，该法案为政府实体提供了广泛的例外情况，同时也豁免了出于特定目的的处理，例如符合印度主权和完整、国家安全、与外国的友好关系、维护公共秩序和防止煽动犯罪的活动。但这些随后的例外情况需要向政府发出通知。

最后，在一项似乎促进新业务的条款中，DPDPA的第17（3）条授权政府免除任何类别的数据受托人在该法案下的某些或所有合规义务，同时明确将“初创公司”称为可以豁免的此类类别或业务。

处理依据

DPDPA依赖于同意作为处理个人数据的理由，尽管也有其他狭义或基于情况的合法理由。这些被定义为第7条所列的“某些合法用途”，其中最有可能与私营部门相关的是：数据主体自愿提供其个人数据的特定目的，并且没有表示反对将此类个人数据用于该目的；履行任何特定性质的法律/司法义务；医疗紧急情况和卫生服务，破坏公共秩序；以及就业。

值得注意的是，该法案不包括“合同必要性”和“合法利益”，它们出现在GDPR中，并在其他地方制定了数据保护法，作为数据处理的法律依据，可能是当今组织，特别是将GDPR视为处理个人数据金标准的全球公司使用的最常见的处理依据。缺乏这些明确的处理理由可能会对企业构成严重挑战，尤其是已经依赖这些理由处理个人数据进行日常或必要商业运营的大型组织。

同意和通知

与GDPR一样，DPDPA要求对处理个人数据的同意必须是“自由、具体、知情、明确和无条件的，并采取明确的平权行动”。此外，同意应仅限于同意请求中特定目的所需的个人数据。在实践中，这可能意味着数据受托人不能不依赖“捆绑同意”

同意通知必须告知数据主体将要处理的个人数据以及处理这些数据的目的；个人行使该法案项下权利的方式；以及数据负责人向印度数据保护委员会投诉的方式。重要的是，从操作角度来看，如果数据主体在行为之前同意处理，数据受托人需要“在合理可行的情况下”尽快提供包含上述细节的通知

从数据主体的角度来看，这可能是最重要的权利之一，与GDPR类似，数据主体有权随时撤回其同意，数据受托人必须确保撤回同意与给予同意一样容易。一旦撤回同意，必须删除个人数据，除非保留数据的法律义务适用。此外，数据受托人必须要求任何处理者停止处理已撤回同意的数据。

结论

DPDPA旨在消除现有规则的混乱框架，同时促进创新、监管确定性，并以可能模仿GDPR和早期法律草案的方式保护个人隐私。但它试图以一种更实际的方式来做到这一点，这种方式对印度商业和文化对数据和新兴技术的态度非常敏感。因此，公司可能会发现有必要将其合规计划本地化，同时也使自己能够抓住机会，在该法案的框架内对个人数据做更多的处理。

尽管各组织没有遵守该法案的官方宽限期，但《商业标准》报告称，政府预计将在10个月内实施。最后，DPDPA将由政府发布的规则进行补充，这意味着只有当这些规则是正式的时，其效果才会明显。

IAPP资源中心还设有一个“印度”主题页面，定期更新IAPP的最新新闻和资源。

印度DPDPA的六大运营影响

可以在此处访问完整系列的概述页面。

• Part 1: Scope, key definitions and lawful data processing
• Part 2: Individual rights
• Part 3: Obligations of data processing entities
• Part 4: Enforcement and the Data Protection Board
• Part 5: Cross-border data transfers
• Part 6: Comparative analysis with the EU General Data Protection Regulation and other major data privacy laws