印度个人信息保护法律制度简介

信息技术产业是印度经济的重要支柱产业。作为信息大国,印度的信息产业发展水平已经跃居世界顶尖行列。在信息技术极度发达的情况下,如何更好地对公民的个人信息提供保护,一直是印度学术界一个经久不衰的话题。个人信息保护最常见的方式是通过法律、法规、政策和程序的监管,最大限度地减少敏感个人数据被非法收集、存储和传播,最大限度地减少对个人隐私的侵犯。长期以来,印度政府一直尝试制定有关个人信息保护的专门立法。但由于政策、经济等多重因素的阻碍,印度政府始终没有出台专门保护个人隐私和个人信息的法案,只在一些部门立法中散见对于个人信息保护的零星规定。截止到21世纪初,印度已经有超过50部法律法规、政策和部门规章中含有与个人隐私有关的条款。^[1]除了《信息技术法》、《信息技术法(修正案)》、2011年《信息技术(合理的安全措施和程序以及敏感的个人数据或信息)规则》(以下简称“《敏感数据规则》”)和1950年《印度共和国宪法》(Constitution of India)中关于隐私权保护的条款之外,还有1872年《印度合同法》(The India Contract Act)、1975年《印度版权法》(The Copyright Act)、1860年《印度刑法典》(Indian Penal Code)以及2005年《信用信息公司管理条例》(Credit Information Corporation Management Act)。此外,还有2012年印度大法官提出的个人隐私立法建议,以及57个对个人隐私保护具有影响力的现有部门规章和政策指南。这些法律、法规和政策在信息技术、合同、知识产权和刑法等各个法律领域为个人信息提供了保护,违反这些法律、法规和政策将承担相应的民事责任和刑事责任。

20世纪末以来,随着经济全球化的进一步发展,印度与其他发达国家和地区,特别是欧盟各国,建立起更加紧密的经贸合作关系。其中,信息技术产业在印度对欧盟的外包业务中占有很大的比重。由于印度在制定个人信息保护法律方面的迟缓,近些年欧盟国家的外包业务不断由印度流向新兴东欧国家或者是其他拥有健全的信息保护法律制度、能够对个人信息和数据进行充分保护的国家。^[2]1995年,欧盟《个人数据保护指令》(1995年)(EU Data Protection Directive)(以下简称“《数据保护指令》”)正式颁布。该指令规定,欧盟国家在进行对外贸易时,进口国需要受到限制。进口国必须要保证能够通过国内立法或国际承诺,对收集到的个人信息进行适当的保护,保护水平应当与欧盟对个人信息的保护水平相当。^[3]在《数据保护指令》授权下,欧盟委员会负责审查进口国是否具备足够的个人信息保护能力。根据目前的审查结果,只有个别国家的个人信息保护水平是满足条件的,包括安道尔、阿根廷、澳大利亚、加拿大、瑞士、法罗群岛、根西岛、以色列、马恩岛和泽西岛等,其中不包括印度。^[4]基于《数据保护指令》的外部驱动力,为了巩固印度在外贸合作中的优势地位,印度政府开始重视个人信息隐私保护法的制定。再加上接二连三出现的电话窃听犯罪和个人隐私权保护运动的内部驱动,印度逐渐在个人信息保护领域走上了正轨。(www.xing528.com)

2018年5月25日,欧洲联盟出台《通用数据保护条例》(GDPR),替代《数据保护指令》。印度紧随其后,在借鉴欧盟《通用数据保护条例》的基础上,出台了《个人数据保护法(草案)》。印度内阁于2019年12月4日通过该法案,并将提交议会审议。该法案如果通过,将有效提升印度个人数据保护水平。