2018年个人数据保护法草案的出台

2017年8月,印度政府组织成立了由BN Srikrishna大法官领衔的高级别委员会,目标是为印度引入全面的个人数据保护法律。2018年7月27日,该委员会正式发布了一份报告《自由和公平的数字经济:保护隐私,赋能印度民众》和一份草案2018年《个人数据保护法(草案)》。^[10]该法案将适用于企业和政府实体收集的数据,内容包括个人数据处理的管辖权,建立独立监管机构,以及违反该法律将受到的严厉处罚等。^[11]作为印度首部全面的个人数据保护法,该法案被称为“印度走向数据保护的第一步”。

2018年《个人数据保护法(草案)》紧随欧洲《通用数据保护条例》(General Data Protection Regulation,GDPR)(以下简称“GDPR”)。GDPR号称“史上最严数据保护法案”,其对个人数据保护范围之广、实施标准之高、监管惩罚力度之大均前所未有。^[12]2018年《个人数据保护法(草案)》不仅在形式上与GDPR一样,呈现出了增强公民对个人数据控制这一全球不可逆转的大趋势,而且在具体内容上也与GDPR一脉相承,借鉴并吸收了GDPR的诸多特色条款。^[13]

(一)宽泛的适用范围

根据2018年《个人数据保护法(草案)》第2条的规定,该法案适用于如下几种情形:针对其境内,适用于在境内收集、披露、处理个人数据,或由印度公司、公民或依法设立的个人、团体处理个人数据等情形;针对其境外,适用于数据受托人或者数据处理者处理与业务相关的个人数据,或与对印度境内数据主体的画像活动有关等情形。但该条款也明确指出,无论境内境外,该法案均不适用于处理匿名化的数据。

(二)首次纳入“数据可携带权”

作为在GDPR中首次提出的一项权利,该部分规定在2018年《个人数据保护法(草案)》中也有相似的体现。“数据可携带权”的具体内涵为:数据主体可以自由地从数据控制者处下载个人数据,而且可以毫无障碍地将其个人数据从一个数据控制者转移至另一个数据控制者处。^[14]该项规定赋予了数据主体对其个人数据的控制权利,不仅有助于数据主体在感兴趣的各种服务中传输和重用个人数据,还可以增强服务之间的竞争。

(三)吸收了“被遗忘权”的精神

被遗忘权的本意为:数据主体有权要求数据控制者删除其个人数据,且数据控制者有义务将已经扩散出去的个人数据采取必要的措施予以消除。但2018年《个人数据保护法(草案)》并没有明确规定限制和阻止信息扩散的具体途径,只是较为含蓄地规定了数据主体有权限制或阻止与数据主体相关的数据收集者继续披露个人数据。^[15]

(四)DPO和PIA制度的设立

2018年《个人数据保护法(草案)》与GDPR一脉相承,都要求处理个人数据的实体任命数据保护官(DPO),并在进行数据处理之前做数据保护影响评估(PIA)。数据保护官的职责大体包括:向企业和员工提供数据保护方面的信息和建议;对企业数据保护工作进行监管;对企业数据保护影响评估工作进行参与和管理;同监督机构合作,负责数据外泄的紧急汇报;协助数据主体实现数据权利等。^[16]数据保护影响评估则要求企业组织在大规模处理数据前必须要完成隐私影响分析、风险识别、方案评估与执行等工作。这些规定都对利用数据的企业和组织提出了更高的要求。

(五)数据受托人罚款制度

2018年《个人数据保护法(草案)》允许任何因违反条款而遭受损害的数据主体向数据受托人或处理者寻求赔偿。此种赔偿带有明显的“惩罚性”,因此赔偿数额较大。法案规定,任何个人数据被侵犯的惩罚最高可达5亿卢比,或该实体上一财政年度全球营业额的2%,以二者中较高的为准。此外,该法案还规定,在数据主体遭受损害时,数据受托人将是最主要的责任承担主体。数据处理者只有在其行为超出了与数据受托人达成的合同条款,或在保护个人数据方面存在疏忽时才会承担相应责任。^[17]

当前印度经济正处于高速发展状态,随着外国投资的急剧增长,对其隐私和数据保护的立法和标准需求达到前所未有的高度。曾经的印度政府在个人信息的保护范围方面认知比较狭窄,其出台的相关立法只侧重于对个人信息的子集——敏感数据进行保护。但随着2018年《个人数据保护法(草案)》的出台,印度终于向个人信息保护的正确方向迈出了重要的一步。先进的制度设计巧妙地结合了行业的发展现状,使得该法案成为印度增强公民个人数据保护,强化政府监管的一把“利刃”。总之,在新的时代背景下完善个人信息保护立法,印度面临的将是一条富有挑战性的光明道路。

【注释】

[1]白净.印度互联网发展和治理研究报告.汕头大学学报,2017,33(11):111-122。

[2]黄蓝.个人信息保护的国际比较与启示,情报科学,2014(01):143-149.(www.xing528.com)

[3]弓永钦.跨境电子商务中的个人信息保护问题研究.北京:对外经贸大学,2016:55-60.

[4]王玥.试论网络数据本地化立法的正当性.西安交通大学学报(哲学和社会科学版),2016(01):54-61.

[5]李静.印度信息技术立法的发展与特色.暨南学报,2012(11):83-86.

[6]搜狐:“印度最高法院裁决隐私权是一种基本权利”,http://www.sohu.com/a/167235638_813542,2017-08-25。

[7]郭赫男.双重视域:隐性采访的法律考察与伦理评价.成都:四川大学出版社,2008.

[8]参见《中华人民共和国宪法》第38～40条。

[9]张自力.政府管制特征下中印企业债券市场比较研究.南亚研究季刊,2012,(3):62-68.

[10]安全内参:“印度《2018年个人数据保护法案(草案)解读》”,https://www.secrss.com/articles/5900,2018-10-24。

[11]搜狐新闻:“GDPR才实施两个月,这些国家和地区怎么都开始急着立法”,http://m.sohu.com/a/246237034_161795,2018-08-09。

[12]百度:“史上最严数据保护法案GDPR是个啥玩意”,https://baijiahao.baidu.com/s?id=1606503151148329361&wfr=spider&for=pc,2018-07-20。

[13]安全内参:“印度《2018年个人数据保护法案(草案)解读》”,https://www.secrss.com/articles/5900,2018-10-24。

[14]搜狐新闻:“GDPR才实施两个月,这些国家和地区怎么都开始急着立法”,http://m.sohu.com/a/246237034_161795,2018-08-09。

[15]搜狐新闻:“GDPR才实施两个月,这些国家和地区怎么都开始急着立法”,http://m.sohu.com/a/246237034_161795,2018-08-09。

[16]安全牛:“GDPR通用数据保护条例-要点总结”,https://www.aqniu.com/news-views/35964.html,2018-07-13。

[17]安全内参:“印度《2018年个人数据保护法案(草案)解读》”,https://www.secrss.com/articles/5900,2018-10-24。