2023年8月11日,印度第一部綜合性個人數據保護法《數字個人數據保護法》發布,該法旨在確保數字個人數據被用于合法目的,并以合法方式進行處理。《數字個人數據保護法》進一步對印度個人數據跨境傳輸活動進行規制,與其他相關法律共同構成印度個人數據跨境傳輸規則。
目前,印度個人數據跨境傳輸規則的法律規范主要有《信息技術法》《信息技術規則》和《數字個人數據保護法》等。總體而言,印度個人數據跨境傳輸相關法律和政策相對保守,以推動數字經濟發展為主要目標。
《信息技術法》于2000年6月9日發布,后經修正,修正后的《信息技術法》于2009年2月5日發布,加入了兩個新的條款,即第43條之一和第72條之一,為因個人數據未得到充分保護而遭受或可能遭受損失的個人提供救濟措施。雖然《信息技術法》的重點是信息安全,而非個人數據保護,但該法為印度限制或禁止向境外傳輸個人數據提供了一定的彈性空間。《信息技術規則》于2011年4月11日發布,雖然《信息技術規則》沒有對個人數據跨境傳輸進行任何具體限制,但仍概括規定,只有在征得個人同意或在履行與個人簽訂的合同時,才可傳輸個人數據,而且個人數據接收方必須確保其數據保護水平至少與《信息技術規則》和數據輸出方的數據保護水平相同。《數字個人數據保護法》于2023年8月11日發布,該法不同條款的生效日期由印度中央政府具體確定,一旦該法個人數據跨境傳輸相關條款正式生效,其個人數據跨境傳輸規則將替代《信息技術法》第43條之一和《信息技術規則》(截至目前,《數字個人數據保護法》中的個人數據跨境傳輸規則尚未生效)。
此外,為避免與其他法律發生潛在沖突,《數字個人數據保護法》第16條第2款規定,對于個人數據跨境傳輸活動,如果其他現行法律提供了比《數字個人數據保護法》更嚴格的保護措施,則優先適用其他法律。
印度目前尚沒有專門負責個人數據保護的國家監管機構。依據《數字個人數據保護法》第18條,后續需要專門成立印度數據保護委員會,作為獨立機構,負責監督《數字個人數據保護法》的實施和執行,包括開展調查、下令采取補救措施、作出處罰等。
此外,依據《數字個人數據保護法》第16條第2款,印度儲備銀行和印度證券交易委員會等監管機構,可以針對特定受監管實體收集的個人數據,制定更嚴格、保護力度更強的措施,對個人數據跨境傳輸活動進行監管。
例如,印度儲備銀行于2018年4月6日發布《關于支付系統數據存儲的通知》,要求所有支付系統提供商需確保支付數據存儲在位于印度的系統中。如果支付交易是在印度境外進行的,與該交易相關的支付數據應從印度境外系統中刪除,并在不遲于一個工作日或支付交易后24小時內帶回印度進行存儲。鑒于印度儲備銀行要求對支付系統數據進行絕對本地化,對支付系統運營商規定了更高的數據存儲標準,支付系統相關個人數據的跨境傳輸活動仍受印度儲備銀行監管。
《數字個人數據保護法》生效前的個人數據跨境傳輸規則只適用于敏感個人數據和信息,如密碼、財務信息、身體、生理和心理健康狀況、性取向、醫療記錄和病史以及生物識別信息等。依據《信息技術規則》第7條,法人團體或代表法人團體的任何人可以向印度或任何其他國家的法人團體或個人傳輸敏感個人數據或信息,只要個人數據接收方確保其數據保護水平至少與《信息技術規則》所規定的數據保護水平相同。
《數字個人數據保護法》第16條使用的術語為個人數據跨境傳輸,而非敏感個人數據跨境傳輸,將個人數據跨境傳輸規則擴大至所有類型的個人數據。此后,無論是否為敏感個人數據,均需要受到個人數據跨境傳輸規則的限制。
具體而言,依據《數字個人數據保護法》第2條,數據是指以適合人類或以適合通過自動化手段交流、解釋或處理的方式表達的信息、事實、概念、意見或指示;個人數據是指可通過其識別到個人的數據以及與此類數據有關的數據,包括姓名、地址、電子郵件、電話號碼等。
從與個人數據跨境傳輸規則相關的條款來看,印度個人數據跨境傳輸規則是在圍繞《數字個人數據保護法》進行審議和磋商的過程中逐漸形成的。從一 開始的絕對禁止個人數據跨境傳輸到個人數據跨境傳輸“白名單”國家制度,再到個人數據跨境傳輸“黑名單”國家制度,印度個人數據跨境傳輸規則逐漸寬松。
依據2018年《個人數據保護法案》第40條,所有個人數據的副本在任何時候都必須存儲在印度境內。依據2021年《數字個人數據保護法案》第17條,個人數據被允許傳輸至政府單獨列出的某些“白名單”國家,淡化了絕對禁止個人數據跨境傳輸的立場。在最終版本的《數字個人數據保護法》中,第16條允許將個人數據跨境傳輸至印度以外的所有國家或地區,但中央政府特別指定的國家或地區除外,即對個人數據跨境傳輸采取“黑名單”國家制度,絕對禁止個人數據跨境傳輸的立場被進一步淡化。
對個人數據跨境傳輸規則進行立法規制的國家和地區,普遍會在法律規定中明確個人數據跨境傳輸的法定情形,如歐盟《通用數據保護條例》、泰國《個人數據保護法》、印度尼西亞《個人數據保護法》、沙特阿拉伯《個人數據保護法》等。法定情形一般包括,充分性個人數據保護水平、充分且具有約束力的個人數據保障措施、具有約束力的公司規則和數據主體的同意等。
但《數字個人數據保護法》只規定了個人數據跨境傳輸“黑名單”制度,并沒有規定個人數據跨境傳輸能否進行的判斷依據,缺乏個人數據跨境傳輸的法定情形。根據《數字個人數據保護法》第16條第1款,印度中央政府可通過發布通知的形式,直接列出禁止向其進行個人數據跨境傳輸的國家,即政府在確定限制名單和措施時,會根據具體情況作出決定。
《數字個人數據保護法》第17條規定了個人數據跨境傳輸規則適用的例外情形,包括以下幾個方面:
行使法定權利或索賠。對個人數據跨境傳輸規則的限制不得妨礙數據主體行使法定權利或進行索賠,在財產糾紛、離婚糾紛、民事索賠等案件中,必要時,數據主體仍然可以進行個人數據跨境傳輸。履行監管、監督或司法職能。印度法院等司法或監管機構出于跨境執法、監管或監督的需要,可以跨境傳輸個人數據,即使數據接收方被印度中央政府列入限制個人數據跨境傳輸的名單之中。預防、偵查、調查或起訴犯罪。印度警方和執法機構在國際刑事調查、起訴或引渡等活動中,跨境傳輸個人數據是為了預防、偵查、調查或起訴任何違反印度現行法律的違法行為時,不受個人數據跨境傳輸“黑名單”國家制度的限制。此外,若私營公司需要跨境傳輸的個人數據與正在進行的內部調查或欺詐等活動相關時,其傳輸活動也屬于例外情形。基于與外國實體簽訂的合同。若個人數據跨境傳輸活動是基于印度境內的任何人員與印度境外的外國實體簽訂的合同進行的,對個人數據跨境傳輸規則的限制也不再適用,因為其在為外國客戶處理非印度的個人數據。公司之間的合并、重組、收購等。在經法院或其他有權機構批準進行的兩個或多個公司之間的合并、重組、收購等活動中,與外國公司簽訂合并、重組、收購協議的印度實體,可以將員工信息和其他個人數據傳輸至該外國公司,即使該外國公司位于個人數據跨境傳輸“黑名單”國家。向金融機構獲取違約者財務狀況。在符合有關信息或數據披露的有效法律規定的情況下,需要向金融機構獲取貸款或預付款違約者的資產和負債等財務狀況時,不受個人數據跨境傳輸“黑名單”制度的限制。
(來源:人民法院報)
浙公網安備 33010502006954號 
