2022.12.09 陆斯珮
2022年11月18日,印度电子与信息技术部(MeitY)在其网站上发布了《2022年数字化个人数据保护法案》(Digital Personal Data Protection Bill, 2022,以下简称“2022DPDP法案”)征求意见稿,面向社会公开征求意见至2022年12月17日。这是继今年8月印度撤回《2019个人数据保护法案》(Personal Data Protection Bill, 2019,以下简称“2019PDP法案”)草案后,政府发布的第一部数字化个人数据保护的综合性法律治理框架。在内容方面,2022DPDP法案的内容相较2019PDP法案要更简单,但也将2019PDP法案在起草时被广泛讨论的意见纳入其中。
本文基于2022DPDP法案征求意见稿的主要内容,与我国《个人信息保护法》(以下简称“《个保法》”)进行对比,简要评述印度个人数据保护立法的最新进展。
一、立法特色
与我国《个保法》相比,印度2022DPDP法案具有以下特色:
1. 域外效力
与我国《个保法》、欧盟GDPR以及全球其他多数国家的个人数据保护相关法律类似,印度2022DPDP法案也具有一定的域外效力。法案规定,对于以向境内个人提供货物或服务、分析境内个人的行为为目的而在境外开展的数据处理活动也受制于2022DPDP法案的约束。这与我国《个保法》的域外效力范围类似。至于2022DPDP法案是否会参考GDPR对域外效力的范围进行一定的约束性解释,可能需要印度政府进一步进行说明。
2. 个人数据范围更狭窄
虽然印度2022DPDP法案将个人数据定义为可识别到个人或与个人有关的任何数据,但适用该法案的个人数据的范围实际可能更狭窄。首先,印度2022DPDP法案在名称上就使用了“Digital”的限定,法案第4条第(3)款也明确规定了该法案不适用于非自动化处理的、离线储存的个人信息。我国《个保法》虽然也突出对数字化、在线个人信息处理及自动化决策活动的规制,但是在适用范围上并没有明确限制对非数字化个人信息的保护。其次,印度2022DPDP法案不适用于已经存在了至少100年的与个人有关的数据,但我国《个保法》并无此限制,且有保护死者个人信息的条款,允许死者的近亲属为了自身的合法、正当利益,对死者的相关个人信息行使查阅、复制、更正、删除等权利。
3. 创设了数据受托人和同意管理人制度
不同于我国《个保法》采用“个人信息处理者”的称谓,印度2022DPDP法案对企业等开展个人数据处理活动的主体采用了“数据受托人”的说法,突出个人与数据处理者之间的关系是建立在相互信任的基础上。基于此信托理论的逻辑,该法案进一步设立了同意管理人(Consent Manager)制度。该制度可以被视为印度个人数据保护立法中的一大亮点。依据该法案第7条第(6)-(7)款,同意管理人需要在印度国内的数据保护委员会进行注册,同意管理人可基于个人信息主体的委托代为行使各项个人主体权利,为个人提供一个可访问、透明和可互操作的平台来授予、管理、审查和撤回其个人同意。同意管理人的引入反映了立法者希望藉此补强个人在数字社会中的弱势地位、克服算法黑箱,以实现在数字社会中的个人信息自决。
4. 没有敏感个人信息的概念
大多数国家的个人数据保护法都会提出对敏感个人信息进行特殊保护的要求,但印度2022DPDP法案却在最终的征求意见文本中删去了这一概念,相当于所有个人数据均要求同样的保护水平。不过,2022DPDP法案还是对儿童个人数据保护进行了专门的规定,该法案第10条要求在处理儿童的任何个人数据之前,数据受托人应以规定的方式获得其父母可核实的同意。数据受托人不得对儿童进行追踪或行为监测,或开展针对儿童的广告营销。印度中央政府已被授权制定有关处理儿童个人数据的细则,特别是确保数据受托人不针对可能给儿童造成伤害的个人数据进行处理。
5. 以推定同意囊括个人数据处理的其他合法性基础
自从GDPR提出了“同意”不是处理个人数据的唯一合法性基础的理念后,构建多元化的个人数据处理合法性基础已成为国际上主流的立法趋势。我国《个保法》同样借鉴了这一理念。《个保法》第13条提出除取得个人同意之外,还有6项其他处理个人信息的合法性基础,包括为了履行合同所必须、遵守法定职责或义务、保护个人重大权益、为社会公共利益等。值得注意的是,尽管印度2022DPDP法案也包含了类似保护个人重大利益、社会公共利益的其他合法性基础,但却是以获得个人同意为前提的。具体而言,该法案第7条首先规定个人基于数据受托人清晰且充分的告知而作出同意是个人数据处理的合法性事由,在此基础上,第8条提出推定同意(Deemed Consent)的概念,规定了可以推定同意的主要情形包括个人信息主体自愿向数据受托人提供其个人信息且有理由预期其提供该等个人信息;为履行政府职能或向个人信息主体提供任何服务或利益;为遵守依法发出的任何判决或命令;用于应对紧急情况,如医疗紧急情况或提供救灾;用于与就业有关的目的;为了公共利益,包括预防和侦查欺诈、企业合并收购、网络和信息安全、信用评分;操作搜索引擎处理公开的个人数据和追讨债务。依照上述规定,可以将推定同意理解为,在上述法定情形下,法律认为一个具有隐私管理能力的理性自然人应当对该等个人数据处理活动作出同意。从形式上来说,此举确实使得同意似乎是唯一的合法性基础,与全球主流的个人数据保护立法理念不一致,但实质上来说个人数据处理的合法性基础仍然是多元的,因此可以姑且理解为是一种不同的立法技术。
6. 确立了个人数据处理活动的监管机关及监管措施
根据印度2022DPDP法案第19条的规定,法案授权中央政府通过通知的方式设立印度数据保护委员会。该委员会将负责执行2022DPDP法案的各项规定,是个人数据处理活动的监管机关。根据该法案第20条的规定,数据保护委员会的主要职责包括:
(1) 确定数据受托人不遵守法案的具体违规行为并施加处罚;
(2) 为履行法定职能,可以向任何人发出指令;
(3) 处理个人数据泄露等数据安全事件,指示数据受托人采取紧急措施减轻和弥补数据泄露给个人信息主体带来的伤害。
值得强调的是,印度数据保护委员会有权对任何违反2022DPDP法案的行为施加经济处罚,该类处罚措施需以开展听证会为前提。
2022DPDP法案附表1进一步罗列了数据受托人具体的违规行为与相应的罚款数额:如果数据受托人没有采取合理的安全保护措施防止个人数据泄露,可能会被处以最高25亿卢比(约合2.18亿人民币)的罚款;发生个人数据泄露事件后,如果未能及时通知数据保护委员会和受影响的个人信息主体,则可能会被处以最高20亿卢比(约合1.74亿人民币)的罚款;不履行与儿童个人数据保护有关的额外义务,也可能被处以最高20亿卢比(约合1.74亿人民币)的罚款;重要的数据受托人不履行义务可能会被处以最高15亿卢比(约合1.31亿人民币)的罚款;违反法案其他规定的违规行为可能会被处以最高5亿卢比(约合4400万人民币)的罚款。
二、不足之处
1. 个人信息主体的权利受限
较之于我国《个保法》,印度2022DPDP法案下的个人信息主体权利和自由明显受到更多限制,主要体现在以下几个方面。
首先,权利种类数量更少,只包括知情权、查阅权、更正删除权、同意撤回权,而对于数据可携带权、限制数据处理权、反对自动化决策权等均未作规定。
其次,具体的权利行使受到更大的限制,最显著的体现是该法案史无前例地允许数据保护委员会对违规行使权利的个人信息主体施加经济处罚。根据附表1及第16条的规定,个人信息主体在行使权利时如果违反法案内的任何规定,向数据受托人提出虚假或轻率的权利申诉,申请查阅文件、服务或各类证明时提供虚假信息或隐瞒重要资料或冒充他人,行使数据更正删除权时提供未经核实的虚假信息,将被处以10,000卢比(约合870元人民币)的罚款。我国《个保法》并未对个人行使权利做出明确的限制,虽然司法实践中,部分法院案例1中要求个人依据其权利行使诉权需要以穷尽数据处理者服务平台内的救济为前提,且理论上有学者2借鉴欧盟GDPR的做法,提出个人信息主体行使查阅复制权时,个人信息处理者有义务对其身份进行验证,以确定是否为其本人,但可以肯定的是上述对权利行使的限制都未达到对个人信息主体不当行使权利而施加行政处罚的程度。
2. 数据受托人的义务负担较轻
与我国《个保法》的理念基本一致,印度2022DPDP法案同样对数据受托人设置了一定的义务并根据具体的处理场景和角色进行了细分。该法案将数据受托人进一步细分为一般数据受托人、受托数据处理者、重要数据受托人三种类型。其中,对于重要数据受托人的义务负担,明显低于我国《个保法》的要求。
对于一般数据受托人,印度2022DPDP法案规定的义务局限在四个方面,一是确保信息准确完整;二是采取技术和组织措施对其控制的个人数据进行安全保障以防止泄露;三是及时删除个人数据;四是为个人信息主体建立有效的申诉和补救机制。
对于受托进行数据处理的情形,印度2022DPDP法案规定数据处理的委托方需要获得个人的有效同意才能向第三方分享、转移或委任其代为处理个人数据。受托数据处理者在获得数据处理的委托方同意的情况下,可以进一步转委托他人处理个人信息。
对于重要数据受托人,法案规定了一系列特别的义务。其中,第11条第(2)款规定重要数据受托人需要任命一名数据保护官员,该数据保护官必须是位于印度的个人;需要任命一名独立数据审计员,负责评估重要数据受托人对2022DPDP法案条款的遵守情况。重要数据受托人还需要根据中央政府预期制定的规则,进行数据保护影响评估和定期审计。
3. 政府的豁免和裁量权限过大
2022DPDP法案最令人失望和遭到诟病的一点是赋予政府过多的豁免和裁量权限。
关于豁免权限,该法案第18条对政府等公权力机关的个人数据处理活动的豁免情形进行了集中的规定,具体可以归纳为以下两个方面:首先,执行各项法律权利或索赔、履行司法职能所必需、为调查起诉各类犯罪行为而开展的数据处理活动不受2022DPDP法案的限制(除防范个人数据泄露的义务);其次,中央政府可以基于保护国家主权安全及维护公共秩序等事由经通知直接豁免2022DPDP法案对数据处理活动的限制,这意味着中央政府的个人数据处理活动很可能在实践中不受任何限制。
关于政府的裁量权限,在实践中违反2022DPDP法案的数据受托人可能最高会被处以50亿卢比(约合4.35亿人民币)的罚款(该数额远高于法案附表1中规定的数额限制),这是由于根据法案第27条的规定,中央政府有权修改该法案的附表1,修改后的处罚限额最多不能增加到附表1规定的两倍以上,这意味着中央政府可以不受法案对罚款最高数额的限制。
4. 对个人数据跨境转移的规定较为笼统
与我国《个保法》建立完整的个人信息出境体系相比,印度2022DPDP法案关于个人数据跨境的问题明显回应不足。法案第17条只是宽泛地规定数据受托人可以按照规定的条款和条件向中央政府指定的某些境外国家或地区进行数据转移,但该转移必须以中央政府对必要的因素进行评估后发出通知为前提。然而,关于数据本地化要求,或数据向境外转移需满足的具体条件或规则及中央政府评估数据出境时考量的因素、可进行数据跨境的境外接收方国家或地区名单等,均没有进一步的规定。
三、结语
印度2022DPDP法案固然有其鲜明的立法特色,但对于个人信息主体权利的行使过度受限、数据受托人承担的个人数据保护义务较轻、政府在数据处理活动中拥有过大的豁免和裁量权、数据跨境转移规则的缺失等方面,都使得该法案令人有些许失望。我们理解,由于境外科技巨头等多方利益群体的激烈反对,导致最终颁布的2022DPDP法案征求意见稿较之前的2019PDP法案在内容上有巨大的删减,可以理解是一种现实的妥协。
2022DPDP法案的征求意见稿一方面没有如预期的为个人信息主体在数字时代构建有效的信息权利屏障,另一方面因行政处罚数额高、裁量空间大,数据出境规则模糊等,可能导致企业对开展商业活动的数据合规要求没有明确的判断标准,合规风险较大。我们也期待在2022DPDP法案征求意见后,印度政府能就上述问题提供进一步的解释和细则,我们也将持续关注印度后续数据立法进程。
印度律师Jitendra Soni与实习生史晓宇对本文亦有贡献
1.杜某诉某网络公司个人信息保护纠纷案,杭州互联网法院(2022)浙0192民初4330号民事判决书,该案系首例个人信息权利请求权诉权行使前置条件审查的典型案例,是杭州互联网法院发布的“个人信息保护十大典型案例”之一。
2.参见程啸、王苑:《论我国个人信息保护法中的查阅复制权》,载《法律适用》2021年第12期,第23页。