印度个人数据保护法案2019与GDPR主要点比较(附印度数据法案2019版中译本)
编辑:王捷
白鲸出海注:本文是资深出海法律顾问 Jackie Wong (微信公众号ID:Legal-Jackie)发布在白鲸出海的专栏文章,转载须保留本段文字,并注明作者和来源。商业转载/使用请前往资深出海法律顾问 Jackie Wong 主页联系,寻求作者授权。
根据印度当地媒体的报道,负责审查印度《个人数据保护法案》的联合议会委员会在 2 月份就法案本身向公众征求意见。利益相关者可以通过电邮方式发表对法案的意见,且提交后不会进行公开。大众关注的问题主要聚焦于政府责任豁免,与政府共享数据、数据使用、对初创企业的合规成本和风险等问题。
其中与政府共享数据以及政府权利的讨论,特别受到当地隐私保护人士的批评与关注,部分如法官等专业人士认为,草案在关于 DPA(数据保护局)的组成的规定中,赋予了中央政府非常大的权利,由政府选择 DPA 的组成成员。并认为这样做不利于解决整个国家的数据合规性问题,DPA 中应该有业内“所有利益相关者”的代表,以保持力量均衡。另一点收到高新科技企业关注的则是数据本地化存储的问题,以及是否会像 GDPR 一样,给予两年的合规整改过渡期。
该法案草案的下一步预计将会正式成为法案,但考虑到印度政府关于上述公众征询意见,以及目前新冠疫情的影响等因素,有可能仍然会有一定的调整和改动。
2019 印度个人数据保护法案是东南亚地区数据保护法律中非常重要的一个文件,对于出海印度市场的互联网企业,需要特别进行重视,并需尽早规划好企业内部的数据合规布局策略。
因此,我们今天主要就印度个人数据保护法案 2019 与 GDPR的几个关键问题进行对比。
个人敏感数据的定义 | • 财务数据。 •健康数据。 •官方标识符。 •性生活。 •性取向。 •生物识别数据, •遗传数据。 •变性或双性恋状态。 •种姓或部落。 •宗教或政治信仰。 | •种族或民族血统。 •政治观点,宗教或哲学信仰。 •工会会员资格。 •遗传数据。 •生物特征识别数据(用于唯一识别自然人)。 •健康。 •性生活或性取向。 与犯罪定罪和犯罪有关的个人数据受欧盟或成员国法律规定约束。 | 印度法案对于个人敏感数据的范围更大,允许政府与数据保护机构协商,以定义敏感个人数据的其他类别(需要考虑一定的因素)。 同时,相比与GDPR,印度法案未见把犯罪相关的数据定义为敏感数据的条款。
|
处理个人数据的法定基础 | 规定了七种处理个人数据合法基础: •同意。 •法律义务。 •涉及生命或严重健康威胁的紧急医疗事件。 •提供医疗或保健服务。 •在灾难期间保护个人安全。 •就业目的。 •法规可能指定的“合理目的”,包括防止或侦查非法活动,举报,并购,网络和信息安全,信用评分等等。 | 规定了六种处理个人数据合法基础: •同意。 •履行合同。 •法律义务。 •合法权益。 •保护生命及重要利益。 •公共利益。 | 印度法案中没有把“为履行合同必要”作为合法基础。 •印度法案中的“合理目的”基础类似于GDPR的合法权益基础,但仅限于法规规定的目的。
|
数据保护影响评估 | DPIA仅适用在重要数据受托人的以下情况:
必须将所有DPIA提交给DPA进行审查,并且DPA可以指示数据受托人停止处理数据。 | GDPR要求数据控制者对某些“高风险”活动进行DPIA,包括(1)系统而广泛的分析;(2)大规模处理敏感数据;(3)大规模系统地监视公共区域。 同时,在无法减轻风险的情况下,数据控制者必须在进行数据处理之前咨询DPA | 印度法案要求所有的数据保护影响评估都需要提交给DPA进行审核,这一点也是和GDPR不一样的地方。 |
数据跨境传输 | 允许将个人敏感数据的副本在印度以外的地方转移的情况:
请注意,在预防,调查或起诉犯罪,执行合法权利和获得法律建议方面存在一定的豁免情况。 | 允许在EEA外转移个人数据的情况:
| 个人敏感数据可转移到印度境外,但此类敏感的个人数据应继续存储在印度。
|
数据本地化存储 |
| 除非没有满足数据跨境转移的要求,否则无本地化存储的要求 | 此为两法案的重要差别点之一. 印度法案允许政府对何为“关键个人数据”进行定义,且对政府进行此类指定的权力没有任何限制,即政府具有比较大的自由裁量权。 |
审计要求 |
| 数据处理者必须同意与数据控制者签订的合同中的审计条款。 | GDPR没有类似的审计条款,这也是印度法案的一大特色。 |
数据泄露通知 |
|
数据处理者必须立即数据泄露情况通知数据控制者 | 印度法案把通知的时间要求,是否通知,采取哪些措施,都交给了DPA来决定。 同时,对于数据处理者没有提出需要向数据受托人做出数据泄露通知的要求。 |
罚款规定 |
|
| 处罚机制基本相同,但印度规定了刑事责任,同时也允许个人通过听证会寻求赔偿。 |
社交媒体中介(SIM) | 要求SIM应该使在印度注册或使用服务的用户可以自愿验证其帐户,且验证该帐户的用户应获得可证明且可见的标记 | 未提及 | 这是印度法案的特色点,因为SIM对印度的民主选举、国家安全、主权等有非常重要的影响,特别是重要数据受托人的时候。 |
关于DPA注册登记 | 重要数据受托人需要按照规定到数据保护局进行注册登记 | 未提及 | 这一点也是印度数据法案特色之一。 |
需要获得印度数据保护法草案中译本全文的朋友,请关注“出海互联网法律观察”或“白鲸出海”公众号并在后台留言“印度数据草案”。
文章信息来自于出海互联网法律观察 ,不代表白鲸出海官方立场,内容仅供网友参考学习。对于因本网站内容所引起的纠纷、损失等,白鲸出海均不承担侵权行为的连带责任。如若转载请联系原出处
友情提醒:白鲸出海目前仅有微信群与QQ群,并无在Telegram等其他社交软件创建群,请白鲸的广大用户、合作伙伴警惕他人冒充我们,向您索要费用、骗取钱财!