印度个人数据保护法案2019与GDPR主要点比较（附印度数据法案2019版中译本）

个人敏感数据的定义

• 财务数据。

•健康数据。

•官方标识符。

•性生活。

•性取向。

•生物识别数据， 

•遗传数据。

•变性或双性恋状态。

•种姓或部落。

•宗教或政治信仰。

•种族或民族血统。

•政治观点，宗教或哲学信仰。

•工会会员资格。

•遗传数据。

•生物特征识别数据（用于唯一识别自然人）。

•健康。

•性生活或性取向。

与犯罪定罪和犯罪有关的个人数据受欧盟或成员国法律规定约束。

印度法案对于个人敏感数据的范围更大，允许政府与数据保护机构协商，以定义敏感个人数据的其他类别（需要考虑一定的因素）。

同时，相比与GDPR，印度法案未见把犯罪相关的数据定义为敏感数据的条款。

处理个人数据的法定基础

规定了七种处理个人数据合法基础：

•同意。

•法律义务。

•涉及生命或严重健康威胁的紧急医疗事件。

•提供医疗或保健服务。

•在灾难期间保护个人安全。

•就业目的。

•法规可能指定的“合理目的”，包括防止或侦查非法活动，举报，并购，网络和信息安全，信用评分等等。

规定了六种处理个人数据合法基础：

•同意。

•履行合同。

•法律义务。

•合法权益。

•保护生命及重要利益。

•公共利益。

印度法案中没有把“为履行合同必要”作为合法基础。

•印度法案中的“合理目的”基础类似于GDPR的合法权益基础，但仅限于法规规定的目的。

数据保护影响评估

DPIA仅适用在重要数据受托人的以下情况：

• 新技术的重要数据受托人。

• 大规模分析或使用敏感数据；

• 规章可能规定的其他具有重大损害风险的活动。

必须将所有DPIA提交给DPA进行审查，并且DPA可以指示数据受托人停止处理数据。

GDPR要求数据控制者对某些“高风险”活动进行DPIA，包括（1）系统而广泛的分析；（2）大规模处理敏感数据；（3）大规模系统地监视公共区域。

同时，在无法减轻风险的情况下，数据控制者必须在进行数据处理之前咨询DPA

印度法案要求所有的数据保护影响评估都需要提交给DPA进行审核，这一点也是和GDPR不一样的地方。

数据跨境传输

允许将个人敏感数据的副本在印度以外的地方转移的情况：

• 数据主体明确同意。

• 根据DPA批准的合同或集团内部计划进行的。

• 政府认为一个国家或一个国家中的实体类别可提供足够的保护。

• DPA已明确授权转让。

请注意，在预防，调查或起诉犯罪，执行合法权利和获得法律建议方面存在一定的豁免情况。

允许在EEA外转移个人数据的情况：

• 接收方位于欧委会认为对个人数据提供足够保护水平的地区。

• 采取了适当的保障措施，例如欧委会批准的标准合同条款或DPA批准的具有约束力的公司规则。

• 其他合理情况，例如，数据主体明确同意，为履行合同而必须转移等等。

个人敏感数据可转移到印度境外，但此类敏感的个人数据应继续存储在印度。

数据本地化存储

• 对于关键的个人数据，只能在印度境内进行处理，并为该等数据的境外转移的严格本地化要求提供了例外条件，例如紧急情况或中央政府基于国家安全利益考虑等。

• 对于个人敏感数据，必须存储在印度境内，但其副本可以按照跨境转移的要求进行传输到印度境外

除非没有满足数据跨境转移的要求，否则无本地化存储的要求

此为两法案的重要差别点之一.

印度法案允许政府对何为“关键个人数据”进行定义，且对政府进行此类指定的权力没有任何限制，即政府具有比较大的自由裁量权。

审计要求

• 重要的数据受托人委托独立审计员对其数据处理行为进行年度审计。

• 数据审计员可以采用信用评级的方式对数据受托人进行评分。

  
  

数据处理者必须同意与数据控制者签订的合同中的审计条款。

GDPR没有类似的审计条款，这也是印度法案的一大特色。

数据泄露通知

• 如果“可能对任何数据主体造成损害”，则数据受托人必须“尽快”将违规行为通知DPA，并通过法规确定通知的时间段。

• DPA可以指示数据受托人在其网站上发布有关泄露的情况信息（或可以在其自己的网站上发布）。

  
  

• 数据控制者必须在72小时内通知DPA，除非泄露情况不会给个人带来风险

• 只有在很可能对个人造成“高风险”的情况下，数据控制者必须立即通知数据泄露情况。

数据处理者必须立即数据泄露情况通知数据控制者

印度法案把通知的时间要求，是否通知，采取哪些措施，都交给了DPA来决定。

同时，对于数据处理者没有提出需要向数据受托人做出数据泄露通知的要求。

罚款规定

• 规定了刑事责任，针对重新识别去标识化的个人数据的行为；

• 行政处罚：最高1.5亿卢比的罚款，或企业全球营业额的4％。

• •DPA还可能发布禁令性罚款，包括禁止处理，限制国际转移和要求删除个人数据的能力。

• 未规定刑事责任，但允许成员国对违反法规和适用国家法规的行为施加刑事处罚。

• 行政处罚：最高处以2000万欧元的罚款，或企业全球年度营业额的4％。

• DPA可能还会发出禁令性罚款，包括阻止处理，限制国际转移以及要求删除个人数据的能力。

处罚机制基本相同，但印度规定了刑事责任，同时也允许个人通过听证会寻求赔偿。

社交媒体中介（SIM）

要求SIM应该使在印度注册或使用服务的用户可以自愿验证其帐户，且验证该帐户的用户应获得可证明且可见的标记

未提及

这是印度法案的特色点，因为SIM对印度的民主选举、国家安全、主权等有非常重要的影响，特别是重要数据受托人的时候。

关于DPA注册登记

重要数据受托人需要按照规定到数据保护局进行注册登记

未提及

这一点也是印度数据法案特色之一。