数据合规前沿·亚洲|印度《2023年数字个人数据保护法》要点
2023年8月,印度议会两院通过了《2023年数字个人数据保护法》(The Digital Personal Data Protection Act 2023,以下简称“DPDP 2023”),该法案已获得印度总统批准并在政府公报上公布。
汇衡持续关注全球市场个人信息保护相关法律法规的立法动态。根据与汇衡密切合作的印度律师事务所KHAITAN & CO(https://www.khaitanco.com)的介绍,DPDP 2023的要点如下:
1. 适用性
DPDP 2023适用于在印度境内以数字形式收集的个人数据,以及非以数据形式收集但随后被数字化的个人数据。
如果向印度境内个人提供商品或服务,则相关个人数据处理活动即使发生在印度境外,也将适用DPDP 2023。
DPDP 2023不适用于公开的个人数据。
2. 豁免
在一定情形下,DPDP 2023中的相关义务可被豁免适用,例如:
依据印度实体和外国实体之间的合同(例如外包合同)处理印度境外个人的个人数据。
根据所处理的个人数据的数量和性质,中央政府也可以豁免某些数据受托人(类似于GDPR下的数据控制者或中国《个人信息保护法》下的个人信息处理者)的告知义务等。
3. 跨境数据传输
原则上允许向印度以外的所有国家或地区传输个人数据,但中央政府明确通知予以限制的国家或地区除外。
如果相关法律法规就跨境传输有更严格的规定,则以更严格的规定为准。
4. 儿童个人数据的处理
就儿童个人数据的处理,DPDP 2023规定了额外的义务,例如:
必须获得父母/合法监护人的“可验证的同意”。
禁止行为监控、定向广告、以及可能对儿童健康造成任何不利影响的处理活动。
另外,如果数据受托人能够以可验证的安全方式处理儿童个人信息,中央政府可以降低儿童年龄限制,具体以中央政府通知为准。
5. 印度数据保护委员会
计划成立印度数据保护委员会(Data Protection Board of India),其有权调查处理基于DPDP 2023提出的投诉,并作出处罚。
6. 个人数据处理的告知和同意
同意应当是自愿的、具体的、在知情的情况下作出的、无条件的、且无歧义的,并应当通过采取明确的肯定性动作来对特定目的的处理活动表示同意。
除了获得同意,DPDP 2023还规定了其他合法性基础,例如特定的“合法使用”情形,例如为了雇佣相关的目的、遵守司法命令或履行法律义务而处理个人数据。
7. 数据受托人的义务
数据受托人在处理个人数据时应履行相关义务,例如实施适当的技术和组织措施以及合理的安全保障措施、建立有效的申诉机制、在实现处理目的后删除个人数据、报告个人数据泄露事件等。
8. 重要数据受托人
中央政府可以基于处理数据的数量和敏感性等因素而确定并通知其是否构成重要数据受托人。如构成重要数据受托人,其将负有额外的义务,例如任命一名居住在印度的数据保护官、任命一名独立的数据审计员、进行数据保护影响评估等。
9. 罚款
根据违法行为的性质,数据受托人可能被处以最高5亿印度卢比(600万美元)至25亿印度卢比(3,000万美元)不等的罚款。
如涉及多项违法行为,可处以累计超过25亿印度卢比(3,000万美元)的罚款。
本文主要内容译自:India’s Digital Personal Data Protection Act 2023: Highlights, KHAITAN & CO.