印度数据保护要求

 1.前言 

印度宪法赋予公民隐私权作为基本权利。这项宪法权利对印度法律有长期影响，影响着政策和司法行动。除了对公法的影响外，这一权利还推动了防止侵犯隐私权的发展。

1.1.主要法案、法规、指令

一般来说，印度的数据保护要求来自多个不同的来源，包括：

• 2000年信息技术法（“IT法”）、2011年信息技术（合理的安全实践和程序以及敏感个人数据或信息）规则（“SPDI规则”）；
• 信息技术（印度计算机应急响应小组和履行职能和职责的方式）规则，2013年（“CERT-In规则”）；
• 第20(3)/2022-CERT-In号指示（“指示”）；
• 2019年《消费者保护法》（“CPA”）和2020年《消费者保护（电子商务）规则》；
• 印度储备银行（“RBI”）制定的规则；
• 印度电信监管局（“TRAI”）实施的规则；
• 印度保险监管和发展局规定的规则；
• 印度证券交易委员会（“SEBI”）制定的规则；
• 养老基金监管和发展局制定的规则；
• 印度法院的各种判决；和
• 电信部('DOT')根据2012年国家电信政策发布的统一许可协议。

IT法案和SPDI规则：大多数公司，无论属于哪个行业，都最容易受到IT法案和SPDI规则的影响。

IT法案规定，处理敏感个人数据或信息的法人团体有责任就其在实施和处理过程中的疏忽造成的任何损失承担赔偿责任，并维持合理的安全措施和程序。

虽然IT法案没有定义“合理的安全实践和程序”，但根据IT法案制定的SPDI规则规定了敏感个人数据的最低数据保护标准。SPDI规则要求公司制定隐私政策，在收集或传输敏感的个人数据或信息时获得同意，并将此类收集的数据告知接收者的数据主体。SPDI规则与其他更现代的数据制度之间的主要区别之一是同意仍然是处理数据的主要依据。

在这方面，《信息技术法》还规定了刑事处罚，包括对未经数据相关人员同意披露个人信息的人处以最高三年的监禁和罚款，如果此类披露违反合同或导致错误的损失或收益（见下文）。

立法和政策草案：除上述内容外，以下规范数据保护原则的法律和政策草案正处于讨论或实施的不同阶段：

• 非个人数据治理框架（“NPD框架”），目前正在由电子和信息部组成的专家委员会审议；
• 国家数据治理框架政策草案；
• 2017年医疗保健法案中的数字信息安全（“DISHA”）；

2022年8月，鉴于行业和政治上的阻力，政府撤回了印度的数据保护法草案，即2019年个人数据保护法案（以下简称“法案”）。相反，政府打算引入一个全面的法律框架来规范数字生态系统中的隐私。

1.2.判例法

印度关于数据保护和隐私的判例法源自印度最高法院的裁决[2012年第494号令状（民事）]。最高法院认为，隐私权是宪法第21条保护的生命权和人身自由权承诺的内在要素，其核心包括不侵犯隐私权和采取一切必要行动保护隐私权的积极权利。

最高法院接着澄清，任何侵犯隐私权的法律都将受到宪法审查，并且必须满足以下三个方面的要求：
• 合法性
• 必要性
• 相称性

此外，该国的反垄断监管机构印度竞争委员会目前正在审理多起涉及滥用数据的投诉，这些投诉与某些公司滥用支配地位和反竞争行为的争论有关。

 2、适用范围 

2.1.个人范围

SPDI规则适用于自然人。

2.2.地域范围

SPDI规则是根据IT法案发布的，除了具有境内适用性外，还适用于在印度境外发生的违法行为，前提是违法行为涉及印度境内的电子资源（electronic resources）。

2.3.数据范围

SPDI规则通常适用于处理敏感个人数据或信息的法人团体，这类个人数据包括密码、财务信息、身体、生理和心理健康状况、性取向、医疗记录和历史以及生物识别信息。但是，某些规则适用于所有个人数据的处理，例如关于隐私政策发布、访问和纠正权、申诉补救和信息传输的规则。

 3.数据保护监管机构 

3.1.数据保护的主要监管机构

MeitY有权就电子和信息技术领域的事务提供指导。在涉及安全事件的事务中，MeitY组建了印度计算机应急响应小组('CERT')，作为接收和响应所有违规通知的机构。根据现行法律，违规通知会发送给CERT。

3.2.主要权力和职责

根据现行法律，MeitY可以向公司发布澄清或指导，并且CERT接收并调查违规事件。

 4.关键定义 

个人数据：根据SPDI规则，“个人信息”是指与自然人相关的任何信息，这些信息直接或间接地与法人团体可获得或可能获得的其他信息相结合，能够识别该人。

敏感数据：根据SPDI规则，“敏感个人信息或数据”是指密码、财务信息、身体、生理或心理健康状况、性取向、医疗记录和历史以及生物特征信息。但是，它不包括可在公共领域免费获得或访问的任何个人数据。

生物识别数据：根据SPDI，“生物识别”被定义为测量和分析人体特征的技术，例如指纹、视网膜和虹膜、语音模式、面部模式、手部测量和用于身份验证目的的DNA。

 5.法律依据 

根据SPDI规则，同意是处理数据的唯一依据。

5.1.同意

根据现行法律，同意是处理数据的主要形式。同意的性质没有明确定义，因此企业通常依赖合同法的一般原则来确定应如何、何时以及通过何种方式获得同意。如果同意是在不受不当影响的情况下自由获得的，那么获得同意的过程和方法几乎没有限制。但是，如果此类同意是通过标准格式合同获得的，则合同条款必须合理。

根据SPDI规则，数据提供者应该可以选择不提供法人团体正在寻求的数据或信息。信息提供者在利用法人团体的服务时应始终拥有此选项，并且可以选择撤回之前可能已给予的同意。

与许多其他司法管辖区不同，如果供应商不同意收集信息或以其他方式撤回他们的同意，SPDI规则允许法人团体不提供所寻求信息的商品或服务。

除了选择不共享信息的权利外，信息提供者还有权审查他们提供的信息，并在不正确的情况下寻求更正或修改此类信息。

 6.原则 

根据SPDI规则，敏感个人数据只能出于与法人团体的职能或活动相关的合法目的而收集，并且收集数据必须是出于此类目的所必需的。

 7.控制者和处理者的义务 

SPDI规则不考虑或区分控制者和处理者的概念。所有处理个人数据的公司都必须在其网站隐私政策上显示其处理活动的通知、收集的数据类型和收集目的、任何披露做法以及对其安全保护措施的描述。

7.1数据传输

SPDI规则：允许在印度境内或境外出口敏感的个人数据或信息，前提是遵守印度要求的相同数据保护标准，并且传输是履行合法合同所必需的，或者已经得到数据提供者的同意信息。

RBI本地化要求：印度储备银行已指示所有涉及支付行业的公司（无论是银行还是其他公司）在印度处理和存储所有财务信息。在涉及外国分支和国内分支的跨境交易的情况下，监管机构要求在转移前进行镜像（mirroring）。

付款交易可能在国外处理，但是，在完成处理后，与处理相关的所有数据应仅存储在印度，并应删除印度境外的所有记录。

此外，印度储备银行于2022年9月发布的《数字借贷指南》要求商业银行和非银行金融公司等受监管实体，仅将所有数据存储在位于印度境内的服务器中。

7.2.数据处理记录

不适用。

7.3.数据保护影响评估

不适用。

7.4.数据保护官任命

SPDI规则要求法人团体任命一名申诉官（grievance officer），负责解决信息提供者可能提出的申诉（SPDI规则第5(9)条）。信息提供者可能对信息处理提出的任何申诉将由法人团体在规定时间内解决，且不得迟于收到申诉之日起一个月。

7.5.数据泄露通知

SPDI规则未提及在发生数据泄露或网络安全事件时应遵循的流程或程序。
但是，CERT提供了向CERT通知违规的要求。某些网络安全事件必须由受监管实体在注意到或被告知此类事件后六小时内强制报告给CERT。

7.6.数据保留

SPDI规则;虽然SPDI规则规定信息收集者保留信息的时间不应超过要求的时间，但它们并未指定数据可以存储多长时间的限制期限。

RBI规定:根据KYC规范和反洗钱标准，已指示银行自交易之日起至少保留交易记录五年。

电信规定：TRAI颁发的许可证规定了不同的保留期限，具体取决于数据的基本性质。例如，设备的安全测试结果应从设备采购之日起保留10年。通话记录应至少保留一年，除非监管机构另有指示，否则应在之后删除。

7.7.儿童资料

鉴于无法获得未成年人的有效同意，企业在处理儿童数据时最好先征得父母或监护人的同意。

 8.数据主体权利 

8.1.知情权

收集、接收、拥有、存储、处理或处理个人信息（包括敏感个人数据）的公司必须制定隐私政策，详细说明所收集个人数据的类型、收集和使用个人数据的目的、披露，以及所采用的安全措施和程序。

8.2.访问权

个人有权查看法人团体可能拥有的关于他们的信息。

8.3.整改权

个人有权要求更正或修改法人团体可能拥有的关于他们的不准确或不充分的信息。

8.4.删除权

根据SPDI规则，没有明确的删除权。但是，个人有权撤回对处理其个人数据的同意，最近的市场实践表明，越来越多的趋势承认在行使此类权利时隐含的擦除权。

8.5.反对/退出的权利

根据SPDI规则，数据主体有权撤回同意。

 原则 

SPDI规则：在实施和维护保护敏感个人数据或信息的安全措施和程序方面疏忽的法人团体可能有责任向受影响的人支付赔偿。在这方面，没有规定可能征收的最高赔偿额。

另外，根据IT法或SPDI规则授予的权力获取信息的人可能会因向第三方披露信息、文件、通信、电子记录或其他材料而被处以最高两年的监禁和/或罚款，未经信息披露人同意。董事和其他负责开展业务的人员可能对公司的违法行为负责，除非他们证明他们不知道违法行为或他们已尽职调查以防止违法行为。

CPA：根据CPA，未经授权披露秘密提供的个人信息将构成不公平的贸易行为，并允许消费者在这方面寻求补救措施。

DISHA：违反个人数字健康数据的人有责任通过向数据所有者赔偿的方式支付损害赔偿金。如果发生严重违规行为，例如，如果违规行为是故意或欺诈性发生的，则违规者可能会被监禁三至五年或可能被处以至少500,000印度卢比的罚款。

精彩推荐

原文始发于微信公众号（FreeBuf）：印度数据保护要求