【全文】
【代序】
当前数字经济蓬勃发展,特别在全球化浪潮下,世界各国都面对着一系列全新的治理挑战。无可否认,海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件,时至今日,数据要素对于经济和社会发展变革有巨大驱动作用,数据作为基础性战略资源的论断已然成为国际社会的普遍共识,全球范围内的数据跨境流转利用成为各方高度关注的命题。
近年来,数据跨境流动的安全问题日益凸显。不可否认,数据治理问题本身具有非常复杂、宽广的视域,而系统检视这一问题、寻求应对方案的逻辑主线应当是新一代网络信息技术的发展态势以及与数据处理应用相伴随的机遇和风险类型考察。就此应当指出的是,一方面,围绕各类数据的利用,在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程当中,人们不断拥抱更多的发展机遇;另一方面,围绕各类数据的保护,民众在快速数字化的环境中也持续面对来源更为广泛、程度更为深刻的安全风险。
主要的域外国家和发达地区高度关注在数字贸易领域建立国际规则的问题,对此已在其推动的多个经贸谈判中有所涉及,这也成为各个国家有关数据安全制度政策域外延伸的重要组成部分,构成企业跨国运营过程中需要持续跟进的核心因素。团队汇聚资深的理论和实务专家完成《数据跨境治理国别规则》研究报告,发布相关成果并会形成系列更新,以飨读者!
——吴沈括,北京师范大学法学院博士生导师、中国互联网协会研究中心副主任。
【研究报告】数据跨境治理国别规则(8):印度
数据跨境治理国别规则(8):印度
1.印度数据治理的规范框架
1.1《信息技术法案》
1.2《信息技术(合理的安全实践和程序及敏感个人数据或信息)规则》
1.3《个人数据保护草案》
2.印度数据跨境的政策法规
2.1《信息技术(合理的安全实践和程序及敏感个人数据或信息)规则》
2.2《个人数据保护草案》
2.3部门法中的数据本地化要求
2.4《信息技术法案》
3.印度数据跨境的合规要求
3.1敏感个人数据或信息跨境传输
3.2非敏感个人数据或信息跨境传输
1.印度数据治理的规范框架
印度目前没有一部专门的数据保护法规。有关数据治理的政策规范框架主要涉及个人信息和敏感个人信息的保护,其制度要点阐述如下:
3.3《信息技术法案》(Information Technology Act, 2000)(以下简称“IT法案”)
印度议会于2000年10月17日颁布IT法案,并于2008年12月23日颁布了《信息技术(修正)法案》(Information Technology (Amendment) Act, 2008)。IT法案及其修正案是印度处理网络犯罪和电子商务相关事项的主要法律。该法案及其修正案适用于在印度境内外处理以下个人信息的个人和组织:(1)在印度境内的个人信息;和(2)个人信息在印度境外,但使用位于印度的计算机、计算机系统或计算机网络处理的个人信息。虽然该法案及其修正案中的部分条款规定了针对网络上个人信息使用的保护,但主要侧重于信息安全,而不是数据保护。
3.4《信息技术(合理的安全实践和程序及敏感个人数据或信息)规则》(Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011)(以下简称“SPDI规则”)
由印度通信和信息技术部于2011年4月11日颁布。SPDI规则是IT法案项下的具体实施规则。该规则定义个人信息和敏感个人数据或信息,规定法人团体(或代表法人团体的个人)收集和处理敏感个人数据或信息时应遵守的具体要求,并界定了法人团体(或代表法人团体的个人)是否遵守合理的安全实践和程序的判定标准。
3.5《个人数据保护草案》(Personal Data Protection Bill, 2019)(以下简称“PDP草案”)
PDP草案基于印度J.Srikrishna委员会于2018年起草的个人数据保护草案修改和制定,而2018年版个人数据保护草案改编自欧盟的《通用数据保护条例》(GDPR)。因此,PDP草案的整体框架和内容类似GDPR规定,并包含根据印度本国情况做出的概念和合规要求方面的调整。该草案由印度电子和信息技术部于2019年12月11日提交印度议会。
印度议会联合委员会于2021年末提交了针对该草案的报告,并在报告中提出了2021版本的《数据保护草案》(Data Protection Bill, 2021)和其他实质性建议。
2022年8月3日,印度政府从议会撤回了PDP草案。关于撤回的原因,印度电子和信息技术部部长Ashwini Vaishnav表示,经过议会联合委员会的仔细审议,收到了多达81项修正案和关于数字生态系统综合性法律框架的建议。因此印度或将重新起草新的综合性数据保护法规草案。
4.印度数据跨境的政策法规
印度现行数据跨境治理的政策法规的制度要点阐述如下:
4.1SPDI规则
SPDI规则中没有规定非敏感个人信息跨境传输的具体限制,而仅规定了敏感个人数据或信息的跨境传输规则。具体合规要求请见本文第3部分。
4.2PDP草案
根据PDP草案,敏感个人数据的跨境传输除需要数据主体的明确同意以外,还需要根据集团内部方案批准或取得中央政府或印度数据保护局的批准。由于该草案目前已被印度政府撤回,这部分内容仅供参考。
4.3部门法中的数据本地化要求
除SPDI规则中对于数据跨境传输的规制,印度其他部分法律法规中有规定数据本地化的要求,例如:
(1)根据《2014年公司(账户)规则》,在印度注册成立的公司的账簿必须在印度境内可访问。如果公司账簿和其他电子形式的文件在印度境外保存,则需要定期将其备份并保存在印度境内的服务器上,并同时提供服务器位置的详细信息。
(2)所有经印度储蓄银行(Reserve Bank of India)授权或批准并根据《2007年支付和结算系统法案》在印度成立的支付系统提供商,都必须将其运营的支付系统的全部数据存储在印度境内的系统中。
(3)根据2015年《IRDAI(保险记录保护)条例》,保险公司应将与在印度签发的所有保单和提出的所有索赔相关的所有记录(包括电子记录)存储在位于印度的数据中心。
4.4IT法案
IT法案中没有关于数据跨境传输的规定。但该法案第69A条赋予了政府基于特定目的,禁止公众访问任何形成、传输、接收、存储或托管在任何计算机资源中的数据的权力。其中,该条所规定的特定目的包括,保护印度主权及保护国家安全与公共秩序,维持与外国友好关系,以及防止煽动实施与前述有关的任何可识别罪行等。这一条款为印度限制或禁止向境外传输的数据类型提供了一定的弹性空间,即任何类型的数据只要被政府认定为有损害以上目的的风险,都有可能被禁止访问。实践中,印度信息电子与技术部曾援引IT法案69A条禁止用户在印度境内访问59款中国APP,理由在于这些APP以非法方式收取用户数据并传输至境外的服务器,可能损害印度的主权以及国家安全与公共秩序。
5.印度数据跨境的合规要求
印度对数据跨境的规制主要体现在SPDI规则中对敏感个人数据或信息传输的规制。
5.1敏感个人数据或信息跨境传输
5.1.1前提
数据接收实体要确保与数据传输实体在SPDI规则下所遵守的相同数据保护水平。
5.1.2敏感个人数据或信息的跨境传输的法律基础
(1)履行数据传输实体和数据提供者之间的合法合同所必需;和
(2)数据提供者同意。
5.1.3其他合规要求
根据SPDI规则,收集和处理敏感个人数据或信息的任何实体(包括印度境外的实体)都必须实施“合理的安全实践和程序”(RSPP)。目前,SPDI规则项下的RSPP包括:
(1)国际标准IS/ISO/IEC 27001;或
(2)经印度中央政府批准和通知的行业协会最佳实践规范。
上述RSPP还需经中央政府正式批准的独立审计师定期认证或审计。审计师应每年至少一次或当相关实体对其流程和计算机资源进行重大升级时进行审计。
5.2非敏感个人数据或信息跨境传输
对于敏感个人信息以外的其他个人信息和非个人信息的跨境传输,印度目前尚无具体限制。
