印度政府發布 2022 年數字個人數據保護法案草案

印度提出了一項新的全面的數據隱私法，將規定公司如何處理其公民的數據，包括允許與某些國家跨境傳輸信息。

三個月前，在隱私倡導者和科技巨頭的審查和擔憂下，印度突然撤回了之前的提案。

周五，國家信息產業部公布了一份名為《2022年數字個人數據保護法案》的草案，以征詢公眾意見。

它將聽取公眾的意見，直到12月17日。

該法案的目的是以一種承認個人保護其個人數據的權利和出于合法目的處理個人數據的需要的方式，為與此相關或附帶的事項提供處理個人數據的規定。

該草案允許與“某些通知的國家和地區”進行跨境數據交互，此舉被視為科技公司的勝利。

在對其認為必要的因素進行評估后，中央政府可以根據可能指定的條款和條件，通知數據受托人可以將個人數據轉移到印度以外的國家或地區，”草案稱，但沒有指明這些國家的名稱。

代表Meta、谷歌、亞馬遜和許多其他科技公司的游說團體亞洲互聯網聯盟(Asia Internet Coalition)要求新德里允許跨境數據傳輸。

他們在今年早些時候寫給IT部的一封信中寫道:“跨境轉移決策應該不受行政或政治干預，并且應該受到最低限度的監管。”。

“限制跨境數據流動可能會導致更高的業務失敗率，為初創企業設置障礙，并導致現有市場參與者提供更昂貴的產品。最終，上述要求將影響數字包容性，以及印度消費者接入真正的全球互聯網的能力和服務質量，”該組織曾表示。

該提案還試圖賦予新德里(聯邦政府)以國家安全利益為由，豁免各邦政府遵守該法律的權力。

該草案還提出，公司只能出于最初獲得用戶數據的目的使用他們收集的用戶數據。它還要求這些公司承擔責任，確保它們為用戶處理個人數據的目的與收集這些數據的目的完全一致。它還要求公司不要默認永久存儲數據。

該部的一份聲明稱，“存儲時間應限制在所聲明的收集個人數據的目的所必需的時間內。”。

該草案提出，如果一家公司未能提供“合理的安全保護措施以防止個人數據泄露”，將被處以高達3060萬美元的罰款。

如果該公司未能通知地方當局和用戶未能披露個人數據違規，還將面臨2450萬美元的罰款。早先提出的規則被吹捧為有助于保護公民的個人數據，根據其性質將其分為不同的部分，如敏感或關鍵。

然而，根據草案，新版本并沒有將數據分離。與歐洲的GDPR和美國的CCPA(加州消費者隱私法案)類似，印度提議的2022年數字個人數據保護法案將適用于在該國運營的企業和處理印度公民數據的任何實體。

公共政策專家稱贊政府縮減提案的舉措，從之前的版本——從90多條縮減到30條。然而，他們認為刪減文本會帶來一些模糊性。數字政策倡導者、新德里技術政策智庫“對話”(The Dialogue)的創始董事卡茲姆·里茲維(Michael riz VI)告訴我們，刪除與跨監管機構達成諒解備忘錄以建立監管間協調有關的條款，以及省略測試創新的沙盒機制，是一些令人擔憂的領域。

“鑒于在不一致的情況下，該法案將優先于其他現有和擬議的法律，在印度監管領域，這種管轄權優先說起來容易實施起來難。因此，需要一種更加結構化的方法來協調現有的和擬議的相關法律，如交叉引用系統，部門或特定領域的監管機構可以與《數字保護法》合作制定法規，”他說。

在征求公眾意見后，擬議的規則預計將在議會進行討論，不會對該國十多年前起草的有爭議的法律帶來任何變化。

然而，新德里正在努力更新其已有20年歷史的信息技術法律，該法律將作為《數字印度法案》首次亮相。

印度信息技術國務部長Rajeev Chandrasekhar在最近的一次采訪中告訴我們。

8月，印度政府撤回了早些時候的個人數據保護法案，該法案是在經歷了大量預期和司法壓力后于2019年公布的。

當時，印度IT部長Ashwini Vaishnaw表示，撤回被認為是“提出了一個符合全面法律框架的新法案。” 

Meta、谷歌和亞馬遜等公司對聯合議會委員會就擬議法案提出的一些建議表示了擔憂。

2017年，印度最高法院宣布隱私是一項基本權利，因此出臺了數據保護法。

然而，該國因其早期的數據保護法案面臨強烈批評，因為這些法案賦予政府機構獲取公民數據的權力。

在本周早些時候巴厘島G-20峰會期間的一次會議上，印度總理納倫德拉·莫迪(Narendra Modi)談到了“數據促進發展”的原則，并表示印度將在明年擔任政府間論壇19個成員國的主席國期間，與G-20伙伴合作，為“每個人的生活帶來數字化變革”。