欧盟在2016年制定的《通用数据保护条例》大力推进了个人数据的保护,而这也让印度开始推动印度的数据保护立法。在上个冬天提出的《个人数据保护法案》已经被内阁通过,并安排议会在这次冬天审议。

该《2019年个人数据保护法案》旨在大幅加强原本《2000年信息技术法案》以及随后的《敏感个人数据与信息条例》对个人数据及敏感数据微弱的保护。

印度最高法院在Puttaswamy Union of India一案中具有里程碑意义的判决中确认了隐私权为生命权与个人自由的一部分,受印度宪法第21条保护,该隐私权也包括了信息隐私。

在最高法院作出判决及全球其他地区不断加强数据保护之后,印度数据保护框架中的由法官B.N. Srikrishna领导的专家委员会成立。该委员会在个人数据保护法案后附随提交了一份白皮书,考虑了如下内容:技术的不可知论、整体应用、知情同意原则、数据最小化、管控者责任制、结构化强制执行和威慑性处罚。

法案有许多领域值得提及。首先,法案提供了基于个人信息及个人敏感信息处理的基石。“同意”为信息处理的基石之一,其目的为向数据主体的管控提供处理个人数据的权利。该法案草案清楚地确认,在履行一份合同中的“同意”会对个人信息有更多的管控。另外,处理儿童的个人信息及取得儿童同意的模式会有更进一步的法律保障。

该法案进一步列举了数据主体(《通用数据保护条例》中的资料当事人)拥有的权利,并要求数据管控方及处理方承担透明和说明义务。

该法案一个独特的方面在于,其施加了在本地处理个人信息的义务,对于转移个人信息至印度以外的地区施加了特别的要求。这一政策并没有被《通用数据保护条例》规定。尽管这一举动可能会造成一些负面的结果,但会确保法律的有效实施,减少处理外国司法管辖的瓶颈,同时保护国家安全和利益。另外,在这一注重于保护国家利益,控制外国对重要的数据的监控风险的举动中,法案草案阻止数据受益人将“重要”个人数据传至国外,这一规定是否通过由政府决定。

也许最重要的是,印度应当设立一个专门的数据保护机构,以确保法规得到遵守,惩罚得以及时实施,救济可随时获得。

这对于赶上其他国家对数据的保护是一大进展。我们正在紧紧跟进个人数据保护法案在议会中的进展,期待其实施,及应对其新的要求。