印度数据隐私法对跨国公司的影响

印度目前一直在遵循一些非常分散的数据保护法律。这些保护包含在一系列法规中，最突出的是2008年《信息技术修正法》，该法主要涉及“敏感个人信息”。2018年5月，欧盟《通用数据保护条例》（GDPR）全面生效。为了与GDPR法规保持一致，印度政府于2019年12月推出了《2019年数据保护法案》（法案），旨在创建印度第一个全面的数据保护法律框架。该法案在保护公民个人数据、防止私营企业滥用信息方面给予了更多的重视，并对处理印度国民个人数据的印度和外国实体施加了限制。处理敏感个人数据和信息的公司主要包括社交媒体实体，如Facebook、Twitter、WhatsApp等。随着新法案的出台，印度的跨国公司将面临独特的合规挑战，即：数据隐私和安全。

法案的主要内容

到目前为止，跨国公司可以自由使用和控制定期使用其服务的印度公民的个人数据。在许多情况下，这些公司会向其他国家传输数据，从而危及公民和国家的隐私和安全。该法案的一些主要特点是仿照GDPR，给予公民权利更多的支持和保护：

• 处理个人数据的通知和同意要求；
• 个人数据处理的限制：仅针对用户同意的服务进行处理；
• 数据本地化 – 关键个人数据将存储在印度境内的服务器上，并限制传输其他个人数据至印度境外；
• 不遵守规定的经济后果——例如，法案第33条和第34条可以对违规者处以173万欧元或上一财政年度违规者全球年营业额的4%的罚款。

如果实施类似GDPR的法律，跨国公司在印度会损失什么？

在印度，新法案的实施可能会增加跨国公司和小型企业的合规成本。此外，将关键数据存储在印度境内服务器上的数据本地化要求以及对其向印度境外传输的限制可能会严重影响这些公司的全球运营，这将阻止跨国公司将数据用于境外商业目的，从而限制创新和跨境传输。根据卡内基梅隆2019年5月的报告，如果印度采取本地化要求，预计将损失高达0.8%的GDP。该研究还估计，由于本地化要求，印度境内的投资将减少1.4%。

结论

在印度实施类似GDPR的规定将给跨国公司带来一系列问题，即：合规成本、限制和管理负担增加，对投资产生负面影响。然而，这项法案是保护公民权利及其隐私的重要一步，这是《印度宪法》第21条规定的一项关键原则。这项法案对公民和跨国公司的影响只有在法案成为法律后才能最终确定。

我们在D’Andrea and Partners拥有一个专家团队，他们持续跟进印度法律法规的变化。如果你有任何问题，请随时联系我们。