一、摘要

据《新印度快报》（The New Indian Express）消息，印度议会下议院（Lok Sabha）近日投票通过了印度《数字个人数据保护法案》（Digital Personal Data Protection Bill，DPDPB）。之后，DPDPB将提交上议院审议。

印度电子和信息技术国务部长表示，DPDPB是一个“绝对全新的框架”，涵盖了所有处理个人数据的印度组织和及处理印度居民数据的国际实体，旨在解决各类公司通过滥用公民的个人数据的问题，主要条款包括对个人数据的定义、经个人同意和视为同意的数据处理、经批准的跨境数据传输以及印度数据保护委员会的成立。

根据DPDPB规定，数据保护委员会将有权对不遵守数据保护委员会规定和违反数据保护规定的行为进行处罚，其中未能有效法防范数据泄露并履行所要求的数据泄露报告义务的公司将被处以高达250亿卢比的罚款。如果多次发生违规行为，可能会被强制关闭其经营的互联网平台，或被采取措施阻止用户访问该平台。

二、简评

对于个人隐私保护领域的立法，印度官员们曾设想过四种不同的立法框架。DPDPB的草案于2022年11月进行了公众意见征询，收到了两万多条利益相关者的反馈意见。立法者根据相关意见对草案进行调整后，形成了如今的法案。即便已经尽可能听取各方意见并达成共识，DPDPB在下议院表决时也仍引发了一些争论。

在适用范围方面，DPDPB适用于个人数据的处理，包括印度境内以数字形式收集的数据，或以非数字形式收集但随后进行数字化的数据，以及发生在印度境外，但涉及向印度境内的数据主体提供商品或服务关的数据。DPDPB不适用于个人出于自身或家庭目的所进行的数据处理，也不适用于数据主体自行选择公开，或其他有法律义务公开数据的主体公开个人数据的情形。数据主体享有访问权、更正权、删除权、申诉权，并有权指定在数据主体死亡或丧失行为能力的情况下，能够行使数据主体权利的个人。

在数据控制者的义务方面，DPDPB规定数据控制者可以在数据主体同意或基于合法用途的情况下处理个人数据。合法用途包括：

• 印度政府为颁发许可证、提供福利，或为保护国家主权和安全而履行职责时进行的处理；
• 遵守法律或法院命令而进行的处理；
• 用于就业目的；
• 以及用于应对医疗紧急情况、流行病或灾难。

此外，数据控制者还须任命一名数据保护官，并为数据主体建立申诉机制。

在数据的跨境转移方面，DPDPB规定，印度政府可在印度境外设立限制数据控制者传输个人数据的地区。

除此之外，DPDPB还设置了较有特色的数据受托人制度。该制度下，印度政府有权依据所处理数据的敏感性和数量、数据处理对数据主体权利的影响以及对印度主权、安全和完整的影响，将相关数据控制者列为重要的数据受托人，而这些重要的数据受托人将承担额外的义务，包括任命独立审计员和进行数据保护影响评估。

DPDPB的制度设计与目前世界各国的个人数据立法基本一致，但也有相关人士指出DPDPB在一些重要问题上缺乏明确规定，还需通过其他行政法规等补足。

在印度从事相关业务的企业需要开始积极准备落实DPDPB提出的合规要求，包括梳理企业数据资产，做数据流转情况的梳理和合法性评估，任命数据保护官等。

来源：走出去服务港（id：SH_GO_Global）