印度个人数据跨境传输规则
2023年8月11日,印度第一部综合性个人数据保护法《数字个人数据保护法》发布,该法旨在确保数字个人数据被用于合法目的,并以合法方式进行处理。《数字个人数据保护法》进一步对印度个人数据跨境传输活动进行规制,与其他相关法律共同构成印度个人数据跨境传输规则。
法律框架
目前,印度个人数据跨境传输规则的法律规范主要有《信息技术法》《信息技术规则》和《数字个人数据保护法》等。总体而言,印度个人数据跨境传输相关法律和政策相对保守,以推动数字经济发展为主要目标。
《信息技术法》于2000年6月9日发布,后经修正,修正后的《信息技术法》于2009年2月5日发布,加入了两个新的条款,即第43条之一和第72条之一,为因个人数据未得到充分保护而遭受或可能遭受损失的个人提供救济措施。虽然《信息技术法》的重点是信息安全,而非个人数据保护,但该法为印度限制或禁止向境外传输个人数据提供了一定的弹性空间。
《信息技术规则》于2011年4月11日发布,虽然《信息技术规则》没有对个人数据跨境传输进行任何具体限制,但仍概括规定,只有在征得个人同意或在履行与个人签订的合同时,才可传输个人数据,而且个人数据接收方必须确保其数据保护水平至少与《信息技术规则》和数据输出方的数据保护水平相同。
《数字个人数据保护法》于2023年8月11日发布,该法不同条款的生效日期由印度中央政府具体确定,一旦该法个人数据跨境传输相关条款正式生效,其个人数据跨境传输规则将替代《信息技术法》第43条之一和《信息技术规则》(截至目前,《数字个人数据保护法》中的个人数据跨境传输规则尚未生效)。
此外,为避免与其他法律发生潜在冲突,《数字个人数据保护法》第16条第2款规定,对于个人数据跨境传输活动,如果其他现行法律提供了比《数字个人数据保护法》更严格的保护措施,则优先适用其他法律。
监管机构
印度目前尚没有专门负责个人数据保护的国家监管机构。依据《数字个人数据保护法》第18条,后续需要专门成立印度数据保护委员会,作为独立机构,负责监督《数字个人数据保护法》的实施和执行,包括开展调查、下令采取补救措施、作出处罚等。
此外,依据《数字个人数据保护法》第16条第2款,印度储备银行和印度证券交易委员会等监管机构,可以针对特定受监管实体收集的个人数据,制定更严格、保护力度更强的措施,对个人数据跨境传输活动进行监管。
例如,印度储备银行于2018年4月6日发布《关于支付系统数据存储的通知》,要求所有支付系统提供商需确保支付数据存储在位于印度的系统中。如果支付交易是在印度境外进行的,与该交易相关的支付数据应从印度境外系统中删除,并在不迟于一个工作日或支付交易后24小时内带回印度进行存储。鉴于印度储备银行要求对支付系统数据进行绝对本地化,对支付系统运营商规定了更高的数据存储标准,支付系统相关个人数据的跨境传输活动仍受印度储备银行监管。
适用范围
《数字个人数据保护法》适用于在印度境内进行的数字个人数据的处理,既适用于在印度境内以数字形式收集的个人数据的处理,也适用于在印度境内以非数字形式收集但进行数字化的个人数据的处理。
《数字个人数据保护法》还适用于在印度境外进行的数字个人数据处理,但前提是该个人数据处理与向印度境内数据主体提供商品或服务相关的活动有关。如果出于统计目的,在印度境外对印度境内的数字个人数据进行分析,该数据处理与向印度境内数据主体提供商品或服务无关,则不属于《数字个人数据保护法》规制情形。
此外,《数字个人数据保护法》不适用于个人出于本人或家庭使用目的而处理的个人数据,也不适用于与该个人数据有关的数据主体公开提供的或被公开提供的个人数据,以及根据印度现行有效法律有义务公开提供该个人数据的其他主体公开提供的或被公开提供的个人数据。
主要特点
从敏感个人数据扩大到个人数据
《数字个人数据保护法》生效前的个人数据跨境传输规则只适用于敏感个人数据和信息,如密码、财务信息、身体、生理和心理健康状况、性取向、医疗记录和病史以及生物识别信息等。依据《信息技术规则》第7条,法人团体或代表法人团体的任何人可以向印度或任何其他国家的法人团体或个人传输敏感个人数据或信息,只要个人数据接收方确保其数据保护水平至少与《信息技术规则》所规定的数据保护水平相同。
《数字个人数据保护法》第16条使用的术语为个人数据跨境传输,而非敏感个人数据跨境传输,将个人数据跨境传输规则扩大至所有类型的个人数据。此后,无论是否为敏感个人数据,均需要受到个人数据跨境传输规则的限制。
具体而言,依据《数字个人数据保护法》第2条,数据是指以适合人类或以适合通过自动化手段交流、解释或处理的方式表达的信息、事实、概念、意见或指示;个人数据是指可通过其识别到个人的数据以及与此类数据有关的数据,包括姓名、地址、电子邮件、电话号码等。
个人数据跨境传输规则逐渐宽松
从与个人数据跨境传输规则相关的条款来看,印度个人数据跨境传输规则是在围绕《数字个人数据保护法》进行审议和磋商的过程中逐渐形成的。从一 开始的绝对禁止个人数据跨境传输到个人数据跨境传输“白名单”国家制度,再到个人数据跨境传输“黑名单”国家制度,印度个人数据跨境传输规则逐渐宽松。
依据2018年《个人数据保护法案》第40条,所有个人数据的副本在任何时候都必须存储在印度境内。依据2021年《数字个人数据保护法案》第17条,个人数据被允许传输至政府单独列出的某些“白名单”国家,淡化了绝对禁止个人数据跨境传输的立场。在最终版本的《数字个人数据保护法》中,第16条允许将个人数据跨境传输至印度以外的所有国家或地区,但中央政府特别指定的国家或地区除外,即对个人数据跨境传输采取“黑名单”国家制度,绝对禁止个人数据跨境传输的立场被进一步淡化。
缺乏个人数据跨境传输的法定情形
对个人数据跨境传输规则进行立法规制的国家和地区,普遍会在法律规定中明确个人数据跨境传输的法定情形,如欧盟《通用数据保护条例》、泰国《个人数据保护法》、印度尼西亚《个人数据保护法》、沙特阿拉伯《个人数据保护法》等。法定情形一般包括,充分性个人数据保护水平、充分且具有约束力的个人数据保障措施、具有约束力的公司规则和数据主体的同意等。
但《数字个人数据保护法》只规定了个人数据跨境传输“黑名单”制度,并没有规定个人数据跨境传输能否进行的判断依据,缺乏个人数据跨境传输的法定情形。根据《数字个人数据保护法》第16条第1款,印度中央政府可通过发布通知的形式,直接列出禁止向其进行个人数据跨境传输的国家,即政府在确定限制名单和措施时,会根据具体情况作出决定。
明确个人数据跨境传输的例外情形
《数字个人数据保护法》第17条规定了个人数据跨境传输规则适用的例外情形,包括以下几个方面:
行使法定权利或索赔。对个人数据跨境传输规则的限制不得妨碍数据主体行使法定权利或进行索赔,在财产纠纷、离婚纠纷、民事索赔等案件中,必要时,数据主体仍然可以进行个人数据跨境传输。
履行监管、监督或司法职能。印度法院等司法或监管机构出于跨境执法、监管或监督的需要,可以跨境传输个人数据,即使数据接收方被印度中央政府列入限制个人数据跨境传输的名单之中。
预防、侦查、调查或起诉犯罪。印度警方和执法机构在国际刑事调查、起诉或引渡等活动中,跨境传输个人数据是为了预防、侦查、调查或起诉任何违反印度现行法律的违法行为时,不受个人数据跨境传输“黑名单”国家制度的限制。此外,若私营公司需要跨境传输的个人数据与正在进行的内部调查或欺诈等活动相关时,其传输活动也属于例外情形。
基于与外国实体签订的合同。若个人数据跨境传输活动是基于印度境内的任何人员与印度境外的外国实体签订的合同进行的,对个人数据跨境传输规则的限制也不再适用,因为其在为外国客户处理非印度的个人数据。
公司之间的合并、重组、收购等。在经法院或其他有权机构批准进行的两个或多个公司之间的合并、重组、收购等活动中,与外国公司签订合并、重组、收购协议的印度实体,可以将员工信息和其他个人数据传输至该外国公司,即使该外国公司位于个人数据跨境传输“黑名单”国家。
向金融机构获取违约者财务状况。在符合有关信息或数据披露的有效法律规定的情况下,需要向金融机构获取贷款或预付款违约者的资产和负债等财务状况时,不受个人数据跨境传输“黑名单”制度的限制。