【重磅推荐】印度个人数据保护法案2019与GDPR主要点比较,暨印度数据法案2019版中译本发布
文/王捷 垦丁律所海外业务负责人 资深出海法律顾问
《2019印度个人数据保护法案草案(国会审核)》中译本由网络法实务圈 * 出海互联网法律观察 公益翻译小组出品。
该法案草案的下一步预计将会正式成为法案,但考虑到印度政府关于上述公众征询意见,以及目前新冠疫情的影响等因素,有可能仍然会有一定的调整和改动。而关于印度数据法案的介绍以及2019与2018法案草案的对比,我们之前也曾以专题方式进行介绍,相关内容请参考:
个人敏感数据的定义 | • 财务数据。 •健康数据。 •官方标识符。 •性生活。 •性取向。 •生物识别数据, •遗传数据。 •变性或双性恋状态。 •种姓或部落。 •宗教或政治信仰。 | •种族或民族血统。 •政治观点,宗教或哲学信仰。 •工会会员资格。 •遗传数据。 •生物特征识别数据(用于唯一识别自然人)。 •健康。 •性生活或性取向。 与犯罪定罪和犯罪有关的个人数据受欧盟或成员国法律规定约束。 | 印度法案对于个人敏感数据的范围更大,允许政府与数据保护机构协商,以定义敏感个人数据的其他类别(需要考虑一定的因素)。 同时,相比与GDPR,印度法案未见把犯罪相关的数据定义为敏感数据的条款。
|
处理个人数据的法定基础 | 规定了七种处理个人数据合法基础: •同意。 •法律义务。 •涉及生命或严重健康威胁的紧急医疗事件。 •提供医疗或保健服务。 •在灾难期间保护个人安全。 •就业目的。 •法规可能指定的“合理目的”,包括防止或侦查非法活动,举报,并购,网络和信息安全,信用评分等等。 | 规定了六种处理个人数据合法基础: •同意。 •履行合同。 •法律义务。 •合法权益。 •保护生命及重要利益。 •公共利益。 | 印度法案中没有把“为履行合同必要”作为合法基础。 •印度法案中的“合理目的”基础类似于GDPR的合法权益基础,但仅限于法规规定的目的。
|
数据保护影响评估 | DPIA仅适用在重要数据受托人的以下情况:
必须将所有DPIA提交给DPA进行审查,并且DPA可以指示数据受托人停止处理数据。 | GDPR要求数据控制者对某些“高风险”活动进行DPIA,包括(1)系统而广泛的分析;(2)大规模处理敏感数据;(3)大规模系统地监视公共区域。 同时,在无法减轻风险的情况下,数据控制者必须在进行数据处理之前咨询DPA | 印度法案要求所有的数据保护影响评估都需要提交给DPA进行审核,这一点也是和GDPR不一样的地方。 |
数据跨境传输 | 允许将个人敏感数据的副本在印度以外的地方转移的情况:
请注意,在预防,调查或起诉犯罪,执行合法权利和获得法律建议方面存在一定的豁免情况。 | 允许在EEA外转移个人数据的情况:
| 个人敏感数据可转移到印度境外,但此类敏感的个人数据应继续存储在印度。
|
数据本地化存储 |
| 除非没有满足数据跨境转移的要求,否则无本地化存储的要求 | 此为两法案的重要差别点之一. 印度法案允许政府对何为“关键个人数据”进行定义,且对政府进行此类指定的权力没有任何限制,即政府具有比较大的自由裁量权。 |
审计要求 |
| 数据处理者必须同意与数据控制者签订的合同中的审计条款。 | GDPR没有类似的审计条款,这也是印度法案的一大特色。 |
数据泄露通知 |
|
数据处理者必须立即数据泄露情况通知数据控制者 | 印度法案把通知的时间要求,是否通知,采取哪些措施,都交给了DPA来决定。 同时,对于数据处理者没有提出需要向数据受托人做出数据泄露通知的要求。 |
罚款规定 |
|
| 处罚机制基本相同,但印度规定了刑事责任,同时也允许个人通过听证会寻求赔偿。 |
社交媒体中介(SIM) | 要求SIM应该使在印度注册或使用服务的用户可以自愿验证其帐户,且验证该帐户的用户应获得可证明且可见的标记 | 未提及 | 这是印度法案的特色点,因为SIM对印度的民主选举、国家安全、主权等有非常重要的影响,特别是重要数据受托人的时候。 |
关于DPA注册登记 | 重要数据受托人需要按照规定到数据保护局进行注册登记 | 未提及 | 这一点也是印度数据法案特色之一。 |
【特别鸣谢】
再次衷心感谢出海互联网法律观察公益翻译组的每位成员的辛勤劳动——(按照姓名拼音,排名不分先后)
金凯洋:某一线互联网企业 高级法律顾问
林 鑫:网络数据中心公司法律顾问IDC 云计算 系统集成 大数据方向
刘玲麟:某金融互联网公司 资深法务经理
王 丹:重庆静昇律师事务所,银行与金融 商业合规 政府咨询
王占芬:北京市盈科(深圳)律师事务所,知识产权与涉外商事律师
王 捷:浙江垦丁律师事务所海外负责人,个人信息与数据安全合规/资深出海法律顾问
魏 彤:浙江垦丁律师事务所,欧盟数据保护合规顾问
姚聪慧: 初级律师 知识产权与食品合规方向
颜喻雯:上海交通大学,法律硕士
朱 莎: 浙江垦丁律师事务所 金融数据安全/资本市场跨境投资法律顾问
夏 路:银联国际法务,网络安全与个人信息安全方向
我们欢迎更多的朋友加入公益志愿者行列,共同解读及整理前沿的海外互联网法律信息,更好地打造职业品牌影响力——(如申请入群,请务必备注姓名+地区+工作职务+特长)
更多出海互联网实务交流信息,欢迎扫码入群
更多出海法律观察信息,请关注公众号——
出海互联网法律观察
更多网络法实务交流信息,请关注公众号——
网络法实务圈
需要获得印度数据保护法草案中译本全文的朋友,请关注公众号并在后台留言“印度数据草案”。
作者简介
#更多往期出海业务精彩文章#
出海实战指南系列:每天五分钟—13亿人口的印度是怎么进行民主选举的?
每天五分钟 之 疫情数据系列 | “就地避难“ 还是 数据保护?
【重磅】印度FDI新政“生效令”发布—中国投资印度需走政府路径
【重磅】你的企业真的会“负责任”的使用人脸识别技术吗?暨WEF《负责任地限制人脸识别使用的框架》中译本发布
互联网出海实战指南之DPO系列:当Pornbub在注视你,他都在看些什么
互联网出海实战指南之DPO系列:KNOCK KNOCK, DPO究竟是干嘛的啦
出海实战指南之DPO系列:宇宙中又多了一个GDPR科普|今天让我们来聊聊DPO
中海油不可抗力声明被拒——再看疫情下的不可抗力,涉外的你不能错过!!!
【首发】美国《人脸识别道德使用法案》全文翻译与评价
【首发】《2019美国国家安全与个人数据保护法案》全文翻译及评价
【最新案例解读】“被遗忘权”也有地域范围限制——欧洲最高院支持谷歌主张
GDPR治下,德国有律师以不正当竞争为由提出禁令,还获得了支持
【Fintech很火爆,落地有风险】——印度现金贷与P2P业务合规经营分析
你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)
转发,是对作者最大的鼓励
在看,是对作者最大的认可
创作不易,请点击一下“在看”↓