亚太观察 | 印度:印度总统批准通过《2023年数字个人数据保护法案》
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
印度:印度总统批准通过《2023年数字个人数据保护法案》
2023年8月7日,印度《2023年数字个人数据保护法案》(草案)获得印度下议院通过,并于2023年8月9日获得上议院通过。该法案规范数字个人数据的处理,并对违反该法案规定的行为设定最高25亿印度卢比(约3100万美元)的罚款金额。而后该法案送交总统,目前已获印度总统批准并发布于公报中。
垦丁W&W简评:
印度《2023年数字个人数据保护法案》于2023年8月3日提交印度下议院,8月9日便已获得了上议院的通过,而后又通过总统批准,成为正式法案。垦丁W&W团队持续关注该法案的相关动态,在法案提交下议院时已经对法案内容做出整理,包括法案的适用范围、数据控制者的义务、数据保护官的任命、数据主体的权利和义务以及数据的跨境传输等规定。出海印度的企业需充分理解法案的规定,关注其生效和实施的动态,及时调整出海印度的产品或服务运营过程中包括隐私政策、权利响应、数据跨境传输在内的合规措施。
02
印度:MeitY发布个人数据保护法案的显著特点
2023年8月9日,印度电子与信息技术部(MeitY)发布了《2023年数字个人数据保护法案》的显著特点。MeitY指出,该法案力求以干扰最小的方法改变数据受托人处理数据的方式,促进营商便利性,并赋能印度的数字经济。
MeitY 强调了数据处理原则、数据主体权利以及数据受托人(Data Fiduciary)的义务,包括法案中的违规通知和定期进行数据保护影响评估 (DPIAs)。MeitY 还讨论了该法案规定的豁免情形、未成年人权利以及印度数据保护委员会(Data Protection Board of India)的职能。最后,MeitY 指出,该法案简明、易于理解、合理且可操作,因为它简洁、使用平实的语言、包含实例、避免使用附带条件,并且最大程度地减少交叉引用。
垦丁W&W简评:
MeitY发布的法案显著特点提示了法案的重点规定,有利于出海印度的企业快速了解《2023年数字个人数据保护法案》提出的合规要求。出海印度的企业可结合显著特点的提示,梳理法案规定的内容,在理解法案的基础上采取进一步的合规措施。
03
越南:MIC就互联网服务法令草案征求公众意见
2023年7月17日,越南信息通信部(MIC)就一项取代政府2013年7月15日关于管理、提供和使用互联网服务和在线信息的第72/2013-ND-CP号法令以及政府于2018年3月1日修订和补充第72/2013-ND-CP号法案的第27/2018/NC-CP号法令的法令草案征求公众意见。
范围:
该法令草案适用于互联网服务、网络信息、网络视频游戏的管理、提供和使用,涵盖对网络信息安全的保障以及有关组织和个人的权利和义务。
其中对于社交网络,该法令草案规定,在越南经营的组织和企业只有在获得许可(license)情况下才能设立一般网站(general websites)并提供社交网络服务。具体而言,该法令草案根据网站访问者的数量规定了社交网络的分类标准。包括;
· 拥有大量常客(regular visitors)的社交网络:连续六个月内访问量达到或超过10,000人,或每月常客数量达到或超过1,000人;和
· 常客数量较少的社交网络:连续六个月的访问者少于 10,000 人,或每月常客少于 1,000 人;
根据该法令草案,提供社交网络服务并设有信息内容管理部门的组织必须有一名越南公民负责内容管理。
该法令草案还规定了社交网络的技术条件,包括用户个人信息的注册和存储。如果用户未满14岁周岁,并且在越南没有身份证号码、公民身份号码或护照号码、签发日期、签发地点或手机号码,则其法定监护人必须注册监护人的个人信息。社交网络还必须确保用户在注册账户时通过手机号码进行身份验证。
跨境数据传输:
该法令草案还详细规定了在越南提供跨境服务、使用数据存储租赁服务或连续六个月来自越南的总访问量达到10万的外国组织和个人的义务,这些义务主要包括:
· 在达到上述规定的访问人数后 60 天内通知 MIC;
· 应 MIC 的要求,防止和删除非法内容、服务和应用程序;
· 存储越南用户的个人信息,并根据要求向国家主管当局提供此类个人信息;
· 仅允许年满16岁或以上的越南用户注册账户;
· 设有专门部门负责接收、处理和响应主管部门的请求,并解决和响应越南用户的投诉;和
· 收到越南用户投诉后48小时内,通过屏蔽内容的方式处理投诉。
垦丁W&W简评:
越南作为出海重点目标国,此次MIC向公众征求意见的互联网服务法令草案涵盖范围甚广,出海越南企业需持续关注该法案的动态,结合2023年7月开始生效的越南《个人数据保护法》的规定,梳理该法令草案是否会为自身业务开展带来用户身份认证、未成年人保护或跨境数据传输等方面的合规要求。若企业涉及提供社交网络服务的,需判断企业落入哪个分类,关注取得相应许可的条件,厘清法令针对不同类别的社交网络服务提供者规定的义务,识别后续可能需要采取的合规措施。
04
迪拜:DIFC发布关于《加州消费者隐私法》的首份充分性决定
2023年8月9日,迪拜国际金融中心(DIFC)宣布,数据保护专员已针对经《2020年加州隐私权利法》(CPRA)修订的《2018年加州消费者隐私法》(CCPA)发布了首份充分性决定。该充分性决定确认,经修订的CCPA等效于2020年第5号《DIFC数据保护法》,因此现在个人数据可在DIFC和加州之间传输而无需额外的保障措施。DIFC解释道,修订后的CCPA不仅赋予消费者对其数据的控制权,还根据全球数据保护标准保护企业所收集的个人数据。
此外,DIFC强调,加州隐私保护局(CPPA)将确保其所监督的实体在处理和传输个人数据时提供充分的数据保护。DIFC数据保护专员Jacques Visser表示,“在评估加州的隐私法律法规以及实施、执行和其他整体因素时,我们清楚地看到,在很大程度上加州的进口方(data importer,即跨境传输中的数据接收方)将以公平的方式对待来自DIFC的个人数据。”
垦丁W&W简评:
该充分性决定是DIFC首次与美国各州建立类似关系。该决定将在保护消费者个人隐私的基础上,促进DIFC与加州实体之间的个人数据传输。出海DIFC的企业应关注该充分性决定的详细内容,判断企业是否可以、是否需要利用该充分性决定从DIFC向加州传输数据,并关注后续DIFC是否会针对其他国家或地区出台充分性决定,为数据跨境传输提供更多路径选择。
近期推荐阅读:
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
欧洲观察 | 法国:CNIL确认谷歌履行了关于使用Cookie的合规指令
亚太观察 | 澳大利亚:Meta因误导性数据保护声明被罚款2000万美元
北美观察 | 美国加利福尼亚州消费者保护局将审查联网汽车的隐私保护措施
王 捷 律师
垦丁广州联合创始人、执行主任、垦丁国际业务部负责人
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
欢迎对数据合规感兴趣的法务同行加入
【全球数据合规实务群】
请添加主编微信(jie-72)
(入群请详细备注姓名、单位、研究领域)
资讯编写
叶影
垦丁律师事务所W&W国际法律团队实习生