印度《2023年数字个人数据保护法》概览:数据保护义务与合规技术框架

本文深度解析印度《2023年数字个人数据保护法》的核心内容,涵盖法案适用范围、数据主体的权利、数据受托人的法定义务、豁免条款及违规处罚。同时探讨了如何通过技术工具实现供应链中的持续合规与风险管理。

印度《2023年数字个人数据保护法》概览

经过多年的辩论、讨论和协商延迟,印度中央政府于2023年8月11日颁布了《2023年数字个人数据保护法》。在生效前的最后一周,该法案迅速在议会两院获得通过,并由总统德劳帕迪·穆尔穆批准颁布。

印度是二十国集团(G20)中第19个通过综合性数据保护法的国家。该法案借鉴了欧盟的《通用数据保护条例》,对“个人数据”进行了宽泛定义,并具有广泛的适用范围。

本文将分析DPDP法案的适用范围,界定法案的适用对象,并更详细地讨论关键术语、条款和豁免。

什么是印度《数字个人数据保护法》?

印度《数字个人数据保护法》确立了一个保护个人数据的国家框架。该框架旨在保护数据主体的个人数据,并限制数据受托人的活动。在许多方面,DPDP取代了2008年《印度信息技术法》提供的有限数据保护,并加强了印度整体的隐私法律。

除了为数据安全和数据隐私提供指导外,DPDP还设立了印度数据保护委员会,以帮助执行其规定。该监督机构有权调查投诉并处以罚款,但不能发布指导或施加新规定。与DPDP相关的所有监管权力仍归印度政府所有。

印度《数字个人数据保护法》适用于谁?

DPDP的适用范围非常广泛。该法案保护所有数据主体的个人数据,并限制所有数据受托人的活动,无论其运营状态是私营还是公司。

数据主体 在DPDP下,“数据主体”指其个人数据被收集、存储或以其他方式交互的个人。该术语本质上与欧盟GDPR下的“数据主体”相同。

注意:该法案明确规定,当数据受托人处理儿童或残疾人士的数据时,认为其父母或合法监护人为数据主体。

数据受托人 数据受托人是指决定数据主体个人数据目的的数据控制者或任何其他类型的实体。此定义包括初创公司以及与处理或存储、使用个人数据的第三方服务提供商合作的实体。

重要数据受托人 印度中央政府还通过DPDP概述了一类新的数据受托人。政府根据对相关因素的评估来确定重要数据受托人,例如:

  • 个人数据的数量和敏感性
  • 对数据主体权利的风险
  • 对印度主权和完整性的潜在影响
  • 对选举民主的风险
  • 印度领土的安全,以及
  • 公共秩序

在中央政府将某个受托人归类为重要数据受托人后,该数据处理者必须履行额外的义务并任命一名数据保护官。

个人数据 虽然DPDP仅适用于数字个人数据,或数据受托人在收集后转换为数字形式的个人数据,但该法案对个人数据的定义非常广泛。根据该法案,个人数据包括与个人相关的任何可用于识别该个人的信息。

DPDP赋予数据主体哪些权利?

印度政府颁布DPDP是为了防止个人数据泄露,并将数据隐私权扩展到所有适用的数据主体。根据该法案,数据主体拥有以下基本权利:

  • 同意处理个人数据的权利
  • 撤回处理个人数据同意的权利
  • 访问有关个人数据信息的权利
  • 删除以及更正、更新和完成个人数据的权利
  • 在数据受托人未能履行法案规定的义务时,获得现成的申诉补救的权利
  • 在死亡或丧失行为能力的情况下,指定任何其他个人行使其数据主体权利的权利

数据受托人在何种情况下可以处理个人数据?

在第二章中,DPDP明确规定了处理个人数据的法律依据。要开始其数据处理程序,数据受托人必须首先向每个数据主体请求并获得可验证的同意。

当数据受托人向数据主体请求同意时,还必须在请求中包含以下信息:

  • 受托人将处理的个人数据类型以及处理此类数据的特定目的
  • 说明数据主体可以遵循的撤回同意的流程
  • 说明数据主体如何寻求申诉补救,包括任何相关联系人或可以协助处理此事的同意管理人的联系信息
  • 数据主体可以向印度数据保护委员会提交正式投诉的流程

处理儿童(或残疾人士)数字个人数据的可接受情况与上述所列事件非常相似。但是,数据受托人在处理任何数据之前,必须获得合法监护人的可验证的父母同意。处理儿童数据的数据受托人还必须采取合理措施,确保其行为不会对儿童的福祉造成有害影响,或针对儿童进行定向广告。

DPDP对数据受托人规定了哪些义务?

DPDP在第二章第8节中概述了对数据受托人的义务。为符合法案要求,数据受托人必须:

  • 仅任命或聘请根据法律合同有义务遵循DPDP程序的第三方数据处理者
  • 在使用个人数据做出影响数据主体的决定或参与个人数据传输之前,确保个人数据完整准确
  • 实施必要的组织措施和技术协议,确保持续合规
  • 实施合理的安全保障措施和审计,以保护个人数据并防止个人数据泄露
  • 向所有受影响的数据主体和数据保护委员会通知任何已知的数据泄露事件
  • 在数据主体撤回同意后,安全地擦除和销毁所有个人数据(除非法律要求保留此类数据)

重要数据受托人的义务 如果中央政府将某个数据受托人归类为重要数据受托人,则该实体必须遵守DPDP的额外义务。根据法律,重要数据受托人必须任命数据保护官和独立数据审计师,以确保持续合规和较低的网络安全风险。

数据保护官必须满足以下标准:

  • 能够根据DPDP的规定代表重要数据受托人
  • 位于印度
  • 在重要数据受托人的董事会或类似管理机构任职
  • 是申诉补救的第一联系人

独立数据审计师必须执行以下操作:

  • 进行定期的数据保护影响评估,以及
  • 进行定期的风险审计。

注意:根据DPDP,定期的数据保护影响评估应包括确保履行多项义务的流程,包括数据受托人满足数据主体的权利、仅为合法用途处理数据、管理与数据处理相关的风险,以及满足此类处理的持续合规要求。

DPDP下的豁免条款

尽管适用范围广泛,DPDP也概述了几项豁免,特别是对政府组织和执行法律权利和法律的其他实体。

DPDP规定了以下实体的豁免:

  • 印度最高法院或其他司法机构
  • 在个人贷款或其他款项违约后处理个人数据的金融机构
  • 为追求预防、侦查、调查或起诉任何违法行为而处理个人数据的实体

不合规的处罚

如果数据保护委员会确定数据受托人违反了DPDP,他们可对每次违规行为处以罚款。数据受托人可能收到的具体罚款金额将根据DPDP官方附表以及委员会基于以下因素的评估确定:

  • 违规行为的性质、严重程度和持续时间
  • 受违规行为影响的个人数据类型
  • 违规行为的重复性
  • 通过违规行为获得的收益或避免的损失
  • 为减轻违规行为的影响或后果而采取的行动

根据DPDP官方附表,因未能安装安全保障措施而遭受数据泄露的数据受托人将面临最严厉的处罚,最高可达250亿卢比。

UpGuard如何帮助组织遵守印度的DPDP?

UpGuard Vendor Risk使组织能够确保其整个供应链的DPDP合规性。通过使用Vendor Risk,您的组织将能够访问灵活的安全问卷、强大的供应商评估工具和顺畅的补救工作流程,从而能够7x24小时保护个人数据。

UpGuard Vendor Risk还将使您的组织能够:

  • 提高其供应链的可见性
  • 自动化其供应商风险评估流程
  • 接收实时风险更新
  • 根据供应商的关键性和脆弱性级别对其进行分级
  • 计算已补救风险的影响
  • 生成即时报告
  • 随时了解相关数据泄露和行业信息
  • 在一个集中的仪表板中监控所有第三方风险

处理个人数据的组织还可以利用UpGuard Breach Risk来管理其外部攻击面。这一综合性的网络安全工具使组织能够监控安全风险、识别漏洞,并根据实时通知就风险补救做出明智决策。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次