引言
2023年8月11日,2023年《数字个人数据保护法案(草案)》Digital Personal Data Protection Bill, 2023获得印度总统批准,进而在官方公报颁布了正式的2023年《数字个人数据保护法》Digital Personal Data Protection Act, 2023(以下简称“DPDP”)。该法案规范数字个人数据的处理,并对违反该法案规定的行为设定最高25亿印度卢比(约3100万美元)的罚款金额。DPDP具体的生效日期将由印度政府之后在官方公报上宣布。垦丁W&W国际法律团队对印度现行个人信息保护相关法律和此次DPDP内容进行了系统的整理、归纳、理解,从历史立法进程等四个方面对该法案作出我们的解读。
在DPDP通过之前,印度的数据保护要求来自多个不同的立法,但大多数公司,无论属于哪个行业,都受到2000年《信息技术法》Information Technology Act, 2000 (以下简称“IT法”)和2011年《信息技术(合理的安全实践和程序以及敏感个人数据或信息)规则》Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 (以下简称“SPDI规则”)的最强烈影响。尽管新的DPDP即将生效,但DPDP中明确规定,新法是作为补充而非减损当前有效的任何其他法律,若DPDP的规定与当时有效的任何其他法律的规定相冲突,则在冲突范围内以DPDP的规定为准。
印度 DPDP规定要点

垦丁W&W国际法律团队在对本法案进行梳理和研究的过程中,特别关注到,DPDP在跨境传输方面,中央政府有权通过通知去限制跨境数据传输,除非满足法定豁免情形。
另外,DPDP规定,若目前生效的任何法律规定了更高的保护程度或者限制数据受托人传输个人数据,应当适用更严格的标准。
DPDP还新增了针对“重要数据受托人”,需要强制任命数据保护官、数据审计员,并进行定期数据保护影响评估的要求。
另在具体适用时,DPDP还规定了以下情形可豁免适用DPDP的全部或部分规定:
· 对于指定机构,为了安全、主权、公共秩序等利益;
· 用于研究、存档或统计目的;
· 对于初创公司或其他已通知类别的数据受托人;
· 执行合法权利和主张;
· 履行司法或监管职能;
· 预防、侦查、调查或起诉犯罪行为;
· 根据外国合同在印度处理非居民的个人数据;
· 经批准的合并、分立等;
· 寻找违约者及其金融资产等。
印度 DPDP与现行其他个人信息保护相关立法的对比
根据垦丁W&W国际法律团队的梳理,在DPDP通过后,目前印度与数据保护有关的主要法律规定包括:2023年《数字个人信息保护法》Digital Personal Data Protection Act, 2023,即DPDP,2000年《信息技术法》Informtion Technology Act, 2000 (简称“《IT法》”)和2011年《信息技术(合理的安全实践和程序以及敏感个人数据或信息)规则》Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 (简称“《SPDI规则》”)。虽然DPDP对《IT法》进行了三处修订(包括删除了《IT法》第43A条“未能保护数据的补偿”;在第81条中插入了DPDP的相关内容;删除了第87条第(2)款中的(ob)项,该项为关于第43A条的内容),但正如上文所述,DPDP明确规定,新法是作为补充,而非减损当时有效的任何其他法律。
由此,在本部分,垦丁W&W国际法律团队将从监管机构、管辖与适用范围等15个部分,对比印度现行与信息保护有关的主要法律中的规定(以下称“现行其他个人信息保护相关立法”)与DPDP新增的规定(以下称“DPDP新增”),旨在更清晰地为出海企业梳理DPDP提出的合规要求,帮助企业认识DPDP规定的内容,以便企业在DPDP生效后在理解法案的基础上采取进一步的合规措施。










法案生效后的影响
目前,印度官方尚未公布DPDP的具体生效时间,但此次DPDP的通过,标志着印度在个人数据保护方面,从曾经的零散立法,进入了一个体系化的全新时代,垦丁W&W国际法律团队将持续跟进DPDP的动态。
DPDP为出海企业勾勒了一副以数字方式处理个人数据时的合规框架:如对数据保护法律中“控制者”和“处理者”等关键概念作出更细致的区分;新增了处理数据的合法性基础;在企业需向用户告知的内容中增设撤回同意权和申诉权的方式、向数据保护委员会提出投诉的方式等内容,并增设数据主体的删除权,强化对数据主体权利的保护;规定“重要数据受托人”的任命数据保护官和数据审计员、定期进行数据保护影响评估要求等数据处理义务,以此增强对数字个人数据的保护;对违反DPDP的行为设定了最高25亿印度卢比(约3100万美元)的罚款金额。
印度电子与信息技术部(MeitY)展望,该法案能以干扰最小的方法改变数据受托人处理数据的方式,促进营商便利性,并赋能印度的数字经济。印度主流媒体The Hindu(《印度教徒报》)报道称,印度私营企业“称赞该法案减少了早期草案中对企业的严格要求”,例如2022年8月撤回的2019《个人数据保护法案(草案)》中饱受争议的数据本地化条款(即要求公司将某些敏感个人数据的副本存储在印度境内,并禁止部分关键个人数据的出口)。垦丁W&W国际法律团队近年来一直持续跟踪印度个人数据保护法的立法进程,今后也将持续密切关注该法案的生效、实施进展,关注其对出海印度的企业和全球科技生态系统的影响,帮助出海企业更合规地在印度开展业务。
垦丁W&W国际法律团队在DPDP历经多次变化期间,对印度的立法及执法动态进行了深入调研,并为多家出海印度的企业提供了有关在印度产品和服务的数据合规和个人信息保护法律合规支持服务,帮助企业出海印度的产品和服务乃至员工数据管理方面进行落地合规制度搭建。
2023年8月11日,2023年《数字个人数据保护法案(草案)》Digital Personal Data Protection Bill, 2023获得印度总统批准,进而在官方公报颁布了正式的2023年《数字个人数据保护法》Digital Personal Data Protection Act, 2023(以下简称“DPDP”)。该法案规范数字个人数据的处理,并对违反该法案规定的行为设定最高25亿印度卢比(约3100万美元)的罚款金额。DPDP具体的生效日期将由印度政府之后在官方公报上宣布。垦丁W&W国际法律团队对印度现行个人信息保护相关法律和此次DPDP内容进行了系统的整理、归纳、理解,从历史立法进程等四个方面对该法案作出我们的解读。
在DPDP通过之前,印度的数据保护要求来自多个不同的立法,但大多数公司,无论属于哪个行业,都受到2000年《信息技术法》Information Technology Act, 2000 (以下简称“IT法”)和2011年《信息技术(合理的安全实践和程序以及敏感个人数据或信息)规则》Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 (以下简称“SPDI规则”)的最强烈影响。尽管新的DPDP即将生效,但DPDP中明确规定,新法是作为补充而非减损当前有效的任何其他法律,若DPDP的规定与当时有效的任何其他法律的规定相冲突,则在冲突范围内以DPDP的规定为准。
印度 DPDP规定要点

垦丁W&W国际法律团队在对本法案进行梳理和研究的过程中,特别关注到,DPDP在跨境传输方面,中央政府有权通过通知去限制跨境数据传输,除非满足法定豁免情形。
另外,DPDP规定,若目前生效的任何法律规定了更高的保护程度或者限制数据受托人传输个人数据,应当适用更严格的标准。
DPDP还新增了针对“重要数据受托人”,需要强制任命数据保护官、数据审计员,并进行定期数据保护影响评估的要求。
另在具体适用时,DPDP还规定了以下情形可豁免适用DPDP的全部或部分规定:
· 对于指定机构,为了安全、主权、公共秩序等利益;
· 用于研究、存档或统计目的;
· 对于初创公司或其他已通知类别的数据受托人;
· 执行合法权利和主张;
· 履行司法或监管职能;
· 预防、侦查、调查或起诉犯罪行为;
· 根据外国合同在印度处理非居民的个人数据;
· 经批准的合并、分立等;
· 寻找违约者及其金融资产等。
印度 DPDP与现行其他个人信息保护相关立法的对比
根据垦丁W&W国际法律团队的梳理,在DPDP通过后,目前印度与数据保护有关的主要法律规定包括:2023年《数字个人信息保护法》Digital Personal Data Protection Act, 2023,即DPDP,2000年《信息技术法》Informtion Technology Act, 2000 (简称“《IT法》”)和2011年《信息技术(合理的安全实践和程序以及敏感个人数据或信息)规则》Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 (简称“《SPDI规则》”)。虽然DPDP对《IT法》进行了三处修订(包括删除了《IT法》第43A条“未能保护数据的补偿”;在第81条中插入了DPDP的相关内容;删除了第87条第(2)款中的(ob)项,该项为关于第43A条的内容),但正如上文所述,DPDP明确规定,新法是作为补充,而非减损当时有效的任何其他法律。
由此,在本部分,垦丁W&W国际法律团队将从监管机构、管辖与适用范围等15个部分,对比印度现行与信息保护有关的主要法律中的规定(以下称“现行其他个人信息保护相关立法”)与DPDP新增的规定(以下称“DPDP新增”),旨在更清晰地为出海企业梳理DPDP提出的合规要求,帮助企业认识DPDP规定的内容,以便企业在DPDP生效后在理解法案的基础上采取进一步的合规措施。










法案生效后的影响
目前,印度官方尚未公布DPDP的具体生效时间,但此次DPDP的通过,标志着印度在个人数据保护方面,从曾经的零散立法,进入了一个体系化的全新时代,垦丁W&W国际法律团队将持续跟进DPDP的动态。
DPDP为出海企业勾勒了一副以数字方式处理个人数据时的合规框架:如对数据保护法律中“控制者”和“处理者”等关键概念作出更细致的区分;新增了处理数据的合法性基础;在企业需向用户告知的内容中增设撤回同意权和申诉权的方式、向数据保护委员会提出投诉的方式等内容,并增设数据主体的删除权,强化对数据主体权利的保护;规定“重要数据受托人”的任命数据保护官和数据审计员、定期进行数据保护影响评估要求等数据处理义务,以此增强对数字个人数据的保护;对违反DPDP的行为设定了最高25亿印度卢比(约3100万美元)的罚款金额。
印度电子与信息技术部(MeitY)展望,该法案能以干扰最小的方法改变数据受托人处理数据的方式,促进营商便利性,并赋能印度的数字经济。印度主流媒体The Hindu(《印度教徒报》)报道称,印度私营企业“称赞该法案减少了早期草案中对企业的严格要求”,例如2022年8月撤回的2019《个人数据保护法案(草案)》中饱受争议的数据本地化条款(即要求公司将某些敏感个人数据的副本存储在印度境内,并禁止部分关键个人数据的出口)。垦丁W&W国际法律团队近年来一直持续跟踪印度个人数据保护法的立法进程,今后也将持续密切关注该法案的生效、实施进展,关注其对出海印度的企业和全球科技生态系统的影响,帮助出海企业更合规地在印度开展业务。
垦丁W&W国际法律团队在DPDP历经多次变化期间,对印度的立法及执法动态进行了深入调研,并为多家出海印度的企业提供了有关在印度产品和服务的数据合规和个人信息保护法律合规支持服务,帮助企业出海印度的产品和服务乃至员工数据管理方面进行落地合规制度搭建。
