印度政府发布 2022 年数字个人数据保护法案草案

印度提出了一项新的全面的数据隐私法，将规定公司如何处理其公民的数据，包括允许与某些国家跨境传输信息。

三个月前，在隐私倡导者和科技巨头的审查和担忧下，印度突然撤回了之前的提案。

周五，国家信息产业部公布了一份名为《2022年数字个人数据保护法案》的草案，以征询公众意见。

它将听取公众的意见，直到12月17日。

该法案的目的是以一种承认个人保护其个人数据的权利和出于合法目的处理个人数据的需要的方式，为与此相关或附带的事项提供处理个人数据的规定。

该草案允许与“某些通知的国家和地区”进行跨境数据交互，此举被视为科技公司的胜利。

在对其认为必要的因素进行评估后，中央政府可以根据可能指定的条款和条件，通知数据受托人可以将个人数据转移到印度以外的国家或地区，”草案称，但没有指明这些国家的名称。

代表Meta、谷歌、亚马逊和许多其他科技公司的游说团体亚洲互联网联盟(Asia Internet Coalition)要求新德里允许跨境数据传输。

他们在今年早些时候写给IT部的一封信中写道:“跨境转移决策应该不受行政或政治干预，并且应该受到最低限度的监管。”。

“限制跨境数据流动可能会导致更高的业务失败率，为初创企业设置障碍，并导致现有市场参与者提供更昂贵的产品。最终，上述要求将影响数字包容性，以及印度消费者接入真正的全球互联网的能力和服务质量，”该组织曾表示。

该提案还试图赋予新德里(联邦政府)以国家安全利益为由，豁免各邦政府遵守该法律的权力。

该草案还提出，公司只能出于最初获得用户数据的目的使用他们收集的用户数据。它还要求这些公司承担责任，确保它们为用户处理个人数据的目的与收集这些数据的目的完全一致。它还要求公司不要默认永久存储数据。

该部的一份声明称，“存储时间应限制在所声明的收集个人数据的目的所必需的时间内。”。

该草案提出，如果一家公司未能提供“合理的安全保护措施以防止个人数据泄露”，将被处以高达3060万美元的罚款。

如果该公司未能通知地方当局和用户未能披露个人数据违规，还将面临2450万美元的罚款。早先提出的规则被吹捧为有助于保护公民的个人数据，根据其性质将其分为不同的部分，如敏感或关键。

然而，根据草案，新版本并没有将数据分离。与欧洲的GDPR和美国的CCPA(加州消费者隐私法案)类似，印度提议的2022年数字个人数据保护法案将适用于在该国运营的企业和处理印度公民数据的任何实体。

公共政策专家称赞政府缩减提案的举措，从之前的版本——从90多条缩减到30条。然而，他们认为删减文本会带来一些模糊性。数字政策倡导者、新德里技术政策智库“对话”(The Dialogue)的创始董事卡兹姆·里兹维(Michael riz VI)告诉我们，删除与跨监管机构达成谅解备忘录以建立监管间协调有关的条款，以及省略测试创新的沙盒机制，是一些令人担忧的领域。

“鉴于在不一致的情况下，该法案将优先于其他现有和拟议的法律，在印度监管领域，这种管辖权优先说起来容易实施起来难。因此，需要一种更加结构化的方法来协调现有的和拟议的相关法律，如交叉引用系统，部门或特定领域的监管机构可以与《数字保护法》合作制定法规，”他说。

在征求公众意见后，拟议的规则预计将在议会进行讨论，不会对该国十多年前起草的有争议的法律带来任何变化。

然而，新德里正在努力更新其已有20年历史的信息技术法律，该法律将作为《数字印度法案》首次亮相。

印度信息技术国务部长Rajeev Chandrasekhar在最近的一次采访中告诉我们。

8月，印度政府撤回了早些时候的个人数据保护法案，该法案是在经历了大量预期和司法压力后于2019年公布的。

当时，印度IT部长Ashwini Vaishnaw表示，撤回被认为是“提出了一个符合全面法律框架的新法案。” 

Meta、谷歌和亚马逊等公司对联合议会委员会就拟议法案提出的一些建议表示了担忧。

2017年，印度最高法院宣布隐私是一项基本权利，因此出台了数据保护法。

然而，该国因其早期的数据保护法案面临强烈批评，因为这些法案赋予政府机构获取公民数据的权力。

在本周早些时候巴厘岛G-20峰会期间的一次会议上，印度总理纳伦德拉·莫迪(Narendra Modi)谈到了“数据促进发展”的原则，并表示印度将在明年担任政府间论坛19个成员国的主席国期间，与G-20伙伴合作，为“每个人的生活带来数字化变革”。