数据保护法律的比较：印度

数据是信息时代的石油。尽管社会经济和政治环境复杂多变，但在加强个人数据保护方面，很多亚洲管辖区正在大步迈进。

自欧盟通过《通用数据保护条例》（“GDPR”）加强个人数据保护以来，要求实施有关措施、以减少数据漏洞并保护用户隐私不被侵蚀的呼声在全球得到响应。

对科技巨头提出的滥用和粗暴处理个人数据的系列指控，是人们如何看待侵犯数据隐私问题的重大转折点。许多管辖区陆续大幅修改现有法律，为更严格的监管制度铺路。

印度也不例外，同样正在这条战线上努力。

目前，这个领域是由《信息技术法》和《2011年信息技术（合理安全惯例和程序以及敏感个人数据或信息）规则》监管。信息技术法第43A条向数据主体赋权，使其可在敏感个人信息被擅自披露时主张赔偿。第72A条是处罚条款，规定未经同意披露敏感个人信息的行为人（包括中介人）可被处以监禁或罚款。

然而，由于范围非常有限，这些法律的保护不够充分。因此，印度在2018年提出综合性法律草案《个人数据保护法案》，以重塑监管制度。此举旨在提供权利规范机制并部署权利数据基础设施，以便印度解锁数据权力。

但该法案遭到系列争论的冲击，已历经三次修订。

在提交给由印度议会两院成员组成的联合议会委员会（“JPC”）处理后，JPC报告与经修订的《数据保护法案》一起于2021年12月16日发布。新法案旨在对个人和非个人数据实施监管，这意味着拟定法律的范围已经拓宽。

拟定法律是基于印度最高法院在KS Puttaswamy诉印度联邦案中确立的原则制定。根据该原则，法律应制裁限制个人隐私权利的行为，并必须具备程序上的防范措施，防止个人隐私遭到滥用。

该法案最具有争议的要素是授予政府的近乎全权豁免。第35条规定，出于保护印度主权和完整、国家安全、与外国的友好关系以及公共秩序的需要，政府可免于遵守所有规定。尽管遭到尖锐批评，但JPC仍保留了该条文。

为限制政府的监控权力，该法案进行了补充说明，表示相关程序必须“公平、公正、合理、相称”。虽然增加豁免限制受到欢迎，但这不够充分。

司法监督对避免政府的任意行为十分关键，政府充分利用豁免的要求应由法院批准。此外，法案本身应涵盖规定充足防范措施的广泛程序机制。如同部分JPC成员在反对记录中所言，为缩小该条文的范围，应删除“公共秩序”一词。

负责监督数据保护法律落实和执行的数据保护局（DPA）还面临另一个问题。根据2019年法案，所有DPA成员应首先获得由内阁秘书和两位秘书级官员组成的提名委员会的推荐，然后再由中央政府任命。在原条文遭到批评后，JPC目前已经在2021年法案中，将总检察长加入该委员会。为使DPA完全独立，可以考虑让司法部门参与并加入一位高级法官（最好是在数据隐私方面发表过真知灼见）。

数据本地化条文也是最大的争议之一。原2018年法案中的总括性数据本地化条文遭到猛烈抨击。在该法案几个后续版本中，由于其他国家的强烈反对，此类条文略有松动。《2021年数据保护法案》现在规定“软本地化”，要求对敏感个人数据进行镜像处理，对关键数据进行强制本地处理。换言之，该法案允许在印度境外转移和存储敏感个人数据，但前提是在印度本地存储副本。

敏感个人数据包括与健康、宗教、性生活、政治信念、生物识别、遗传、财务等有关的数据。在满足某些条件的情况下（完全类似于GDPR的充分性机制），此类数据可以转移到国外。不过，向国外转移关键数据是被禁止的。关键数据必须仅在印度处理和存储，但关键数据的确切定义尚未出台。因此，关键数据会涵盖哪些数据类型尚不明确。

政府就印度如何受益于数据本地化给出了很多理由。印度拥有巨大的数据市场，而其中的大量数据实际存储在美国、爱尔兰等国家的服务器上。强制在本地存储数据会在印度国内形成大规模的数据中心，从而有助于创造本地就业。政府认为，提升印度的整体信息技术或数据基础设施将推动经济进步，并有助于印度成为全球数据处理中心。

这种关于数据跨境转移的保护主义愿景似乎很美好，但在实施之前，对净收益的估计很重要。为确定这种制度是否会产生净收益，关键是要进行评估，即，遵守数据本地化要求的额外负担，是否可能导致在印度提供数据服务的外国企业大量流失，而且还应考虑外国政府对印度公司采取报复行动的可能性。

更出色的执法是很多人宣扬的另一项优势。评估其他管辖区内存储的数据时，印度执法机构面临诸多限制。例如，印度国内发生一起严重犯罪，而在调查过程中发现，关键证据掌握在位于美国的某些服务提供商手中，这种情况下，印度政府将别无选择，只能求助于《印美司法互助条约》（MLAT）规定的棘手的数据收集机制。

接受MLAT请求前，美国政府需要寻求法院裁定。裁定前，美国法院需要认定印度的请求是否满足相关法律要求。一旦作出裁定，美国服务提供商会生成必要数据，并与美国司法部共享，以审查是否合规，最终才会将此类数据提供给印度。这个流程通常耗时数月，而无法及时获取数据可能会阻碍相关调查。

数据本地化会为印度政府机构提供便捷的数据访问通道和解决方案，不过，衡量和分析这会在多大程度上降低印度对MLAT机制的依赖至关重要。我们可以审视一下，如果数据本地化的拟定软变通方案要求仅对敏感个人数据（而非全部个人数据）进行镜像处理，并且该方案得到采用，那么在这种情况下，执法机构所需的变得易于访问的数据或证据的比例能有多大。本地化理应是对MLAT机制以及与其他国家和地区签订有关直接访问数据的双边执行协议的补充，但评估本地存储强制令给印度签署此类协议的资格带来的冲击（因而适得其反）的风险也很重要。

社会各界对此提出各种意见。总部位于印度的全球智库观察研究基金会的近期报告认为，印度的本地存储强制令可能会构成在《阐明数据海外合法使用法》（“云端法”）项下与美国谈判执行协议的阻碍。云端法是一部授权性质的美国法律，为调查“严重犯罪”的外国政府在遇到国家数据法律冲突时访问数据开辟了国际合作道路。

如果印度是云端协议签署国，则在调查犯罪时，访问位于美国的服务提供商存储的相关数据不需要美国令状或法院裁定，有印度法院裁定即可。印度政府机构可以直接联系美国服务提供商，要求其提供必要数据。不过，云端法列出了确定充分性时需要考虑的因素。

无论如何，印度尚未表现出签署云端协议的意向。即便有这种意向，也应务必牢记，本地化强制令和政府广泛的监督权力可能对印度是否具有资格签署产生影响。

庞大规模和数量的互联网用户是印度的优势，印度也正在设想在全球数据经济中发挥这项优势。就整体评估拟定法律以及某些条文（特别是关于跨境转移的条文）可能带来的风险而言，《数据保护法案》至关重要，以确保最终的法律不会背离初衷。

鉴于相关问题的复杂性，对关键条文进行细致调整并达成共识确实是一项挑战。因此，相关法律最终出台仍需不少时日。

LEXORBIS
709-710 Tolstoy House
15-17 Tolstoy Road
New Delhi – 110001, India
电子邮箱: mail@lexorbis.com

www.lexorbis.com