内容摘要:
印度议会公布的《数字个人数据保护法案》在隐私方面提出了多项要求,包括要求公司进行数据处理时要获得个人“同意”、纠正不准确的个人数据、保护数据权利以及遵守政府数据访问相关规定等。作者认为,新法案针对政府数据收集提出了多项豁免特例,对保护个人隐私来说可谓喜忧参半,并指出印度的关注点已从要求公民数据在本地存储转向评估“可信地区”,确保数据有信任的自由流动,这种方法可能使印度在明年推动全球数据对话方面更具影响。美国政府围绕“可信地区”概念,可进行富有成效的参与。
印度议会公布了《数字个人数据保护法案》,这是印政府今年早些时候撤回其《个人数据保护法案》后第二次通过的全面数据隐私法案。当前的草案比其他法案要短,但有许多部分的内容是相同的。
印度决策者也发表了对该法案的评论,这些评论尚未公开,在此我将进行讨论。重要的是,新法案在隐私方面提出了一个大杂烩式的要求——要求公司(进行数据处理)获得个人“同意”,纠正不准确的个人数据,保护数据权利以及有关政府数据访问的规定。本分析并不全面,但突出了立法中一些值得注意的关键点,这些关键点将是对全球数据监管的重大发展。
1.关于“同意”的观点
与旧法案一样,《数字个人数据保护法案》要求处理数据的组织(即“数据受托人”)获得处理数据的个人的“同意”。该法案称,当个人“同意”时,该组织必须“在合理可行的情况下,尽快”向此人提供“一份以清晰、明了的语言逐项列出的通知”,说明所收集的数据以及处理数据的目的。该法案还提议,个人可以撤回对组织处理其数据的“同意”,而相关组织必须停止处理其数据。
这种“同意”的观念被打破了,这种做法也不是印度特有的。美国和欧洲的公司和政策制定者也在推行同样的理念。人们通常不会阅读服务协议条款,而一些公司通常会快速弹出一个带有难以理解的法律术语的冗长文档,只等用户点击“接受”,它们知道用户既不会阅读也不理解这些文件。
这完全违背了同意的概念。
同样,人们不会阅读隐私政策,但许多网站和应用程序会武断地声称,浏览网站或打开应用程序本身就表示同意其隐私政策。此外,在一个公民(包括印度公民)不同意接受数据收集就无法获得基本服务的世界里,同意并不是在完全自由的情况下给予的。尽管如此,新法案中关于同意的措辞,将印度置于与美国国家隐私法和欧盟《通用数据保护条例》中的“同意”条款相对一致的方向。
2.政府数据收集特例
该法案明确规定了许多例外情况,其中许多涉及印度政府,从而进一步削弱了这种同意的概念。虽然有些例外情况可能很合理,但另一些则会给印度公民带来隐私风险,并给在印度运营的公司和组织带来复杂的法律问题。
最新的公共法案草案规定,如果数据处理对于“履行法律规定职能”、“执行根据法律发布的判决或命令”、“应对直接威胁或其他个人的生命或健康的医疗紧急情况”、“在灾害或公共秩序崩溃期间采取措施确保人身安全或向任何个人提供援助或服务”等情况“是必要的”,则个人被视为已经同意收集其数据。在“合理预期”某人将自愿向某个组织提供其个人数据、处理“公开可用的个人数据”和信用评分等情况下,也无需获得同意。
虽然其中一些例外情况从表面上来看可能是合理的(比如信用评分),但从隐私和民权的角度来看,许多例外都非常令人担忧。例如,该法案目前的措辞将允许基于“公共利益”的数据收集,“公共利益”的定义非常广泛,包括印度的主权和利益的完整、国家安全、与外国的友好关系、维护公共秩序、防止煽动上述活动(如破坏公共秩序)和防止“虚假事实陈述”的传播等。
3.数据本地化
旧《个人数据保护法案》中最具争议的内容可能是其数据本地化要求。这些规定将要求拥有印度公民个人数据的组织将这些信息保存在印度国内,在某些情况下只需保留一份副本,而在其他情况下则完全阻止向外转移。不同的印度决策者出于一系列原因希望这些要求得以实施,包括对外国公司施加成本、促进印度的数据存储行业、加强印度政府对与印度公民相关的数据存储的监督,以及如一些人所见,使印度执法部门能够更好地获取美国公司持有的与犯罪相关的数据,目前,通过破裂的司法互助条约程序,这一点难以获得。
新法案不再强调本地化。它不要求在本地存储数据本身,而是提议允许印度政府评估外国的数据保护制度,然后证明这些制度足以为印度公民的数据提供目的地。具体而言,它指出,“中央政府可以在评估其认为必要的因素后,根据可能指定的条款和条件,通知数据受托人可以将个人数据转移到印度以外的国家或地区。”
外国企业肯定会对这一变化感到高兴。大多数情况下,他们对数据本地化的抱怨在于成本上——不想为在印度本地存储数据的技术变革和技术基础设施建设以及其他法律和组织成本付费。但数据本地化也引发了其他担忧,包括重复建设数据存储基础设施的气候排放成本,以及在增加存储一份信息的网络安全风险。
这些至少为印度政府放弃高度控制的数据本地化制度提供了几个理由。
4.其他正在进行辩论的观点
印度电子和信息技术部(Ministry of Electronics and Information Technology)网站上的该法案的当前版本不适用于“个人数据的非自动化处理”、“离线个人数据”、“个人出于个人或家庭目的处理的个人数据”,以及“存在至少100年的记录中包含的个人数据”。
有趣的是,我审阅过的一个加了标记的法案版本——它的修改没有反映在当前的在线草案中——其中有一个建议,即“根据数据所属的主题,由中央或邦政府拥有”的“匿名个人数据”也从法案中豁免。该文件还明确使用术语“信任的数据自由流动”来描述印度政府批准外国数据传输和存储的条款。
这一建议很糟糕。在美国,联邦和州立法者继续在隐私法律和法案中豁免“匿名”或“身份识别”数据,他们错误地认为这些术语在技术上是有意义的。大量研究表明,考虑到统计数据分析的进步、当今世界海量的数据以及公司对个人独特的数据点(如地理位置历史或设备的Wi-Fi连接模式)的访问,将所谓的“身份识别”或“匿名”数据与真实的人联系起来非常容易。
在我审阅的未公布的法案标记中,给出的第二个建议是使用“信任的数据自由流动”术语,它参考了日本政府在2019年大阪G-20大会上倡导的信任数据自由流动倡议。当时,这一术语描述了一种普遍的看法,即允许数据在彼此之间自由流动符合各国的利益,但要有一些保障措施。新德里拒绝在2020年签署最初的数据自由流动与信任协议——这是一个模糊的声明,旨在寻求合作建立“数据自由流动与信任”框架——因为它认为这一努力太受高资源国家的推动。印度商业和工业部长当时说,“鉴于各国之间巨大的数字鸿沟,发展中国家需要有政策空间,因为它们仍需围绕数字贸易和数据制定法律。数据是促进发展的有力工具,公平获取数据对我们很重要。”
5.结论
印度全面数据监管的最新尝试引发了激烈的辩论,其中包括印度决策者、美国决策者、美国科技公司和印度民间社会利益相关者。毫无疑问,围绕新的立法,这种辩论将继续发生。
该提案还提出了许多其他值得深入分析和讨论的问题,远远超出了本文的范围。不过,就目前而言,很明显,印度打算在数据监管方面树立自己的旗帜,而就“可信地区”概念而言,美国政府有足够的空间进行富有成效的参与。
来源:大西洋理事会
Last modified: 2022年 12月 6日
