一、前言
欧盟的《通用数据保护条例》(GDPR)经常被称为个人数据保护的“黄金标准”,并且已经生效了五年多。2023 年 8 月,印度颁布了期待已久的《2023 年数字个人数据保护法》(DPDP 法案)。虽然 DPDP法案 在许多方面可能不如GDPR那么细化,但它标志着印度维护数字数据保护之旅中的一个关键里程碑。本文提供了GDPR和DPDP法案在数据处理义务、儿童数据和跨境数据传输等领域之间的比较。
随着新法律的生效,各种实体已开始采取准备步骤来遵守DPDP法案。其中,已经遵守GDPR的跨国公司对差异部分特别感兴趣。例如,DPDP法案与GDPR的一个重要区别是,前者没有定义或明确限制分析(being profiled),除非在处理儿童数据的情况下。GDPR 明确定义并规定了分析框架,例如,如果数据主体正在被分析,则需要通知他们。
二、GDPR和DPDP法案的区别
1. 个人数据的分类
根据GDPR,一类个人数据被称为“特殊类别的个人数据”,此类别包括个人的敏感信息,例如与种族或民族血统、政治观点以及宗教或哲学信仰等相关的数据。
处理特殊类别的个人数据需要额外的合规性要求,特别是关于可用于处理此类特殊类别个人数据的法律依据。
与GDPR相反,DPDP法案适用于数字空间中的所有个人数据,而不将其归类为敏感或关键。因此,根据DPDP法案,不同类型的个人数据没有单独的合规标准。因此,需要对所有类别的个人数据适用统一的标准。
2. 数据受托人的分类
GDPR 在规定合规性和义务时不区分数据控制者类别(类似于 DPDP 法案下的数据受托人)。
相反,根据DPDP法案,中央政府可以根据规定的标准将某些数据受托人归类为“重要数据受托人”,例如处理的个人数据的数量和敏感性,数据主体(类似于GDPR下的数据主体)权利的风险,并增加合规义务,而不是一般的数据受托人。此类额外义务包括任命居住在印度的数据保护官 (DPO)、任命独立数据审计员、进行定期评估等。
3. 数据处理者的义务
根据GDPR,数据处理者必须遵守某些合规性,例如实施适当的组织和技术措施来确保保护数据主体的权利。除其他因素外,还可以根据处理者和控制者的责任程度对数据处理者处以罚款。
DPDP法案对数据处理者没有直接义务。义务的责任已由数据受托人承担,他们必须确保其或代表其进行的数据处理者进行的任何处理的合规性。此外,与GDPR要求数据控制者和数据处理者签订“数据处理协议”的方式类似,根据DPDP法案,数据受托人和数据处理者之间必须签订有效的合同。
4. 通知要求
与DPDP法案的规定相反,GDPR要求在收集数据主体的个人数据之前或收集其个人数据时向其发出更全面的隐私声明。这包括个人数据的第三方传输、数据控制者的联系信息、个人数据的保留期限等。
DPDP法案则规定,只有在处理其个人数据的法律依据是同意的情况下,才必须向数据主体提供通知。该通知必须概述寻求收集的个人数据的类型、处理目的、数据主体行使撤回同意和申诉补救权的方式,以及数据主体可以向印度数据保护委员会投诉的方式。此外,还需要向数据主体提供以当地语言(最多 22 种语言)访问通知和同意请求的选项。翻译义务似乎确保数据主体能够轻松理解其数据被处理的含义,并相应地提供其“知情”同意。
5. 同意管理器-新增(Consent managers)
虽然GDPR和DPDP法案都承认个人同意是处理个人数据的法律依据之一,但后者引入了“同意管理器”的新概念。GDPR 下没有等效的概念。同意管理器将使数据主体能够通过可访问、透明和可互操作的平台提供、管理、审查和撤回其同意。
6. 儿童年龄
DPDP法案和GDPR之间的另一个显着区别是成年年龄。根据 GDPR,16 岁以下的个人被视为儿童(欧盟成员国可以降低该年龄,前提是不低于 13 岁)。但是,《DPDP法案》将儿童定义为18岁以下的个人,符合印度成年年龄的总体法律框架。《民进党法》进一步赋予中央政府降低成年年龄的权力,前提是处理方式得到中央政府可核查的安全通知。这种差异可能导致运营复杂性,因为它可能需要不同的同意机制,包括跨司法管辖区的父母同意。
7. 报告个人数据泄露
虽然GDPR遵循基于风险的方法通知当局个人数据泄露的信息,但DPDP法案没有规定任何此类阈值。根据GDPR,可能对数据主体的权利和自由构成风险的违规行为必须向监管机构报告。此外,只有当数据泄露可能导致其权利和自由面临高风险时,才必须将数据泄露传达给受影响的数据主体。
另一方面,DPDP法案没有为向监管和受影响的数据主体报告个人数据泄露的义务建立明确的标准或门槛。但是,预计将规定数据泄露的形式和方式。因此,在这方面可能会出现进一步的澄清。这也带来了运营挑战,因为根据印度计算机应急响应小组和印度其他各种部门监管机构发布的指示,有一个违规报告框架。
8. 被遗忘权和删除权
根据GDPR,删除权也被称为被遗忘权。根据GDPR,数据主体可以行使此权利,但某些例外情况除外。
DPDP法案仅授予数据主体删除的权利,除非出于特定目的或遵守法律而有必要保留。然而,值得注意的是,印度各邦的高等法院对此采取了相互矛盾的观点。包括德里高等法院、卡纳塔克邦高等法院和奥里萨邦高等法院在内的一些法院已经承认被遗忘权是个人隐私权的一部分。
9. 任命DPO
GDPR和DPDP法案都规定了DPO的任命。根据GDPR,如果在某些情况下处理个人数据,例如如果处理是由公共机构(法院除外)进行的,或者控制者或处理者的核心活动涉及敏感类别数据的处理等,则控制者和处理者都必须任命DPO。GDPR 还规定了 DPO 的资格。
相反,DPDP法案仅要求由“重要数据受托人”任命DPO。此外,目前形式的DPDP法案没有提供有关DPO资格的详细信息。
10. 数据保护影响评估
根据GDPR,监管机构有权列出需要数据保护影响评估(DPIA)的活动清单。在某些情况下,例如当某种类型的处理可能对自然人的权利和自由造成高风险时,控制者需要根据规定的某些因素进行 DPIA。其他情况,例如分析或处理与刑事定罪有关的个人数据,也需要 DPIA。
根据DPDP法案,DPIA由重要的数据受托人定期进行。这将包括对数据主体权利的描述、处理其数据的目的、风险评估和管理以及可能指定的其他措施。但是,DPDP法案没有详细说明需要DPIA的处理活动的细节。与GDPR相反,这可能会导致合规负担增加。
11. 个人数据的跨境传输
GDPR 提供了各种渠道,可以通过这些渠道进行个人数据的跨境传输。根据 GDPR,个人数据可能会根据充分性决定以及标准合同条款 (SCC)、公司约束规则 (BCR) 和某些规定的保障措施进行传输。随后的司法判决在制定标准和确定个人数据跨境传输的方式方面也至关重要。
然而, DPDP法案下的个人数据可以转移到其他司法管辖区,除非中央政府基于某些因素限制了转移到某个国家或地区。
必须强调的是,如果包括部门法在内的其他法律要求对跨境传输提供更严格的数据保护,这些法律将继续适用并应得到遵守。因此,在这种情况下,受行业监管机构监管的实体的合规负担基本保持不变。
12. 对受影响个人的赔偿
根据 GDPR,任何因违反 GDPR 而遭受物质或非物质损害的个人都有权从数据控制者或数据处理者那里获得所遭受损害的赔偿。而DPDP法案则没有任何补偿受影响数据主体的规定。在《DPDP法案》下没有任何法定赔偿的情况下,印度受影响的数据主体可能不得不根据其他现行法律行使民事补救措施的选择权,以应对因个人数据泄露而对他们造成的任何伤害。
13. 对个人的处罚
GDPR 没有规定对数据主体的具体处罚。GDPR 下的处罚和制裁通常适用于不遵守其规定的组织(数据控制者和处理者)。相反,DPDP法案规定了数据主体的某些义务,例如不冒充他人以及不登记虚假或轻率的不满或投诉等的义务。除此之外,DPDP法案还规定,如果数据主体未能遵守规定的职责,最高罚款为10,000印度卢比(约合120美元)。
14. 数据可移植性的权利
与GDPR不同的是,DPDP法案没有提供数据可移植性权利。虽然这项权利已纳入 2019 年《个人数据保护法案》(已废除),但未纳入当前版本的 DPDP 法案。
15.反对/选择退出的权利
《隐私法》仅允许数据主体通过民事诉讼反对数据处理,理由是该处理侵犯了数据主体的隐私权。但是,一旦在不侵犯隐私的情况下(例如,经数据主体同意)提供个人数据进行处理,则没有既定的反对处理权的概念。截至今天,人们普遍认为以色列的数据主体无权撤回其对处理的同意。
三、总结
虽然GDPR和DPDP法案有着共同的目标,但两项立法采用的方法和策略明显不同。GDPR的规范性相对较强,而DPDP法案概述了某些基本原则,并将许多与实施相关的方面留待通过随后生效的附属立法来解决。随着立法程序的发展,这种方法可以在处理数据保护的各个方面时提供更大的灵活性和适应性。
对于已经被要求遵守GDPR的实体,做好调整以确保符合DPDP法案的要求是必要的。随着法律的生效,企业将需要仔细了解所需的额外基础工作,并相应地调整自己的做法,以与新的印度框架保持一致。