一、前言

歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)經(jīng)常被稱為個(gè)人數(shù)據(jù)保護(hù)的“黃金標(biāo)準(zhǔn)”，并且已經(jīng)生效了五年多。2023 年 8 月，印度頒布了期待已久的《2023 年數(shù)字個(gè)人數(shù)據(jù)保護(hù)法》(DPDP 法案)。雖然 DPDP法案 在許多方面可能不如GDPR那么細(xì)化，但它標(biāo)志著印度維護(hù)數(shù)字?jǐn)?shù)據(jù)保護(hù)之旅中的一個(gè)關(guān)鍵里程碑。本文提供了GDPR和DPDP法案在數(shù)據(jù)處理義務(wù)、兒童數(shù)據(jù)和跨境數(shù)據(jù)傳輸?shù)阮I(lǐng)域之間的比較。

隨著新法律的生效，各種實(shí)體已開始采取準(zhǔn)備步驟來遵守DPDP法案。其中，已經(jīng)遵守GDPR的跨國公司對(duì)差異部分特別感興趣。例如，DPDP法案與GDPR的一個(gè)重要區(qū)別是，前者沒有定義或明確限制分析(being profiled)，除非在處理兒童數(shù)據(jù)的情況下。GDPR 明確定義并規(guī)定了分析框架，例如，如果數(shù)據(jù)主體正在被分析，則需要通知他們。

二、GDPR和DPDP法案的區(qū)別

1. 個(gè)人數(shù)據(jù)的分類

根據(jù)GDPR，一類個(gè)人數(shù)據(jù)被稱為“特殊類別的個(gè)人數(shù)據(jù)”，此類別包括個(gè)人的敏感信息，例如與種族或民族血統(tǒng)、政治觀點(diǎn)以及宗教或哲學(xué)信仰等相關(guān)的數(shù)據(jù)。

處理特殊類別的個(gè)人數(shù)據(jù)需要額外的合規(guī)性要求，特別是關(guān)于可用于處理此類特殊類別個(gè)人數(shù)據(jù)的法律依據(jù)。

與GDPR相反，DPDP法案適用于數(shù)字空間中的所有個(gè)人數(shù)據(jù)，而不將其歸類為敏感或關(guān)鍵。因此，根據(jù)DPDP法案，不同類型的個(gè)人數(shù)據(jù)沒有單獨(dú)的合規(guī)標(biāo)準(zhǔn)。因此，需要對(duì)所有類別的個(gè)人數(shù)據(jù)適用統(tǒng)一的標(biāo)準(zhǔn)。

2. 數(shù)據(jù)受托人的分類

GDPR 在規(guī)定合規(guī)性和義務(wù)時(shí)不區(qū)分?jǐn)?shù)據(jù)控制者類別(類似于 DPDP 法案下的數(shù)據(jù)受托人)。

相反，根據(jù)DPDP法案，中央政府可以根據(jù)規(guī)定的標(biāo)準(zhǔn)將某些數(shù)據(jù)受托人歸類為“重要數(shù)據(jù)受托人”，例如處理的個(gè)人數(shù)據(jù)的數(shù)量和敏感性，數(shù)據(jù)主體(類似于GDPR下的數(shù)據(jù)主體)權(quán)利的風(fēng)險(xiǎn)，并增加合規(guī)義務(wù)，而不是一般的數(shù)據(jù)受托人。此類額外義務(wù)包括任命居住在印度的數(shù)據(jù)保護(hù)官 (DPO)、任命獨(dú)立數(shù)據(jù)審計(jì)員、進(jìn)行定期評(píng)估等。

3. 數(shù)據(jù)處理者的義務(wù)

根據(jù)GDPR，數(shù)據(jù)處理者必須遵守某些合規(guī)性，例如實(shí)施適當(dāng)?shù)慕M織和技術(shù)措施來確保保護(hù)數(shù)據(jù)主體的權(quán)利。除其他因素外，還可以根據(jù)處理者和控制者的責(zé)任程度對(duì)數(shù)據(jù)處理者處以罰款。

DPDP法案對(duì)數(shù)據(jù)處理者沒有直接義務(wù)。義務(wù)的責(zé)任已由數(shù)據(jù)受托人承擔(dān)，他們必須確保其或代表其進(jìn)行的數(shù)據(jù)處理者進(jìn)行的任何處理的合規(guī)性。此外，與GDPR要求數(shù)據(jù)控制者和數(shù)據(jù)處理者簽訂“數(shù)據(jù)處理協(xié)議”的方式類似，根據(jù)DPDP法案，數(shù)據(jù)受托人和數(shù)據(jù)處理者之間必須簽訂有效的合同。

4. 通知要求

與DPDP法案的規(guī)定相反，GDPR要求在收集數(shù)據(jù)主體的個(gè)人數(shù)據(jù)之前或收集其個(gè)人數(shù)據(jù)時(shí)向其發(fā)出更全面的隱私聲明。這包括個(gè)人數(shù)據(jù)的第三方傳輸、數(shù)據(jù)控制者的聯(lián)系信息、個(gè)人數(shù)據(jù)的保留期限等。

DPDP法案則規(guī)定，只有在處理其個(gè)人數(shù)據(jù)的法律依據(jù)是同意的情況下，才必須向數(shù)據(jù)主體提供通知。該通知必須概述尋求收集的個(gè)人數(shù)據(jù)的類型、處理目的、數(shù)據(jù)主體行使撤回同意和申訴補(bǔ)救權(quán)的方式，以及數(shù)據(jù)主體可以向印度數(shù)據(jù)保護(hù)委員會(huì)投訴的方式。此外，還需要向數(shù)據(jù)主體提供以當(dāng)?shù)卣Z言(最多 22 種語言)訪問通知和同意請(qǐng)求的選項(xiàng)。翻譯義務(wù)似乎確保數(shù)據(jù)主體能夠輕松理解其數(shù)據(jù)被處理的含義，并相應(yīng)地提供其“知情”同意。

5. 同意管理器-新增(Consent managers)

雖然GDPR和DPDP法案都承認(rèn)個(gè)人同意是處理個(gè)人數(shù)據(jù)的法律依據(jù)之一，但后者引入了“同意管理器”的新概念。GDPR 下沒有等效的概念。同意管理器將使數(shù)據(jù)主體能夠通過可訪問、透明和可互操作的平臺(tái)提供、管理、審查和撤回其同意。

6. 兒童年齡

DPDP法案和GDPR之間的另一個(gè)顯著區(qū)別是成年年齡。根據(jù) GDPR，16 歲以下的個(gè)人被視為兒童(歐盟成員國可以降低該年齡，前提是不低于 13 歲)。但是，《DPDP法案》將兒童定義為18歲以下的個(gè)人，符合印度成年年齡的總體法律框架。《民進(jìn)黨法》進(jìn)一步賦予中央政府降低成年年齡的權(quán)力，前提是處理方式得到中央政府可核查的安全通知。這種差異可能導(dǎo)致運(yùn)營復(fù)雜性，因?yàn)樗赡苄枰煌耐鈾C(jī)制，包括跨司法管轄區(qū)的父母同意。

7. 報(bào)告?zhèn)€人數(shù)據(jù)泄露

雖然GDPR遵循基于風(fēng)險(xiǎn)的方法通知當(dāng)局個(gè)人數(shù)據(jù)泄露的信息，但DPDP法案沒有規(guī)定任何此類閾值。根據(jù)GDPR，可能對(duì)數(shù)據(jù)主體的權(quán)利和自由構(gòu)成風(fēng)險(xiǎn)的違規(guī)行為必須向監(jiān)管機(jī)構(gòu)報(bào)告。此外，只有當(dāng)數(shù)據(jù)泄露可能導(dǎo)致其權(quán)利和自由面臨高風(fēng)險(xiǎn)時(shí)，才必須將數(shù)據(jù)泄露傳達(dá)給受影響的數(shù)據(jù)主體。

另一方面，DPDP法案沒有為向監(jiān)管和受影響的數(shù)據(jù)主體報(bào)告?zhèn)€人數(shù)據(jù)泄露的義務(wù)建立明確的標(biāo)準(zhǔn)或門檻。但是，預(yù)計(jì)將規(guī)定數(shù)據(jù)泄露的形式和方式。因此，在這方面可能會(huì)出現(xiàn)進(jìn)一步的澄清。這也帶來了運(yùn)營挑戰(zhàn)，因?yàn)楦鶕?jù)印度計(jì)算機(jī)應(yīng)急響應(yīng)小組和印度其他各種部門監(jiān)管機(jī)構(gòu)發(fā)布的指示，有一個(gè)違規(guī)報(bào)告框架。

8. 被遺忘權(quán)和刪除權(quán)

根據(jù)GDPR，刪除權(quán)也被稱為被遺忘權(quán)。根據(jù)GDPR，數(shù)據(jù)主體可以行使此權(quán)利，但某些例外情況除外。

DPDP法案僅授予數(shù)據(jù)主體刪除的權(quán)利，除非出于特定目的或遵守法律而有必要保留。然而，值得注意的是，印度各邦的高等法院對(duì)此采取了相互矛盾的觀點(diǎn)。包括德里高等法院、卡納塔克邦高等法院和奧里薩邦高等法院在內(nèi)的一些法院已經(jīng)承認(rèn)被遺忘權(quán)是個(gè)人隱私權(quán)的一部分。

9. 任命DPO

GDPR和DPDP法案都規(guī)定了DPO的任命。根據(jù)GDPR，如果在某些情況下處理個(gè)人數(shù)據(jù)，例如如果處理是由公共機(jī)構(gòu)(法院除外)進(jìn)行的，或者控制者或處理者的核心活動(dòng)涉及敏感類別數(shù)據(jù)的處理等，則控制者和處理者都必須任命DPO。GDPR 還規(guī)定了 DPO 的資格。

相反，DPDP法案僅要求由“重要數(shù)據(jù)受托人”任命DPO。此外，目前形式的DPDP法案沒有提供有關(guān)DPO資格的詳細(xì)信息。

10. 數(shù)據(jù)保護(hù)影響評(píng)估

根據(jù)GDPR，監(jiān)管機(jī)構(gòu)有權(quán)列出需要數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)的活動(dòng)清單。在某些情況下，例如當(dāng)某種類型的處理可能對(duì)自然人的權(quán)利和自由造成高風(fēng)險(xiǎn)時(shí)，控制者需要根據(jù)規(guī)定的某些因素進(jìn)行 DPIA。其他情況，例如分析或處理與刑事定罪有關(guān)的個(gè)人數(shù)據(jù)，也需要 DPIA。

根據(jù)DPDP法案，DPIA由重要的數(shù)據(jù)受托人定期進(jìn)行。這將包括對(duì)數(shù)據(jù)主體權(quán)利的描述、處理其數(shù)據(jù)的目的、風(fēng)險(xiǎn)評(píng)估和管理以及可能指定的其他措施。但是，DPDP法案沒有詳細(xì)說明需要DPIA的處理活動(dòng)的細(xì)節(jié)。與GDPR相反，這可能會(huì)導(dǎo)致合規(guī)負(fù)擔(dān)增加。

11. 個(gè)人數(shù)據(jù)的跨境傳輸

GDPR 提供了各種渠道，可以通過這些渠道進(jìn)行個(gè)人數(shù)據(jù)的跨境傳輸。根據(jù) GDPR，個(gè)人數(shù)據(jù)可能會(huì)根據(jù)充分性決定以及標(biāo)準(zhǔn)合同條款 (SCC)、公司約束規(guī)則 (BCR) 和某些規(guī)定的保障措施進(jìn)行傳輸。隨后的司法判決在制定標(biāo)準(zhǔn)和確定個(gè)人數(shù)據(jù)跨境傳輸?shù)姆绞椒矫嬉仓陵P(guān)重要。

然而， DPDP法案下的個(gè)人數(shù)據(jù)可以轉(zhuǎn)移到其他司法管轄區(qū)，除非中央政府基于某些因素限制了轉(zhuǎn)移到某個(gè)國家或地區(qū)。

必須強(qiáng)調(diào)的是，如果包括部門法在內(nèi)的其他法律要求對(duì)跨境傳輸提供更嚴(yán)格的數(shù)據(jù)保護(hù)，這些法律將繼續(xù)適用并應(yīng)得到遵守。因此，在這種情況下，受行業(yè)監(jiān)管機(jī)構(gòu)監(jiān)管的實(shí)體的合規(guī)負(fù)擔(dān)基本保持不變。

12. 對(duì)受影響個(gè)人的賠償

根據(jù) GDPR，任何因違反 GDPR 而遭受物質(zhì)或非物質(zhì)損害的個(gè)人都有權(quán)從數(shù)據(jù)控制者或數(shù)據(jù)處理者那里獲得所遭受損害的賠償。而DPDP法案則沒有任何補(bǔ)償受影響數(shù)據(jù)主體的規(guī)定。在《DPDP法案》下沒有任何法定賠償?shù)那闆r下，印度受影響的數(shù)據(jù)主體可能不得不根據(jù)其他現(xiàn)行法律行使民事補(bǔ)救措施的選擇權(quán)，以應(yīng)對(duì)因個(gè)人數(shù)據(jù)泄露而對(duì)他們?cè)斐傻娜魏蝹Α?/p>

13. 對(duì)個(gè)人的處罰

GDPR 沒有規(guī)定對(duì)數(shù)據(jù)主體的具體處罰。GDPR 下的處罰和制裁通常適用于不遵守其規(guī)定的組織(數(shù)據(jù)控制者和處理者)。相反，DPDP法案規(guī)定了數(shù)據(jù)主體的某些義務(wù)，例如不冒充他人以及不登記虛假或輕率的不滿或投訴等的義務(wù)。除此之外，DPDP法案還規(guī)定，如果數(shù)據(jù)主體未能遵守規(guī)定的職責(zé)，最高罰款為10,000印度盧比(約合120美元)。

14. 數(shù)據(jù)可移植性的權(quán)利

與GDPR不同的是，DPDP法案沒有提供數(shù)據(jù)可移植性權(quán)利。雖然這項(xiàng)權(quán)利已納入 2019 年《個(gè)人數(shù)據(jù)保護(hù)法案》(已廢除)，但未納入當(dāng)前版本的 DPDP 法案。

15.反對(duì)/選擇退出的權(quán)利

《隱私法》僅允許數(shù)據(jù)主體通過民事訴訟反對(duì)數(shù)據(jù)處理，理由是該處理侵犯了數(shù)據(jù)主體的隱私權(quán)。但是，一旦在不侵犯隱私的情況下(例如，經(jīng)數(shù)據(jù)主體同意)提供個(gè)人數(shù)據(jù)進(jìn)行處理，則沒有既定的反對(duì)處理權(quán)的概念。截至今天，人們普遍認(rèn)為以色列的數(shù)據(jù)主體無權(quán)撤回其對(duì)處理的同意。

三、總結(jié)

雖然GDPR和DPDP法案有著共同的目標(biāo)，但兩項(xiàng)立法采用的方法和策略明顯不同。GDPR的規(guī)范性相對(duì)較強(qiáng)，而DPDP法案概述了某些基本原則，并將許多與實(shí)施相關(guān)的方面留待通過隨后生效的附屬立法來解決。隨著立法程序的發(fā)展，這種方法可以在處理數(shù)據(jù)保護(hù)的各個(gè)方面時(shí)提供更大的靈活性和適應(yīng)性。

對(duì)于已經(jīng)被要求遵守GDPR的實(shí)體，做好調(diào)整以確保符合DPDP法案的要求是必要的。隨著法律的生效，企業(yè)將需要仔細(xì)了解所需的額外基礎(chǔ)工作，并相應(yīng)地調(diào)整自己的做法，以與新的印度框架保持一致。