印度 2023 年数字个人数据保护法:数字隐私的里程碑

已发表: 2023-09-21

印度新的《2023 年数字个人数据保护法》适用于涉及收集或管理个人数据的任何组织或企业。 该法案不仅涵盖印度境内的数据处理,还涵盖印度境内的数据处理。 它还有权对印度境外发生的数据处理进行处理。

随着 2022 年数字个人数据保护 (DPDP) 法案的提出和随后的通过,印度快速发展的科技格局实现了一个重要的里程碑。这项关键立法于 7 月 5 日获得了联合内阁的批准,并在议会季风会议期间提出该法案于 2023 年 7 月 20 日开始实施。该法案迅速通过了立法程序​​,并于 8 月 7 日在下议院(Lok Sabha)和 8 月 9 日在上议院(Rajya Sabha)获得批准。

正如印度政府公报通知所示,经总统于 2023 年 8 月 11 日正式批准,《2022 年数字个人数据保护法案》正式转变为《2023 年数字个人数据保护法案》。

2023 年《数字个人数据保护法》的范围超出了印度边界,涵盖了数字个人数据的处理,即使是在国外进行的也是如此。

ProcessIT Global 董事长兼董事总经理 Rajarshi Bhattacharyya 先生将该法案与欧盟 (EU) 现行通用数据保护条例 (GDPR) 进行了比较。 他说:“它更先进,因为 GDPR 不久前就出台了。 这项政策更加先进和全面,将进一步推动印度的进步。”

Rajarshi Bhattacharyya:网络弹性、政府政策和数据安全见解
ProcessIT Global 的 Rajarshi Bhattacharyya 深入研究网络弹性、政府政策影响以及当今数字环境中数据安全的关键方面,您可以从他那里获得宝贵的见解。
Sayantan Mondal创业谈话

根据行业组织 IAMAI 和市场数据分析公司 Kantar 的合作报告《2022 年印度互联网报告》,印度超过一半的人口(即 7.59 亿人)积极使用互联网, 2022 年期间每月至少访问一次。报告还强调,在这些活跃用户中,有 3.99 亿居住在印度农村地区,超过城市地区的 3.6 亿用户。 这表明该国的互联网扩张主要是由印度农村地区推动的。

新数据保护法强调人工智能道德和全球影响力
实体的义务
您关于个人数据的权利和义务
医疗保健行业准备迎接影响

新数据保护法强调人工智能道德和全球影响力

HaiVE 首席执行官 Deepika Loganathan表示:“我们很高兴欢迎印度议会颁布《2023 年数字个人数据保护法》(DPDPA-2023)。 这项具有里程碑意义的立法与我们对人工智能道德和数据保护的长期承诺完全一致。 我们很高兴地宣布,我们现有的本地人工智能解决方案框架已经严格遵守该法案中概述的七项原则和义务。”

该法案适用于参与收集或管理个人数据的任何组织或企业。 它将这些组织分为两类:决定处理原因和方法的组织(称为数据受托人)和根据数据受托人的指示执行处理的组织(称为数据处理者)。

该法案不仅涵盖印度境内的数据处理,还涵盖印度境内的数据处理。 它还有权处理在印度境外发生的数据处理,特别是涉及向印度个人提供的商品和服务的数据处理。 这意味着任何向印度居民提供商品或服务的企业,无论其实际位置在哪里,都将受到其管辖。

Digitap 首席执行官 Nageen Kommu 先生表示:“在 Digitap,我们认为自己是数据处理器。 我们不存储数据; 我们代表我们的客户(数据受托人)处理它。 虽然可能没有针对数据处理者的具体准则,但我们自愿采用数据受托人遵循的相同政策和程序。 如果客户希望撤销同意,我们将确保根据该法案的要求删除数据。”

他还提到,该法案还解决了存储和传输过程中的数据安全问题,Digitap 已经建立了强大的安全机制,因为它们符合 RBI 的外包规范,该规范要求数据在印度本地化。

实体的义务

该法案概述了实体在处理个人数据时必须遵守的几项义务。 一些主要职责包括:

  1. 在收集个人数据之前告知个人,明确将收集哪些数据、使用数据的目的以及个人拥有的权利。
  2. 必要时征得同意或有正当理由。
  3. 仅收集所述目的所需的个人数据。
  4. 仅在达到预期目的所需的时间内保留个人数据,然后将其删除。
  5. 建立解决个人申诉和关切的机制。
  6. 实施适当的技术和组织安全措施。
  7. 如果发生个人数据泄露,则通知数据保护委员会和受影响的个人。
  8. 寻求父母或监护人的同意,并避免进行可能伤害儿童或残障人士的行为监控、跟踪或处理等活动。
  9. 限制将个人数据传输到印度境外的特定地区。
  10. 进行数据保护影响评估、定期数据审计,并为重要数据受托人任命数据保护官和审计员。
  11. 遵守有关个人数据跨境传输的要求并寻求适用的豁免。

为了进一步符合 2023 年《数字个人数据保护法》的义务,Loganathan 表示 HaiVE 正在微调公司政策和流程。 “我们正在制定《2023 年数字个人数据保护法》合规框架,它将作为我们团队和客户的综合指南。 该框架将自动适用于我们未来在印​​度的所有业务,确保无缝遵守该法案的规定,”她补充道。

您关于个人数据的权利和义务

根据法律,个人被授予关于如何处理其个人数据的特定权利。 这些权利包括:

  • 访问权:个人有权了解其个人数据是否正在被处理。 他们可以请求正在处理的数据的摘要、有关处理活动的详细信息(例如用于定向广告)、与其共享数据的实体的身份(例如处理者或第三方)以及共享数据的类型。
  • 更正和删除的权利:个人有权更正不准确或误导性的数据、填写不完整的数据以及更新其个人数据,特别是当这些数据与其他实体共享或用于决策时。 他们还可以要求删除其个人数据(如果同意是基础,则撤回同意),尽管实体可以根据法律合规性要求保留这些数据。
  • 申诉纠正和提名权:该法案引入了申诉纠正机制,允许个人就遵守该法案的情况向实体提出投诉。 实体必须在规定的时间内做出回应。 如果对答复不满意,个人可以将问题上报给数据保护委员会。 此外,个人可以指定某人在丧失行为能力或死亡时行使有关个人数据的权利。
  • 职责:该法案还概述了个人的某些责任,例如提供准确信息、避免冒充、隐瞒重要信息或向数据保护委员会提交虚假投诉。

法案和法案:数字个人数据保护法,2023 年 | 2023 年 8 月 19 日

医疗保健行业准备迎接影响

古尔冈阿耳忒弥斯医院医疗信息学首席技术官卡皮尔·库马尔 (Kapil Kumar)对其对医疗保健行业的影响表示担忧。 他表示:“由于电子健康记录和远程医疗等数字健康技术的日益普及,2023 年《数字个人数据保护法》将对医疗保健行业产生重大影响。”

库马尔表示,这项措施旨在规范患者敏感数据的收集、存储和分发,从而保障个人的隐私权。 他还引用了之前发生的事件来强调其重要性。 例如,2019 年发生了一次未经授权的访问泄露事件,导致近 680 万名患者和医生的健康记录遭到泄露。 同样,2021 年,印度政府网站遭到破坏,导致 1,500 多名居民的 COVID-19 实验室结果曝光。 在喀拉拉邦,超过 20 万名患者的个人信息被无意泄露。 该法规成为医疗保健行业数据隐私的捍卫者。

该法案与现行法律有很大不同,现行法律提供的保护有限,主要是在安全漏洞的情况下,并且仅针对特定类型的数据(敏感个人数据)。 相比之下,该法案通过规定责任并赋予个人对其个人信息更大的控制权和认识,为个人数据提供了广泛的保护。

虽然该法案无疑标志着在保护个人数字权利方面取得了实质性进展,但数据保护委员会随后的规则制定和宣传工作不仅将在加强这些权利方面发挥至关重要的作用,而且还将在建立数据处理的结构化框架方面发挥关键作用。