印度 2023 年數位個人資料保護法:數位隱私的里程碑

已發表: 2023-09-21

印度新的《2023 年數位個人資料保護法》適用於涉及收集或管理個人資料的任何組織或企業。 該法案不僅涵蓋印度境內的數據處理,也涵蓋印度境內的數據處理。 它還有權對印度境外發生的資料處理進行處理。

隨著2022 年數位個人資料保護(DPDP) 法案的提出和隨後的通過,印度快速發展的科技格局實現了一個重要的里程碑。這項關鍵立法於7 月5 日獲得了聯合內閣的批准,並在議會季風會議期間提出該法案於2023 年7 月20 日開始實施。該法案迅速通過了立法程序​​,並於8 月7 日在下議院(Lok Sabha)和8 月9 日在上議院(Rajya Sabha )獲得批准。

正如印度政府公報通知所示,經總統於 2023 年 8 月 11 日正式批准,《2022 年數位個人資料保護法案》正式轉變為《2023 年數位個人資料保護法案》。

2023 年《數位個人資料保護法》的範圍超出了印度邊界,涵蓋了數位個人資料的處理,即使是在國外進行的也是如此。

ProcessIT Global 董事長兼董事總經理 Rajarshi Bhattacharyya 先生將該法案與歐盟 (EU) 現行一般資料保護規範 (GDPR) 進行了比較。 他說:「它更先進,因為 GDPR 不久前就出台了。 這項政策更加先進和全面,將進一步推動印度的進步。”

Rajarshi Bhattacharyya:網路彈性、政府政策與資料安全見解
ProcessIT Global 的 Rajarshi Bhattacharyya 深入研究網路彈性、政府政策影響以及當今數位環境中資料安全的關鍵方面,您可以從他那裡獲得寶貴的見解。
Sayantan Mondal創業談話

根據行業組織 IAMAI 和市場數據分析公司 Kantar 的合作報告《2022 年印度互聯網報告》,印度超過一半的人口(即 7.59 億人)積極使用互聯網, 2022 年期間每月至少訪問一次。報告還強調,在這些活躍用戶中,有3.99 億居住在印度農村地區,超過城市地區的3.6 億用戶。 這表明該國的互聯網擴張主要是由印度農村地區推動的。

新資料保護法強調人工智慧道德和全球影響力
實體的義務
您關於個人資料的權利和義務
醫療保健產業準備迎接影響

新資料保護法強調人工智慧道德和全球影響力

HaiVE 執行長 Deepika Loganathan表示:「我們很高興歡迎印度議會頒布《2023 年數位個人資料保護法》(DPDPA-2023)。 這項具有里程碑意義的立法與我們對人工智慧道德和資料保護的長期承諾完全一致。 我們很高興地宣布,我們現有的本地人工智慧解決方案框架已經嚴格遵守該法案中概述的七項原則和義務。”

該法案適用於參與收集或管理個人資料的任何組織或企業。 它將這些組織分為兩類:決定處理原因和方法的組織(稱為資料受託人)和根據資料受託人的指示執行處理的組織(稱為資料處理者)。

該法案不僅涵蓋印度境內的數據處理,也涵蓋印度境內的數據處理。 它還有權處理在印度境外發生的資料處理,特別是涉及向印度個人提供的商品和服務的資料處理。 這意味著任何向印度居民提供商品或服務的企業,無論其實際位置在哪裡,都將受到其管轄。

Digitap 執行長 Nageen Kommu 先生表示:「在 Digitap,我們認為自己是資料處理器。 我們不儲存資料; 我們代表我們的客戶(資料受託人)處理它。 雖然可能沒有針對資料處理者的特定準則,但我們自願採用資料受託人遵循的相同政策和程序。 如果客戶希望撤銷同意,我們將確保根據該法案的要求刪除資料。”

他還提到,該法案還解決了儲存和傳輸過程中的資料安全問題,Digitap 已經建立了強大的安全機制,因為它們符合 RBI 的外包規範,該規範要求資料在印度本地化。

實體的義務

該法案概述了實體在處理個人資料時必須遵守的幾項義務。 一些主要職責包括:

  1. 在收集個人資料之前告知個人,明確將收集哪些資料、使​​用資料的目的以及個人擁有的權利。
  2. 必要時徵得同意或有正當理由。
  3. 僅收集所述目的所需的個人資料。
  4. 僅在達到預期目的所需的時間內保留個人數據,然後將其刪除。
  5. 建立解決個人申訴和關切的機制。
  6. 實施適當的技術和組織安全措施。
  7. 如果發生個人資料洩露,則通知資料保護委員會和受影響的個人。
  8. 尋求父母或監護人的同意,並避免進行可能傷害兒童或殘障人士的行為監控、追蹤或處理等活動。
  9. 限制將個人資料傳輸到印度境外的特定地區。
  10. 進行資料保護影響評估、定期資料審計,並為重要資料受託人任命資料保護官和審計員。
  11. 遵守有關個人資料跨境傳輸的要求並尋求適用的豁免。

為了進一步符合 2023 年《數位個人資料保護法》的義務,Loganathan 表示 HaiVE 正在微調公司政策和流程。 「我們正在製定《2023 年數位個人資料保護法》合規框架,它將作為我們團隊和客戶的綜合指南。 該框架將自動適用於我們未來在印度的所有業務,確保無縫遵守該法案的規定,」她補充道。

您關於個人資料的權利和義務

根據法律,個人被授予關於如何處理其個人資料的特定權利。 這些權利包括:

  • 存取權:個人有權了解其個人資料是否正在被處理。 他們可以要求正在處理的資料的摘要、有關處理活動的詳細資訊(例如用於定向廣告)、與其共享資料的實體的身份(例如處理者或第三方)以及共享資料的類型。
  • 更正和刪除的權利:個人有權更正不準確或誤導性的數據、填寫不完整的數據以及更新其個人數據,特別是當這些數據與其他實體共享或用於決策時。 他們還可以要求刪除其個人資料(如果同意是基礎,則撤回同意),儘管實體可以根據法律合規性要求保留這些資料。
  • 申訴糾正和提名權:該法案引入了申訴糾正機制,允許個人就遵守該法案的情況向實體提出投訴。 實體必須在規定的時間內回應。 如果對答覆不滿意,個人可以將問題上報給資料保護委員會。 此外,個人可以指定某人在喪失行為能力或死亡時行使有關個人資料的權利。
  • 職責:該法案還概述了個人的某些責任,例如提供準確資訊、避免冒充、隱瞞重要資訊或向資料保護委員會提交虛假投訴。

法案與法案:數位個人資料保護法,2023 年 | 2023 年 8 月 19 日

醫療保健產業準備迎接影響

古爾岡阿耳忒彌斯醫院醫療資訊學首席技術官卡皮爾·庫馬爾 (Kapil Kumar)對其對醫療保健行業的影響表示擔憂。 他表示:“由於電子健康記錄和遠距醫療等數位健康技術的日益普及,2023 年《數位個人資料保護法》將對醫療保健產業產生重大影響。”

庫馬爾表示,這項措施旨在規範患者敏感資料的收集、儲存和分發,從而保障個人的隱私權。 他還引用了之前發生的事件來強調其重要性。 例如,2019 年發生了一次未經授權的訪問洩漏事件,導致近 680 萬名患者和醫生的健康記錄遭到洩露。 同樣,2021 年,印度政府網站遭到破壞,導致 1,500 多名居民的 COVID-19 實驗室結果曝光。 在喀拉拉邦,超過 20 萬名患者的個人資訊被無意洩露。 該法規成為醫療保健產業數據隱私的捍衛者。

該法案與現行法律有很大不同,現行法律提供的保護有限,主要是在安全漏洞的情況下,並且僅針對特定類型的資料(敏感個人資料)。 相較之下,該法案透過規定責任並賦予個人對其個人資訊更大的控制權和認識,為個人資料提供了廣泛的保護。

雖然該法案無疑標誌著在保護個人數位權利方面取得了實質進展,但資料保護委員會隨後的規則制定和宣傳工作不僅將在加強這些權利方面發揮至關重要的作用,而且還將在建立資料處理的結構化框架方面發揮關鍵作用。