印度发布数据隐私法律草案，征求公众意见

关键要点

印度中央政府发布了数据隐私法律草案，提出了数据传输的条件及安全漏洞的罚款。草案征求公众反馈，截止日期为12月17日。政府说明数据可出口的国家和地区，并列出相应条件。数据处理方若未遵守草案条款，将面临高额罚款，最高可达6100万美元。

信用：PixelShot/Shutterstock

印度联邦政府于周五发布了一份新草案，该草案涉及数据隐私法律，规定在特定条件下允许个人数据传输至其他国家，并对数据传输和收集规则的违规行为施加罚款。

该草案的起草耗时约四年。迄今为止，印度央行已经颁布了规定，要求企业在国内保存交易数据。然而，政府尚未出台类似欧盟的GDPR一般数据保护条例这类更普遍的数据保护条例，导致企业在缺乏明确隐私规则的情况下，向外输出个人数据。

政府在附随说明中指出，“跨境互动是当今互联世界的一个重要特征”。因此，草案规定，个人数据可以传输到某些指定的国家和地区。

草案明确，联邦政府会通知其他国家政府，允许出口数据的具体条件。

“中央政府可以在考虑必要的因素后，通知得以数据处理方在规定的条款和条件下，向印度以外的特定国家或地区转移个人数据，”草案中提到。

根据草案，数据处理方可以是任何个人或一个团体，他们决定处理个人数据的目的和方式。

在印度以外的数据转移条件

电子和信息技术部已通过一个门户网站向公众征求对草案的反馈，该反馈截止日期为12月17日。草案还列出了在考虑将个人数据转移到其他国家时，必须考虑的例外和条件。

这些条件包括需要处理个人数据以执法或主张合法权利的情况，或者在防止、侦查或调查任何犯罪行为时处理数据的必要性。

草案还特别规定，政府在某些情况下可以免除草案中任一条款。说明中补充到，国家和公共利益在某些时刻可能会高于个人利益。

数据收集的相关规定

草案进一步规定，任何组织或机构收集的数据仅能用于收集的目的，以及在此目的下获得的同意。

另外，来自该部门的说明文档建议，个人数据不应默认被永久保存，应限制在适合收集目的的时间段内。

在个人数据安全或保护方面，草案规定“需采取合理的保障措施，以确保不发生未经授权的个人数据收集或处理。”

政府表示，这些保障措施意在防止个人数据泄露。草案建议，处理个人数据的人在发生泄露时将负责。

对安全违规行为的严厉处罚

草案还提出了对任何数据处理方不遵守条款的严格罚款。

如果发生个人数据泄露，而处理方未采取合理的安全保障，则可处以高达3080万美元的罚款。

此外，如果处理方或实体未能通知政府主管机构发生的泄露，则会被罚款2450万美元，草案中明确规定。

在特定的非合规事件中，最高可施以6100万美元的罚款。

海外npv加速器

这一草案的推出正值全球各国政府正在制定或实施个人数据隐私法律之际。

预计，印度的数据隐私法律一旦实施，将覆盖在国内运营的任何商业实体或打算处理印度公民数据的单位，类似于GDPR和加州消费者隐私法案的规定。