2025年1月3日,印度電子和信息技術部發布了《2025年數字個人數據保護規則草案》(“《規則》”)�����。
該《規則》將有助于促進《2023年數字個人數據保護法案》(“《法案》”)的實施。
電子和信息技術部歡迎公眾和利益相關方在2025年2月18日之前就《規則》提出任何反饋意見�����。
對于新德里Singh & Singh律師事務所的副合伙人羅漢.斯瓦魯普(Rohan Swarup)來說�,《規則》草案是朝著正確方向邁出的一步,符合《法案》的目標。他表示:“《規則》就《法案》涵蓋的一些較為模糊的方面提供了明確性�,例如向數據負責人發出通知的形式和方式�,構成‘合理的安全保障’的基線�,以及印度要求提供補貼和福利的信息方式。”
然而����,他還補充稱�,《規則》草案中仍有一些條款過于寬泛�����,因此缺乏明確性��。
其中一項是《規則》第5條�,它允許國家的任何機構處理個人數據,以使用公共資金向數據負責人提供任何補貼、服務、證書、執照或許可�����。斯瓦魯普解釋說:“雖然增加了附表2以指定國家及其機構處理個人數據的標準��,但它并沒有改變國家實際上可以將任何政府活動納入該規則范圍的事實����。該規則沒有要求獲得數據負責人同意�。”
此外�,《規則》第5條并未明確說明數據負責人是否首先需要申請福利或補貼����。斯瓦魯普認為:“鑒于幾乎所有福利、服務等都是根據法律或政策發放的,而且幾乎所有福利、服務等都使用的是公共資金����,因此該規則缺乏足夠的保障措施����,并允許國家幾乎不受限制地處理個人數據����。”
根據斯瓦魯普的說法����,另一個需要更加明確的條款是《規則》第8條��。第8條規定了某些類別的數據受托人可以保留為特定目的提供個人數據的時限,除非這些數據已不再用于特定目的�。與附表3一并閱讀可知����,第8條規定了三種類型的中介機構��,他們可以將個人數據保留3年,從數據負責人最后一次為執行指定目的而聯系相關數據受托人的時間開始計算�����。這些中介機構是:社交媒體中介機構����、在線游戲中介機構和電子商務中介機構。
對斯瓦魯普來說��,將這三種類型的中介機構保持在同等水平是不合理的���。斯瓦魯普認為:“在我看來���,鑒于數據負責人經常在電子商務和在線游戲中介平臺上進行金融交易���,他們經常為其提供個人數據�����,因此與社交媒體中介相比�,在線游戲中介和電子商務中介應該獲得更短的保留個人數據的時間����。”
他還提到了《法案》第36條����,該條款授權印度中央政府要求數據受托人和中介機構提供信息���,以及《規則》草案第22條。根據該規則����,印度可以通過授權人為附表7中規定的目的要求提供《法案》第36條中提及的這些信息�����。規定的目的包括為印度的主權和完整或國家安全服務的目的、根據當時有效的任何法律履行任何職能的目的等����。
斯瓦魯普聲稱這一條款可能會被濫用����。他解釋道:“該條款似乎沒有設置任何內在監督機制�,我認為國家機構對個人數據的需求可能會遇到司法挑戰。”
斯瓦魯普指出:“需要在《規則》草案或《法案》中建立更多內在的防護措施�����,以確保授予國家的權力與個人的權利保持平衡。還迫切需要讓個人意識到該法案賦予他們的權利���。”
