关于印度《2019年个人数据保护法案（送审稿）》的初步分析

一、背景介绍

随着网络与科技技术的发展，个人信息与网络安全的保护成为近年来各个国家愈发重点关注的课题。随着欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）于2018年5月25日的出台，各国也开始着重制定、出台本国的数据安全保护法，以适应现代科学技术的发展，更好地保障在数据使用、处理、储存过程中的安全性及合理性。

印度高级别专门委员会于2018年7月27日正式发布了《2018年个人数据保护法案（草案）》（The Personal Data Protection Bill, 2018），又于2019年12月11日，在该草案的基础上进行了修订，发布了《2019年个人数据保护法案（送审稿）》（The Personal Data Protection Bill, 2019），并已提交至国会进行审议。

二、《2019年个人数据保护法案（送审稿）》综述

《2019年个人数据保护法案（送审稿）》共十五章，由98项条文组成。其内容覆盖本法的适用范围、排除适用规则、重点术语定义，以及与个人信息安全保障相关的数据控制者的义务、数据主体的权利、数据安全使用保障措施、数据跨境输出、数据保护监管机关、救济与罚则等。

根据《2019年个人数据保护法案（送审稿）》的法案前言可知，若本法案通过印度国会的审议，将正式出台实施。

三、印度数据保护法与欧盟数据保护法的比较法

印度的《2019年个人数据保护法案（送审稿）》在框架上以及一些关键条款上参考了欧盟GDPR的立法内容，并同时针对本国情况设置了相应的特殊规定。本章节将对印度《2019年个人数据保护法案（送审稿）》与欧盟GDPR的立法内容进行比较分析，以提供针对印度数据保护法的细化解读。下文中，印度数据保护法指印度《2019年个人数据保护法案（送审稿）》。

（一）立法目的

印度数据保护法与GDPR在数据保护法的立法目的基本一致。两者的主要核心目的均为通过立法对使用、处理个人数据的数据控制者的行为与活动进行规范，以保障数据主体的基本个人权利。

（二）重点术语定义

1关于数据相关主体的定义

印度数据保护法与GDPR中对数据处理者（印度数据保护法：data processor/GDPR：processor）、数据主体（印度数据保护法：data principal/GDPR：data subject）的定义基本一致，而对数据控制者（印度数据保护法：data fiduciary/GDPR：controller）的定义存在一定差别。其主要差别体现在，不同于GDPR，印度数据保护法将联合数据控制者（joint data controllers）的概念融入了数据控制者的定义，即将该联合主体看作一个数据控制者进行规制。该设置导致印度数据保护法不存在直接针对联合主体的特别规定，具体的相关差异将在本章第(六)部分第10节进行进一步阐述。

2关于个人数据的相关定义

有关不同类别的个人数据的相关定义，印度数据保护法与GDPR均存在着些许的差异。

(1) 个人数据（personal data）

对于个人数据的定义而言，印度数据保护法将其概述为能够通过其直接或间接识别相关自然人身份的数据，与该自然人身份相关的任何特点、特征、属性或任何其他特性类数据。而GDPR则首先提出了与印度数据保护法定义相似的概述性定义，即与数据主体相关的能够通过其直接或间接识别相关自然人的数据。除此之外，GDPR进一步在定义中明确列出了该等数据的具体示例，包括：姓名、身份证号码、定位数据、网络名称，或自然人的身体、生理、遗传、心理、经济、文化或社会身份信息。

(2) 敏感个人数据（印度数据保护法：sensitive personal data/GDPR：special categories of personal data）

印度数据保护法与GDPR均根据个人数据的敏感程度进行了进一步的区分规定。两部法律均将政治观点、宗教信仰、健康、遗传、生物特征、性取向以及其他信息等列为敏感个人数据的范畴，并制定了特殊的数据保护法规定。两部法律具体规定内容以及差异分析将在本章第(四)部分第9节第(2)项进行详述。

其主要不同点在于印度数据保护法额外将个人的经济相关数据列入了敏感个人数据的范畴。另外，为符合印度国情，印度数据保护法将GDPR列入敏感个人数据的种族信息替换为种姓宗族信息。除此之外，印度数据保护法在敏感个人数据的定义中，明确赋予数据保护监管机关依法定义敏感个人数据的权力。

(3) 关键个人数据（印度数据保护法：critical personal data）

与GDPR不同，印度数据保护法还对个人数据特别设置了关键个人数据的分类。关键个人数据指被中央政府指定为关键个人数据的个人数据。与其相关的主要规定与数据跨境输出有关，具体内容将在本章第(七)部分进一步阐述。

3关于数据相关活动的定义

印度数据保护法与GDPR对于数据处理（processing）、个人数据侵害（personal data breach）的定义基本一致。而在数据用户画像（profiling）的定义中则存在重大差异：印度数据保护法与GDPR的不同在于其扩大了数据用户画像的解释范围，即GDPR所指“用户画像”限定于自动化的（automated）用户画像，而印度数据保护法则指所有形式的（any form）用户画像。

4关于数据保护监管机关的定义

印度数据保护法与GDPR所指的数据保护监管机关均指对应的本法所设立的公权力机关，但其不同点在于，GDPR强调了该机关的独立性。与数据保护监管机关独立性的具体相关内容将在本章第(八)部分第1节进一步予以阐述。

（三）适用范围及排除适用规则

1适用范围

印度数据保护法与GDPR均对各自的适用范围进行了规定。

印度数据保护法对适用于本法的数据处理活动范围进行了描述，即：处理采集、披露、共享于印度境内的数据的活动；国家、印度公司、任何印度公民或依据印度数据保护法设立的法人作为数据处理方的活动；若数据控制者或数据处理者不在印度境内，处理与印度存在商业关联的数据、为印度数据主体提供商品或服务的数据，或对处于印度境内的数据主体进行用户画像相关数据处理的活动。

GDPR对其适用范围规定了实质适用范围（Material Scope）与地域适用范围（Territorial Scope）。其数据处理活动的实质适用范围指：通过全部或部分自动化方式处理个人数据的活动；以及通过自动化方式以外的其他方式处理个人数据，构成或旨在构成归档系统（filing system）的一部分的活动。其数据处理活动的地域适用范围为：数据控制者或数据处理者为欧盟主体的活动，不论数据处理是否于欧盟境内进行；非欧盟数据控制者或数据处理者处理位于欧盟的数据主体的个人数据，并与向其提供商品或服务相关的活动，或者与监控其在欧盟境内的行为相关的活动；以及国际法指向成员国法的情形。

由此可见，印度数据保护法也与GDPR类似，规定了域外管辖效力，即使数据控制者或数据处理者不在印度境内，如果其处理与印度存在商业关联的数据、为印度数据主体提供商品或服务，或对处于印度境内的数据主体进行用户画像相关数据处理的活动，其也受到印度数据保护法的管制。

2排除适用规则

印度数据保护法与GDPR均在适用范围的规定中补充了相应本法排除适用的情形。

印度数据保护法排除了有关匿名数据（除法定情形外[1]）的数据处理。除此之外，印度数据保护法设置了专门的排除适用章节，对本法的排除适用情形进行了进一步的规定，该等排除适用的数据处理活动包括：国家政府维护国家主权与安全的某些活动；与国家司法权行使相关的某些活动；国家政府依法指定排除的某些数据控制者的活动；某些研究、归档、统计必须的活动。另外，印度数据保护法针对未使用自动化处理数据的小型实体（small entity），印度数据保护法对其排除了本法某些条款的适用。除此之外，为鼓励出于公共利益的目的的人工智能、机器学习或任何其他新兴技术方面的创新，印度数据保护法制定了豁免名单制度（Sandbox），即针对列于豁免名单的数据控制者排除了本法某些条款的适用。

GDPR排除了一系列有关数据处理活动的实质适用情形，包括：超出GDPR律规制范畴的活动；国家进行的维护国家安全的活动；个人私用数据处理活动；公权力机关进行的有关追究刑事责任、维护公共安全的活动。

两者相比较，印度数据保护法未排除GDPR所排除的个人私用数据处理活动，但总体设置了涉及范围更为广泛的、规定更为详细的排除适用规则，与GDPR的规定存在较为重大的差异。

（四）数据控制者的义务

1关于数据处理

(1) 一般性原则

印度数据保护法与GDPR均要求个人数据处理目的需要具有合法性（lawful）与合理性（fair）。但是印度数据保护法未在数据保护的一般规则中提及个人数据处理的透明性（transparency），而是提及了数据处理目的的清晰明确性（specific，clear）。

(2) 合法性解释

GDPR对数据处理的合法性进行了详细的描述，即合法处理数据指至少满足以下一项或多项情形的活动，其中包括[2]：数据主体已同意数据控制者出于一种或多种特定目的处理其个人数据；为确保某些合法活动的顺利进行（如合同的订立、为保障数据主体权利的活动、为实现数据控制者义务的活动等）而必要的数据处理等。与此同时，GDPR保留了成员国采用或细化合法处理数据情形的权力。

印度数据保护法未参考GDPR对数据处理的合法性进行进一步界定，其赋予了印度数据保护监管机关与相应的司法机关较GDPR体系下更为广泛的自由裁量权。这可能导致印度数据保护法在适用过程当中，对处理数据合法性的不明确定义，并可能导致在实际案件中出现过于广泛、狭隘，或不一致的司法解释。

(3) 数据处理中与数据主体的“同意”（consent）相关的内容

印度数据保护法与GDPR均对数据控制者获取数据主体的“同意”进行了规定。但是印度数据保护法对有效同意的要求较GDPR更加严格：印度数据保护法规定同意的自愿性、明确性、可撤回性和举证责任归属数据控制者；另外，印度数据保护法规定在处理敏感个人数据时，数据控制者还应当在获取数据主体的同意前，以直接而非推断性的语言告知可能对其产生重大损害的数据处理的目的以及进程。

关于无需数据主体同意获取个人数据的规定，印度数据保护法与GDPR均有涉及。GDPR规定，出于合同履行、履行法定义务、保护个人重要利益、维护公共利益以追求正当利益的必要而进行的个人数据获取无需经数据主体的同意。印度法则设置了有关个人数据处理中无需数据主体同意的情形章节，其中包括某些与实现国家功能、履行法律义务、维护公共安全相关的情形，员工管理相关的情形，以及其他合理情形。

2关于数据收集范围

有关数据控制者数据收集范围的规定，印度数据保护法与GDPR的规定基本一致，即在数据处理目的的必要范围内进行收集。

3关于对数据主体的告知义务

印度数据保护法和GDPR都将数据控制者在数据收集、处理中对数据主体的告知要求规定为数据控制者的义务，并明确列出应当予以告知的范围：数据处理的目的和法律依据，个人数据性质和类别，数据控制者的身份和联系方式，撤回的权利，数据共享者，救济权利等。

两部法律的一处不同之处在于，GDPR对数据控制者应当披露的信息范围进行了区分规定，即在其获取数据主体个人信息时应当披露的信息，以及其取得数据主体个人信息前应当披露的信息。印度数据保护法则未对两种情形所要求披露的信息范围予以区分，而是进行了统一规定。

另外一点不同在于，GDPR对告知义务的例外规定采用了概括式的笼统描述：如为实现某些公共利益、科学或历史研究目的、或数据分析目的的法定情形；成员国法律允许、并保障数据控制者不会侵害数据主体权利的情形等。相较而言，印度数据保护法规定的告知义务例外更明确，即对数据主体予以告知会损害有关以下数据处理目的的，属于例外的范围：与实现国家功能、履行法律义务、维护公共安全相关的数据处理。

4关于数据的准确性

印度数据保护法与GDPR相比，对数据的准确性要求更为严格。印度数据保护法相较于GDPR额外规定了数据控制者在确保数据准确性的过程当中应当考量的具体因素，例如：个人数据是否被用于做出与数据主体相关的决定；或者数据来源基于事实或意见等。另外，印度数据保护法明确规定数据控制者在向他方披露数据后发现数据不准确时，有告知他方的义务。

5关于数据的保留期限

印度数据保护法与GDPR对数据控制者保留数据的期限基准均为“必要性”（necessary）。与GDPR不同，印度数据保护法要求数据控制者定期对保留数据的必要性进行审核，较GDPR在数据控制者的数据保留制度方面，要求更加严格。

但是，印度数据保护法与GDPR对数据保留期限的延长进行了不同的规定：印度数据保护法规定在获取数据主体的同意后，数据控制者可以更长期限的保留数据；而GDPR则要求仅在某些法定情形下可以更长期限保留数据。

6关于数据的安全使用原则

对于数据的安全使用要求，印度数据保护法仅规定数据控制者需要在处理个人数据的过程当中保护数据主体的隐私，并未进行立法的展开规定；而GDPR对个人数据的安全处理所包含的范围进行了具体的展开要求，即要求使用适当的技术与组织以保障处理数据的安全问题，例如无权限处理、非法处理数据相关的安全问题，数据意外丢失、灭损或损失的安全问题。

7关于数据控制者与数据处理者的义务要求

(1) 数据控制者

印度数据保护法与GDPR均要求数据控制者在处理数据的活动中，遵守相应的法律规定。其不同在于，GDPR另设条文概括描述了针对数据控制者的义务要求，即要求数据控制者根据对数据处理的性质、范围、内容和目的以及自然人权利与自由受到侵害的风险可能性及严重程度的考量，采取适当的技术与组织措施，并在必要时进行措施的审查更新，以确保数据处理符合本法的规定。

而印度数据保护法中未对数据控制者的义务进行类似GDPR的宗旨性的描述。这可能导致在实务案件中，法律的适用解释没有宗旨性的依据进行参考，导致法律解释过于广泛、狭隘，或不一致。

(2) 数据处理者

GDPR对数据处理者代理数据控制者处理数据的相关问题进行了专门的规定，例如：规定数据控制者应选择能够充分保障数据安全的数据处理者代理其处理数据；数据控制者应当通过书面授权的形式授权数据处理者代理其处理数据；数据控制者与数据处理者间订立的合同应当涵盖的具体内容；数据处理者委托他方数据处理者处理数据应当承担他方责任等。

相比之下，印度数据保护法未专门对数据控制者与数据处理者关系以及数据处理者的责任等相关问题设置具体规定，而是通过其他的条款共同规定了数据控制者与数据处理者的责任义务，例如应当为保障数据安全采取的措施等。

8关于外来数据控制者的特别义务

GDPR要求在欧盟境内无分支机构，但向欧盟内的个人提供商品或服务（即使是无偿的）或监控欧盟境内个人的行为的数据控制者或数据处理者（除满足某些法定排除情形外[3]），以书面形式任命欧盟境内代表，以协助并促使外来数据控制者更好地与GDPR合规。印度数据保护法中未设置专门针对外来数据控制者的类似规定，就针对数据控制者的义务方面的立法规定而言，较GDPR更为宽松。

9关于特殊数据的保护规定

(1) 儿童个人数据

印度数据保护法与GDPR均设置了针对儿童个人数据的特殊保护规定，即在处理儿童个人数据时，必须获得该儿童父母或监护人的同意或授权。这方面的不同在于，GDPR对儿童设置了16岁以下的年龄界定，并赋予其成员国一定的界定权力。而印度数据保护法界定为儿童的年龄为18岁以下，并未进一步进行区分界定。

两部法律规定的另一处不同之处在于，印度数据保护法为数据控制者设置了在处理儿童个人信息前，根据立法所要求的考量因素，例如数据的体量、可能导致危害的严重性等，核实儿童年龄的义务；而GDPR对于该方面数据控制者的核实义务的重点则放在核实父母或监护人的同意上。

除此之外，印度数据保护法中设置的数据控制者分类管理包含了针对儿童数据控制者的分类，即监护人数据控制者（guardian data fiduciary）。监护人数据控制者指数据保护监管机关划定为经营针对儿童的商业网站或在线服务、或者处理大量儿童个人数据的数据控制者。印度数据保护法对该分类下的数据控制者进行了特别的规定，其中包括：

A. 禁止监护人数据控制者对儿童个人数据进行用户画像、习惯监控、或指向性推广，或进行任何可能导致其受到严重损害的数据处理。对于该方面，印度数据保护法较GDPR设置了更为具体的规定，相对更为严格。

B. 向儿童提供专属辅导或儿童保护服务的监护人数据控制者，则不需要获取儿童监护人的同意。因此印度数据保护法在该方面与未规定任何排除父母于监护人同意要求的GDPR相比，设置了较为宽松的政策。

(2) 敏感个人数据

GDPR规定，除某些法定排除情形外[4]（如数据主体在其法定权限范围内同意该数据处理的进行，某些合法必要情形，为实现某些公共利益、科学或历史研究目的、或数据分析目的等情形），禁止处理敏感个人数据。

关于敏感个人数据，印度数据保护法规定数据保护监管机关可以根据考量标准，例如可能导致数据主题受到严重损害的风险程度、数据的期待私密性、一般规则对其安全保证的充分性等，将某些数据划定为敏感个人数据。印度数据保护法未直接针对敏感个人数据设置具体的管理规定，而是授权数据保护监管机关进行进一步规定。

(3) 与刑事指控与犯罪相关的个人数据

GDPR规定，与刑事指控与犯罪相关的个人数据处理需在公权力机关的控制下，或在能否充分保障数据主体自由与权利的成员国法律授权下进行。GDPR另外规定，任何全面的犯罪记录需在公权力机关的控制下。

印度数据保护法未对刑事指控与犯罪相关的个人数据制定类似的特殊规定，就针对数据控制者的义务方面的立法规定而言，较GDPR更为宽松。

（五）数据主体的权利

1数据相关信息知情权

印度数据保护法与GDPR均规定了数据主体对其个人数据相关信息的知悉权。该知情权包括：数据处理的进程、数据处理的目的、数据处理采集数据的类别、数据接触主体的身份信息、数据主体所拥有的权利、数据的采集源头、数据出境的相关信息等，其内容涵盖范围基本一致。

2数据访问权

印度数据保护法与GDPR均规定了数据主体对其个人数据的访问权。两部法律规定的不同点在于，在数据主体提出启用针对其接受处理的个人数据访问权后，印度数据保护法规定数据控制者可以提供该等数据的摘要，而GDPR要求数据控制者提供数据的副本，相较之下GDPR的要求更高。

3数据更正权（印度：Correction/欧盟：Rectification）、删除权（Erasure）、被遗忘权（Forgotten）

(1) 更正权

GDPR规定，数据主体有权要求数据控制者更正与其相关的个人数据，并不得无故拖延。而印度数据保护法虽然同样规定数据主体有权要求数据控制者更正与其相关的个人数据，但是赋予了数据控制者以合理理由拒绝数据主体更正要求的权利，以及数据主体相应的抗辩权利。

GDPR与印度数据保护法均要求数据控制者在对数据主体个人数据进行了更正后，应当主动采取措施向已披露数据的他方告知/交流（印度：notify/欧盟：communicate）该等数据的更正。但是与GDPR不同，印度数据保护法未直接对数据控制者的该要求设置基于不现实、付出与收益不成比例豁免情形。本文初步判断，其内在原因为两部法律所要求的“告知”与“交流”存在意义上的不同，“告知”相较于“交流”对于数据控制者更易完成。

(2) 删除权

GDPR于印度数据保护法均规定了数据主体对其个人数据的删除权，但是设置了不同的权利涵盖范畴。关于数据主体要求数据控制者删除其相关个人数据的权利，印度数据保护法中规定该权利所涵盖的范畴仅为出于数据处理目的不再需要的数据。而GDPR除该情形外，还规定了其他涵盖情形，包括数据主体撤销同意、数据受到非法处理等情形。

另外，GDPR明确列出了删除权条款不适用的某些必要例外情形，如为保障言论自由、公共利益等；印度数据保护法中未明确规定相关的类似内容。

GDPR与印度数据保护法均要求数据控制者在对数据主体个人数据进行了删除后，应当主动采取措施向已披露数据的他方告知/交流（印度：notify/欧盟：communicate）该等数据的删除。与更正权相同，印度数据保护法未直接对数据控制者的该要求设置基于不现实、付出与收益不成比例豁免情形。

(3) 被遗忘权

关于被遗忘权，GDPR将其定义与删除权等同，但印度数据保护法将被遗忘权与删除权区分，并对其设置了专门的规定。印度数据保护法中，被遗忘权指“限制或阻止数据控制者继续披露其个人数据的权利”。被遗忘权的行使通过在数据满足以下一项或多项条件的情况下，向数据主体向裁定官（Adjudicating Officer）申请，裁定官经依法审核发布裁定进行：（a）已达到数据收集的目的，或已不再需要进行数据收集；（b）基于数据主体在第11条下所作出的同意而收集，而该等同意已被撤回；或（c）已违反本法或任何其他现行有效的法律规定的情形下。若任何一方质疑裁定官的裁定时，均可要求裁定官进行复审，或提交至上诉法院进行审理。

4数据迁移权

印度数据保护法与GDPR有关数据迁移权的具体规定、适用范围、排除情形均基本一致。

5数据限制使用权

GDPR规定，若满足以下条件，数据主体有权限制数据控制者使用其相关的个人数据，即除储存外，对该等个人数据的任何处理均需征得数据主体的同意或满足其他法定情形：（a）数据主体对个人数据的准确性提出质疑，且允许数据控制者在一定期间内核实该等个人数据的准确性；（b）该处理系非法，并且数据主体反对删除其个人数据，而要求限制使用该个人数据；（c）数据控制者在该处理目的下已不再需要使用该个人数据，但数据主体为提起、行使或捍卫合法主张而需要该个人数据；（d）数据主体根据本法规定的反对权提起请求，但尚未确定数据控制者是否具备优先于数据主体的正当数据处理理由。

印度数据保护法中未直接规定数据主体可限制数据控制者使用其数据的情形。在实际操作中，缺少这些限制情形，可能导致数据的错误使用或不合理使用。

6数据使用反对权

GDPR规定，若数据控制者对数据主体个人数据的处理不满足本法规定的合法性要求，数据主体可启用反对权，制止数据控制者处理其相关个人数据。另外，GDPR规定，数据主体可以随时制止数据控制者处理其个人数据用于指向性推广的目的。

不同于GDPR，印度数据保护法未在规定数据控制者处理数据应遵循的义务以外，单独规定数据主体在数据控制者违规处理其数据时的反对权。印度数据保护法也未就以指向性推广为目的的数据处理设置专门的规定。

7数据自动化用户画像相关问题

GDPR规定，除某些法定排除情形外，数据控制者不得仅通过自动化数据分析判断数据主体应当享有的法律权利[5]。印度数据保护法中没有设置相应的规定，而这可能直接导致数据主体的某些法律权利不能及时得到保障，同时可能增加数据控制者所面临的法律风险。

8一般性规定

印度数据保护法在数据主体权利章节的最后一条设置了本章条款的一般性规定，其内容涉及以下方面：

(1) 排除适用

印度数据保护法与GDPR类似，规定数据主体的权利若侵犯他人的权利或自由，则相应的权利将予以排除。

(2)  数据主体权利与数据控制者义务的关系

GDPR规定，数据主体向数据控制者主张权利应采取书面或其他适当形式（包括电子形式）；而收到权利主张的数据控制者一般不能拒绝、无故拖延向数据主体提供信息；若数据控制者在收到权利主张后选择不作为，原则上应当在最晚一个月内及早告知数据主体不作为的原因，并告知数据主体可向相关监管机关申诉。

而与GDPR不同，印度数据保护法在一般性规定中要求数据主体在主张其权利时（除被遗忘权以外），应当以书面形式予以主张。印度数据保护法进一步规定，数据控制者应当在法定期间内向数据主体确认收到其书面要求，并依据合法要求处理数据主体主张权利的事项；数据控制者在提供合理解释的前提下，有权拒绝数据主体的权利要求，并应当告知数据主体可向数据保护监管机关进行申诉。

(3) 相关费用

印度数据保护法规定，数据控制者有权对处理除数据相关信息知情权，以及数据查阅权、更正权、删除权以外的数据主体权利要求收取一定法定费用。

在相对应的范畴内，GDPR中规定，除数据相关信息知情权、数据查阅权以外，数据控制者可以向数据主体收取合理的行政开支费用。有关数据查阅权的部分，GDPR进一步规定，数据控制者可对数据主体要求其提供的数据副本以外的额外副本收取合理费用。

由此可见，GDPR在该范畴内允许数据控制者向数据主体收取行政开支费用的范围大于印度数据保护法的规定。

（六）数据安全使用保障措施

1建立数据安全保护政策

印度数据保护法与GDPR均要求数据控制者设置内部数据安全保护政策，并支持数据控制者政策获取数据保护监管机关的认证。其不同在于，印度数据保护法中明确规定了该政策应当涵盖的内容，例如：管理层、组织形式、公司业务、技术系统中为避免侵害数据主体的措施；数据控制者的义务；数据采集、处理方面内容等。而相较而言，印度数据保护法规定更为严格，因为GDPR仅对政策的内容进行了概括性、功能性的描述，未规定政策具体应当涵盖的内容。

除此之外，GDPR要求数据控制者设置默认数据保护政策，即确保默认情况下只处理特定目的所需的个人数据；而印度数据保护法中未设置类似的规定，相比之下GDPR对此更为严格。

2透明性要求

关于数据控制者数据安全保障的透明性要求，GDPR与印度数据保护法的侧重有所不同。GDPR的重点放在数据控制者与数据主体信息披露、交流，以及数据主体权利保障的透明性上。而印度数据保护法的重点则放在数据处理的透明性上，并对其进行了细化的规定，列出要求数据控制者披露的具体内容，例如：数据处理的目的；在特殊情况下处理的任何类别的数据或在造成重大损害风险的特殊目的下处理的任何类别的数据、数据主体的权利和行使程序等。

3数据处理中的数据安全保障措施

GDPR与印度数据保护法均规定了对数据控制者以及数据处理者的数据安全要求，包括但不限于数据加密、数据安全评估、保障数据完整性和保密性、防止非法处理。相较与印度数据保护法，GDPR还额外要求数据控制者以及数据处理者在发生物理或技术事故时有及时恢复访问数据的能力。

4数据侵害的上报与告知

(1) 上报数据保护监管机关

印度数据保护法和GDPR均规定了个人数据遭到侵害时，数据控制者对数据保护监管机关的上报责任。个人数据侵害指数据安全性受损导致数据被非法或意外破坏、修改、未授权泄露或使用。两者对上报内容的规定基本一致，但对于上报期间，欧盟规定了具体的上报期间（72小时），印度数据保护法规定及早上报，尚未对上报期间做出具体规定。

(2) 告知数据主体

关于数据侵害发生后，对数据主体的告知而言，GDPR要求数据控制者对高风险侵害进行告知，并细化规定了不要求进行告知的情形，包括：（a）数据控制者已经采取合适的技术与组织保护措施，而且此类措施已经被应用于受个人信息泄露影响的个人数据，尤其是那些未经授权任何人都无法辨识该个人数据的技术，比如，数据加密技术；（b）数据控制者已经采取后续措施，保证数据主体的权利与自由所带来的高风险侵害不再有实现的可能；（c）告知将需要付出不相称的努力——对于该情形，应存在公告机制或类似措施来承担数据控制者的告知义务，并且该措施应当至少与数据控制者告知有相同效果。

数据保护监管机关有权对数据侵害事宜是否符合不要求进行告知的情形进行判断，并在数据控制者未告知相关数据主体的数据侵害事宜时，要求其进行告知。相比之下，印度数据保护法为数据保护监管机关提供了更大的自由裁量权，仅要求监管机关决定是否告知时应考量可能对数据主体造成的伤害的严重程度。同时，监管机关拥有权直接将数据侵害事宜告知相关数据主体。

5数据控制者的分类：大型数据控制者（significant data fiduciary）

印度数据保护法中设置了数据控制者分类管理的内容，即数据保护监管机关有权依据数据控制者处理数据的体量、敏感程度、贸易额、可能出现的损害风险程度、高新技术的使用情况等，将部分数据控制者划分为大型数据控制者。印度数据保护法另外规定，满足条件的社交媒体媒介均属于大型数据控制者。

与一般数据控制者相比，印度数据保护法对大型数据控制者的义务规定相对更加严格，这体现在以下方面的特别要求：数据保护影响评估、记录保留、数据安全合规年度审查、数据保护官、以及申诉意见处理。具体特殊规定将在以下相应部分展开论述。

6数据保护影响评估

GDPR和印度数据保护法均要求对“使用高新技术”、“可能会对个人造成高风险”的数据控制者执行数据保护影响评估，并规定监管机关可以自行确定应当进行数据保护影响评估的情形。

两者就评估对象的不同要求在于，印度数据保护法要求执行数据保护影响评估的对象为处理敏感数据与其他可能对数据主体造成高风险的数据控制者；而GDPR的对象则为处理对数据主体的权利与自由造成高风险的数据控制者。

就要求评估的情形而言，GDPR对要求进行评估的情形进行了详尽的描述，包括但不限于基于自动处理而广泛的数据评估，大规模地处理特殊类别的数据、或与刑事犯罪和违法行为相关的数据，大规模地系统监视公开区域。相较于GDPR，印度数据保护法对要求进行数据保护影响评估的情形仅进行了概括描述，即一般包括大型数据控制者以及其他数据保护监管机关所规定的情形。除此之外，印度数据保护法还授权数据保护监管机关，就要求独立审查官（data auditor）介入数据保护影响评估的情形予以规定。

就处理评估结果中的高风险问题，两部法律都要求监管机关的参与及审核。但是两部法律中规定的不同之处在于，GDPR进一步详尽规定了监管机关的反应时限和数据控制者需要向监管机关提供的信息；印度数据保护法则规定监管机关可直接要求数据控制者停止相关数据处理，或为该等数据处理的开展设置监管机关认为合理的强制条件。

7记录保留

印度数据保护法和GDPR均对数据控制者的记录保留规定了相应的要求。印度数据保护法要求大型数据控制者做记录保留；GDPR则对雇用250人及以上的企业或组织，或其他对数据主体造成风险、特殊类别的数据处理、刑事犯罪和违法有关的数据处理有此要求。

关于记录涵盖的具体内容，印度数据保护法要求数据控制者记录的内容较GDPR涵盖范围有一定出入，一般包括重要操作、数据保护措施、数据保护影响评估。另外，与GDPR不同，印度数据保护法未要求数据控制者以书面（电子）形式进行记录。

8数据安全合规年度审查

印度数据保护法要求大型数据控制者聘请独立数据审查官对其政策与数据处理活动进行年度审查。审查官的年度审查的具体的范围主要集中于数据控制者与本法规定的符合情况。GDPR中未对数据控制者设置类似的年度审查制度。相较于GDPR，印度数据保护法的规定更有利于数据控制者及时发现自身的违规风险，更好确保数据安全。

9数据保护官（Data Protection Officer）

印度数据保护法与GDPR中均规定了有关数据控制者设置数据保护官的要求，并对其职能进行了描述。

关于要求设置数据保护官的条件，GDPR要求满足特定条件的数据控制者与数据处理主体设置数据保护官：（a）数据处理是由公共机构或公共实体所开展的，而非法庭基于其司法职能而进行的；（b）数据控制者或数据处理主体的核心处理活动因其性质、范围和/或目的天然性地需要大规模地对数据主体进行常规和系统性的监控；或（c）数据控制者或数据处理主体的核心活动包含了本法规定的敏感个人数据的大规模处理和本法规定的对刑事指控和犯罪相关的个人数据的处理。而印度数据保护法则要求大型数据控制者设置数据保护官。

GDPR为数据保护官这一职务提供了详细的指引，规定了数据保护官的各种设立情形，专业要求，组织内的地位和具体职责。与GDPR相比，印度数据保护法仅对数据保护官的职务要求、任务简单概括。印度数据保护法只规定了数据保护官的职能：为数据控制者提供咨询，监督数据处理，就数据影响评估和发展内部机制提供咨询，促进数据控制者和监管机关的合作。

10. 数据控制者与第三方

GDPR与印度数据保护法就有关由他方主体进行数据处理的内容规定基本一致。

有关联合数据控制者的内容，GDPR中进行了相应的规定；由于印度数据保护法中数据控制者的定义涵盖了联合数据控制者，而该定义方式直接导致印度数据保护法中不存在针对联合数据控制者间关系的特别规定。

11. 申诉意见处理

不同于GDPR，印度数据保护法中单独规定了有关数据控制者处理数据主体不满意见时应遵循的规定，其中包括意见处理的一般原则、意见接收负责人、意见答复及时性要求等，有利于数据主体权利的保障。

（七）数据跨境输出

1管控对象

关于两部法律就数据跨境输出的管控对象而言，GDPR的管控对象不仅限于某一类型的数据；而相较于GDPR而言，印度数据保护法对于数据跨境输出仅就敏感个人数据与关键个人数据进行了规定。

2数据储存

GDPR并未要求数据控制者或处理者必须将其收集和处理的个人数据存储于欧盟境内，但是如果数据控制者或处理者将个人数据传输至欧盟境外，则应满足某些条件才允许进行。印度数据保护法同样规定敏感个人数据只能在特定条件下才能跨境输出处理，但该数据仍应当储存于印度境内。

3跨境传输条件

关于两部法律就数据跨境输出的条件而言，其规定存在一定差异。

根据GDPR，数据控制者或处理者可基于三类法律基础向欧盟境外进行个人数据传输，分别为：（1）基于认定具有充分保护的传输，即当欧盟委员会认定相关的某国家、某国家区域、某特定行业部门或国际组织具有充分水平的数据保护，则可将个人数据传输到该国或国际组织，并且不需要进行授权；（2）基于适当安全保障措施的传输，即若数据传输至不符合上述情形的国家，如数据控制者或处理者采取适当的法定保障措施，并为数据主体提供可执行的权利与有效的法律救济措施，则可将个人数据传输至该国家；（3）以及上述两类个人数据传输法律基础不适用情况下的例外允许传输情形，例如数据主体被明确告知，不存在充分保护或适当的安全措施，但数据主体仍明确表示同意该数据的跨境传输，或者数据传输对于实现公共利益、履行法律义务属必要等情形。

关于印度数据保护法允许出境的条件，首先与GDPR不同的一点在于，其将获得数据主体的明确表示同意作为允许敏感个人数据出境的前提条件。除此之外，印度数据保护法规定还应当满足的条件包括：（1）数据的输出源于数据保护监管机关所批准的合同或集团内部计划；（2）中央政府就数据输出至某国家、某国家的某实体或某类实体、或某国际组织的事宜，经与监管机关商洽，以及周期性审查，认为被输出的数据安全将得到充分的法律保护，且该数据输出不会损害具有适当管辖权一方的法律执行：或者（3）数据保护监管机关允许该类敏感个人数据处于特定目的进行数据输出。

对于由印度中央政府界定为关键个人数据的个人数据而言，原则上仅可在印度境内处理。但是，印度数据保护法就关键个人数据的跨境输出设置了相应的排除情形，即该数据的输出的接收方为：（1）从事健康服务或紧急救助的个人或实体，且该数据的输出对于实现国家功能、履行法律义务、维护公共安全是必要且迫切的；（2）印度中央政府依法认定允许进行敏感个人数据跨境输出的某国家、某国家的某实体或某类实体、或某国际组织，且中央政府认为该等数据输出不会损害国家安全和战略利益。在此基础上，印度数据法规定，上述（1）项所涉及的数据跨境输出，应当在法定期间内上报至数据安全监管机构。

（八）数据保护监管机关

1机关的设立

印度数据保护法与GDPR关于数据保护监管机关的设立要求基本一致，但两者的不同在于GDPR要求该监管机关在行使功能与任务中具有独立性，而印度数据保护法并未就本法设立的数据保护监管机关的独立性相关内容进行阐述或规定。

2官员的任职

印度数据保护法与GDPR中有关数据保护监管机关官员的任职，其涵盖内容以及具体规定基本一致。

3程序性规则

印度数据保护法与GDPR中有关数据保护监管机关的内部事务程序性规则的内容范围规定基本一致。

4指导权

印度数据保护法与GDPR就数据保护监管机关的指导权界定方式与侧重存在一定差异。印度数据保护法所界定的指导权指监管机关在执行其职能的过程当中有权要求某一数据控制者遵循其指导，但其行使指导权的前提是监管机关已经给予合理机会由有关的数据控制者或数据处理者发表意见；而GDPR中则明确列出了其所规定的指导权包含的范畴：向数据控制人提供建议，就任何个人数据有关的问题向政府或公众发表意见等。

5数据保护合规认证机制

与印度数据保护法相比，虽然GDPR未设置与印度数据保护法类似的数据安全合规审查制度，但其设置数据保护合规认证机制。GDPR要求其成员国、数据保护监管机关等鼓励设立以自愿、透明认证为前提的数据保护合规认证机制。这样的法律设置有助于数据控制者与数据处理者建立、完善、规范其内部数据保护政策，更有利于数据保护规范的切实落地。

6调查权

印度数据保护法与GDPR就数据保护监管机关的调查权规定的范围基本一致；印度数据保护法同时进一步对监管机关调查权的询问权、搜查与扣押权进行了详细的规定。

7制止权

印度数据保护法与GDPR就数据保护监管机关的制止权规定的内容基本一致；两者的不同在于，印度数据保护法在此条款中提及了有关数据控制者不满监管机关裁定的上诉权，以抗衡监管机关的权力。

8处罚活动报告

GDPR要求数据保护监管机关编写有关其处罚活动的年度报告，其内容可以涵盖监管机关已处理的侵权类型以及针对该侵权类型已采取的处罚措施；而印度数据保护法中没有涉及类似的监管机关报告制度。GDPR这一公开透明的报告制度有利于促进监管机关处罚的合理性与公平性，而对于数据控制者而言，也有利于其对违规行为的范畴与理解更加清晰明确。

（九）罚则与救济

1罚则与赔偿

GDPR与印度数据保护法对违反个人数据保护的违规行为均规定了民事/行政处罚。但是与GDPR不同的是，印度数据保护法还规定了刑事处罚情形，更为严格。印度数据保护法中规定将面临刑事责任的违法行为，指将数据控制者或数据处理者去表示化的个人数据重新标识（视情况而定），或者在没有经过数据控制者或数据处理者的同意下、将去标识化的个人数据进行重新识别并进行处理的行为活动；就该违法行为的行为主体，印度数据保护法规定行为主体可以为个人、公司或国家部门。

2救济与上诉

印度数据保护法与GDPR有关救济方面的规定，在手段倾向性上有所不同。印度数据保护法设置了专门的上诉仲裁庭，对法院的权力、程序、任命等进行了规定，并规定虽然上诉仲裁庭并不受民事诉讼程序的限制，但其裁决具有和民事法院判决同等的效力。GDPR则列出了数据控制者可用的救济权利，其对救济方式的规定也较印度数据保护法更加细致，即针对数据保护监管机关、数据控制者或数据处理者、数据主体代表这三种抗衡对象规定了不同的救济方式。

四、针对中国相关企业的建议

1关注印度数据保护法立法进程

由于印度《2019年个人数据保护法案（送审稿）》通过印度国会审议后，将正式出台实施，该法将在不远的未来对涉及印度业务的中国企业提出新的数据安全法律合规要求。我们建议相关企业应该密切关注熟读数据保护法的立法进程，尽早进行印度当地数据合规的工作部署，以降低合规风险可能对企业业务产生的额外成本及负面影响。

2建立印度数据保护合规机制

若企业相关业务涉及欧盟与印度，并且存在内部GDPR数据保护合规机制，我们建议企业可以根据现有GDPR合规机制，结合印度数据保护法的规定，参考上文对比法分析内容，调整建立内部针对印度数据保护法的合规机制。

若企业相关业务仅涉及印度，我们建议相关企业着重研究印度数据保护法的条文规定，参考上文印度数据安全保护法的分析内容，开始着手调查自身涉印业务有关个人数据收集、处理、存储等流程方面的情况，进行合规差距性分析，筛查风险，为后续合规打好基础。相关企业还应结合企业自身情况，进一步制定针对自身有效的、与时俱进的印度数据保护法合规制度。

3开展法律动态监控

印度数据保护法较GDPR整体而言，在较多法律层面的界定中赋予了数据保护监管机关以及相关司法机关更多的自由裁量权与司法解释权，因此法律解释与以往判例对于企业理解印度数据安全保护法律规定尤为重要。然而，由于印度数据保护法并未要求数据保护监管机关发布年度处罚活动报告，更不利于企业理解某些规定相对概括的违规行为的法定范畴。鉴于此，相关企业应当自行在内部建立数据安全法律动态监控制度，对数据安全相关的案件以及法律解释进行实时的监控，加深企业对印度法的理解，有利于企业更好遵循印度数据保护法的要求。

4重视业务开展地数据保护法合规

随着数据安全保护日益成为全球范围内国家的立法重点，对于在国际市场上开展业务的企业而言，业务开展地的数据保护法合规也愈发重要。我们建议，相关企业在进入新市场、开展新业务前，应尤为关注当地的相关法律规定，并注重根据当地法律开展数据保护合规工作。

[1] 满足《2019年个人数据保护法案（送审稿）》第91条所规定的情形。

[2] GDPR第6条第1款规定，只有在满足至少以下一项条件时，在该条件内的数据处理才被视为合法：（a）数据主体同意其个人数据为一个或多个特定目的而处理；（b）处理是为履行数据主体参与的合同之必要，亦或处理是因数据主体在签订合同前的请求而采取的措施；（c）处理是为履行数据使用主体所服从的法律义务之必要；（d）处理是为保护数据主体或另一个自然人的切身利益之必要；（e）处理是为执行公共利益领域的任务或行使数据控制主体既定的公务职权之必要；（f）处理是数据控制主体或者第三方为追求合法利益之必要，但需通过个人数据保护以实现的数据主体利益、基本权利以及自由优先于该合理法理的情形除外，尤其当数据主体为儿童时。该款不适用于公共机构在履行其职责时进行的处理。

[3] 满足GDPR第27条第2款所规定情形。

[4] 满足GDPR第9条第2款所规定情形。

[5] 情形示例：如果您使用网上银行进行贷款，在被要求输入您的数据后，银行的算法会告诉您银行是否会给您发放贷款并给出建议的利率。在该情形下，银行必须告知您可以表达您的观点、对该决定提出异议并要求将该算法做出的决定提交专人进行审阅。

作者介绍

蔡开明 大成北京总部 高级合伙人 e-mail：kaiming.cai@dentons.cn

阮东辉 大成北京总部 律师 e-mail：donghui.ruan@dentons.cn

（龙洋对本文亦有贡献）