魏銘:「歐系」印度數據保護立法?——《印度數據保護框架白皮書...

　　「歐系」印度數據保護立法？

　　——《印度數據保護框架白皮書》介評

　　京東法律研究院高級研究員 魏銘

　　2017年11月底，印度電子信息技術部（MeitY）發布了《印度數據保護框架白皮書》（以下簡稱「《白皮書》」），向社會公眾徵求意見，截止日期為2018年1月31日。[1]《白皮書》為數據保護提供固定法律框架，也為後續起草數據保護法做準備，旨在確保數字經濟增長，保護公民個人數據安全。

　　《白皮書》提出數據保護框架的七大原則：技術不可知原則（Technologyagnosticism）、整體應用原則（Holistic application）、知情同意原則（Informed consent）、數據最小化原則（Data minimization）、控制者責任原則（Controller accountability）、結構化執行原則（Structuredenforcement）和威懾性懲罰原則（Deterrent penalties）。

　　目前，印度尚無專門的數據保護法案，數據保護相關條款散見於金融、醫藥健康等法規文件。《白皮書》結合當前印度現有法律法規中相關數據保護條款，並參考歐盟、美國、英國、澳大利亞、南非等國家的立法實踐，在數據保護範圍和豁免、數據處理、機構義務和個人權利、監管和執行等方面進行深入探索和論證。

　　一、範圍和豁免（Scope And Exemptions)

　　數據保護地域範圍（Territorial Scope)。對於數據保護地域範圍，應適用於印度領域內，還是可適用於領域之外，應當如何規制在印度沒有常駐地的外國機構處理印度居民數據，《白皮書》列舉了幾種備選方案，例如：保護在印度全部或部分處理的數據，無論該機構是否在印度國內；或類似歐盟《通用數據保護條例》（EU GDPR）規定，規制在印度提供商品或服務的機構，儘管該機構在印度沒有常駐地；或類似澳大利亞規定，規制在印度開展經營的機構。對於上述方案，《白皮書》指出，個人信息由在印度有常駐地的機構處理、且數據處理發生在印度領域內的情形應適用數據保護法。對於數據處理沒有發生在印度領域內的，或由在印度沒有常駐地的機構實施的針對印度公民的個人信息處理行為，是否類似EU GDPR規定，適用印度數據保護法，考慮司法管轄和法律適用層面，《白皮書》尚未做明確表示。

　　數據保護主體範圍（Personal Scope)。對於數據保護主體範圍應適用於自然人還是法人，對於公共機構和私人機構應該一般法律規制還是分別立法規制，數據保護法是否應該溯及既往，是否應該給予一定的寬限期，《白皮書》廣泛徵詢意見。《白皮書》傾向認為，數據保護法僅針對自然人的數據保護，包括公共機構和私人機構的數據處理，可能會給予短暫的寬限期。

　　個人數據（PersonalData)。對於個人數據的界定，是採用個人數據還是個人信息的說法，《白皮書》列舉印度SPDI規章採用「個人敏感信息」或「數據」，EU GDPR採用「個人數據」，澳大利亞、加拿大和南非採取「個人信息」的說法。對於個人數據的保護範圍，《白皮書》提出個人數據是指可以識別或定位到具體個人的數據，包括直接和間接的可識別化數據。對於匿名化或假名化數據是否屬於被保護的範圍，《白皮書》指出，根據國際通行的做法，匿名化數據不屬於個人數據的範圍，假名化數據屬於個人數據，EU GDPR推薦將數據假名化處理以降低風險。

　　個人敏感數據（Sensitive Personal Data)。對於個人敏感數據，《白皮書》認為這一類數據更容易被理解為涉及個人隱私，需要重點保護。《白皮書》指出個人敏感數據應該被特殊定義，並列舉其範圍，比如包括金融信息、健康信息、基因信息、姓氏、種族、民族、政治哲學宗教信仰、性取向等。

　　數據處理（DataProcessing)。對於數據處理行為，《白皮書》指出，不同國家對於「處理」的定義不盡相同。對於「處理」是指狹義上的還是廣義上的（狹義處理指主要的處理過程，比如收集、使用、披露，廣義處理則包括所有可能的處理方式），「處理」是否包括人工和自動處理產生的數據，還是僅指自動化處理產生的數據，《白皮書》指出，「處理」的定義無法完全列舉所有的數據處理方式，法律中的定義會為新的數據處理方式留有空間，並認為「處理」應包括人工和自動處理產生的數據。

　　數據控制者和數據處理者（Data Controller and Processor)。對於在數據生態系統中，數據控制者和數據處理者是否應該被單獨定義，或不做定義，或以目的為導向僅定義數據控制者，《白皮書》認為，從數據責任角度，僅界定數據控制者，並明確誰是數據控制者；是否界定數據處理者，其必要性在於評估是否需要責任分擔。在數據權屬和責任方面，《白皮書》列舉了幾種備選方案：數據控制者成為數據的擁有者，並對數據負責；分別定義數據初始所有者和第二所有者；以及通過合同約定方式確認權屬和責任。

　　數據保護豁免 （Exemptions)。《白皮書》中列舉了幾種個人數據保護的豁免情形，例如以家庭、新聞、藝術或文學、學術研究、歷史學、統計、刑事調查保護或國家安全為目的進行的數據處理。對於上述豁免情形，該類數據應合法獲取，且法律已給予該類個人數據足夠程度的保護。

　　跨境數據流動（Cross-Border Flow of Data)。對於是否應該在數據保護法中設置專門的跨境數據流動促進條款，如何設置標準、門檻或測試予以保護，對於一些特殊類型的數據如個人敏感信息是否應該禁止跨境流動，《白皮書》廣泛徵詢意見。

　　數據本地化（Data Localization)。《白皮書》指出，目前一些國家有數據本地化存儲和處理要求，從保護數據權屬、防止國外監控、保障國家安全角度是有益的，但從行業角度，難以區分本地化數據帶來監管難度，將影響跨境貿易發展，引發外資縮減等問題。《白皮書》列舉了俄羅斯、中國、加拿大等國的立法實踐，指出少數國家提出數據本地化要求，但大多數國家沒有數據本地化要求，印度政府將權衡利弊，根據不同的數據類型區分對待，在一些敏感領域不允許數據跨境存儲和處理。

　　二、數據處理、機構義務和個人權利（Grounds of Processing, Obligation on Entities and Individual Rights）

　　同意（Consent)。《白皮書》指出，大多數國家把「同意」作為數據處理的前提必要條件，但有時「同意」並非有效，比如在某些情形下，默認為用戶自動勾選「同意」並非有效「同意」，「一攬子勾選」的方式不能足以保證「同意」的有效性，建議從風險高低角度加以區分，低風險可採用用戶默示勾選方式，對於可能對用戶造成損害的情形，應由用戶明示勾選「同意」。《白皮書》指出，在大多數情況下，用戶不得以需要提供數據且缺少可以商討的機會，確保「同意」的有效性非常重要。「同意」應該是無償的、充分告知的、明確數據使用目的和範圍的。對於「同意」的標準，應區分不同類型和風險的信息，可採用明示或默示「同意」的方式，並確保在默示「同意」的情形下用戶也能被充分提示或告知。

　　兒童同意（Child’sConsent）。對於十八歲以下的少年兒童，如何對他們的利益給予足夠的保護，《白皮書》認為，對於兒童的數據保護應設置更高的保護標準，並提出幾種方案：設置年齡標準，在該年齡以上的兒童有權自行同意；在該年齡以下的強制由兒童父母或監護人授權同意；對於兒童個人數據的用途進行限定，明確兒童個人數據不得被用於測試分析、廣告市場和跟蹤等商業用途。

　　通知（Notice)。「通知」是「同意」的先決條件。法律應確保「通知」的有效性，以保證同意的有效性。對於「通知」，《白皮書》指出了當前的幾點現狀：「通知」在理解和接受方面可能給用戶造成難度；「通知」缺乏足夠的選擇，即除了接受別無選擇；重複「通知」、「通知」設計不當等。如何使「通知」更容易被用戶理解，「通知」的樣式以及應該包含什麼樣的信息，如何確保「通知」的有效性，如何促使數據控制者發布有效「通知」，《白皮書》認為，法律可能會對「通知」的內容和形式做出規定，數據保護局將發布指引或準則來引導機構設計「通知」以確保「通知」的有效性。《白皮書》還提出，採用「數據信任分數」等激勵措施，提高機構數據保護積極性，並建議通過建立「同意儀錶盤」使個人了解哪些機構被同意處理個人數據以及數據如何使用。

　　目的說明和限制使用（Purpose Specification and Use Limitation)。目的說明和限制使用原則是OECD框架的重要內容。目的說明和限制使用原則為了保證數據在收集、使用和披露時，與一開始用戶被告知的目的相一致，且不超出其範圍。但隨著科技的不斷發展，數據呈現出多功能性特點，數據限制使用原則可能會隨著科技的發展而發生變化，《白皮書》指出，應當採用合理的標準來規制，將由具體部門來制定和規範。

　　個人敏感數據處理（Processing of Sensitive Personal Data)。個人敏感數據的處理可能給用戶帶來更大損害，關於個人敏感數據的範圍，《白皮書》指出，印度通信和信息技術部發布的SPDI規章中列舉的個人敏感信息或數據，需要重新被審視是否需要補充或修改。在個人敏感數據處理方面，《白皮書》提出幾種方案：界定一個範圍，禁止處理該範圍內的個人敏感數據；或可以處理個人敏感數據，但處理的方式範圍窄於普通個人數據；或沒有特殊限制，根據實際情況個案處理；或沒有特殊限制，但處罰力度高於普通個人數據。《白皮書》指出，法律條文中應針對個人敏感數據制定特殊保護條款，比如針對健康醫療信息、金融信息等方面數據。

　　存儲限制和數據質量（Storage Limitation and Data Quality)。《白皮書》指出，存儲限制和數據質量方面，應採取「合理必要原則」，數據收集完成後，應刪除或匿名化存儲，保證數據的準確、完整和更新。在數據準確性責任方面，對於個人或者收集機構，哪方應該對數據準確性負責；數據存儲期限到期後，數據應該被刪除還是匿名處理等問題，《白皮書》廣泛徵詢意見。

　　個人參與權（Individual Participation Rights)。對於個人參與權，《白皮書》指出，個人參與原則保證個人數據處理的公開透明性，具體包括修改權、拒絕權、可攜帶權、被遺忘權等。修改權是一項重要權利，數據處理機構對於個人行使數據修改權收取合理的費用是可行的。《白皮書》進一步提出，對於個人行使數據修改權是否應該設置一個必要的期限，以及哪些例外情況下，修改權是可以被拒絕行使的。拒絕權也是個人參與權的重要組成部分，比如以直接市場為目的的處理、被自動化決策等情形下，個人有權行使拒絕權；同樣，個人有限制數據處理的權利。可攜帶權包含兩層含義，一是個人有權以通常使用的格式從機構接收個人已提供的數據；二是個人可攜帶或轉移其已提供給機構的個人數據。被遺忘權也是個人參與權的重要組成之一。對於被遺忘權（刪除權），《白皮書》沒有列舉具體適用情形，比如用戶撤回「同意」、機構非法「處理」等。

　　三、監管和執行（Regulation And Enforcement)

　　執行方式（EnforcementModels)。在執行方式上，《白皮書》提出規範性命令控制、機構自治及兩者相結合的協同治理三種執行方式，進而指出，因協同治理方式兼顧政府監管和行業自治層面，成為大多數現代數據保護立法所選擇的方式。

　　職責承擔（Accountability)。在責任承擔方面，《白皮書》指出，數據控制者不僅應對違反數據保護義務承擔責任，還應對給用戶造成損害承擔責任。

　　執行工具（EnforcementTools)。在執行工具方面，《白皮書》提出了業務操作手冊、個人數據洩露通知、數據控制者分類登記、數據保護影響評估、數據保護審計、數據保護官（DPO）、第三方數據保護機構等。

　　審判程序（AdjudicationProcess)。在審判方面，對於數據保護權力機構是否有權審判用戶投訴，以及上訴等審判程序、管轄等方面，《白皮書》廣泛徵求意見，並提出，數據保護監管機構對於補償金額是否需要設置上限。

　　救濟手段（Remedies)。在救濟手段方面，《白皮書》提出民事救濟和刑事救濟方式。在民事救濟方面，分為罰金和補償金。對於罰金的計算方式，《白皮書》指出按天計算、按比例計算、固定金額、設置上限等計算方式，並就該等計算方式應由法律規定還是由審判機構裁決徵詢意見；在補償金方面，《白皮書》提出應考慮哪些因素來計算補償金，是否應按照影響的嚴重程度區分。在刑事責任方面，《白皮書》指出除考慮非法獲取、出售、披露個人信息外，還需同時考慮是否存在其他構成刑事責任的行為。

　　結語

　　通過對重點國家和地區數據保護立法進行對比分析，並結合印度本國數據保護立法實際，《白皮書》在範圍和豁免、數據處理、機構義務和個人權利、監管和執行等層面展開了有益探索，並廣泛徵求社會公眾意見。

　　《白皮書》中闡述的一些數據保護立法原則或觀點，借鑑了國際通行的立法實踐，特別是即將於2018年5月25日生效的EU GDPR規定，同時結合印度本國數據保護立法實際，構建起數據保護法律框架體系，值得其他國家特別是尚未出臺個人信息保護法或數據保護法的國家借鑑。

　　（言論僅代表作者個人觀點，不代表任何機構立場）

　　京東法律研究院簡介：

　　京東法律研究院是京東集團設立的法律及其公共政策研究機構，依託京東在零售、物流、金融和網際網路等方面積累的豐富創新業務場景和案例，圍繞產業發展的法律需求，結合產業經濟政策，通過法律政策研究平臺，為產業生態的健康、正向發展輸出前瞻性法律政策研究成果。

　　京東法律研究院下設電商法律研究中心、競爭法律研究中心、網絡安全法律研究中心、大數據法律研究中心、人工智慧法律研究中心和產業政策研究中心，致力於成為企業發展的助推器和產業共贏的先驅力量。

　　[1]https://innovate.mygov.in/data-protection-in-india/，2018年2月14日最後訪問。