前言:很多數據隱私保護官和企業領導者認爲,如果他們已經採取了遵守歐盟GDPR的措施,不用任何行動就可以適用印度的《個人數據保護草案》(Personal Data Protection Bill以下簡稱PDP Bill),這並不正確。印度的PDP Bill處於批准的最後階段。本文討論了符合GDPR的公司需要採取哪些行動才能符合PDP Bill。儘管工作量可能不大,但是公司仍然需要針對PDP Bill採取特定的措施。
2017年7月,印度政府成立了一個專家委員會,主要研究數據在該國保護的有關問題。經過對2018年版本的修訂,目前2019年版印度《個人數據保護法草案》已被送往聯合議會委員會(JPC)進行下一步審議,該法案有望在2020年正式生效。下文將對這部在印度數據保護法域具有重要意義的草案進行概要介紹,以饗讀者。
受歐盟《一般數據保護條例》(GDPR)的啓發,印度的《個人數據保護法草案》從(PDP Bill)有時被稱爲印度的GDPR。這是因爲,就隱私法而言,目前歐盟GDPR是黃金標準,GDPR之後通過的大多數隱私法都採用了歐盟GDPR的概念和原則,印度的PDP Bill也無例外地參照了歐盟GDPR中的許多概念。在理論概念上,您可能會認爲這兩項法律是相似的,遵守其中一項便意味着也遵守了另一項法律。但是,當深入研究時,有很多重要的細節變化要求企業在遵守PDP Bill時需要採取特定的措施。即使您的公司符合GDPR,也應該深入瞭解您的公司將需要專門針對PDP Bill做些什麼。
GDPR和PDP Bill差異在哪裏?
GDPR和PDP Bill存在許多差異,本文指出了PDP Bill上明顯不同於GDPR的10個關鍵領域:
地域範圍:歐盟GDPR的適用範圍僅限於處理歐盟居民的個人數據。但是,PDP Bill聲明在印度進行的任何處理均應屬於PDP Bill的適用範圍。這意味着,您的公司可能已採取了必要的措施遵守了GDPR的要求,但現在需要將保護範圍擴展到印度境內正在進行的所有數據加工活動。
個人和敏感數據的定義:歐盟 GDPR將個人數據定義爲直接或間接識別個人身份的任何內容。PDP Bill也將推斷數據視爲個人數據,同時,PDP Bill規定“財務數據”也是敏感數據。此外,PDP Bill規定政府可以定義敏感數據的其他類別。因此,要遵守PDP Bill,您將需要重新考慮公司定義個人和敏感數據的方式,並調整流程和系統,以將“財務數據”添加到“敏感數據”類別中。從長遠角度來看,通過調整流程/系統,將其他類別數據納入敏感數據定義將是一種更可取的方法。
處理的法律依據:歐盟GDPR和PDP Bill具有一套不同的處理個人數據的合法依據。更具體地說,PDP Bill沒有規定根據合同進行處理,因爲它更傾向於同意。此外,PDP Bill具有所謂的“合理目的”。因此,即使您公司的處理活動已是 GDPR 合規性的一部分,仍可能需要再次審查。一旦這樣做,系統和流程也會發生變化。
同意:歐盟GDPR認爲同意是清楚、明確和知情的,而PDP Bill的同意更像是合同義務。此外,通過隱私聲明共享信息也可能被PDP Bill視爲同意。因此,您的公司在印度進行數據處理時繼續採用GDPR同意方法,或是添加合同協議作爲同意,或是考慮採用完全不同的方法。無論怎樣,這是確定 PDP Bill 合規性操作的重要而基本的一部分。
合法權益:歐盟GDPR允許數據管理者將某些處理活動指定爲合法利益。但是,在PDP Bill中,此任務由數據保護機構(Data Protection Authority :DPA)完成。因此,您的公司將需要向DPA證明和驗證對處理的選擇是基於合法利益。另外,需要考慮如果DPA不同意該怎麼辦?希望這能在PDP Bill最終文本獲得批准之前改變。
兒童年齡:歐盟GDPR將兒童年齡定義爲16歲以下的年齡,並允許成員國靈活地將年齡更改爲13、14和15歲。但是,PDP Bill規定18歲以下者均爲兒童。因此,您的公司在處理個人數據時將需要考慮這一點。如果您的公司已經爲每個國家/地區制定了GDPR規定的年齡,那麼這可能不是什麼大變化,但仍然值得注意。
問責制和審覈:歐盟GDPR以問責制進行審覈以促進企業的合規性,但PDP Bill要求企業進行審覈,並定期將其提交給數據保護機構(DPA)。因此,企業現在需要考慮何時進行這些審覈以及如何將其提交給印度的DPA。
被遺忘權和刪除權:歐盟GDPR並未將刪除權和被遺忘權區分開。但是,PDP Bill在兩者之間卻有所不同。因此,即使您的公司符合GDPR,您也需要考慮在印度如何區分擦除(即刪除權)和限制處理(即被遺忘權)。
DPA註冊:歐盟GDPR對組織在數據管理機構中註冊沒有強制性要求,但是,PDP Bill要求處理大量數據的組織向DPA註冊。因此,儘管您可能已經爲遵守GDPR做好了一切,這也是一個尚待採取的新措施。
數據本地化:到目前爲止,歐盟 GDPR允許數據傳輸,如果您可以通過不同的方式確保被傳輸數據得到足夠的保護。但是,PDP Bill要求必須在印度處理某些“關鍵”個人數據。即使是敏感的個人數據,也必須在印度保存一份副本。這一點PDP Bill與GDPR有很大不同,如果您的公司一直在使用基於雲的解決方案來存儲個人數據,則需要對您的數據處理和傳輸方法進行審查。
總結
PDP Bill在保護個人數據的原則和意圖上類似於歐盟GDPR。但是,PDP Bill在範圍、定義、權利、問責制和其他合法目的方面進行了細微的更改。這些細微的差異要求企業從PDP Bill的角度進行徹底的審查。以上有助於企業確定都需要哪些精確的更改,與企業是否符合歐盟 GDPR無關。即便做到GDPR合規可以使事情變得簡單,也不能因已符合GDPR就說自己PDP Bill也合規了。
*本文出自SCA安全通信聯盟,轉載請註明出處。