新闻

达尔希尔-苏拉纳
合伙人,Kreston OPR Advisors

Join 达尔希尔-苏拉纳 on LinkedIn

www.krestonopr.com

Darshil Surana 是一位经验丰富的专业人士,也是 O. P. Rathi & Co. 的合伙人,自 2023 年 4 月以来,他在推动业务流程改进和实施战略性数字化转型方面发挥了重要作用。 达希尔拥有内部审计、信息技术和管理会计等多种技能,以其在艾哈迈达巴德动态市场的财务咨询和分析方面的专业知识而闻名。

在担任现职之前,达尔希尔曾是 Darshil Surana & Associates 公司的经营者,这充分证明了他的创业精神以及在战略规划、财务分析和综合税务方面的精通。 他的背景还包括在 Intech Systems 担任 SBU 负责人和交付负责人,领导跨职能团队并管理 MS Dynamics NAV/BC 的战略业务部门业绩。

Darshil 从功能顾问晋升为项目经理,这反映了他卓越的领导能力和项目管理技能。 他的早期职业生涯是在 CA Pradeepkumar H. Shah & Co. 公司奠定的,在那里,他在实习期间磨练了自己的会计和审计能力。 Darshil Surana 的职业生涯融合了丰富的专业经验和对错综复杂的金融和商业战略的深刻理解。

印度《2023 年数字个人数据保护法》(DPDP 法)

November 3, 2023

2023 年数字个人数据保护法》(DPDP 法)于 2023 年 8 月 11 日在印度通过。 该法案旨在保护数字世界中的个人数据和隐私。 这是一项具有里程碑意义的立法,可赋予个人和国家确保数据隐私的权力。 该法案制定了一个框架,以确保将数据用于适当和指定的目的,并避免滥用。Kreston OPR AdvisorsDarshil Surana解释说。

数字个人数据保护法》的定义

该法强调 “保护数字个人数据”。 因此,数字世界中的任何人的数据都需要由负责收集、存储和处理这些数据的人加以保护。 首先,让我们试着理解该法第 2 条中的一些定义:

  1. 数据–“信息、事实、概念、观点或指令的表述,其方式适合于人类或自动化手段进行交流、解释或处理”–第 2(h)条。
  2. 个人资料–“关于可通过该等资料或就该等资料而被识别的个人的任何资料”–第 2(t)条。
  3. 数码个人资料–“数码形式的个人资料”–第 2(n)条

第一组定义非常简单。 数据、个人数据和数字个人数据已被明确定义,以消除任何混淆和模糊之处。 值得注意的是,数据已被广泛定义为”……适合由人类或自动化手段进行交流、解释或处理”。 因此,无论数据是由人类智能还是人工智能处理,它们都将受到该法案的保护。 数字个人数据的一些例子包括
– KYC 记录,如 PAN、Aadhaar、驾驶执照等。
– 联系方式,如电子邮件地址、电话号码等。
– 社交媒体用户 ID 和简介。
– 音频 – 对个人的视觉识别,如闭路电视录像、网络摄像头图像、社交媒体上的照片和视频等。
– 生物识别技术,如指纹、虹膜扫描、人脸识别等。

  1. 资料当事人–“与个人资料有关的个人,如果该个人是–“。
    (i) 儿童,包括该儿童的父母或合法监护人;
    (ii) 残疾人,包括代表其行事的合法监护人”。
  • 第 2(j)节。
  1. 资料受托人–“单独或与其他人共同决定个人资料的处理目的和方式的任何人”–第 2(i)条。
  2. 数据处理者–“代表数据受托人处理个人数据的任何人”–第 2(k)条。

数据负责人

下一组定义非常重要。 它们为数据保护框架奠定了基础。 与数据相关的个人被称为 “数据委托人”。 数据负责人是该法案的核心。 数据受托人 “是指以个人身份或与 “数据处理人 “一起收集、存储和处理数据的人。 这两个词都有广泛的定义。 让我们通过几个例子来理解这些定义:

说明 1:
A 有限公司是一家证券交易所经纪商,X 女士希望在该公司开立一个 Demat 账户。A Limited 收集了她的姓名、地址、联系电话、个人身份证号码和 Aadhaar,并利用作为数据存储库的 B Limited 的服务来验证 KYC。在此,X 女士是数据委托人,A 有限公司是数据受托人,B 有限公司是数据处理人。

说明 2:
X 女士开办了一所音乐学院,教授古典音乐。 宝宝 Y(10 岁)是她的学生之一。 X 女士收集了 Y 宝宝的姓名、地址和联系方式,以作记录。 在这里,Y 婴儿及其父母是数据委托人,X 女士是数据受托人。

  1. 处理–“就个人数据而言,指对数字个人数据进行的全部或部分自动化操作或一系列操作,包括收集、记录、组织、结构化、存储、改编、检索、使用、排列或组合、索引、共享、通过传输、传播或以其他方式提供、限制、删除或销毁等操作”–第 2(x)条。

数据处理涉及从数据收集到数据销毁的所有模式和方法。 在这两者之间利用数据进行的任何活动都属于 “处理 “的范畴。 其中还包括用于识别个人身份的面部识别或语音识别软件和工具。

应用《数字个人数据保护法

数字个人数据保护法》适用于印度境内数字个人数据的处理,即以数字形式收集的个人数据;或以非数字形式收集的个人数据,随后进行数字化处理。 它还适用于在印度境外对数字个人数据的处理,如果这种处理与在印度境内向数据负责人提供商品或服务的任何活动有关。

如果数据委托人的数据在印度境外被泄露,如果数据委托人在印度境内采购的商品/服务仍然适用该法案。 因此,该法扩大了适用范围,并不局限于印度境内。

插图
X 女士是普纳的一名程序员,通过一个门户网站(在美国注册)从事自由职业,该门户网站是服务提供商和服务接收方的聚合器,并为此收集姓名、地址、联系方式、银行信息、信用卡信息等数据。 在这种情况下,如果 X 女士的数字个人资料受到侵犯,门户网站将受到该法条款的保护。

但是,如果个人数据是由个人为个人目的而处理的,并且数据委托人或任何其他人根据法律义务提供了这些数据,则本法案不适用。

数据受托人的义务

  1. 同意 – 该法案规定了数据受托人在处理数据的方式和保护数据方面的各种义务。 首要义务是获得数据委托人的 “同意”。 根据该法第 6 条,数据委托人的同意应是 “自由、具体、知情、无条件和毫不含糊的,并有明确的肯定行动”。 它进一步规定,”同意应表示同意为特定目的处理个人资料,并仅限于为该特定目的所需的个人资料”。 这意味着,即使数据委托人对相关和不相关数据都给予了同意,同意也仅限于相关数据,数据受托人将对不相关数据承担违反义务的责任。
    插图
    X 女士在一家电子商务门户网站上注册为买家。 该电子商务门户网站要求提供她的手机号码、地址和电话联系人名单。 X 女士对两者都表示同意。 但是,电话联系名单并不是提供商品/服务所必需的。 因此,她的同意仅限于其手机号码和地址,以便从电子商务门户获取商品/服务,尽管她可能明确同意提供联系名单。
    因此,如果数据受托人处理的数据未获得或被视为未获得法案规定的同意,则应承担违反义务的责任。

此外,数据受托人向数据委托人提出的每项请求均应附有或在请求之前附有一份通知,告知数据委托人以下事项:
– 个人数据及其处理目的。
– 数据委托人如何撤销同意并提出申诉。
– 数据委托人如何向印度数据保护委员会投诉。
如果同意书中的任何内容违反了《法案》的规定或根据《法案》制定的规则,则该同意书 在违反规定的范围内无效。

插图
个人 X 使用保险公司 Y 的移动应用程序或网站购买保险。 她同意 Y (i) Y 為發出保單而處理她的個人資料,及 (ii) 放弃向印度数据保护委员会投诉的权利。 部分 同意书中关于放弃申诉权的第 (ii) 段无效。
对于之前已获得有效同意的个人数据,数据委托人也有权撤回同意。 撤销同意后,数据受托人必须从其数据库中删除数据,并确保数据不再用于处理。

  1. 個人資料的某些合法用途 – 資料受託人可基於某些合法目的處理資料當事人的個人資料,例如
    a. 数据委托人自愿提供个人数据且未明确表示不同意此类数据的情况。
    b. 国家为执行现行法律而要求提供的数据。
    c. 遵守判决或法令
    d. 应对危及生命或直接威胁数据主体或任何其他个人健康的医疗紧急情况
    e. 采取措施提供医疗或保健服务
    f. 在发生灾害或公共秩序混乱时,采取措施保障任何个人的安全。
    g. 出于雇佣目的或与保护雇主免受损失或免于承担责任有关的目的,如防止企业间谍活动、维护商业秘密、知识产权、机密信息的机密性或提供作为雇员的资料委托人所寻求的任何服务或利益。
  2. 数据受托人的一般义务–数据受托人有某些义务遵守该法案:
    a. 无论数据委托人是否履行该法规定的职责,数据受托人都应负责遵守该法的规定。
    b. 数据受托人只能根据有效合同聘用数据处理者。
    c. 确保数据的完整性、准确性和一致性。
    d. 实施适当的技术措施,确保有效遵守该法的规定。
    e. 应采取合理的安全保障措施,保护其拥有或控制的个人数据,包括以其自身身份或由数据处理者处理的数据。
    f. 一旦发生个人数据泄露事件,立即通知印度数据保护委员会。
    g. 在资料委托人撤销同意或不再用于指定目的时,应删除个人资料并促使资料处理者删除个人资料。
  3. 儿童的个人数据 – 数据受托人应
    a. 在处理任何个人数据之前,获得儿童父母/法定监护人的可核实同意。
    b. 不对儿童进行跟踪或行为监控,也不针对儿童发布广告。

资料委托人的权利和义务

该法赋予数据委托人各种权利和特权,以维护其个人数字数据的隐私。 他们也有义务遵守该法的规定。

  1. 资料委托人的权利:
    a. 获取个人数据信息的权利:数据委托人有权获取由数据受托人处理的个人数据摘要。
    b. 根据该法案,资料当事人有权修改个人资料或通过撤销同意来删除这些资料。
    c. 如果数据受托人违规,数据委托人有权通过数据受托人和印度数据保护委员会进行申诉。
  2. 数据负责人的职责:
    a. 遵守该法的规定。
    b. 在为特定目的提供个人数据时不得假冒他人。
    c. 在为国家或其任何机构签发的任何证件、唯一标识符、身份证明或地址证明提供个人数据时,不得隐瞒重要信息。
    d. 不得登记虚假或无意义的申诉或投诉
    e. 提供可核实的真实信息。
    对违反该法规定的处罚
    该法对数据受托人的合规性做出了严格规定。 该法还对违反规定的行为规定了严厉的惩罚措施。 让我们来看看该法规定的一些处罚:
    Sr. 不 违规处罚
    1 违反第 8 条第(5)款规定的数据受托人采取合理安全保障措施以防止个人数据外泄的义务,最高赔偿额可达 25 万卢比。
    2 違反根據第 8 條第(6)款向存保委員會或受影響的資料當事人發出個人資料外洩通 知的責任。 可扩展至 200 万卢比。
    3 不遵守第 9 节规定的与儿童有关的额外义务,最高赔偿额可达 200 卢比。
    4 违反第 10 条规定的重要数据受托人的附加义务。 可扩展至 150 万卢比。
    5 违反本法案的任何其他规定或根据本法案制定的规则。 可扩展至 50 万卢比。

如您所见,根据违规类型的不同,处罚金额从 50 卢比到 250 卢比不等。 这就要求属于数据受托人或数据处理者定义范围内的所有组织采取措施,及时解决遵守该法案及其规则的问题。 预计政府将提供一个过渡期,以便实施确保合规的措施。

结论

各组织应积极主动地进行数据保护影响评估,并制定应采取的措施清单。 这些可能包括以下方面

  1. 设计同意机制。
  2. 采取 IT / IS 和网络安全措施。
  3. 在组织内部任命适当的合规官员。
  4. 设计数据存储、数据存档、数据清除政策和工具,以实施这些政策和工具。
    个人也应了解该法,知道自己的权利和特权。 它们向多个门户网站公开了大量在线数据。 该法案赋予他们控制如何利用和保护其数据的权力。

如果您想进一步了解《印度数字个人数据保护法》,请联系我们。