前一篇筆者對於近期澳洲個資法修正做簡單的介紹,本篇將介紹另一個在亞太地區受到注目的印度個資規則草案
(draft DPDPA rule
),在2023年印度頒布個資法(Digital Personal Data Protection Act,下稱DPDPA)後,引頸企盼的解釋條款
(筆者以為有點類似我們的施行細則,因為印度當地律師表示沒有這些解釋條款,大眾並不清楚應如何適用該法令。
)終於在2025年初公布供公眾發表意見。期間經過印度大選而延宕法案公布時程。
首先,法案中關於寬恕期
(grace period
)是兩年,以提供中小企業充分的適應期。其次,整體而言,法案的方向也是向歐盟個資法GDPR靠攏,符合國際趨勢,亦便利印度企業與國際接軌。然與澳洲相較,筆者想見對印度企業法遵挑戰性較高,考量其民族性與文化多樣化
(據筆者合作當地律師表示,恐怕隱私權政策要翻譯成超過二十種當地通用語言即可見一般
)。
草案重點歸納如下供大家參考:
- 隱私權通知應為詳細且獨立(獨立於合約之外)的文件。對於隱私權通知內容的要求參照歐盟個資法GDPR—自由、具體、知情、無條件和明確。
- 強化個資蒐集同意書管理。DPDPA設想針對個資蒐集同意書建立管理者為中介機構,同意書管理者設置之目的包含為幫助資料主體撤回他們的同意,並促進資料可攜性。同意管理者係以資料委託人的受託人身分執行並應在印度註冊一家公司。
- 明確個資外洩通報要求。與歐盟個資法GDPR類似但不盡相同。雖然基本上仍就是對主管機關及個資外洩主體進行通報,通報時程也大略以72小時為限,但DPDPA原則上是要求立即與儘快,對個資主體的通報亦無歐盟個資法嚴重影響之風險判斷門檻。
- 個資主體權利得指定代表人處理,在死亡或無行為能力的情況下,此無疑為一個前瞻性個資法創舉。
- 關於跨境傳輸部分,除類似歐盟個資法GDPR適足性認定外,對於處理的個人數據的數量大和性質較為敏感的企業可能要求應在印度境內存儲個人數據(個資在地化)以及與其相關的流量數據,由於此項要求對企業影響重大,應密切至注意後續法律發展及執行狀態。
- 對於確認父母或監護人授予之同意權亦提出要求,雖是出於保護未成年人或被監護人,然對於跨國企業當地執行恐有一定困難度。
以上僅簡單介紹印度個資規則草案重點方向。面對一個新世代的個資保護法律實質上線,無論對於印度當地企業,以印度為企業內部共享服務中心之跨國企業,或是應用印度公司提供雲端等資料處理的跨國企業,無疑需一定時間消化理解各項規範,雖然對於原本即符合歐盟個資法GDPR法遵之國際企業或許得以較為無痛接軌,惟仍須密切注意後續法律執行狀態,以利進行滾動式修正評估。
