印度《2023年数字个人数据保护法案》（DPDP）已获通过

2023年8月9日，印度在保护数字隐私方面迈出重要一步，《2023年数字个人数据保护法案》（Digital Personal Data Protection Bill，DPDP）最终在印度上院Rajya Sabha通过。该法案的通过意味着印度即将成为全球范围内最新的数据保护法制国家之一，DPDP旨在确保个人数据的隐私和安全得到充分保护，也为此奠定了较为坚实的数据保护法律基础。

印度本次个人数据保护立法从2018年首版法案-《2018年个人数据保护法案》开始，因法案过于严格等问题经反复修改、撤回以及更名，于2022年11月方才形成了第四版的《2022年数字个人数据保护法案》（下称“《2022法案》”）。本次的DPDP正是在去年《2022法案》的基础上，在保留数据受托人义务、数据委托人的权利和义务以及创设印度数据保护委员会等主体立法框架的同时，对“数字个人数据”“特征分析”“特定合法使用”等关键概念以及数据出境、豁免与违法处罚等规则进行了进一步的调整，从而获取了更广泛的赞成意见与通过。

接续前述研究已对《2022法案》所做的介绍，在两部法案主体框架基本一致的基础上，本文将聚焦2023年DPDP相较《2022年法案》的重要变动，以把握印度数据立法的执行思路和未来动向。

2. DPDP的适用：境外适用中“特征分析”情形的删除

3. 数字个人数据处理的合法性基础：从“视为同意”到“特定合法使用”

4. 数据受托人的一般义务：更明确的主体责任地位

5. 数据委托人的权利和义务：细化和调整

6. 印度数据保护委员会：更详细的内部设计

DPDP的出台无疑加强了印度对数据领域的监管，使得相关数据的合规处理更加规范。但同样，其对中央政府较多的豁免授权以及法案中多项规定对后续配套规则的依赖，都使得DPDP在执行上仍有较多有待后续明确的空间。目前也有批评集中在DPDP豁免情形应用过于广泛，以及核心监管机构印度数据保护委员会受控于印度中央政府而不具独立性等问题上；对此，印度通信与电子信息部长表示DPDP与政府相关的豁免少于欧盟的《通用数据保护条例》（GDPR），豁免范围符合印度宪法中的规定，DPDP的“最重要的目标”之一是“使大型科技公司承担更多责任”，而DPDP为公民提供了充分保障。在此情况下，DPDP的后续运用和发展依然存在很多可能，因此我们也将持续关注印度对DPDP相关规则的制定以及后期的实际执法实践。

关注“广东技术性贸易措施”，获取更多服务。