笔者此前已在中国企业出海热点地区数据保护指南——英国篇、美国篇和越南篇中详细介绍了英国、美国加州和越南这三大出海热点法域的数据保护法律，并提出了相关的数据合规建议。印度是全球成长最快的新兴经济体之一，高速的经济增速推动了各产业的快速发展，同时也吸引了不少中资企业在印投资。而印度当地政府近几年出台系列政策、法规，加强针对中资企业的合规性要求，对在印中资企业经营、投资活动造成了巨大的影响，其中数据监管要求便是其中重要的一个方面。 1 综述 1.1 立法总览 印度的数据保护法律框架并未形成全面完整的体系，各项法案项下的规定也较为模糊、笼统，相对具体的规定主要集中在部门法规对数据本地化的要求和敏感个人数据的处理领域。针对印度个人数据跨境传输，相关法律和政策则相对保守。以下是印度颁布的一系列与数据保护相关的重要立法，包括： （1）《信息技术法案》（Information Technology Act, 2000）：作为印度数字化监管的基础性法律，该法于2000年6月9日首次颁布，后于2009年2月5日发布修正案。其内容涵盖电子交易、网络安全和隐私保护的基本原则。其中第43A条和2011年发布的《信息技术（合理安全实践和程序及敏感个人数据或信息）条例》（Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules）规定了企业在处理敏感个人数据时需采取合理的安全措施，避免数据泄露。 （2）《网络安全政策》（Cyber Security Policy, 2013）：2013年7月2日，印度通信与信息技术部发布了《印度国家网络安全政策》文件，提出了拟实现的 14 项目标和拟采取的若干战略，以建立一个网络安全框架，引导政府机构、非政府组织、企业、个人等的网络安全行动。该政策为保护网络基础设施、提高网络弹性和促进信息共享提供了指导，间接影响印度数据保护实践。 （3）《消费者保护法案》（Consumer Protection Act, 2019）：2019年8月9日该法案正式生效，强调消费者隐私权的保护，特别是在电子商务交易中要求企业在处理消费者个人数据时保持透明，并提供安全保障。 （4）《数字个人数据保护法案》（Digital Personal Data Protection Act，下称“DPDP法案”）：DPDP法案是印度最新的个人数据保护法律，也是印度第一部综合性个人数据保护法，于2023年8月11日正式发布。该法案旨在确保数字个人数据被用于合法目的，并以合法方式进行处理，同时，其进一步对印度个人数据跨境传输活动进行规制，与其他相关法律共同构成印度个人数据跨境传输规则。新法案的推出为印度数据保护设立了更高的标准。 上述法案、政策共同构建了印度的核心数据治理法律框架。本文将重点分析DPDP法案对中国企业的适用性及其合规要求，并提供相关建议。 1.2 监管机构 印度此前尚没有专门负责个人数据保护的国家监管机构，主要由印度信息技术部（MeitY）负责进行监管。依据DPDP法案第18条，后续需要成立印度数据保护委员会，作为独立机构，专门负责监督DPDP法案的实施和执行，其职责将包括开展调查、评估影响、裁决争议、下令采取补救措施、作出处罚等，委员会成员的任期为2年，可以连任。 此外，根据DPDP法案第16条第2款，印度储备银行（RBI）和印度证券交易委员会（SEBI）等行业监管机构可针对特定受监管实体的个人数据制定更严格的保护措施。 2 DPDP法案的适用范围 2.1 地域范围 · 在印度境内处理个人数据： DPDP法案适用于在印度境内以数字形式收集的个人数据，或以非数字形式收集但随后数字化的个人数据的处理。 · 在印度境外处理印度境内个人数据： DPDP法案也适用于在印度境外处理数字个人数据，前提是此类处理与向印度境内的数据主体提供商品或服务的活动相关。 2.2 适用主体 （1） 数据受托人（Data Fiduciary） “数据受托人”指单独或与他人共同决定个人数据处理目的和方式的任何个人或实体。 （2） 数据处理者（Data Processor） “数据处理者”指代表数据受托人处理个人数据的任何个人或实体。 （3） 数据主体（Data Principal） “数据主体”指个人数据所关联的个人，包括其个人数据在印度境内被处理的印度公民和非印度公民。 2.3 适用的数据类型 （1） 个人数据 “个人数据”指任何关于可识别或与该数据相关的个人的数据，包括但不限于以下数据类型：姓名、地址、电话号码、IP地址、位置数据等。 （2） 敏感个人数据 “敏感个人数据”是指属于个人数据的一种特定类别，涉及的数据可能对个体的隐私造成较大影响，包括财务数据（如银行账户、信用卡信息）、健康数据（如医疗记录、诊断结果）、生物数据（如指纹、面部识别数据）、基因数据、种姓或部落、宗教或政治信仰或归属等数据。数据受托人不得处理敏感个人数据，除非获得数据主体的明确同意或出于规定的特定目的，且数据受托人应实施规定的额外保障措施以处理敏感个人数据。 （3） 儿童个人数据的处理 数据受托人不得从事可能对儿童造成伤害的个人数据处理。数据受托人在处理儿童的个人数据之前，应获得可验证的父母同意。虽然DPDP法案未明确界定“儿童”的具体年龄范围，但根据印度其他法律（如《未成年人司法法》），通常将未满18岁的个人视为儿童。 请留意，“匿名化数据”指经过匿名化处理的数据，且此类数据无法用于识别数据主体。匿名化数据排除在DPDP法案的适用范围之外。 2.4 适用的活动 DPDP法案适用于以数字形式或非数字形式收集并随后数字化的个人数据的处理。具体处理活动指对个人数据执行的一项或多项操作，包括收集、记录、组织、结构化、存储、改编、修改、检索、查阅、使用、对齐或组合、索引、披露、传输、传播或以其他方式提供、限制、删除或销毁等操作。 2.5 豁免适用的情形 （1） 个人或家庭用途的豁免 纯粹用于个人或家庭活动的数据处理不受该DPDP法案约束。 （2） 与国家安全、公共秩序等相关的豁免 DPDP法案规定不适用于以下必要的个人数据处理： · 印度的主权和领土完整； · 国家安全； · 与外国的友好关系； · 公共秩序；以及 · 防止煽动实施任何可立案的罪行。 （3） 政府机构的豁免 印度中央政府可以通过通知，豁免任何政府机构适用DPDP法案，如果此类豁免出于国家安全、公共秩序或其他公共利益的需要。 （4） 研究、存档或统计目的的豁免 根据DPDP法案的规定，其不适用于为研究、存档或统计目的处理个人数据，前提是此类处理符合法案规定的条件。 3 个人数据处理的规则 DPDP法案是印度为解决数据保护和隐私问题所做努力的结晶。总体而言，熟悉欧盟 GDPR 的企业会在DPDP法案中发现许多相同的概念和要求，如需要征得同意、提供数据主体权利等。虽然DPDP法案与欧盟GDPR相似，但它也有一些独特之处。 3.1 数据主体的权利和义务 DPDP法案建立了一个全面的基于权利的数据保护框架，重点关注个人权利，并将同意作为数据处理的主要法律依据。不过，与欧盟GDPR和其他隐私法相比，数据主体在DPDP法案下享有的权利较少。这些权利主要包括： （1） 知情权与同意权：数据受托人应向数据主体提供清晰易懂的通知，明确处理个人数据的目的。个人数据仅在获得数据主体同意后方可处理。 （2） 信息访问权：数据主体有权向数据受托人确认其个人数据是否被处理，并在处理时访问该数据。 （3） 更正与删除权：数据主体可要求数据受托人更正、完成或更新不完整或过时的个人数据，或删除不再需要的数据。 （4） 申诉权：数据主体可就其权利受到侵犯向数据保护委员会提出申诉。 根据DPDP法案，数据主体的义务主要是应遵守本法案的规定，不得提供虚假信息或冒充他人。 3.2 数据受托人的义务 DPDP法案主要规定了数据受托人的以下义务： （1） 确保数据收集和处理符合目的限制和数据最小化原则； （2） 向数据主体提供清晰的通知并获取同意； （3） 实施技术和组织措施以保护数据安全；以及 （4） 在数据泄露时通知数据保护委员会和数据主体。 此外，印度中央政府根据处理个人数据的数量和敏感性等因素可能通知部分数据受托人并认定其为“重大数据受托人”。重大数据受托人有如下额外义务： （1）重大数据受托人应任命一名数据保护官，负责确保遵守DPDP法案的规定。数据保护官应作为数据保护委员会和数据主体的联络人，并监督数据保护措施的实施； （2）重大数据受托人应定期进行数据保护影响评估，以识别和减轻与个人数据处理相关的风险；以及 （3）重大数据受托人应实施强化安全措施，例如：加密、访问控制和定期安全审计，以保护个人数据。 3.3 数据处理者的义务 数据处理者仅可根据数据受托人的指示和有效合同处理个人数据，同时，协助数据受托人履行其义务（如数据安全、泄露通知等）。 3.4 数据跨境传输的法律要求 根据中央政府的通知，个人数据可被允许自由传输到相关国家或地区。敏感个人数据的跨境传输则需遵守额外保障措施并获得中央政府事先批准。 3.5 特殊数据类型的处理原则 （1）敏感个人数据 数据受托人不得处理敏感个人数据，除非获得数据主体的明确同意。此外，数据受托人应定期进行风险评估，并实施强化安全措施以保护敏感个人数据。 （2）儿童数据 数据受托人不得从事可能对儿童造成伤害的个人数据处理活动。数据受托人在处理儿童的个人数据之前，应获得可验证的父母同意。 4 其他数据监管要求 4.1 数据泄露事件的处理 （1）数据泄露通知 发生个人数据泄露时，数据受托人应在合理可行的情况下尽快通知数据保护委员会。如果泄露可能对数据主体造成损害，数据受托人还应立即通知受影响的数据主体。 （2） 记录与调查 数据受托人应记录所有个人数据泄露事件，并采取必要措施调查和减轻泄露的影响。 4.2 数据本地化 DPDP法案本身未明确要求数据必须存储在印度境内，个人数据根据中央政府的通知，可被允许自由传输到相关国家或地区。而敏感个人数据的跨境传输则设置了严格限制，需遵守额外保障措施并获得中央政府事先批准。 除DPDP法案之外，数据本地化的要求散见于印度的各项不同法规中。例如：2018年4月，印度储蓄银行（RBI）发布通知，要求所有支付系统提供商将其支付系统的全部数据存储在印度境内，且境外处理的数据需在24小时内带回印度。这一要求适用于所有经RBI授权或批准并在印度运营的支付系统提供商。RBI的通知要求基于《2007年支付和结算系统法案》，是针对支付系统的专门要求，具有强制执行力，且独立于DPDP法案。 5 法律责任 根据 DPDP法案，数据保护委员会可对违反法律的实体发布命令，要求停止或限制个人数据的处理，或采取其他必要的补救措施。对不同类型的违规行为，最高可处以25亿印度卢比的罚款。 6 结语 综上所述，印度的数据保护法律体系正处于不断演进的过程中。尽管目前尚未形成一套全面统一的法规体系，但近年来，印度政府通过颁布DPDP法案等法律，逐步加强对个人数据的监管，特别是在数据本地化、敏感数据和儿童数据处理等方面设定了更高的合规要求。这些变化对在印度投资经营的中国企业而言既是挑战，也是必须适应的合规新环境。 从实务角度来看，中资企业在印度应重点关注以下几个方面：第一，建立健全数据合规管理机制，确保符合DPDP法案及其他相关法规的要求，特别是在数据收集、存储、使用、共享和跨境传输方面采取合理的合规措施；第二，密切关注印度数据保护政策的最新动态，特别是DPDP法案的配套细则及监管机构的具体执行标准，以便及时调整合规策略；第三，重视数据安全与隐私保护，严格执行网络安全标准，防范潜在的合规风险。此外，企业在开展业务的过程中，如涉及支付系统、金融服务、电子商务等领域，还需特别关注印度储备银行（RBI）等行业监管机构的相关要求。 总体而言，随着全球数据合规标准不断趋严，企业在印度的合规管理将成为影响其业务发展的重要因素。只有深入理解并密切关注印度的数据监管要求和动态变化，及时调整合规策略，以应对不断变化的监管环境。在全球数据保护趋严的背景下，中资企业唯有主动适应、积极合规，方能在印度这一充满潜力的市场中实现可持续发展。 作者介绍 郭玉兰 大成上海　合伙人 amanda.guo@dentons.cn 郭律师法律功底扎实，是一名具有国际视野的律师，在跨国投资并购、公司商事和数据合规领域具备扎实的法律功底和丰富执业经验。郭律师本人及参与的项目多次荣登权威法律榜单，包括《国际金融法律评论1000》（IFLR 1000）、GRCD、《法律500强》（The Legal 500）、《亚洲法律杂志》（ALB）、《商法杂志》（Business Law Journal）等。 向上滑动阅览，点击题目查看本文作者团队其他文章 47.中国企业出海热点地区数据保护指南——越南篇 | 大成·实践指南 46.中国企业出海热点地区数据保护指南——美国加州篇 | 大成·实践指南 45.中国企业出海热点地区数据保护指南——英国篇 44.解锁中国碳市场：中国碳交易新规带来的历史性举措 43.《温室气体自愿减排交易管理办法（试行）》解读 42.简评《个人信息保护合规审计管理办法（征求意见稿）》 41.碳情速递：一文掌握碳市场最新动态 40.划重点：上海市政府2023年重磅举措吸引外资 39.切记！数据跨境传输的5个关键词 38.《个人信息出境标准合同办法》的十问十答 37.低碳并购热潮中，如何防范法律风险？（三） 36.全国首例！数据出境安全评估落地 35. 低碳并购热潮中，如何防范法律风险？（二） 34.低碳并购热潮中，如何防范法律风险？（一） 33.公司并购中劳动争议频发?——说说并购过程中的劳动关系处理那些事儿 32.《香港澳门台湾居民在内地（大陆）参加社会保险暂行办法》出台——雇主，您的责任加大了吗？ 31.2020年版外商投资准入负面清单焕新出炉 30.《进一步优化跨境人民币政策支持稳外贸稳外资》PRC to Optimize Cross-border RMB policies 29.在企业用工管理中如何有效利用电子证据 28.New QFII/RQFII Rules Enacted 金融市场开放再提速 QFII/RQFII新规落地 27. 全方位扩大开放—《上海市外商投资条例》施行 Shanghai's New FDI Regulations 26. 向左走，向右走？——《反外国制裁法》给跨国公司带来的新挑战 25. 《数据安全法》出炉，企业如何进行数据跨境传输？ 24. 利刃出鞘：市场监管总局连发三文强化市场信用管理 23. “健康医疗数据合规”那些事儿：疫情当前，企业如何合规收集并处理员工防疫相关的个人数据 22. “健康医疗数据合规”那些事儿——系列之一：互联网医疗企业如何合规收集健康医疗数据 21. “健康医疗数据合规”那些事儿系列之二——互联网医疗企业如何合规存储和境内共享个人健康医疗数据 20. “健康医疗数据合规”那些事儿系列之三——互联网医疗企业如何合规地对个人健康医疗数据进行跨境传输 19. “健康医疗数据合规”那些事儿系列之四——互联网医疗企业如何合规地对个人健康医疗数据进行跨境传输 18. 企业并购过程中的数据安全考量——走在“合规”之前（一）并购交易前的数据安全规划 17. 企业并购过程中的数据安全考量——走在“合规”之前（二）并购交易中数据合规尽职调查的关键问题 16. 企业并购过程中的数据安全考量——走在“合规”之前（三）并购交易文件起草中的数据安全规划 15. 企业并购过程中的数据安全考量——走在“合规”之前（四）并购交易中数据资产交割和交割后整合的合规要求 14. 能源化工领域数据合规不得不关注的事儿（上） 13. 能源化工领域数据合规不得不关注的事儿（中） 12. 能源化工领域数据合规不得不关注的事儿（下） 11. 关于《反外国制裁法》：跨国公司需要了解什么？ 10. 现状和趋势：鸟瞰中国电力市场 9. 化工类并购项目的法律尽职调查要点 8. 2021年中国能源法律实践概览 7. 绿色电力交易的“浙江模式” 6. “证电合一”下的绿色电力交易 5. 对接可再生能源发电消纳的绿色电力交易——简析广东可再生能源交易规则（试行） 4. 绿电交易合同面面观——基于电力用户直接参与交易的视角 3. 新规出台背景下的数据跨境传输路径再审视 2. 蹑景追风——简评《关于修改〈网络安全法〉的决定（征求意见稿）》 1.海上风电“市场化”指日可待 特别声明： 本文仅代表作者个人观点，不代表大成律师事务所或其律师出具的任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请与我们取得联络，未经同意不得转载或使用。转载或引用时须注明出处。