编者按:2022年11月18日,印度电子和信息技术部提出了新的隐私立法,即2022年《数字个人数据保护法》(THE DIGITAL PERSONAL DATA PROTECTION BILL, 2022)草案。该法案旨在实现个人数据处理,同时承认个人权利和“出于合法目的处理个人数据的必要性”。它允许与“某些通知的国家和地区”进行跨境数据传输,并建立一个数据保护委员会来监督合规性、实施处罚。
《中美法律评论》翻译部特别组织编辑翻译印度2022年《数字个人数据保护法》全文,仅为方便读者研究和学习使用,请勿商用。欢迎转发朋友圈交流学习,微信公众号或者媒体若需转载本文,请注明来源微信公众号《中美法律评论》。
【统筹/校对】
【译者(按翻译顺序排列)】
王学康 南京大学LLB
印度《2022年数字个人数据保护法》目录
2022年数字个人数据保护法 |
章节编号 | 标题 |
第一章 序言 |
1 | 简称与生效日期 |
2 | 定义 |
3 | 解释 |
4 | 本法的适用 |
第二章 数据受托人的义务 |
5 | 处理数字个人数据的依据 |
6 | 告知 |
7 | 同意 |
8 | 视为同意 |
9 | 数据受托人的一般义务 |
10 | 与处理儿童个人数据有关的额外义务 |
11 | 重要数据受托人的额外义务 |
第三章 数据主体的权利与义务 |
12 | 对个人数据的知情权 |
13 | 修改与删除个人数据的权利 |
14 | 申诉权 |
15 | 提名权 |
16 | 数据主体的义务 |
第四章 特殊条款 |
17 | 印度境外的个人数据传输 |
18 | 豁免 |
第五章 合规框架 |
19 | 印度数据保护委员会 |
20 | 委员会的职能 |
21 | 委员会根据本法规定确保合规性须遵守的程序 |
22 | 复议与上诉 |
23 | 其他争议解决方案 |
24 | 自愿承诺 |
25 | 经济处罚 |
第六章 其他事项 |
26 | 制定规则的权力 |
27 | 中央政府修改附表的权力 |
28 | 消除困难 |
29 | 与其他法律的一致性 |
30 | 修订 |
附表1 |
本法案旨在对数字个人数据的处理作出规定,同时承认个人保护其个人数据的权利,和为合法目的处理个人数据的需要,以及与此相关或附带的事项。(1)本法可称为《2022年数字个人数据保护法》。(2)本法将在中央政府通过官方公报公告指定的日期生效。本法的不同条款可能于不同的日期生效。本法任何条款中提到的本法的生效日期应被解释为该条款的生效日期。(1)“自动化”是指能够响应指令或以其他方式处理数据而自动运行的任何数字过程;(2)委员会是指中央政府为实现本法规目的而设立的印度数据保护委员会;(4)数据是指适合于人或自动化方式交流、解释或处理的信息、事实、概念、意见或指示的表述;(5)数据受托人是指单独或与其他人员共同决定个人数据处理的目的和方式的任何人士;(6)数据委托人是指与个人数据相关的个人,如果该个人为儿童,则包括该儿童的父母或合法监护人;(7)数据处理者是指代表数据受托人处理个人数据的任何人士;(8)数据保护官是指由重要数据受托人根据本法规定任命的个人;(a)财产或服务供应的收益,无论是暂时的还是永久的;或(b)赚取报酬或更多报酬或以获得报酬以外的金钱利益的机会。(a)财产损失或服务供应中断,无论是暂时的或永久的;或(b)赚取报酬或更多报酬或以获得报酬以外的金钱利益的机会。(13)个人数据是指可用于识别个人的与个人相关的任何数据。(14)个人数据泄漏是指未经授权处理个人数据或意外泄漏、购买、分享、使用、更改、破坏或断开个人数据链接,以致损害个人数据的保密性、完整性或可用性。(16)个人数据处理是指电子个人数据的自动运行或运行设置,以及可包括收集、记录、组织、构建、储存、改编、更改、检索、使用、排列组合、索引、分享、通过传送、传播或以其他方式披露、限制、删除或销毁等操作。(1) 除非上下文另有要求,否则“本法案规定”应理解为包括根据本法案制定的规则。(2) “选择以英语或《印度宪法》附表8规定的任何语言访问……”应指数据主体可选择英语或《宪法》附表八规定的任何一种语言;(3) 代词“她”和“她”用于表示个人,不考虑性别。(1)本法的规定应适用于在印度境内的数字个人数据处理,如果:(2)本法的规定也适用于印度境外的数字个人数据处理,如果该处理与印度境内数据主体的任何剖析或向其提供商品或服务的活动有关。在本节中,“剖析”是指分析或预测与数据主体的行为、属性或利益相关方面的任何形式的个人数据处理。(d) 已存在至少100年的记录中所载的个人数据。个人仅可依据本法的规定和根据本法制定的规则,出于数据主体依据本法规定已经或被视为已经同意的合法目的,处理其个人数据。就本法而言,“合法目的”是指法律未明确禁止的任何目的。(1)在请求数据主体同意之时或之前,数据受托人应向数据主体发出一份清晰易懂的逐项告知,说明数据受托人收集的个人数据以及处理此类个人数据的目的。(2)如果数据主体在本法生效前已同意处理其个人数据,则数据受托人必须在合理可行的情况下尽快向数据主体发出一份清晰易懂的逐项通知,说明数据受托人收集的个人数据以及处理此类个人数据的目的。(a)“告知”可以是一份单独的文件,或一份电子表格,或用以收集个人数据的同一文件的一部分,或以可能规定的其他形式。示例:“A”联系银行开立定期储蓄账户。银行要求“A”提供KYC手续所需的地址和身份证明复印件。在收集复印件之前,银行应通知“A”,说明获取复印件的目的是完成KYC手续。通知不需要是一份单独的文件。它可以印在用于开立储蓄银行账户的表格上。(3)数据受托人应允许数据主体选择以英语或印度宪法附表八中规定的任何语言查阅第(1)款和第(2)款中提及的信息。(1)数据主体的同意是指,任何对数据主体意愿进行自愿、具体、知情且明确的表达,数据主体以此通过明确的肯定表示同意为特定目的处理其个人数据。就本款而言,“特定目的”是指数据受托人根据本法规定向数据主体发出的通知中提及的目的。(2)第(1)款中提及同意的任何内容,如果构成对本法规定的违反,则该等内容在该等违反范围内无效。示例:A与B签订合同,向B提供X服务。作为合同的一部分,B同意:(a)由A处理她的个人数据,以及(b)放弃她根据本法规定向委员会提出申诉的权利。B同意放弃其权利的(b)部分应被视为无效。(3)根据本法规定提出的每项同意请求应以清晰明了的语言向数据主体提出,并附上数据保护官(如适用)或经数据受托人授权的任何其他人员的详细联系方式,以回应数据主体为行使其在本法规定下的权利而提出的任何要求。数据受托人允许数据主体选择以英语或印度宪法附表八中规定的任何语言查阅该等同意请求。(4)若数据主体所表示的同意是处理其个人数据的基础,则数据主体有权在任何时间撤回其同意。该等撤回的后果由该数据主体承担。撤回同意不影响在撤回同意之前基于其同意处理其个人数据的合法性。该等撤回的容易程度应与表示同意的容易程度相当。示例:A与B签订合同,向B提供X服务。作为合同的一部分,B同意A处理她的个人数据。如果B撤回她对处理其个人数据的同意,则A可以停止向B 提供X服务。(5)如果数据主体根据第(4)款撤回其对处理其个人数据的同意,数据受托人应在合理时间内停止并促使数据处理者停止处理该数据主体的个人数据,除非根据本法或任何其他法律的规定,未经数据主体同意的数据处理是法律所要求或授权的。示例:A订阅了由B运营的电子邮件和短信销售通知服务。作为订阅合同的一部分,A与B共享了她的个人数据,包括手机号码和电子邮件地址,而B又与数据处理C共享了这些数据,以便通过电子邮件和短信向A发送提示信息。如果A撤回对处理其个人数据的同意,B应停止并促使C停止处理A的个人数据。(6)数据主体可以通过同意管理者向数据受托人表示、管理、查阅或撤回其同意。就本条而言,“同意管理者”是指能够让数据主体通过一个可访问的、透明且可互操作的平台,表示、管理、查阅及撤回其同意的数据受托人。(7)本条规定的同意管理者应是一个对数据主体负责并代表数据主体行事的实体。每个同意管理者应以规定的方式并在符合所规定的技术、操作、财务和其他条件下向委员会注册。 (8)数据受托人和数据主体之间已经签订的任何合同之履行,不得以同意处理任何对该合同履行而言不必要的个人数据为条件。示例:如果A与B签订合同,向B提供X服务,那么A不得因B拒绝同意收集其额外的个人数据而拒绝向B提供X服务。(9)若数据主体所表示的同意是处理其个人数据的基础,并且在诉讼中出现相关问题,数据受托人有义务证明其已向数据主体发出通知,并且数据主体已根据本法的规定向其表示同意。数据主体在如下的必要情况中,视为同意对自己的数据进行处理。(1)当数据主体自愿将个人数据提供给数据受托人,并且可以合理期待在此情况下数据主体会提供个人数据时;例如:甲将自己的姓名与电话号码分享给数据受托人,目的是在餐馆预定位置。甲应当被视为同意数据受托人收集自己的姓名与电话号码,目的是用作确认餐位预定。(2)为了履行任何法律规定的职能,或是为了向数据主体提供任何服务或利益,或是为了获得由国家机关或其机构颁发的允许从事某项行为或活动的证书、执照或许可;例如:甲将自己的姓名、电话号码和银行账户分享给政府部门,目的是获取农业收入补助的直接汇款。甲应当被视为同意(数据受托人)处理自己的姓名、电话号码和银行账户,目的是用于获取直接转入其银行账户的化肥补助款。(4)为了响应任何医疗紧急情况,包括对生命安全有危险的情况或是数据主体或其他个体的健康受到直接威胁时;(5)在传染病流行、病毒爆发或是其他公共健康受到威胁的情况下,为了对任何个体提供医疗救治或健康服务时;(6)在灾难或公共秩序混乱的情况下,为了保证任何个体安全或为了向其提供帮助或服务而采取行动时;(7)出于与人事雇用有关的目的,如防止商业间谍,维护商业秘密、知识产权、机密资料、同意或终止雇用等信息的保密性,向作为员工的数据主体提供任何服务或利益,考勤确认及表现评估;例如:甲将自己的生物识别数据分享给她的雇主乙,用于在安装于甲的工作场所的生物识别考勤系统中记录考勤信息。甲应当被视为同意(雇主)处理自己的生物识别数据,目的是为了确认甲的考勤信息。(b)根据相关法律要求,任何公司合并、收购或其他类似的公司组合或重组交易;(9)在考虑以下因素后,可能被认定为出于任何公平和合理目的之情况:(a)数据受托人出于某种目的处理数据的合法利益是否超出了(处理数据)对于数据主体的权利造成的负面影响;(1)无论是否存在任何相反的协议,或是数据主体是否有违反本法案中规定的责任的情况,数据受托人在自己处理或是代表其他数据处理者或数据受托人进行任何数据处理时,都应当遵守本法案的规定。(2) 如果个人数据符合以下条件,则数据受托人应尽合理努力确保由数据受托人或代表数据受托人处理的个人数据准确完整:(a) 可能被数据受托人用来做出影响与个人数据相关的数据主体的决定;或说明:“A”已指示她的移动服务提供商“B”将每月账单的实体副本邮寄到她的邮政地址。在她的邮政地址发生变化后,“A”将她的新邮政地址正式通知“B”并完成必要的KYC手续。“B”应确保“A”的邮政地址在其记录中准确更新。(3)数据受托人应采取适当的技术和组织措施,以确保有效遵守本法的规定。(4) 每个数据受托人和数据处理者应通过采取合理的安全保障措施来防止个人数据泄露,从而保护其拥有或控制的个人数据。(5) 在发生个人资料外泄的情况下,资料受托人或数据处理者(视情况而定)应以规定的形式和方式通知董事会和每个受影响的资料主体。就本节而言,“受影响的数据主体”是指与受个人数据泄露影响的任何个人数据相关的任何数据主体。(a) 收集此类个人数据的目的不再符合其保留的目的;其他说明(A):“A”在社交媒体平台“X”上创建了一个帐户。作为创建帐户过程的一部分,“A”与“X”分享了她的个人数据。三个月后,“A”删除了该帐户。一旦'A'删除帐户,'X'必须停止保留'A'的个人数据或删除'A'的个人数据可以与'A'相关联的方式。说明(B):“A”在银行开设储蓄账户。作为 KYC 手续的一部分,“A”与银行共享她的个人数据。六个月后,“A”根据银行 KYC 规则关闭储蓄账户,银行必须将个人数据保留六个月以上。在这种情况下,银行可能会在 KYC 规则规定的期限内保留“A”的个人数据,因为这种保留对于法律目的是必要的。(7) 每个数据受托人都应按照规定的方式公布数据保护官(如果适用)或能够代表数据受托人回答数据委托人关于以下方面的问题的人员的业务联系信息处理她的个人资料。(8)每个数据受托人都应制定程序和有效机制来纠正数据主体的不满。(9)在获得数据主体同意的情况下,数据受托人可以共享、转让或传输个人数据给任何数据受托人,或聘请、指定、使用或让数据处理者代表其处理个人数据,但只能根据有效合同。如果与数据受托人的合同允许,此类数据处理者可以进一步聘用、指定、使用或让其他数据处理者仅根据有效合同处理个人数据。(1) 在处理儿童的任何个人数据之前,数据受托人应以规定的方式获得可验证的父母同意。就本节而言,“父母同意”包括合法监护人的同意(如适用)。(2) 数据受托人不得按照规定对可能对儿童造成伤害的个人数据进行处理。(3) 数据受托人不得对儿童进行跟踪或行为监控,也不得针对儿童投放定向广告。(4) 第(1)和(3)款的规定不适用于出于可能规定的目的处理儿童的个人数据。(1)中央政府可在评估相关因素的基础上,将任何数据受托人或任何类别的数据受托人通知为重要数据受托人,包括:(f)公共秩序;以及中央政府可能认为必要的其他因素;(a)任命一名数据保护官,该数据保护官应代表本法案规定下的重要数据受托人,并驻印度办公。数据保护官应是对重要数据受托人的董事会或类似治理机构负责的个人。数据保护官应是本法案规定的申诉处理机制的联络人;(b)任命一名独立数据审计员,负责评估重要数据受托人对本法案规定的遵守情况;以及(c)采取可能规定的其他措施,包括与本法案的目标有关的数据保护影响评估和定期审计。就本节而言,“数据保护影响评估”是指包括描述、目的、危害评估、管理危害风险的措施以及可能规定的与处理个人数据有关的其他事项的过程。(1)确认数据受托人是否正在处理或已经处理数据主体的个人数据。(2)数据受托人正在处理或已经处理的数据主体的个人数据的摘要,以及数据受托人对数据主体的个人数据所进行的处理活动。(3)在一个地方列出与之共享个人数据的所有数据受托人的身份,以及如此共享的个人数据的类别;以及(1)数据主体有权根据适用法律并以可能规定的方式修改和删除其个人数据。(2) 数据受托人在收到数据主体提出的这种修改和删除的要求时,应:(d)删除不再需要用于处理目的的数据主体的个人数据,除非出于法律目的有必要保留该数据。(1) 数据主体应有权以现成的方式向数据受托人登记申诉。(2)若数据主体对数据受托人对申诉的答复持有异议,或于七天或规定的更短期限内未收到答复,则可以按照规定的方式向委员会提出投诉。数据主体应有权按照规定的方式,提名任何其他个人在数据主体死亡或丧失行为能力的情况下,根据本法案的规定行使数据主体的权利。就本条而言,“无行为能力”是指由于精神或身体不健全而无法行使本法案规定的数据主体的权利(的状态)。(1) 数据主体在行使本法案规定的权利时,应符合所有适用法律的规定。(2) 数据主体不得向数据受托人或董事会提出虚假或无意义的申诉。(3) 数据主体在任何情况下,包括在申请任何文件、服务、唯一标识符、身份证明或地址证明时,均不得提供任何虚假信息、隐瞒任何重要信息或假冒他人。(4) 数据主体在根据本法案的规定行使更正或删除权时,必须提供可核实的真实信息。中央政府可在评估其认为必要的因素后,根据规定的条款和条件,通知数据受托人将个人数据转移至印度以外的国家或地区。(1)本法案第2章(除第9条第4款)、第3章和第17条以外的规定不适用于下列情况:(a) 处理个人数据是行使任何法律权利或执行任何索赔所必需的;(b) 处理个人数据是任何印度法院、法庭或其他机构履行司法或准司法职能所必需的;(c) 处理个人数据的目的是防止、侦查、调查或起诉任何罪行或违法行为;(d) 不在印度境内的数据主体的个人数据均按照驻印度人员与印度境外人员签订的合同处理。(2) 中央政府可由通知方式豁免下列个人数据的处理行为,使其免于适用本法案的规定:(a)国家为维护印度主权和完整、国家安全、与外国的友好关系、公共秩序或防止煽动与上述利益有关的任何可认定罪行而使用的任何工具;(b) 处理的个人数据是为研究、归档或统计目的所需,不用于数据主体做出的任何决定,并且此类处理(行为)是按照董事会规定的标准进行的。(3) 考虑到处理个人数据的数量和性质,中央政府可由通知方式,告知特定的数据受托人或数据受托人类型其不适用于本法案第6条、第9条第2及6款、第10条、第11条和第12条的规定。(4)国家或任何国家机构的数据处理(行为)不适用于本法案第9条第6款的规定。(1)为本法之目的,中央政府经公告成立一个称为印度数据保护委员会的委员会。委员会的工作分配、投诉受理、听证组的组建、决定的公布及其他职能,均将采取固定的数字化形式。(2)委员会的人数、人员构成、选举流程,委员会主席及其他委员的任免和工作要求和条件,按规定执行。(3)经授权管理委员会事务的首席执行官,由中央政府任命,其工作要求和条件由中央政府确定。(4)委员会包含的其他职员和雇员,其工作要求和条件按规定执行。(5)委员会主席、委员、职员和雇员在根据本法规定采取或声称将要采取行动时,视为《印度刑法典》第21条所述的公职人员。(6)对于委员会或其主席、委员、雇员或职员根据本法规定已善意从事或拟从事的事务,不得提起诉讼、检控或其他法律程序。(a)根据本法规定认定某项行为不合规并给予处罚;以及(b)根据本法或任何其他经国家公报颁布的法律规定,履行中央政府指定由委员会履行的职能。(2)为履行其在本法规定下的职能,委员会有权在其认为有必要时,在给予当事人合理的听证机会后,基于经书面记录的理由,不时地签发指令,该当事人应当遵守该指令。(3)在发生个人数据泄露时,委员会有权指示数据受托人采取紧急措施进行补救,或减轻对数据主体所造成的损害。(4)委员会有权根据向其提交的陈述或依职权主动修改、中止、撤回或取消依据第(2)款签发的指令,并有权施加其认为适合于使该修改、中止、撤回或取消有效的条件。(1)委员会作为一个独立机构履行其职能,同时尽可能地采取数字化形式办公并按规定采用相应的法律技术措施。(2)应受影响的当事人投诉,或基于中央政府或邦政府向其提出的咨询,或为遵守法院的指示,或在数据主体有本法第16条所述不合规情形下,委员会有权根据本法规定采取行动。(3)委员会有权授权个别委员或委员组参与有关投诉的程序。(4)在进行调查之前,委员会应首先确定是否具有充分的调查理由。委员会认为不具有充分理由的,经书面记录理由,其有权终止程序。(5)委员会认为具有充分理由进行调查的,经书面记录理由,其有权就任何人士的事务展开调查,以查明此等人士是否遵从或已遵从本法规定行事。(6)委员会应基于自然公正原则展开调查,包括提供合理的听证机会并对调查过程中采取行动的理由进行记录。(7)为了实现本条规定的调查行为之目的,委员会有权传唤和强制有关人士出席会议,对他们进行宣誓审查,以及检查任何数据、名册、文件、登记册、账簿或者任何其他文件。(8)本条规定的调查应当尽早完成。委员会或其工作人员不得阻止任何人进入任何处所,或扣押可能对个体日常运作产生不利影响的任何设备或物品。(9)为实现本条之目的,委员会可以要求任何警务人员或任何中央政府及州政府的工作人员提供协助,且每一位相关工作人员有义务遵守此种征用。(10)在调查过程中,为防止不遵守本法案规定的情况发生,如果委员会认为有必要,它可以在给予有关人员合理的听取意见的机会之后,出于书面记录的理由,发布临时命令。(11)在调查结束并基于有关人士合理的机会听取意见之后,如果委员会确定个体的不合规行为并不严重,可根据书面记录的理由,终止该项审查。如果委员会确定个体的不合规行为非常严重,则应根据本法第25条进行处理。(12)在收到投诉后的任何阶段,如果委员会确定该投诉缺乏法律依据,可以向投诉人发出警告或者处以罚款。(13)任何人均须受到委员会命令的约束。如同民事法院作出的判决一样,委员会作出的每一项命令均应由委员会执行。就本款而言,委员会应拥有与1908年《民事诉讼法》赋予民事法院的相当的所有权力。(1)委员会可以通过一个听证小组来复议其命令,该听证小组的人数须多余根据第21条所指事项进行法律程序的小组。该听证小组依申诉或依职权自行根据书面记录的理由,修改、暂停、撤回或取消根据本法规定发布的任何命令,并可施加其认为合适的条件。在这些条件下,修改、暂停、撤回或取消才会生效。(2)对于委员会的任何命令的反对,应向高等法院提起上诉。根据本条提出的每项上诉应当在被上诉命令发出之日起60天内提出。(3)任何民事法庭均无权就本法规定下的任何事项受理任何诉讼或采取任何行动。任何法院或其他当局也不得就本法规定下的任何行动下达禁令。如果委员会认为,任何投诉可通过调解或其他争议解决程序来解决,则可以指示有关各方尝试通过由委员会指定的机构或团体的人士调解或委员会认为合适的其他程序来解决争议。(1)委员会可以在任何阶段接受任何个体就与遵守本法规定有关的任何事项所做出的自愿承诺。(2)这种自愿承诺可包括在指定时间内采取特定行动的承诺,在指定时间内不采取指定行动的承诺,以及公开自愿作出的承诺。(3)委员会在接受该项自愿承诺后并在作出该项自愿承诺的个体同意下,可以更改该项自愿承诺所包括的条款。委员会对自愿承诺的接受将构成对本法规定下的有关自愿承诺内容程序的阻碍,但第(4)款所述的情况除外。(4)如果个体未能遵守委员会接受的自愿承诺的任何条款,委员会可在给予该个体合理的申诉机会后,根据本法第25条进行处理。(1)如果委员会在调查结束后确定个体的不合规行为非常严重,在给予其合理的申诉机会后,可以处以附表1所列的经济处罚,每次不超过50亿卢比。(2)在确定根据第(1)款所施加的罚款数额时,委员会应考虑到以下事项:(d) 该个体是否因为违法而获得了任何收益或避免了损失;(e) 该个体是否采取了任何行动来减轻违法行为的影响和后果,以及该行动的及时性和有效性;(f) 考虑到实现遵守和阻止违反本法的规定,所施加的经济处罚是否相称和有效;以及(1) 中央政府可以通过通知制定符合本法规定的规则,以执行本法的规定。(2) 根据本法制定的每项规则应在制定后尽快在议会开会的三十天内提交给议会各院,可包括在一次会议或两次或多次连续的会议中。如果在紧接本届会议或上述连续几届会议结束之前,参众两院同意对该规则进行修改,或认为不该制定该规则,则该规则就应以修改后的形式生效,或视情况而无效。但是,任何修改或废除均不得损害先前根据该规则所作任何裁决的效力。(1) 中央政府可通过通知修改本法的附表一,但修改后的处罚不得超过原来的两倍。(2) 根据第(1)款所作的任何修改应具有本法所规定的效力,并应在做出通知的日期生效,除非另有规定。(3)中央政府根据第(1)款所作的每项修改,应在作出后尽快在议会开会的三十天内提交给议会各院,可包括在一次会议或两次或多次连续的会议中。如果在紧接本届会议或上述连续几届会议结束之前,参众两院同意对该规则进行修改,或认为不该制定该规则,则该规则就应以修改后的形式生效,或视情况而无效。但是,任何修改或废除均不得损害先前根据该规则所作任何裁决的效力。(1)如果在实施本法规定时出现任何困难,中央政府可在本法生效之日起五年期满之前,通过在《政府公报》上发布命令,制定其认为对消除困难有必要或有利的、与本法规定不冲突的规定。(2) 根据本条制定的每项命令应在制定后尽快提交给议会各院。(1) 本法的规定是对其他法律规定的补充,而不是对其的减损,因此,本法应被解释为与现行有效的此类法律相一致。(2)如果本法的规定与现行有效的其他法律的规定有冲突,应以本法的规定为准。(1) 对《2000年信息技术法案》(“《IT法案》”)作如下修订:(b) 在《IT法案》第81条的限制性条款中,在“《1970年专利法案》”后添加“或者《2022年个人数据保护法案》”;(c) 删去《IT法案》第87条第(2)款第(ob)项。(2) 对《2005年知情权法案》第8条第(1)款第(j)项作如下修订:
(a) 删去“除非中央公共信息官或各邦公共信息官有理由相信披露此类信息有利于更大的公共利益,否则披露与公共活动和公共利益完全无关或者可能导致个人隐私被侵犯的信息 ”;序号 | 违法事项 | 处罚 |
(1) | (2) | (3) |
1 | 数据处理者或数据受托人未能根据本法案第9条第(4)款的规定采取合理的安全保障措施以防止个人数据泄露 | 最高2.5亿卢比 |
2 | 未能根据本法案第9条第(5)款的规定在个人数据泄露的时通知委员会和受到影响的数据主体 | 最高2亿卢比 |
3 | 不履行本法案第10条规定的有关儿童的额外义务 |
4 | 不履行本法案第11条规定的有关重要数据受托人的额外义务 | 最高1.5亿卢比 |
5 | 不遵守本法案第16条 | 最高1万卢比 |
6 | 除(1)-(5)条所列举的内容外,不遵守本法案的限制性条款或者任何根据本法案所制定的规则 | 最高5千万卢比 |