笔者此前已在中国企业出海热点地区数据保护指南——英国篇、美国篇和越南篇中详细介绍了英国、美国加州和越南这三大出海热点法域的数据保护法律，并提出了相关的数据合规建议。印度是全球成长最快的新兴经济体之一，高速的经济增速推动了各产业的快速发展，同时也吸引了不少中资企业在印投资。而印度当地政府近几年出台系列政策、法规，加强针对中资企业的合规性要求，对在印中资企业经营、投资活动造成了巨大的影响，其中数据监管要求便是其中重要的一个方面。

　　印度的数据保护法律框架并未形成全面完整的体系，各项法案项下的规定也较为模糊、笼统，相对具体的规定主要集中在部门法规对数据本地化的要求和敏感个人数据的处理领域。针对印度个人数据跨境传输，相关法律和政策则相对保守。以下是印度颁布的一系列与数据保护相关的重要立法，包括：

　　（2）《网络安全政策》（Cyber Security Policy, 2013）：2013年7月2日，印度通信与信息技术部发布了《印度国家网络安全政策》文件，提出了拟实现的14项目标和拟采取的若干战略，以建立一个网络安全框架，引导政府机构、非政府组织、企业、个人等的网络安全行动。该政策为保护网络基础设施、提高网络弹性和促进信息共享提供了指导，间接影响印度数据保护实践。

　　（3）《消费者保护法案》（Consumer Protection Act, 2019）：2019年8月9日该法案正式生效，强调消费者隐私权的保护，特别是在电子商务交易中要求企业在处理消费者个人数据时保持透明，并提供安全保障。

　　（4）《数字个人数据保护法案》（Digital Personal Data Protection Act，下称“DPDP法案”）：DPDP法案是印度最新的个人数据保护法律，也是印度第一部综合性个人数据保护法，于2023年8月11日正式发布。该法案旨在确保数字个人数据被用于合法目的，并以合法方式进行处理，同时，其进一步对印度个人数据跨境传输活动进行规制，与其他相关法律共同构成印度个人数据跨境传输规则。新法案的推出为印度数据保护设立了更高的标准‌。

　　上述法案、政策共同构建了印度的核心数据治理法律框架。本文将重点分析DPDP法案对中国企业的适用性及其合规要求，并提供相关建议。

　　印度此前尚没有专门负责个人数据保护的国家监管机构，主要由印度信息技术部（MeitY）负责进行监管。依据DPDP法案第18条，后续需要成立印度数据保护委员会，作为独立机构，专门负责监督DPDP法案的实施和执行，其职责将包括开展调查、评估影响、裁决争议、下令采取补救措施、作出处罚等，委员会成员的任期为2年，可以连任。

　　此外，根据DPDP法案第16条第2款，印度储备银行（RBI）和印度证券交易委员会（SEBI）等行业监管机构可针对特定受监管实体的个人数据制定更严格的保护措施。

　　“数据受托人”指单独或与他人共同决定个人数据处理目的和方式的任何个人或实体。

　　“数据主体”指个人数据所关联的个人，包括其个人数据在印度境内被处理的印度公民和非印度公民。

　　“个人数据”指任何关于可识别或与该数据相关的个人的数据，包括但不限于以下数据类型：姓名、地址、电话号码、IP地址、位置数据等。

　　“敏感个人数据”是指属于个人数据的一种特定类别，涉及的数据可能对个体的隐私造成较大影响，包括财务数据（如银行账户、信用卡信息）、健康数据（如医疗记录、诊断结果）、生物数据（如指纹、面部识别数据）、基因数据、种姓或部落、宗教或政治信仰或归属等数据。数据受托人不得处理敏感个人数据，除非获得数据主体的明确同意或出于规定的特定目的，且数据受托人应实施规定的额外保障措施以处理敏感个人数据。

　　数据受托人不得从事可能对儿童造成伤害的个人数据处理。数据受托人在处理儿童的个人数据之前，应获得可验证的父母同意。虽然DPDP法案未明确界定“儿童”的具体年龄范围，但根据印度其他法律（如《未成年人司法法》），通常将未满18岁的个人视为儿童。

　　请留意，“匿名化数据”指经过匿名化处理的数据，且此类数据无法用于识别数据主体。匿名化数据排除在DPDP法案的适用范围之外。

　　DPDP法案适用于以数字形式或非数字形式收集并随后数字化的个人数据的处理。具体处理活动指对个人数据执行的一项或多项操作，包括收集、记录、组织、雷竞技APPapp结构化、存储、改编、修改、检索、查阅、使用、对齐或组合、索引、披露、传输、传播或以其他方式提供、限制、删除或销毁等操作。

　　印度中央政府可以通过通知，豁免任何政府机构适用DPDP法案，如果此类豁免出于国家安全、公共秩序或其他公共利益的需要。

　　根据DPDP法案的规定，其不适用于为研究、存档或统计目的处理个人数据，前提是此类处理符合法案规定的条件。

　　DPDP法案是印度为解决数据保护和隐私问题所做努力的结晶。总体而言，熟悉欧盟GDPR的企业会在DPDP法案中发现许多相同的概念和要求，如需要征得同意、提供数据主体权利等。虽然DPDP法案与欧盟GDPR相似，但它也有一些独特之处。

　　DPDP法案建立了一个全面的基于权利的数据保护框架，重点关注个人权利，并将同意作为数据处理的主要法律依据。不过，与欧盟GDPR和其他隐私法相比，数据主体在DPDP法案下享有的权利较少。这些权利主要包括：

　　（1）知情权与同意权：数据受托人应向数据主体提供清晰易懂的通知，明确处理个人数据的目的。个人数据仅在获得数据主体同意后方可处理。

　　（2）信息访问权：数据主体有权向数据受托人确认其个人数据是否被处理，并在处理时访问该数据。

　　（3）更正与删除权：数据主体可要求数据受托人更正、完成或更新不完整或过时的个人数据，或删除不再需要的数据。

　　根据DPDP法案，数据主体的义务主要是应遵守本法案的规定，不得提供虚假信息或冒充他人。

　　此外，印度中央政府根据处理个人数据的数量和敏感性等因素可能通知部分数据受托人并认定其为“重大数据受托人”。重大数据受托人有如下额外义务：

　　（1）重大数据受托人应任命一名数据保护官，负责确保遵守DPDP法案的规定。数据保护官应作为数据保护委员会和数据主体的联络人，并监督数据保护措施的实施；

　　（2）重大数据受托人应定期进行数据保护影响评估，以识别和减轻与个人数据处理相关的风险；以及

　　（3）重大数据受托人应实施强化安全措施，例如：加密、访问控制和定期安全审计，以保护个人数据。

　　数据处理者仅可根据数据受托人的指示和有效合同处理个人数据，同时，协助数据受托人履行其义务（如数据安全、泄露通知等）。

　　根据中央政府的通知，个人数据可被允许自由传输到相关国家或地区。敏感个人数据的跨境传输则需遵守额外保障措施并获得中央政府事先批准。

　　数据受托人不得处理敏感个人数据，除非获得数据主体的明确同意。此外，数据受托人应定期进行风险评估，并实施强化安全措施以保护敏感个人数据。

　　数据受托人不得从事可能对儿童造成伤害的个人数据处理活动。数据受托人在处理儿童的个人数据之前，应获得可验证的父母同意。

　　发生个人数据泄露时，数据受托人应在合理可行的情况下尽快通知数据保护委员会。如果泄露可能对数据主体造成损害，数据受托人还应立即通知受影响的数据主体。

　　数据受托人应记录所有个人数据泄露事件，并采取必要措施调查和减轻泄露的影响。

　　DPDP法案本身未明确要求数据必须存储在印度境内，个人数据根据中央政府的通知，可被允许自由传输到相关国家或地区。而敏感个人数据的跨境传输则设置了严格限制，需遵守额外保障措施并获得中央政府事先批准。

　　除DPDP法案之外，数据本地化的要求散见于印度的各项不同法规中。例如：2018年4月，印度储蓄银行（RBI）发布通知，要求所有支付系统提供商将其支付系统的全部数据存储在印度境内，且境外处理的数据需在24小时内带回印度。这一要求适用于所有经RBI授权或批准并在印度运营的支付系统提供商。RBI的通知要求基于《2007年支付和结算系统法案》，是针对支付系统的专门要求，具有强制执行力，且独立于DPDP法案。

　　根据DPDP法案，数据保护委员会可对违反法律的实体发布命令，要求停止或限制个人数据的处理，或采取其他必要的补救措施。对不同类型的违规行为，最高可处以25亿印度卢比的罚款。

　　综上所述，印度的数据保护法律体系正处于不断演进的过程中。尽管目前尚未形成一套全面统一的法规体系，但近年来，印度政府通过颁布DPDP法案等法律，逐步加强对个人数据的监管，特别是在数据本地化、敏感数据和儿童数据处理等方面设定了更高的合规要求。这些变化对在印度投资经营的中国企业而言既是挑战，也是必须适应的合规新环境。

　　从实务角度来看，中资企业在印度应重点关注以下几个方面：第一，建立健全数据合规管理机制，确保符合DPDP法案及其他相关法规的要求，特别是在数据收集、存储、使用、共享和跨境传输方面采取合理的合规措施；第二，密切关注印度数据保护政策的最新动态，特别是DPDP法案的配套细则及监管机构的具体执行标准，以便及时调整合规策略；第三，重视数据安全与隐私保护，严格执行网络安全标准，防范潜在的合规风险。此外，企业在开展业务的过程中，如涉及支付系统、金融服务、电子商务等领域，还需特别关注印度储备银行（RBI）等行业监管机构的相关要求。

　　总体而言，随着全球数据合规标准不断趋严，企业在印度的合规管理将成为影响其业务发展的重要因素。只有深入理解并密切关注印度的数据监管要求和动态变化，及时调整合规策略，以应对不断变化的监管环境。在全球数据保护趋严的背景下，中资企业唯有主动适应、积极合规，方能在印度这一充满潜力的市场中实现可持续发展。

　　大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

　　郭玉兰：企业并购过程中的数据安全考量 - 走在“合规”之前（三）并购交易文件起草中的数据安全规划

　　郭玉兰：企业并购过程中的数据安全考量 - 走在“合规”之前（二）并购交易中数据合规尽职调查的关键问题

　　郭玉兰等：“健康医疗数据合规”那些事儿系列之四 - 互联网医疗企业如何合规地对个人健康医疗数据进行跨境传输

　　郭玉兰：企业并购过程中的数据安全考量 - 走在“合规”之前并购交易前的数据安全规划

　　郭玉兰等：“健康医疗数据合规”那些事儿系列之二 - 互联网医疗企业如何合规存储和境内共享个人健康医疗数据

　　郭玉兰等：“健康医疗数据合规”那些事儿：疫情当前，企业如何合规收集并处理员工防疫相关的个人数据

　　郭玉兰等：“健康医疗数据合规”那些事儿 - 系列之一：互联网医疗企业如何合规收集健康医疗数据