一、前言

歐盟的《通用數據保護條例》(GDPR)經常被稱為個人數據保護的“黃金標準”，并且已經生效了五年多。2023 年 8 月，印度頒布了期待已久的《2023 年數字個人數據保護法》(DPDP 法案)。雖然 DPDP法案 在許多方面可能不如GDPR那么細化，但它標志著印度維護數字數據保護之旅中的一個關鍵里程碑。本文提供了GDPR和DPDP法案在數據處理義務、兒童數據和跨境數據傳輸等領域之間的比較。

隨著新法律的生效，各種實體已開始采取準備步驟來遵守DPDP法案。其中，已經遵守GDPR的跨國公司對差異部分特別感興趣。例如，DPDP法案與GDPR的一個重要區別是，前者沒有定義或明確限制分析(being profiled)，除非在處理兒童數據的情況下。GDPR 明確定義并規定了分析框架，例如，如果數據主體正在被分析，則需要通知他們。

二、GDPR和DPDP法案的區別

1. 個人數據的分類

根據GDPR，一類個人數據被稱為“特殊類別的個人數據”，此類別包括個人的敏感信息，例如與種族或民族血統、政治觀點以及宗教或哲學信仰等相關的數據。

處理特殊類別的個人數據需要額外的合規性要求，特別是關于可用于處理此類特殊類別個人數據的法律依據。

與GDPR相反，DPDP法案適用于數字空間中的所有個人數據，而不將其歸類為敏感或關鍵。因此，根據DPDP法案，不同類型的個人數據沒有單獨的合規標準。因此，需要對所有類別的個人數據適用統一的標準。

2. 數據受托人的分類

GDPR 在規定合規性和義務時不區分數據控制者類別(類似于 DPDP 法案下的數據受托人)。

相反，根據DPDP法案，中央政府可以根據規定的標準將某些數據受托人歸類為“重要數據受托人”，例如處理的個人數據的數量和敏感性，數據主體(類似于GDPR下的數據主體)權利的風險，并增加合規義務，而不是一般的數據受托人。此類額外義務包括任命居住在印度的數據保護官 (DPO)、任命獨立數據審計員、進行定期評估等。

3. 數據處理者的義務

根據GDPR，數據處理者必須遵守某些合規性，例如實施適當的組織和技術措施來確保保護數據主體的權利。除其他因素外，還可以根據處理者和控制者的責任程度對數據處理者處以罰款。

DPDP法案對數據處理者沒有直接義務。義務的責任已由數據受托人承擔，他們必須確保其或代表其進行的數據處理者進行的任何處理的合規性。此外，與GDPR要求數據控制者和數據處理者簽訂“數據處理協議”的方式類似，根據DPDP法案，數據受托人和數據處理者之間必須簽訂有效的合同。

4. 通知要求

與DPDP法案的規定相反，GDPR要求在收集數據主體的個人數據之前或收集其個人數據時向其發出更全面的隱私聲明。這包括個人數據的第三方傳輸、數據控制者的聯系信息、個人數據的保留期限等。

DPDP法案則規定，只有在處理其個人數據的法律依據是同意的情況下，才必須向數據主體提供通知。該通知必須概述尋求收集的個人數據的類型、處理目的、數據主體行使撤回同意和申訴補救權的方式，以及數據主體可以向印度數據保護委員會投訴的方式。此外，還需要向數據主體提供以當地語言(最多 22 種語言)訪問通知和同意請求的選項。翻譯義務似乎確保數據主體能夠輕松理解其數據被處理的含義，并相應地提供其“知情”同意。

5. 同意管理器-新增(Consent managers)

雖然GDPR和DPDP法案都承認個人同意是處理個人數據的法律依據之一，但后者引入了“同意管理器”的新概念。GDPR 下沒有等效的概念。同意管理器將使數據主體能夠通過可訪問、透明和可互操作的平臺提供、管理、審查和撤回其同意。

6. 兒童年齡

DPDP法案和GDPR之間的另一個顯著區別是成年年齡。根據 GDPR，16 歲以下的個人被視為兒童(歐盟成員國可以降低該年齡，前提是不低于 13 歲)。但是，《DPDP法案》將兒童定義為18歲以下的個人，符合印度成年年齡的總體法律框架。《民進黨法》進一步賦予中央政府降低成年年齡的權力，前提是處理方式得到中央政府可核查的安全通知。這種差異可能導致運營復雜性，因為它可能需要不同的同意機制，包括跨司法管轄區的父母同意。

7. 報告個人數據泄露

雖然GDPR遵循基于風險的方法通知當局個人數據泄露的信息，但DPDP法案沒有規定任何此類閾值。根據GDPR，可能對數據主體的權利和自由構成風險的違規行為必須向監管機構報告。此外，只有當數據泄露可能導致其權利和自由面臨高風險時，才必須將數據泄露傳達給受影響的數據主體。

另一方面，DPDP法案沒有為向監管和受影響的數據主體報告個人數據泄露的義務建立明確的標準或門檻。但是，預計將規定數據泄露的形式和方式。因此，在這方面可能會出現進一步的澄清。這也帶來了運營挑戰，因為根據印度計算機應急響應小組和印度其他各種部門監管機構發布的指示，有一個違規報告框架。

8. 被遺忘權和刪除權

根據GDPR，刪除權也被稱為被遺忘權。根據GDPR，數據主體可以行使此權利，但某些例外情況除外。

DPDP法案僅授予數據主體刪除的權利，除非出于特定目的或遵守法律而有必要保留。然而，值得注意的是，印度各邦的高等法院對此采取了相互矛盾的觀點。包括德里高等法院、卡納塔克邦高等法院和奧里薩邦高等法院在內的一些法院已經承認被遺忘權是個人隱私權的一部分。

9. 任命DPO

GDPR和DPDP法案都規定了DPO的任命。根據GDPR，如果在某些情況下處理個人數據，例如如果處理是由公共機構(法院除外)進行的，或者控制者或處理者的核心活動涉及敏感類別數據的處理等，則控制者和處理者都必須任命DPO。GDPR 還規定了 DPO 的資格。

相反，DPDP法案僅要求由“重要數據受托人”任命DPO。此外，目前形式的DPDP法案沒有提供有關DPO資格的詳細信息。

10. 數據保護影響評估

根據GDPR，監管機構有權列出需要數據保護影響評估(DPIA)的活動清單。在某些情況下，例如當某種類型的處理可能對自然人的權利和自由造成高風險時，控制者需要根據規定的某些因素進行 DPIA。其他情況，例如分析或處理與刑事定罪有關的個人數據，也需要 DPIA。

根據DPDP法案，DPIA由重要的數據受托人定期進行。這將包括對數據主體權利的描述、處理其數據的目的、風險評估和管理以及可能指定的其他措施。但是，DPDP法案沒有詳細說明需要DPIA的處理活動的細節。與GDPR相反，這可能會導致合規負擔增加。

11. 個人數據的跨境傳輸

GDPR 提供了各種渠道，可以通過這些渠道進行個人數據的跨境傳輸。根據 GDPR，個人數據可能會根據充分性決定以及標準合同條款 (SCC)、公司約束規則 (BCR) 和某些規定的保障措施進行傳輸。隨后的司法判決在制定標準和確定個人數據跨境傳輸的方式方面也至關重要。

然而， DPDP法案下的個人數據可以轉移到其他司法管轄區，除非中央政府基于某些因素限制了轉移到某個國家或地區。

必須強調的是，如果包括部門法在內的其他法律要求對跨境傳輸提供更嚴格的數據保護，這些法律將繼續適用并應得到遵守。因此，在這種情況下，受行業監管機構監管的實體的合規負擔基本保持不變。

12. 對受影響個人的賠償

根據 GDPR，任何因違反 GDPR 而遭受物質或非物質損害的個人都有權從數據控制者或數據處理者那里獲得所遭受損害的賠償。而DPDP法案則沒有任何補償受影響數據主體的規定。在《DPDP法案》下沒有任何法定賠償的情況下，印度受影響的數據主體可能不得不根據其他現行法律行使民事補救措施的選擇權，以應對因個人數據泄露而對他們造成的任何傷害。

13. 對個人的處罰

GDPR 沒有規定對數據主體的具體處罰。GDPR 下的處罰和制裁通常適用于不遵守其規定的組織(數據控制者和處理者)。相反，DPDP法案規定了數據主體的某些義務，例如不冒充他人以及不登記虛假或輕率的不滿或投訴等的義務。除此之外，DPDP法案還規定，如果數據主體未能遵守規定的職責，最高罰款為10,000印度盧比(約合120美元)。

14. 數據可移植性的權利

與GDPR不同的是，DPDP法案沒有提供數據可移植性權利。雖然這項權利已納入 2019 年《個人數據保護法案》(已廢除)，但未納入當前版本的 DPDP 法案。

15.反對/選擇退出的權利

《隱私法》僅允許數據主體通過民事訴訟反對數據處理，理由是該處理侵犯了數據主體的隱私權。但是，一旦在不侵犯隱私的情況下(例如，經數據主體同意)提供個人數據進行處理，則沒有既定的反對處理權的概念。截至今天，人們普遍認為以色列的數據主體無權撤回其對處理的同意。

三、總結

雖然GDPR和DPDP法案有著共同的目標，但兩項立法采用的方法和策略明顯不同。GDPR的規范性相對較強，而DPDP法案概述了某些基本原則，并將許多與實施相關的方面留待通過隨后生效的附屬立法來解決。隨著立法程序的發展，這種方法可以在處理數據保護的各個方面時提供更大的靈活性和適應性。

對于已經被要求遵守GDPR的實體，做好調整以確保符合DPDP法案的要求是必要的。隨著法律的生效，企業將需要仔細了解所需的額外基礎工作，并相應地調整自己的做法，以與新的印度框架保持一致。