2022 年数字个人数据保护法案草案

2022年数字个人数据保护条例草案 SectionNo Title Page CHAPTER1:PRELIMINARY 1简短的标题和开始3 2Definitions3 3解释6 4该法的适用6 第2章数据凭证的义务 5处理数字个人数据的理由7 6通知7 7同意书8 8视为同意10 9数据信托的一般义务12 10与处理个人有关的额外义务14 儿童数据 11重要数据受托方的额外义务14 第3章数据原则的权利和义务 12获得有关个人数据的信息的权利15 13更正和删除个人数据的权利15 14申诉权16 15提名权16 16数据负责人的职责16 第4章特别规定 17将个人数据传输到印度境外17 18Exemptions17 第5章：合规框架 19印度数据保护委员会18 20董事会的职能19 21董事会应遵循的流程，以确保遵守19 根据该法的规定 22审查和上诉21 23 替代争议解决 21 24 自愿承诺 21 25 财务处罚 22 第6章杂项 26 制定规则的权力 23 27 中央政府修订附表的权力 23 28 消除困难 24 29 与其他法律的一致性 24 30 修正案 24 附表1 25 2022年数字个人数据保护条例草案 该法案的目的是规定数字个人数据的处理承认个人保护其个人数据的权利和 为合法目的和相关事项处理个人数据的需要与之相关的或附带的。 Chapter1:PRELIMINARY 1.简短的标题和开始 (1)该法案可称为2022年数字个人数据保护法案。 (2)它应在中央政府可能的日期生效， 通过在官方公报上的通知，任命。不同的日期可能是为本法的不同规定而任命的。任何条款中的任何提及本法的开始应解释为对 该条款的开始。 2.Definitions 在本法案中：- (1)“自动化”是指任何能够操作的数字过程自动响应给定的指令或以其他方式为 处理数据的目的； (2)“委员会”是指印度成立的数据保护委员会中央政府为本法的目的； (3)“儿童”是指尚未完成18岁的个人年龄； (4)“数据”是指信息、事实、概念、以适合沟通的方式提出意见或指示， 由人或通过自动化手段进行解释或处理； (5)“数据信托”是指单独或联合使用的任何人与其他人一起决定处理的目的和手段 个人数据； (6)“数据委托人”是指个人 数据相关，并且如果该个人是孩子，则包括父母或该子女的合法监护人； (7)“数据处理器”是指处理个人数据的任何人代表数据受托机构的数据； (8)“数据保护官”是指被任命为此类人员的个人。根据本法的规定，由重要数据受托人； (9)“增益”是指- (a)财产收益或服务供应，不论临时或永久；或 (b)赚取报酬或更高报酬的机会报酬或获得财务优势 以报酬的方式。 (10)就数据委托人而言，“损害”是指- Procedures.任何身体伤害；或Procedures.身份失真或盗窃；或Procedures.骚扰；或 D.防止合法收益或重大损失的因果关系； (11)“损失”是指- Procedures.财产损失或服务供应中断，无论是暂时的还是永久性；或 Procedures.失去赚取报酬或更高报酬的机会，或失去获得财务优势，而不是通过报酬。 (12)“人”包括─ a.个人； a.印度教不可分割的家庭； a.公司； a.一家公司； a.个人协会或个人团体，是否成立； (13)(13) Improvedtherae.quirementsofthe 国家；以及 每个人工法人，不属于任何前面的子条款； ”是指关于个人的任何数据 “个人数据parti 可由此类cu数la据r识别或与此类数据相关； ,the (13)re“q个u人数据泄露”是指任何未经授权的处理 个人数据ire或m意外披露、获取、共享、使用、 ents 更改、销毁或丢失对个人数据的访问，即 of 损害个人th的e机密性、完整性或可用性 数据。parti cular (14),th“订e明”指根据以下规则订立的规则订明 本法的规re定qu； irem ents (15)of与个人数据有关的“处理”是指自动 对数字个th人e数据执行的操作或一组操作，以及 可能包括pa收rt集i 、记录、组织、 结构化、ci存pa储、适应、更改、检索、使用、对齐或 nts; 组合、索引、共享、通过传输披露、 传播或以其他方式提供、限制、擦除或销毁； (16)“程序”是指董事会根据本法的规定； (17)“公共利益”是指以下任何一项的利益： (a)印度的主权和完整； Procedures.国家安全；Procedures.与外国的友好关系；D.维护公共秩序； Procedures.防止煽动任何可识别的犯罪前述条款；以及 Procedures.防止传播虚假的事实陈述。 3.解释 在本法案中：- (1)除非上下文另有要求，否则提及“本条款” “法案”应理解为包括对根据该法案制定的规则的引用。 （2）“以英语或 《印度宪法》附表8“是指数据 委托人可以选择英语或中指定的任何一种语言印度宪法附表8； (3)代词“她”和“她”已用于个人，不分性别。 4.该法的适用 (1)本法的规定适用于数字处理印度境内的个人数据： a.此类个人数据是从数据负责人在线收集的；和 a.这些离线收集的个人数据是数字化的。 (2)本法的规定也适用于数字处理印度境外的个人数据，如果此类处理与 向数据负责人提供商品或服务的任何分析或活动在印度境内。 就本小节而言，“剖析”是指任何形式的处理分析或预测与行为有关的方面的个人数据，数据主体的属性或兴趣。 (3)本法的规定不适用于： a.个人数据的非自动化处理； a.离线个人数据； a.个人处理的个人数据为任何个人或 国内目的；和 a.关于记录中包含的个人的个人数据已经存在了至少100年。 第2章：数据凭证的义务 5.处理数字个人数据的理由 个人只能在 根据本法和根据本法制定的规则的规定，对于数据委托人已经给出或被视为具有的合法目的根据本法的规定给予她同意。 就本法而言，“合法目的”是指任何不是法律明确禁止。 6.通知 (1)在请求数据委托人同意之前或之前，数据 受托人应以清晰明了的方式向数据委托人发出逐项通知语言包含对寻求收集的个人数据的描述 数据信托机构和处理此类个人数据的目的。 (2)WhereaDataPrincipalhasgivenherconsenttotheprocessingofher 在本法生效之前的个人数据，数据受托人必须以清晰明了的语言向数据负责人发出逐项通知包含对数据委托人收集的个人数据的描述 数据信托和此类个人数据的目的 在合理可行的情况下，尽快处理。对于本节的目的：- （a）“通知”可以是单独的文件，也可以是电子形式，也可以是在其中或通过其寻求个人数据的同一文档 收集，或以规定的其他形式。 (a)“分项”系指以个别项目的清单形式列报。 插图:'A'联系银行开立定期储蓄账户。银行 要求“A”为KYC提供地址和身份证明的复印件手续。在收集复印件之前，银行应通知“A” 声明获取复印件的目的是完成KYC 手续。通知不必是单独的文件。它可以打印在用于开立储蓄银行账户的表格。 (3)数据受托方应向数据委托人提供访问选项第(1)及(2)款所提述的资料以英文或任何 印度宪法附表8规定的语言。 7.同意书 (1)数据委托人的同意是指任何自由给出的、具体的、知情和明确地表明数据委托人的愿望 数据负责人通过明确的平权行动，表示同意为指定目的处理她的个人数据。 就本小节而言，“指定目的”是指 在数据受托管理人向数据委托人发出的通知中提到根据本法的规定。 (2)第(1)款所提述的同意的任何部分构成违反本法规定的行为在以下范围内无效 侵权。 插图：“A”与“B”订立合同，向“B”提供服务“X”。作为合同的一部分，“B”同意：(A)由“A”处理她的个人数据，及(b)放弃根据该等条文向委员会提出申诉的权利 本法的（b）部分同意“B”放弃其权利应视为无效。 (3)根据本法规定的每一个同意请求 以清晰明了的语言呈现给数据负责人，以及 数据保护官的联系方式，如适用，或任何其他受数据信托机构授权对任何通信作出回应的人出于行使其在 本法的规定。数据受托人应向数据委托人提供 选择以英语或任何语言访问此类同意请求印度宪法附表8中规定的。 (4)WhereconsentgivenbytheDataPrincipalisthebasisofprocessingofthe 个人数据，数据委托人有权撤回其同意在任何时候。这种撤回的后果应由 数据委托人。撤回同意不应影响 在撤回之前，基于同意对个人数据进行处理。撤回的容易程度应与同意的容易程度相当 可以给出。 插图：“A”与“B”订立合同，向“B”提供服务“X”。作为合同的一部分，“B”同意由“A”处理她的个人数据。如果“B”撤回同意处理她的个人数据，“A”可能会停止 向'B'提供'X'服务。 (5)如果数据委托人撤回了她对个人处理的同意第(4)小节下的数据，数据受托人应在合理时间内，停止并使其数据处理器停止处理个人 此类数据主体的数据，除非在没有数据的情况下进行此类处理根据本法的规定，需要或授权委托人的同意或 任何其他法律。 插图：“A”订阅基于电子邮件和SMS的销售通知 服务由“B”运营。作为认购合同的一部分，“A”分享她个人数据，包括手机号码和与“B”共享的电子邮件ID 进一步使用'C'，一个数据处理器，用于通过e-向'A'发送警报邮件和短信。如果“A”撤回她同意处理她的个人 数据，“B”将停止并导致“C”停止处理“A”的个人数据。 (6)数据委托人可以给予、管理、审查或撤回其同意通过同意经理提交给数据受托机构。 就本节而言，“同意经理”是数据受托 这使得数据委托人能够给予、管理、审查和撤回她通过可访问、透明和可互操作的平台进行同意。 (7)本节中指定的同意经理应为 对数据委托人负责，并代表数据委托人行事。每位同意经理均应在董事会注册 并受以下技术、运营、财务和其他条件的限制可以规定。 (8)数据之间已经签订的任何合同的履行受托人和数据委托人不得以同意 处理该目的不必要的任何个人数据。 插图：如果“A”与“B”签订合同，向“B”提供服务“X”则“A”不得在B拒绝给予的情况下向“B”提供“X”服务同意收集不需要的额外个人数据 提供服务“X”的目的。 (9)WhereconsentgivenbytheDataPrincipalisthebasisofprocessingofthe 个人数据以及在诉讼中出现的这方面的问题，数据受托人有义务证明数据发出了通知 委托给数据委托人，数据委托人同意根据本法规定的数据受托人。 8.视为同意 数据委托人被视为已同意处理她的个人数据，如果这样的处理是必要的： (1)在数据负责人自愿提供她的个人情况下数据到数据信托机构，并且可以合理地预期她会提供此类个人数据； 插图：“A”将她的姓名和手机号码与 在餐厅预订餐桌的目的。“A”应被视为有鉴于她同意收集她的名字和手机号码 用于确认预订的数据信托。 (2)根据任何法律履行任何职能，或规定 对数据委托人的任何服务或利益，或任何证书的颁发，国家对数据委托人的任何行动或活动的许可或许可 或国家的任何工具； 插图：'A'分享她的名字，手机号码和银行账号与政府部门直接信贷农业收入支持。 “A”应被视为已同意处理她的名字，化肥信用的手机号码和银行账号 补贴金额到她的银行账户。 (3)遵守根据任何法律发布的任何判决或命令； (4)应对涉及生命威胁的医疗紧急情况或 对数据委托人或任何其他个人的健康的直接威胁； (5)采取措施提供医疗或保健服务 在流行病、疾病爆发或任何其他威胁期间的任何个人公共卫生； (6)采取措施确保安全，或提供协助，或 在任何灾难或任何公共故障期间向任何个人提供服务订单; (7)与就业有关的目的，包括预防公司间谍活动，维护商业秘密的机密性，