印度政府公布2022年数字个人数据保护法案草案

印度政府周五发布了备受期待的数据保护法规草案，这是自2018年7月首次提出以来的第四次此类努力。

《2022年数字个人数据保护法案》（Digital Personal Data Protection Bill，2022）旨在保护个人数据，同时也寻求用户的同意，草案声称“清晰明了的语言”描述了将收集的信息的确切种类和目的。

该草案向公众公开征求意见，截止日期为2022年12月17日。

印度有超过7.6亿活跃的互联网用户，因此，在线平台生成和使用的数据必须遵守隐私规则，以防止滥用，增加责任和信任。

政府表示：“该法案将建立印度数字个人数据保护的全面法律框架”。“本条例草案对处理数字个人数据作出规定，承认个人保护其个人数据的权利、社会权利以及为合法目的处理个人数据的必要性”。

目前的立法要求公司（即数据处理者）遵守足够的安全保障措施，以保护用户信息，在数据泄露时向用户发出警报，并在个人选择删除其帐户时停止保留用户数据。

印度电子和信息技术部（MeitY）发布的一份解释性说明中写道：“存储时间应限于收集个人数据的指定目的所需的时间”。

如果未能采取措施防止数据泄露，公司可能会受到高达₹；2.5亿卢比（3060万美元）。实体未能将违约通知用户，从而导致罚款总额达到8377英镑；5亿卢比（6130万美元）。

就互联网服务的用户而言，他们可以要求公司共享已提供给其他第三方的个人数据类别，更不用说在此类信息被认为“不准确或误导”的情况下要求删除或更新其数据。

此外，草案还规定了数据最小化要求以及公司必须采取的额外护栏，以防止未经授权收集或处理个人数据。

同样值得注意的是，该法案不再要求数据本地化，允许科技巨头将个人数据转移到印度地理边界以外的特定国家和地区。

最后，新措施旨在建立一个数据保护委员会，这是一个政府任命的机构，将监督合规工作的核心。

也就是说，“为了印度的主权和完整、国家安全、与外国的友好关系、维护公共秩序或防止煽动与上述任何一项有关的任何可认定的罪行”，中央（即联邦）政府免于遵守该法案的规定

在没有任何数据保护机制的情况下，这些包罗万象的条款可以赋予政府广泛的权力，并有效地促进大规模监控。

互联网自由基金会（IFF）表示：“这将使被通知的政府机构免于适用法律，这可能会导致严重侵犯公民隐私”。“这是因为这些标准过于模糊和宽泛，因此容易被误解和误用”。

2021 12月出台的该法的前一版本在经过数十次修订和建议后于2022年8月被废除，在此之后，出现了最新进展。

自2017年以来，一项数据保护立法一直在酝酿中，当时最高法院一致重申隐私权是《印度宪法》规定的一项基本权利。2012年，退休的高等法院法官K.S.Puttaswamy提交了一份请愿书，这是一项具有里程碑意义的裁决。