2025年1月3日，印度电子和信息技术部发布了《2025年数字个人数据保护规则草案》(“《规则》”)。

该《规则》将有助于促进《2023年数字个人数据保护法案》(“《法案》”)的实施。

电子和信息技术部欢迎公众和利益相关方在2025年2月18日之前就《规则》提出任何反馈意见。

对于新德里Singh & Singh律师事务所的副合伙人罗汉.斯瓦鲁普(Rohan Swarup)来说，《规则》草案是朝着正确方向迈出的一步，符合《法案》的目标。他表示：“《规则》就《法案》涵盖的一些较为模糊的方面提供了明确性，例如向数据负责人发出通知的形式和方式，构成‘合理的安全保障’的基线，以及印度要求提供补贴和福利的信息方式。”

然而，他还补充称，《规则》草案中仍有一些条款过于宽泛，因此缺乏明确性。

其中一项是《规则》第5条，它允许国家的任何机构处理个人数据，以使用公共资金向数据负责人提供任何补贴、服务、证书、执照或许可。斯瓦鲁普解释说：“虽然增加了附表2以指定国家及其机构处理个人数据的标准，但它并没有改变国家实际上可以将任何政府活动纳入该规则范围的事实。该规则没有要求获得数据负责人同意。”

此外，《规则》第5条并未明确说明数据负责人是否首先需要申请福利或补贴。斯瓦鲁普认为：“鉴于几乎所有福利、服务等都是根据法律或政策发放的，而且几乎所有福利、服务等都使用的是公共资金，因此该规则缺乏足够的保障措施，并允许国家几乎不受限制地处理个人数据。”

根据斯瓦鲁普的说法，另一个需要更加明确的条款是《规则》第8条。第8条规定了某些类别的数据受托人可以保留为特定目的提供个人数据的时限，除非这些数据已不再用于特定目的。与附表3一并阅读可知，第8条规定了三种类型的中介机构，他们可以将个人数据保留3年，从数据负责人最后一次为执行指定目的而联系相关数据受托人的时间开始计算。这些中介机构是：社交媒体中介机构、在线游戏中介机构和电子商务中介机构。

对斯瓦鲁普来说，将这三种类型的中介机构保持在同等水平是不合理的。斯瓦鲁普认为：“在我看来，鉴于数据负责人经常在电子商务和在线游戏中介平台上进行金融交易，他们经常为其提供个人数据，因此与社交媒体中介相比，在线游戏中介和电子商务中介应该获得更短的保留个人数据的时间。”

他还提到了《法案》第36条，该条款授权印度中央政府要求数据受托人和中介机构提供信息，以及《规则》草案第22条。根据该规则，印度可以通过授权人为附表7中规定的目的要求提供《法案》第36条中提及的这些信息。规定的目的包括为印度的主权和完整或国家安全服务的目的、根据当时有效的任何法律履行任何职能的目的等。

斯瓦鲁普声称这一条款可能会被滥用。他解释道：“该条款似乎没有设置任何内在监督机制，我认为国家机构对个人数据的需求可能会遇到司法挑战。”

斯瓦鲁普指出：“需要在《规则》草案或《法案》中建立更多内在的防护措施，以确保授予国家的权力与个人的权利保持平衡。还迫切需要让个人意识到该法案赋予他们的权利。”

来源：中国保护知识产权网