在印度,诉讼是一个耗时而费力的过程。印度法院的案件“堆积如山”,有时一个案件的审理甚至拖延数十年。然而诉讼却又是架接法律与变幻莫测的商业世界之间必不可少的桥梁。
等待已久的《数字个人数据保护法》(DPDP)终于在2023年出台。新法不可避免会带来新的诉讼。企业也应准备好迎接各种挑战。
隐私与数据保护
律师、合伙人
Shivadass &
Shivadass Law Chambers律师事务所
班加罗尔
电话: +91 98 1050 7391
电子邮件: prashanth.shivadass@sdlaw.co.in
隐私权包含大量的权利和价值观。而数据保护是法律规定的与个人数字身份相关的权利。
鉴于隐私权已在印度《宪法》第21条中确认为一项基本权利,可以预见将有大量控告侵犯这一基本权利的案件根据第226条在各高等法院提起,或直接根据第32条在最高法院提起。
只有在质疑“国家(及其工具)合法使用个人数据进行处理”时,才能同时对国家提起侵犯数据保护权和隐私基本权利的诉讼。例如,最初为发放补贴和福利而收集的个人数据却在选举期间被用于征求公民对候选人举措的反馈并因此影响选民,在此情况下,可以在有管辖权的高等法院或最高法院寻求救济。
但对私人实体提起隐私权诉讼时却不能使用管辖权令状。对于针对私人实体的救济,必须援引DPDP规定的机制,行使DPDP赋予的法定权利。
数据保护委员会
律师
Shivadass & Shivadass Law Chambers律师事务所
班加罗尔
电话: +91 77 0886 6377
电子邮件: shrigayathri@sdlaw.co.in
数据保护委员会(DPB)有一定的权限调查个人数据泄露并实施处罚。然而,DPB只能在以下情况下受理案件:(i) 收到个人数据泄露的通知;(ii) 数据主体的投诉;(iii) 中央或州政府转交案件;(iv) 法院的指示;(v) 中间机构未能遵守中央政府的指示。
由此可见, DPB没有自有权力(suo-moto),即在发现违反DPDP的行为时,无法自行立案。这与印度竞争委员会(CCI)和中央消费者保护局等机构不同,后者有权对某些影响公众或整个行业/市场的行为主动立案调查。
只有赋予DPB自有权力,才能真正让法律跟上技术发展的步伐,让DPB真正发挥作用。虽然这样有遏制创新的风险,但一个“坡脚”的DPB无法保证DPDP得到有效的实施。
上诉法庭
电信争议解决和上诉法庭(TDSAT)已被指定为DPDP下的上诉法庭。与其他专门处理某一法律领域的机构不同,TDSAT受理包括电信、机场关税、Aadhar(身份识别)和网络犯罪在内的案件,现在还将作为上诉机构处理DPDP下的争议。
印度设制其法庭结构的本意是让专人办专案,加快争议解决速度,然而现实是法庭案件堆积,职位常年空缺,饱受批评。
争议策略
由于DPDP是一部专门法,大多数争议将通过该法下的机制——DPB——解决,然后是上诉至法庭和最高法院。
但依案件情形和涉案人员不同,也有例外,如数据受托人/数据处理者可向高等法院甚至最高法院申请对DPB发布指令。
另一种情况直接启动高等法院或最高法院管辖权令状的情形是,在涉及违反自然正义原则的案件中,数据主体/数据受托人向高等法院或最高法院申请对DPB下发指令。下表展示了DPDP下的常规机制和替代争议解决途径。
跨部门合作
律师助理
Shivadass & Shivadass Law Chambers律师事务所
班加罗尔
电话: +91 94 4901 9515
电子邮件: ananya.k@sdlaw.co.in
某些不公平交易行为,如强制同意和取消欺诈,也违反了DPDP。需要在消费者保护视角之外对这些行为进行监管。在这种情况下,消费者保护局和DPB必须合作。根据2019年《消费者保护法》设立的中央消费者保护局,也为数据主体提供了保护其权利的平台。该机构不仅仅局限于保护消费者的权利,还为消费者赔偿损失。
但DPDP(包括DPB)没有这一救济。因此数据主体(消费者)会向消费者保护局寻求帮助。跨部门的合作能够确保消费者/数据主体的权益得到充分保障。
跨境争议
虽然尚不清楚DPB将采用何种方式和方法来裁决跨境争议,但参照其他司法管辖区的做法是通过各种举措确保合规,同时设立专门机构处理违规行为。
为了减轻跨境数据传输的合规成本,印度可以采用类似于英国和美国的方法,扩展其数据隐私框架。英国和欧盟的做法是与相关国家合作建立针对该国的数据隐私框架,这些国家通常是有大量英国或欧盟公司经营的国家。这也带来了额外的合规要求,因为企业必须确保跨境数据符合两国的要求,从而避免进一步的诉讼。
普法行动
普法是提高公众和企业认知的一种有效途径,通过普法让他们更了解他们在DPDP下的权利和义务,以及DPB的职能作用。CCI和印度电信监管局(TRAI)等部门下设专门机构开展普法行动
此外,关于数据保护合规的咨询文件也有助于企业更好地理解法律。开展关于DPDP及其规则的培训项目和认证课程可提升企业的合规。还可参考TRAI的消费者服务计划,在DPDP法案下推出类似的消费者服务计划解决数据主体的投诉。这些计划可以大大提高合规性并加强对个人数据权利的保护。
10条建议
- 建立一个独立的法庭来处理DPDP案件。或者,次之,在高等法院设立专门的法庭,以直接受理DPB上诉案件。
- 授予DPB有限的自有权力,在推动创新和保护隐私之间取得平衡。
- 对于跨境数据传输,针对特定司法管辖区制定隐私框架,增加合规要求。
- 在印度设立并仅在印度运营的企业对数据保护的概念相对陌生。因此,要保证DPDP得到严格实施,还须加大普法宣传。持续的监控、合规机制和报告,加上对违规行为的处罚,可能更为有效。
- 仅靠罚款可能不足以对大公司产生有效的威慑作用。禁止令、应用程序/网站下架、对多次违规者取消许可证等做法更能保证法律的有效实施,并实现法律的最终目的。
- 授权DPB就行业影响较大的问询或法律问题作出预先裁定。
- 授权DPB发布索要精神损害赔偿的最低门槛。
- 强制数据本地化的要求会给企业带来成本负担(因企业要建立本地数据储存中心),妨碍公司的运营和财务效率。只有在缺乏严格数据保护法律的情况下,政府才有理由强制数据本地化。
- DPDP未规定对数据主体的赔偿。必须将赔偿规定纳入法案。
- 必须赋予DPB发布指南和解释的权力。这一权力必须源自法案本身。
SHIVADASS & SHIVADASS LAW CHAMBERS
#501-503, Level V, Prestige Centre Point, No. 7,
Cunningham Road, Bangalore 560052
电话 : +91 80 4377 9955
电子邮件: admin@sdlaw.co.in
网站: www.sdlaw.co.in
