数据保护官沙龙（DPO Salon）公益出品 印度 2018 年个人数据保护法草案 龙 （中英对照） 沙 译者（姓氏音序排名）： 李昳婧、刘笑岑、孟洁、屈云云、 官 薛颖、明轩、朱玲凤 保 护 审校：洪延青、田申、崔美强 数 据 2018 年 8 月 署名-非商业性使用-禁止演绎 2.5 中国大陆 1 译者序言 经过“DPO 沙龙”热心同学的共同努力，印度《2018 个人数据保护法（草 案）》中英文全文翻译终于出炉了。 2017 年 8 月，印度政府组织成立了由 BN Srikrishna 大法官领衔的高级别委员 会，目标是为印度引介全面的个人数据保护法律。2018 年 7 月 27 日，该委员会正式 发布了一份报告《自由和公平的数字经济：保护隐私、赋能印度民众》（ A Free and Fair Digital Economy: Protecting Privacy, Empowering Indians）和一份 草案《2018 年个人数据保护法案》（the 2018 Personal Data Protection 龙 Bill）。 印度成立高级别专门委员会最重要的背景之一，是印度最高法院于 2017 年 8 月 作出“隐私权是一项基本人权”的重要判决。在此基础上，Srikrishna 委员会报告总 沙 结了印度现有的数据保护框架，建议印度政府采纳一部全面的个人数据保护法，并提 出了法案草案。7 月 27 日，印度 IT 和法律部长 Ravi Shankar Prasad 在接受该报 官 告和草案后表示，将首先就该法案草案展开部门间磋商，而后提交内阁批准后，开启 议会程序。 护 纵观全球，2018 年无愧于个人信息保护历史上具有里程碑意义的一年。5 月 25 日欧盟《通用数据保护条例》（GDPR）正式生效。6 月底，美国加州通过了《2018 加州消费者隐私保护》（CCPA）。一个月后，印度也公布了自己的个人数据保护草 保 案。浏览这三部法案文本，很难不产生三者间无论是宗旨、风格、主要元素等方面都 非常相近的感受。增强个人对个人数据的控制，似乎已成为不可逆转的趋势。 数 据 为什么要翻译印度的草案？不仅是因为我国企业已经在印度取得了显著的市场份 额，例如小米，还因为印度无论在人口数量，还是不同区域发展和线上线下差异程度 等方面，相对于欧盟、美国，与我国有更好的可比性。仔细观察印度在建立个人信息 保护法律框架方面的努力和经验，对未来我国的立法可能具备更强的借鉴意义。 最后，在此衷心感谢参与此次翻译工作的译者（姓氏音序排名）：李昳婧、刘笑 岑、孟洁、屈云云、薛颖、明轩、朱玲凤，以及进行审校的田申和崔美强。他们在脚 踏实地从事个人数据保护工作的同时，还放眼全球思考最新的动态、进展、趋势。 “DPO 沙龙”正是为像他们这样的一线工作者提供了互动交流的平台。在我看来，他 们是中国数据保护水平的“晴雨表”，他们在实践中碰到的问题、提出的解决方案、 所做的思考，无疑应当为各界所重视。 目前，“DPO 沙龙”已经齐聚了超过 100 位有志于从事数据保护工作的同仁， 也已经举办了数期线上、线下的深度讨论。欢迎更多的人加入这个社群！ 洪延青 2 印度个人数据保护法案（2018） THE PERSONAL DATA PROTECTION BILL, 2018 第一章 引言 CHAPTER I PRELIMINARY 1.简称、范围和生效时间 1. Short title, extent and commencement. 2.适用于本法案的个人数据处理 2. Application of the Act to processing of personal data. 3.定义——在本法案中，除非文中另有规定 CHAPTER II 沙 第二章 数据保护义务 DATA PROTECTION OBLIGATIONS 4. Fair and reasonable processing. 6.收集限制 7.合法处理 保 6. Collection limitation. 护 5.目的限制 官 4.公正合理处理 5. Purpose limitation. 龙 3. Definitions— In this Act, unless the context otherwise requires, 7. Lawful processing. 数 据 8.告知 8. Notice. 9.数据质量 9. Data quality. 10.数据存储限制 10. Data storage limitation. 11.问责 11. Accountability. 第三章 处理个人数据的基础 CHAPTER III GROUNDS FOR PROCESSING OF PERSONAL DATA 12. 基于同意处理个人数据 12. Processing of personal data on the basis of consent. 13. 为履行邦的职能处理个人数据 13. Processing of personal data for functions of the State. 3 14. 基于法律或者法院、法庭的命令处理个人数据 14. Processing of personal data in compliance with law or any order of any court or tribunal. 15. 为迅速采取行动而必需的个人数据处理 15. Processing of personal data necessary for prompt action. 16. 为雇佣相关目的而必需的个人数据处理 16. Processing of personal data necessary for purposes related to employment. 17. 基于合理目的而处理数据 17. Processing of data for reasonable purposes 第四章 处理个人敏感数据的基础 龙 CHAPTER IV GROUNDS FOR PROCESSING OF SENSITIVE PERSONAL DATA 18. 基于明确同意处理个人敏感数据 沙 18.Processing of sensitive personal data based on explicit consent. 19. 为履行邦的某些职能处理个人敏感数据 19. Processing of sensitive personal data for certain functions of the State. 官 20. 根据法律或法院、法庭的命令处理个人敏感数据 20. Processing of sensitive personal data in compliance with law or any order of any 护 court or tribunal. 21. 为迅速采取行动而处理某些类别的个人敏感数据 21. Processing of certain categories of sensitive personal data for prompt action. 保 22. 更多类别的个人敏感数据 数 据 22. Further categories of sensitive personal data. 第五章 儿童的个人数据和个人敏感数据 CHAPTER V PERSONAL AND SENSITIVE PERSONAL DATA OF CHILDREN 23.处理儿童的个人数据和个人敏感数据 23. Processing of personal data and sensitive personal data of children. 第六章 数据主体的权利 CHAPTER VI DATA PRINCIPAL RIGHTS 24. 确认和访问权 24. Right to confirmation and access. 25. 纠错权等 25. Right to correction, etc 26. 数据可移植权 26. Right to Data Portability. 27. 被遗忘权 4 27. Right to Be Forgotten. 28. 本章行使权利的一般条件 28. General conditions for the exercise of rights in this Chapter. 第七章 透明度和问责措施 CHAPTER VII TRANSPARENCY AND ACCOUNTABILITY MEASURES 29. 隐私设计 29. Privacy by Design. 30. 透明度 Transparency. 31. 安全保障 龙 31. Security Safeguards. 32. 个人数据泄露 沙 32. Personal Data Breach. 33. 数据保护影响评估 33. Data Protection Impact Assessment. 官 34. 记录义务 34. Record-Keeping. 35. Data Audits. 36. 数据保护官 保 36. Data Protection Officer. 护 35. 数据审计 37. 数据受托人之外其他主体的数据处理行为 数 据 37. Processing by entities other than data fiduciaries. 38. 重要数据受托人 38. Classification of data fiduciaries as significant data fiduciaries. 39. 申诉与补救 39. Grievance Redressal. 第八章 个人数据跨境传输 CHAPTER VIII TRANSFER OF PERSONAL DATA OUTSIDE INDIA 40.个人数据跨境传输的限制 40. Restrictions on Cross-Border Transfer of Personal Data. 41.个人数据跨境传输的条件 41. Conditions for Cross-Border Transfer of Personal Data. 第九章 豁免 CHAPTER IX EXEMPTIONS 5 42.国家安全 42. Sec