金融科技公司出海印度数据合规研究报告
一、印度的数据治理模式概览
与美欧等国相比,印度的数据治理模式从一开始就体现出了较强的保守型特征,根据其2013年发布的《印度国家网络安全政策》以及2019年发布的《印度电子商务国家政策框架草案》(Draft National E-Commerce Policy)来看,其以网络防御、国家安全报障为核心,强化安全等级保护、设置专门监管机构,强制数据本地化存储,整体上持严格态度。
印度的规范框架以2000发布的《信息技术法案》(The Information Technology Act, 以下简称为“IT法案”),2011年发布的《信息技术(合理的安全实践和程序及敏感个人数据或信息)规则》(Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules,以下简称“SPDI规则”)和2023年发布的《数字个人数据保护法》(The Digital Personal Data Protection Act,以下简称“DPDP法案”)为轴,辅之以各部门法中关于数据保护的部分内容。从上述法案的结构和内容来看,IT法案和SPDI规则的适用范围较窄,而DPDP法案也命途多舛,在外界的舆论压力下,经历了2019年《个人数据保护法(草案)》的出台,2022年草案的撤回以及2023年版本的最终确定,规制范围不仅缩小至数字形式的个人数据,限制数据出境的具体规定也被全部删除。因此,现行的印度的法律法规并未形成完整的体系,各项下部分的规定也较为模糊,较为具体的规定集中在数据本地化和敏感个人数据或信息的处理领域。
二、印度的数据合规要求
(一)个人数据处理的一般规则
IT法案的适用范围主要是电子商务领域,SPDI规则更侧重于敏感个人数据或信息,个人数据处理的一般规则则以DPDP法案为主。
DPDP法案所适用的数据类型和数据相关行为都比中国的《个人信息保护法》狭窄。DPDP法案只适用于以电子形式和被电子化的数据,其他形式例如纸质形式的数据不被包含在内;其涉及的行为主要为印度境内的个人数据处理行为和涉及向印度境内数据主体提供商品或者服务的境外数据处理行为,不包含分析、评估境内自然人的行为或者法律、行政法规规定的其他情形。
在数据的收集方面,获得个人同意及满足个人权利请求仍然是合法处理个人信息的核心要求,数据持有者(Data Fiduciary)需要获得数据主体(Data Principal)的同意或者存在特定的合法用途1 ,在征求数据主体的同意时,数据持有者应当同时告知数据的用途,数据主体行使权利的方式和向数据保护委员会申诉的方式。 2不同的是,印度提及专门管理数据主体同意的同意管理经理(Consent Manager)这一职位的设置,同意的给予、管理、审核或撤回都可以通过同意管理经理来执行。3 同意管理经理需要在数据保护委员会处进行登记。4
在数据的处理方面,如果数据持有者需要委托数据处理者(Data Processor)处理相关数据,则两者之间应当签订有效的合同。 5即使签订有相关的合同,数据处理者违反DPDP法案规定的行为仍然由数据持有者负责。6
在数据的传输方面,2023版本的DPDP法案删除了所有限制数据出境的具体规定,将具体实施的空间留给了中央政府后续的通知和更为细化的部门法7 ,存在极大的不确定性。然而,这并不意味着此方面规定的真空,例如IT法案的第69A条赋予了政府基于特定目的,禁止公众访问任何形成、传输、接收、存储或者托管在任何计算机资源中的数据的权力。其中的特定目的包括但不限于保护印度主权及保护国家安全与公共秩序、维持与外国友好关系、防止煽动实施与前述有关的任何可识别罪行。8 这以条款为印度限制或禁止向境外传输的数据类型提供了一定的弹性空间,即任何类型的数据只要被政府认定为有损害以上目的的风险,都有可能被禁止访问。除此之外,印度有较为严格的数据本地化规定,尤其在支付系统领域,相关规定将在下文详述。
1. 儿童个人信息处理的特殊规则
对于年龄为18岁以下的儿童,数据持有者在处理与之相关的信息时需要注意以下特殊规则:第一,需要获得儿童的父母或者监护人的可以验证的同意;第二,信息的处理不能够对儿童的身心健康产生有害影响;第三,禁止追踪或者监控儿童的行为或者针对儿童推送个性化广告。 9
2. 重大数据持有者的特殊义务
印度中央政府会根据所处理的个人信息的数量、公共秩序等因素10 指定重大数据持有者,重大数据持有者需要指定数据保护官(Data Protection Officer)作为联络点和救济机制来代表重大数据持有者履行DPDP法案项下的义务以及独立的数据审计员以评估重大数据持有者的合规情况。 11
(二)数据本地化
数据本地化的要求散落在印度的各部门法中。对于一般的公司,《2014年公司(账户)规则》规定在印度注册成立的公司的账簿必须在印度境内可访问。如果公司账簿和其他电子形式的文件在印度境外保存,则需要定期将其备份并保存在印度境内的服务器上,并同时提供服务器位置的详细信息。对于保险公司,2015年发布的《IRDAI(保险记录保护)条例》规定保险公司应将与在印度签发的所有保单和提出的所有索赔相关的所有记录(包括电子记录)存储在位于印度的数据中心。
最为详细的是关于支付系统的数据本地化要求。所有经印度储蓄银行(RBI)授权或批准并根据《2007年支付和结算系统法案》在印度成立的支付系统提供商,都必须将其运营的支付系统的全部数据存储在印度境内的系统中。
2018年4月6日,RBI发布了一份支付指令,要求所有与支付系统相关的数据应在印度本地存储。按照该指令要求:所有系统供应商应确保与其运营的支付系统有关的全部数据仅存储在印度的系统中。这一要求还延伸到所有代表支付系统供应商处理数据的中介机构和第三方供应商。唯一例外的情形是具有跨境元素的交易——如果有需要,与交易的境外分支有关的数据可以存储在国外。 12
2021年4月,RBI又收紧了其合规规范,要求所有获得许可的支付系统运营商(PSO)每年4月30日和10月31日向RBI提交2次详细的合规证书;合规证书应由首席执行官或总经理签署,以确认该系统运营商遵守了RBI关于安全存储支付数据的所有规定。
但近年来,印度所设置的如此严格的数据本地化措施遭到了国际舆论的冲击,因此,印度可能会在一定程度上放松其管制措施,2019版本个人数据保护法案的撤回就是一例证。2019年《印度电子商务国家政策框架草案》也列出了一系列数据本地化豁免情形,例如初创公司的数据传输、跨国企业内部数据传输、基于合同进行的数据传输等并不加以限制。
(三)敏感个人数据或信息的特殊处理规则
与中国不同的是,印度对于敏感个人数据或信息采取列举式定义的方式,认定其为与密码、银行账户或信用卡等支付工具相关的金融信息、身心健康情况、性取向、医疗记录、生物信息以及为了提供服务给法人团体的任何相关信息。
在整体上,收集和处理敏感个人数据或信息的任何实体(包括印度境外的实体)都必须实施“合理的安全实践和程序”(RSPP)。目前,SPDI规则项下的RSPP包括:(1)国际标准IS/ISO/IEC 27001;或(2)经印度中央政府批准和通知的行业协会最佳实践规范。上述RSPP还需经中央政府正式批准的独立审计师定期认证或审计。审计师应每年至少一次或当相关实体对其流程和计算机资源进行重大升级时进行审计。13
在具体规则上,对于敏感个人数据或信息的收集,SPDI规则特别规定需要通过书信、传真或电子邮件传递书面的同意14 。在敏感个人数据或信息的处理上,收集、接收、拥有、储藏、处理这些信息的法人团体需要在法人团体的网站上公开其隐私政策15 并且在需要向第三方公开敏感个人数据或信息时仍需要就此获得信息提供者的许可。 16就敏感个人数据或信息的传输而言,印度禁止法人团体向印度以外转移敏感个人数据或信息,除非另一方能够达到SPID规则指定的相同水平的数据保护并且具有双方合同所包含的必要目的。 17
三、印度境内海外公司的合规案例
在数据跨境传输方面,印度信息与技术部曾于2021年援引IT法案第69A条禁止用户在印度境内访问59款中国APP,理由在于这些APP以非法方式收取用户数据并传输至境外的服务器,可能损害印度的主权以及国家安全与公共秩序。18 而该禁止名单并未自此停止,2022年印度又于其名单上增添了54款中国APP,包括腾讯系的电子商务APP Shopee。19 从2021年至今,印度以国家安全和主权为由对上百款中国APP下达了禁令。 20
在支付系统领域,在RBI的支付指令下,包括阿里巴巴、亚马逊、WhatsApp在内多达80%的行业参与者遵守了该指令。Visa为首批遵守RBI支付指令的全球金融服务公司之一,为其在印度赢得更大的市场份额。与此同时,Visa的竞争对手,包括万事达和美国运通,因不遵守该支付指令被下令不得吸纳新用户。21
四、金融科技出海印度合规建议
总体上来看,印度当局发布的数据合规相关规定对海外企业特别是主攻跨境支付业务的海外企业并不友好,其禁令名单的海外企业又以中国企业居多,因此,对于想要出海印度的金融科技企业,其在数据合规方面应当慎之又慎,在较为专业和不确定的事务上可与印度当地的律所或法律专家合作。
从企业的战略选择来说,印度对于数据本地化的要求较高,本质上在倒逼企业在印度设立实体机构,因此,比起只通过海外机构在印度境内开展业务,直接在印度境内设立实体机构可能是更优解。由于金融科技企业需要收集的数据大多属于SPDI规则中所列举的敏感个人信息或数据中的密码、银行账户或信用卡等支付工具相关的金融信息这两类,因此各金融科技企业应当从一开始就确定企业所遵循的具体RSPP标准和企业自身的隐私政策。
在数据的收集方面,金融科技企业需要遵守要求更高的SPDI规则,特别需要注意信息提供者同意的特别形式要求并尽快设置同意管理经理在印度数据保护委员会处进行登记。
在数据的处理和使用方面,应当及时对所收集数据类型进行分类,便于遵守印度对于不同类型数据的特有规定。由于未来印度可能将会细化现有的法律规定,各企业应当时刻关注印度中央政府的最新讯息,并根据其通知时限及时进行相关的调整。在委托审计师进行审计时,应当严格检查其资质,如若为支付系统运营商(PSO),还应在每年4月30日和10月31日向RBI提交2次详细的由首席执行官或总经理签署的合规证书。
在数据的跨境传输方面,具体规则尚不明确,但能够确定的是各企业应当做好数据本地化工作,如若确实无法在印度境内存储,也应当将数据备份待查。如需将数据传输至境外,稳妥的方式是事先核查与数据接收方是否就该传输存在书面约定以及数据接收方的数据保护水平。基于印度推进数字经济的期望,各企业可关注未来印度是否落实对特定情形的豁免,以减轻企业的合规负担。
