【IMD摘译】印度拟建数据保护法案，要求数据本地化存储

印度起草的数据保护法案引起了很多人的担忧，由于一些金融机构的业务涉及印度数据，对此尤为关注。
印度颁布个人信息保护法草案后，将更有望完成其数据保护系统的构建。该草案一旦通过，印度的数据处理方式将得到全面的审查，金融机构需要制定具体的数据处理流程以符合新的规范。
BN Srikrishna是原印度最高法院的法官，现已退休。Srikrishna之前组建委员会，希望构建印度数据保护系统。经过数月协商，委员会发布了长达176页的报告，提议设立数据保护局（DPA）。印度数据保护局将监管个人数据，并确保数据的处理遵循法律法规。人们在印度境内使用、分享、公开或征集个人数据时，都需要遵守新的法律。
该草案对印度的金融机构有一定影响，加大了对其的监管力度。印度境外的金融机构若涉及印度公民的个人信息业务，也要遵照该法案的规章制度。
印度Trilegal律所的合伙人Nikhil Narendran表示：“该法案引入了‘数据信托人’的概念，较为新颖，该概念要求印度境内处理个人信息的机构承担信托责任。人们可以这样去理解这个概念，像律师需要承担保护客户信息的责任，医生需要遵守和病人之间达成的保密协议，‘数据信托人’也承担着相似的责任。”
委员会有成员认为，该法案不应将金融数据和设有密码保护的个人数据归类为“个人敏感数据”。在报告的附则中，印度数据安全委员会的负责人Rama Vedashree表示：“由于身份识别功能的开设，数据的安全会受到一定的威胁，但增设金融数据和密码其实不是保护数据的主要途径，不能进一步增强数据的安全性。目前已经有68个国家通过了数据保护法案，但尚未有国家将金融数据或是设有密码的数据归类为个人敏感数据。”
数据传输和存储
该草案要求各机构对法案涉及的各项数据进行备份，并加以存储，尽管目前来看，该草案的应用范围还未得到明确的规定。
Trilegal律所的合伙人Narendran表示：“数据信托人可能会处理法案涉及的数据，该法案的意义似乎就是让这些数据信托人对各类数据进行备份和再现。数据类型可能包含元数据、以瞬态形式存储的数据以及其他需要时间处理的同类型数据。如果我们从这个角度来理解该法案，那么它的实际意义将是影响深远的。”
委员会承认将数据本地化这项任务将开销巨大，但委员会认为这样做利大于弊。也有委员会成员对此持反对意见，委员会报告的附则中列出Rishikesha T Krishnan的反对意见。Krishnan表示：“若是要求每一个数据信托人都存储实时数据，将个人数据进行备份，这将有违互联网的基本理念，而且数据信托人还须交付额外的费用，无法通过维护数据安全来获得相应的收益。”
Narendran表示：“对于公共基础设施费用的问题，草案未有所提及，也没有说明印度是否已经做好了采取本地化数据系统的准备。在跨境数据传输方面，如果个人数据需要在境外进行传输，且经过数据保护局（DPA）批准，数据信托人才可以开展操作，这与欧盟通用数据保护条例（GDPR）相类似。由于法案中的条例与欧盟通用数据保护条例相类似，大多数跨国公司在数据传输的过程中也许已经符合规范，因此对于很多跨国公司而言，该法案的实施并不会带来更多的履约负担。”