インドのデータプライバシー法

0
114

過去3〜4年で、多くの管轄区域が市民の個人データを保護するための特定の法律や規制を実施しています。インドでは、包括的で排他的なデータ保護法がまだ施行されていません。現在、インドのデータ保護を管理する法制度は、2000年情報技術法(IT法)とその関連規則の規定に基づいています。包括的なデータ保護規制を導入するためにいくつかの試みが行われましたが、規制は未だ日の目を見ていません。

data
Apurv Sardeshmukh
ムンバイのLegasis Partners法律事務所のパートナー
T: +91 22 6617 6500
E: apurv.s@legasispartners.in

EUの一般データ保護規則(GDPR)および世界の他の国にある同様の規制の登場により、個人のデータ保護における権利についての認識が高まっています。過去数年は、複数の法域でデータプライバシー違反のため、根こそぎにされた複数の企業を目撃し、それだけで個人データを保護する規制を制定するという騒ぎが増えました。KS Puttaswamy and Anr 対 Union of India and Ors事件における最高裁判所の判決は、プライバシーの権利をインド憲法の第21条に基づく基本的権利として認めたものであり、これがとどめとなり、インドはGDPRに従って、個人のデータを保護し、個人のデータに関する権利を整える同様の法律が必要であると立法者が確信しました。

電子情報技術省は、2017年7月にBN Srikrishna判事が率いる9名の専門家委員会を設置し、報告書と2018年7月27日付けで、個人データ保護法案として知られる法案草案を提出しました。 この法案はその後わずかに修正され、2019年に個人情報保護法案(PDP法案)としてインド議会下院に提出されました。その後、PDP法案は議会委員会を選び、付託され、両院で承認されて施行されるまで、IT法の規定と規則がインドの個人データの保護に適用されるでしょう。

既存の規制

前述のように、PDP法案が施行されるまで、IT法の規定と、主に情報技術(合理的な安全慣行と手順、機密の個人データまたは情報)規則、2011年(2011規則)が インドにおける個人データの保護規則となるでしょう。

IT法は、インド全体と、インド国外の人物が犯したインドの犯罪または違反に適用されます。2011年の規則は、インドに所在する法人企業および個人にのみ適用されます。つまり、2011年の規則は、海外にあるデータ主体に関するインドでのデータの処理には適用されません。一部のルールは企業間関係には適用されず、企業による個人のデータの収集にのみ適用されます。

2011年の規則に基づく義務は、主に機密の個人データとして定義されているものの保護に関するものです。個人の機密データまたは個人の情報は、以下に関する詳細で構成される個人情報であると言われます。(i)パスワード。(ii)銀行口座、クレジットカード、デビットカード、その他の支払い方法の詳細などの財務情報。 (iii)身体的、生理学的および精神的健康状態。 (iv)性的指向。(v)医療記録および病歴。(vi)生体情報。(vii)サービスを提供するために法人に提供される上記の条項に関連する詳細。 (viii)上記の条項に基づいて、合法的な契約またはその他の方法で処理、保存、または処理するために、企業が受信した情報。

このルールは、個人情報を第三者に開示し、他の対象に転送する方法も規定しています。

個人情報保護法案

PDP法案は、州、インドの企業、インドの市民、またはインドの法律に基づいて設立またはつくられた個人または団体による個人データの処理に適用されます。さらに、2項には、PDP法案がデータ受託者およびデータ処理者による個人データの処理に適用されることが記載されています。(そのような処理がインドのデータ当事者へのビジネス/提供/サービスに関連する場合、またはインドのデータ当事者のプロファイルを伴う場合。)

ただし、PDP 2019法案は匿名化されたデータの処理には適用されませんが、政府と共有する必要がある可能性のある匿名化されたデータには例外が設けられています。
PDP法案は、「データ当事者」と「データ委託者」の概念を定義しています。個人データが収集される自然人は、データ当事者と呼ばれます。このデータを処理する目的または手段を決定する対象は、データ受託者と呼ばれます。

データの受託者には、州、企業、個人が含まれます。PDP法案では、「データ処理者」を、データ受託者に代わってデータを処理する対象と定義しています。処理は、個人データに対して実行される任意の操作または一連の操作を含むように拡張的に定義されています。PDP法案は、「同意管理者」、つまり、データ委託者がアクセス可能で透明性のある相互運用可能なプラットフォームを通じてデータ当事者を支援し、同意を取得、撤回、見直し、管理できるようにすることも導入しています。

PDP法案の4項には、個人データは明確で具体的かつ合法的な目的でのみ処理できると記載されています。PDP法案はさらに、個人データを処理する人は、データ当事者のプライバシーを尊重する公正かつ合理的な方法でそのような個人データを処理する義務をデータ当事者に負うことを規定しています。

PDP法案では、個人情報の処理に先立って、データ当事者の同意を得ることを求めています。ただし、その規定に基づいて同意が必要とされない場合を除きます。データ当事者または他の個人の生命への脅威、または健康への深刻な脅威を伴うあらゆる医療緊急事態に対応するため、伝染病、病気の発生中に個人に医療またはヘルスサービスを提供するためのあらゆる措置を講じること 、または公衆衛生に対するその他の脅威、または災害または公序良俗の崩壊の間に個人の安全を確保し、または個人への支援を提供するための措置を講じるため、データは、インドの裁判所または裁判所の命令または判決を遵守して、法律で認められた国家の機能を実行するため、同意なしに処理できます。他の法域とは異なり、PDP法案は合法的な契約に基づく義務の履行のための個人データの処理を許可していないことに注意する必要があります。

2018年の法案では、すべてのデータ受託者に対し、データ当事者の個人データの少なくとも1つのコピーがインドにあるサーバーまたはデータセンターに保存されていることを確認する必要がありました。これは、PDP法案2019の下で変更されました。現在、個人データに関する局在化(ローカリゼーション)の要件はありません。 機密性の高い個人データをインドに保存する必要はありますが、そのようなデータは処理のためにインド国外に転送できます。「コピーを提供する」というあいまいな概念も削除されました。さらに、PDP法案では、重要な個人データとして指定された個人データの分野は、インドでのみ処理するように規定しています。重要な個人データをインド国外に転送する場合の例外もいくつか指定されています。

PDP法案は、ソーシャルメディアの仲介者として定義されるデータの受託者の新しいカテゴリも作成しました。これらは、主にまたは単独でユーザーに接続して、情報の作成、変更、アップロード、共有、発信、またはアクセスを可能にする対象者です。検索エンジン、eコマース法人、インターネットサービス供給者、電子メールと保存サービス、およびオンライン百科事典は、この定義から除外されます。特定の数を超えるユーザーがいて、その行動が選挙民主主義、国家の治安、社会秩序、主権、またはインドの整合性に影響を与える可能性が高いソーシャルメディアの仲介者は、重要なデータ受託者としてインド政府から通知されます。

PDP法案は、特定の目的でデータを処理する場合の遵守の免除も規定しています。PDP法案の規定の遵守の免除は、個人データが国のセキュリティ、法律違反の防止、検出、調査、法律違反の起訴、法的手続き目的の処理、調査、保存、または統計目的、国内目的、およびジャーナリズム目的のために処理される場合に許可されます
PDP法案は現在、議会に提出する前に法案はさらに改訂される可能性がある、常任委員会に付託されています。したがって、インドの効果的データ保護規制はまだしばらく先のようです。それまでは、IT法の規定と2011年の規則が引き続き有効です。

dataLegasis Partners
12A/09 13/F
Parinee Crescenzo,
G-Block BKC,
Bandra East, Mumbai 400051,
T: +91 22 3354 4000
E: mumbai@legasispartners.com
www.legasispartners.com