电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   互联网与TMT业务中心   >   网络安全专业委员会

辛小天、杨玥祺:“Facebook”们在印度将面临的新数据监管要求

发布日期:2020-03-05

《印度个人数据保护法(2019)》(以下简称“印度数据保护法”)中特别提及“社交媒体中介”的概念,像Facebook、Twitter 类似业务的平台是否会面临监管升级引发热议。虽然是他国法域,但是印度数据保护法秉承着欧盟GDPR长臂管辖[1]和高额处罚[2]的原则,所以对于涉印度投资和业务的企业和实体一窥究竟有着实际意义。

0
1

社交媒体中介的含义

印度对社交媒体中介专门法规管理主要基于《信息技术互联网中介指导条例》(“指导条例”)(Information Technology Intermediaries Guidelines),该条例最新修订草案在2018年底已经公开征求意见,但由于涉及与印度现有法律和判例有关言论自由的要求有所冲突,因此存在较大的争议,至今仍未出台。[3]

社交媒体中介的含义规定在印度数据保护法第26条,是指主要或仅允许两个或多个用户之间进行在线交互,并允许他们使用其服务创建、上传、共享、传播、修改或访问信息的中介。

社交媒体中介的定义中特别排除主要实现以下目的的中介机构:

(a)促成贸易或商业导向的交易(例如:B2B/B2C电商平台);

(b)提供对互联网的访问,例如互联网接入服务商;

(c)具有搜索引擎、在线百科全书、电子邮件服务或在线存储服务性质。

印度数据保护法之所以特地强调“社交媒体中介”这一责任主体,与印度社交媒体在短时间内的快速普及带来的一系列监管与适应性问题息息相关,印度数据保护法的立法目的与理由陈述部分(STATEMENT OF OBJECTS AND REASONS)第四条(vi)项说明规制 “社交媒体中介”的行为活动对民主选举、国家安全、公共秩序或印度主权和统一有重要的影响。

公开资料报道,对于该类行业界定和规制是针对通过社交媒体在印度广泛传播的虚假新闻与信息引发的恶劣社会事件与刑事案件。根据《印度斯坦时报》报道,在2019年印度大选开始之前,印度人民党曾计划安排约90万人参与WhatsApp的本地化竞选活动。而来自尼赫鲁-甘地政治王朝的国大党正专注于在Facebook上传竞选内容,并通过WhatsApp发布。两党都被指控在网上散布虚假或误导信息,进行虚假陈述。

此外,BBC的一项分析发现,在2017年和2018年,由WhatsApp及社交媒体上的谣言引发的暴徒袭击造成至少31人死亡。

0
2

社交媒体中介与

“重要数据受托人”的关系

社交媒体中介定义在印度数据保护法规定的“重要数据受托人”章节之中。第26条第(4)项规定社交媒体中介为“重要数据受托人”的判断标准:

“无论本法条如何规定,任何社交媒体中介在根据类别的不同而被通知了不同阈值的前提下,如果存在以下情况,将被中央政府与数据保护局协商后通知为重要数据受托人:

(i)其用户已经超过中央政府与数据保护局协商后通知的阈值;且

(ii)其行为已经或可能对民主选举、国家安全、公共秩序或印度的主权和完整产生重大影响。”

前述判断标准具有创设性的意义,但在具体指导实施时仍需要进一步落地指南,例如阈值中政府协商的具体内容以及范围,以及对国家主权或社会秩序产生重大影响中“重大”的程度性判断维度都有待进一步明确,否则该等标准的推进会受到实质的影响。指导条例2018年修正草案曾新增社交平台应禁止用户发布、传播“危害公众健康和安全”的信息,因为没有提供具体的解释,被诟病为“口袋条款”,这也是导致修正草案迟迟无法通过的主要原因之一。

为解决口袋条款不确定性的问题,各国家地区较为常见的做法是在立法上运用判例解释,或出台配套指南等。比如针对GDPR第35条需要进行数据保护影响评估的“高风险”解释上,欧盟当局以及部分成员国基于各标准可能触发的典型示例出台具体指南性文件。

0
3

重要数据受托人的界定和

个人数据保护义务要求

若某社交媒体中介根据上述标准被认定为“重要数据受托人”,其将承担印度数据保护法下重要数据受托人的个人数据保护义务。

印度数据保护法将数据受托人(类似于欧盟GDPR下的“数据控制者”)的保护义务分为两个等级 – 数据受托人一般义务以及重要数据受托人义务。印度数据保护法第二章专章规定了数据受托人的一般义务,与我国的《信息安全技术 个人信息安全规范》相关规定相去不远,此处不再赘述。

数据保护局在考虑如下因素时将某个或者某类数据受托人列为重要数据受托人:

(a)所处理的个人数据的数量,据悉互联网中介指导条例修订草案曾将在印度拥有超过500万用户的社交媒体归类为重要的社交媒体中介[4]

(b)所处理的个人数据的敏感程度;

(c)数据受托人的营业额;

(d)数据受托人的数据处理行为引发的损害风险;

(e)对于数据处理新技术的应用;

(f)因数据处理行为造成损害的其他因素。

另外,《印度数据保护法》第26条第(3)项规定,如果保护局认为任何数据受托人或任何类别的数据受托人进行的数据处理有造成数据主体重大损害的危险,保护局将以其作为重要数据受托人对待。

重要数据受托人除承担数据受托人的一般义务外,还应承担印度数据保护法第27条至第30条规定的全部或部分义务(具体的义务边界需要根据中央政府以及保护局的通知确定),包括数据保护影响评估、记录维护、对政策和处理行为的审计、以及认定一名常驻印度并在本法案下代表数据受托人的数据保护官履行职能等。

0
4

社交媒体中介的特殊责任要求

因此,若社交媒体中介根据前文所述被通知成为“重要数据受托人”,应按重要数据受托人的要求承担个人数据保护义务。

另外印度数据保护法第28条第(3)至(4)款针对社交媒体中介有专项义务规定:

第28条第(3)款要求作为重要数据受托人的社交媒体中介应允许在印度注册其服务或在印度使用其服务的用户以规定的方式自愿验证其帐户。

第28条第(4)款规定任何自愿验证其账户的用户应按照规定的方式获得可证明和可见的验证标志,此验证标志应对其服务的所有用户可见。

上述规定主要是为了解决匿名用户的问题,同时有消息称,印度信息技术部已建议重要的社交媒体公司应维护其所有用户的有效移动电话号码数据库,根据要求,可以对这些用户进行验证。

印度数据保护法原始草案还曾要求社交媒体部署基于技术的自动化工具,以主动识别、删除或禁止公众访问非法信息或内容,该等内容最终删除。删除原因可能是由于该规定与印度最高院在ShreyaSinghal v. Union of India一案中对印度《信息技术法》第79(3)(b)的法律解释具有冲突性。在此案中,最高院认为互联网中介平台不能仅凭用户的请求就删除、封锁某些类别的内容,因为互联网中介平台无法判断此类内容是否违法,必须要收到法院或政府的正式命令/通知(order)才能删除。也就是说互联网中介的自动检测和自动禁止危害内容的行为是违反此判例法的。[5]

无论是国际上facebook、微软等案例的出现,或是像印度这样专门的立法实践,均体现了社交媒体中介在监管上的重要性和特殊性,所谓能量越大责任也越大。 建议存在印度业务运营社交媒体的中国企业,特别是涉及印度境内个人数据商业处理业务的企业,应注意:

1、 密切关注印度个人数据保护法以及《信息技术互联网中介指导条例》的立法进程与重点修订内容,并随时据其进行自我调整,做好合规准备;

2、 针对当地个人数据收集处理的涉印度产品,进行当地法律的合规自查;

3、 监测平台上的信息内容安全性,针对突发事件及时与当地政府沟通;

4、 完善与印度合作方的商业协议以及数据合作安排协议,明确各方权责;

5、 定期自行开展数据安全影响评估,预判企业的数据处理行为是否有造成数据主体重大损害的危险;

6、 做好合规部署,包括数据保护影响评估、记录维护、对政策和处理行为的审计等。







注释:

[1] 《印度个人数据保护法(2019)》第二条 适用于本法案的个人数据处理

本法案——

(A)适用于以下情形:

(a)在印度境内收集、披露、分享或者以其他方式处理个人数据;

(b)由邦、印度公司、印度公民或者根据印度法律成立或者创建的人或者团体处理个

人数据;

(c)不在印度境内的数据受托人或者数据处理者处理个人数据,如果此类处理行为—

(i)与在印度运营的业务有关,或者与向印度境内的数据主体提供商品或者服务的系

统性活动有关;或者

(ii)与对印度境内数据主体的画像活动有关;

(B)不适用于处理匿名化的数据,但本法案 91 条规定的匿名化的数据除外。

[2] 《印度个人数据保护法(2019)》第五十七条第(2)项 数据受托人如违反以下任何规定:

(a)违反本法第二章或第三章的规定处理个人数据的;

(b)违反本法第四章的规定处理儿童个人数据的;

(c)未能遵守本法第 24 条安全保障措施的规定;或

(d)违反本法第七章的规定向印度境外转移个人数据的,

应被处以最高十五亿卢比或者上一财政年度全球总营业额的 4%的罚款(以较高者为准)。

[3]https://data.cyzone.cn/content/index/show_article?content_id=562968

[4] 《信息技术互联网中介指导条例》2018年修正案规定,有超过500万印度用户的社交平台必须在印度根据印度公司法注册设立子公司,提供实际的办公地址,并设置一名联络官专门负责与政府监管部门的对接和合规工作。

[5] 《印度社交媒体会变天吗?》

https://www.cyzone.cn/article/562968.html?utm_source=tuicool&utm_medium=referral



或许您还想看


【律师视点】辛小天:共享经济监管落地的几点畅想(上)

【律师视点】辛小天:共享经济监管落地的几点畅想(下)

【律师视点】辛小天:无人驾驶车辆信息和数据保护的法律监管思考

【律师视点】辛小天:从比特大陆上市看加密货币产业的全球监管

【律师视点】辛小天:数据合规的中西大餐, 能否尝出融合的味道?

【律师视点】辛小天:信息保护标准解读系列之二 | 《生物特征识别信息的保护要求》解读

【律师视点】辛小天:你应该了解的疫情阻断武器——互联网医疗

【律师视点】辛小天、王婧宇:长租公寓、业主、租客三方叫苦,租金都去哪儿了? ——再次认识“租金贷”

辛小天,德衡律师集团合伙人,互联网与TMT业务中心总监, 网络空间安全战略与法律委员会委员,清华大学创业引导年度荣誉导师。曾就职于MayerBrown JSM 律师事务所,美国美富律师事务所,通用电气及奇虎360 。擅长投融资以及并购法律、互联网法律及合规风控、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律、中国房地产开发、房产租赁、融资及抵押相关法律、酒店管理相关法律经验。主要业绩:奇虎360多个对外投资项目、奇虎360内部反舞弊等风控制度设立参与、阿里全资收购瀚海源项目法律顾问、乌云公司海外融资项目法律顾问、清华大数据产业联合会法律顾问,并协助多个投资项目、三里屯房地产项目法律咨询、喜来登、万豪、凯宾斯基、悦榕庄等数个酒店管理项目法律顾问、Apollo 基金中国反垄断申报等。

联系方式

电话:13911159437

邮箱:xinxiaotian@deheng.com

杨玥祺,北京德和衡律师事务所律师助理,毕业于中国政法大学,取得了法学和英语双学位。擅长涉数据合规、电商合规、GDPR、个人信息保护法律事务。为某大型通讯公司撰写PbD(Privacy by Design)合规调研报告;为某国际电子商务平台进行合规体检,出具法律文件;为某国际冻品购销公司撰写隐私政策与服务协议等。参与多家企业的数据合规体检与法律咨询,为企业及时有效地规避了监管风险,为企业的数据合规规划护航。

联系方式

电话:15650793473

邮箱:yangyueqi@deheng.com

质控人:胡明  德衡律师集团合伙人会议执行主席

本文仅代表作者观点,如需转载、节选,请在后台留言联系小编

网络安全专业委员会

团队其他成员

  辛小天       江智茹       史蕾       周杨    

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计