在印度,诉讼是一个相当耗时的过程。印度法院“堆积如山”的案件多次引起不满,有时一个案件的审理拖延数十年。即使如此,诉讼无疑是法律与商业世界必不可少的桥梁。
等待已久的《数字个人数据保护法》(数据保护法)终于在2023年出台。多个诉讼不免会涉及新的法例,企业应准备好迎接这方面的挑战。
隐私与数据保护
Privacy v data protection
隐私权涉及权益和价值,而数据保护保障个人数字身份的权利。
鉴于隐私权已在印度《宪法》第21条中确认为一项基本权利,可以预见将有大量控告侵犯这一基本权利的案件根据第226条在各高等法院提起,或直接根据第32条在最高法院提起。
如果要同时提出侵犯数据保护权和隐私权的诉讼,这只适用于涉及国家对个人数据合法使用权的争议。例如,人民为认领补贴和福利而提供的个人数据在选举期中被候选人用来收集反馈,在此情况下,人民可以在最高法院寻求救济。
但起诉者不能向私人实体提起隐私权诉讼。他们必须借助数据保护法规定的机制来争取被私人实体侵犯的补偿。
数据保护委员会
Data Protection Board
数据保护委员会有一定的权限调查个人数据泄露并实施处罚。然而,委员会只能在以下情况下受理案件:(i)收到个人数据泄露的通知;(ii)数据主体的投诉;(iii)中央或州政府转交案件;(iv)法院的指示;(v)中间机构未能遵守中央政府的指示。
由此可见,数据保护委员会没有自发行动的权力。委员会发现违反数据保护法的行为时,无法自行立案。印度竞争委员会和中央消费者保护局与数据保护委员会不同,前者有权对某些影响公众或整个行业的行为主动立案调查。
只有赋予数据保护委员会自发行动的权力,才能真正让法律跟上技术发展的步伐,让委员会真正发挥作用。
上诉法庭
Appellate tribunal
电信争议解决和上诉法庭已被指定为处理数据保护法的上诉法庭。该法庭受理电信、机场关税、身份识别和网络犯罪等类型的案件,它也会处理数据保护委员会处理的争议。
印度设制其法庭结构的本意是让专人办专案,加快争议解决速度,然而现实是法庭案件堆积,职位常年空缺,饱受批评。
争议策略
Dispute strategies
由于数据保护法是一部专门法,大多数争议将通过数据保护委员会解决,然后是上诉至专属法庭和最高法院。
不过,每个案件的情形和涉案人员略有不同。数据受托人或处理者也许会向高等法院申请上诉数据保护委员会的指令。
另一种情况是在违反自然正义原则的案件中,直接采用高等法院或最高法院的令状来制止数据保护委员的指令。下表展示了数据保护法的常规机制和替代争议解决途径。
跨部门合作
Sectoral harmony
某些不公平交易行为,如强制同意或欺诈也违反了数据保护法,监管部门有需要对这些行为进行监管。在这情况下,消费者保护局和数据保护委员会必须共同合作。根据2019年《消费者保护法》设立的中央消费者保护局,也为数据主体提供了保护其权利的平台。该机构不仅仅局限于保护消费者的权利,还为消费者赔偿损失。但数据保护法(包括数据保护委员会)没有这一救济。因此数据主体(消费者)会向消费者保护局寻求帮助。跨部门的合作能够确保消费者/数据主体的权益得到充分保障。
跨境争议
Cross-border disputes
虽然尚不清楚数据保护委员会将采用何种方式来裁决跨境争议,但参照其他司法管辖区的做法是通过各种举措确保合规,同时设立专门机构处理违规行为。
为了减轻跨境数据传输的合规成本,印度可以采用类似于英国和美国的方法,扩展其数据隐私框架。英国和欧盟的做法是与相关国家合作建立针对该国的数据隐私框架,这些国家通常是有大量英国或欧盟公司经营的国家。这也带来了额外的合规要求,因为企业必须确保跨境数据符合两国的要求,从而避免进一步的诉讼。
普法宣传
Advocacy
普法宣传是提高公众和企业认知的一种有效途径,通过宣传让他们更了解他们在数据保护法下的权利和义务,以及数据保护委员会的职能作用。印度竞争委员会和印度电信监管局等部门下设专门机构开展宣传行动。
此外,关于数据保护合规的咨询文件也有助于企业更好地理解法律。开展关于数据保护法及其规则的培训项目和认证课程可提升企业的合规意识。还可参考印度电信监管局的消费者外展计划,在数据保护法案下推出外展计划,去处理数据主体的投诉。这些计划可以大大提高合规性并加强对个人数据权利的保护。
10条建议
10 recommendations
1.建立一个独立的法庭来处理数据保护法案件。或者,在高等法院设立专门的法庭,以直接受理数据保护委员会的上诉案件。
2.授予数据保护委员会有限的权力。
3.对于跨境数据传输,针对特定司法管辖区制定隐私框架,增加合规要求。
4.在印度设立或运营的企业一般对数据保护的概念相对陌生。因此,须要加大宣传才能保证数据保护法得到严格实施。持续的监控和对违规行为作出处罚,可能是制造出更有效的宣传效果。
5.仅靠罚款可能不足以对大公司产生有效的威慑作用。颁布禁止令、强制应用程序/网站下架、对多次违规者取消许可证等做法更能保证法律的有效实施,并实现法律的最终目的。
6.授权数据保护委员会就行业影响较大的问询或法律问题作出预先裁定。
7.授权数据保护委员会发布索要精神损害赔偿的最低门槛。
8.强制数据本地化的要求会给企业带来成本负担(因企业要建立本地数据储存中心),妨碍公司的运营和财务效率。只有在缺乏严格数据保护法律的情况下,政府才有理由强制数据本地化。
9.数据保护法未规定对数据主体的赔偿。必须将赔偿规定纳入法案。
10.必须赋予数据保护委员会发布指南和解释的权力。这一权力必须源自法案本身。
来源:亚洲商法ABLJ微信公众号,本文刊载于《亚洲商法》2024年7/8月双月刊。
作者:班加罗尔Shivadass & Shivadass律师事务所合伙人Prashanth Shivadass,律师Shri Gayathri,律师助理Ananya K
声明:版权归原作者所有,转载请注明作者及来源
深圳市蓝海法律查明和商事调解中心对文中观点保持中立
联系电话:0755-82804677
传真:0755-82804651
蓝海涉外法律服务
蓝海中心是全国首个依托大型国别法律信息数据库及专家库提供域外法律查明及其他跨境法律服务的专业化平台机构,是最高人民法院国际商事法庭域外法查明平台的共建单位。目前,与蓝海中心合作的个人专家达到2400多位,查明案例覆盖190余个国家和地区,包括“一带一路”沿线国家、非洲大部分国家、欧洲、北美和拉丁美洲国家和地区。
服务类型
1.域外司法辖区的法律环境调研;
2.域外市场新兴业务合规论证调研;
3.涉外法律文书审阅与法律事务谈判;
4.域外法律专家匹配与案件管理;
5.对涉外争议或东道国审查等事项提供实体法与程序法适用、法律风险等方面的中立评估意见;
6.根据具体项目提供定制化域外法查明、咨询服务。
服务优势
第一,拥有强大的涉外法律服务资源储备
蓝海中心以蓝海专家库及“一带一路”法治地图法规数据库为依托,可快速响应域外法查明与咨询需求。
蓝海中心进行了一系列包括域外劳动法律、数据合规、隐私保护法、知识产权管理、商业秘密保护、贸易法以及外商投资法等涉及中国企业走出去法律风险防范的研究,储备有丰富的涉外法律资源。
第二,具备高素质的骨干队伍,有丰富的涉外法律服务经验
蓝海中心拥有高素质的法律和英语专业业务骨干,包括在法院、仲裁委或律师事务所有丰富工作经验的资深法律实务专家,以及拥有国际机构或域外律所工作经验、可以实现中英文流畅沟通的法律专业人才。
蓝海中心自成立以来,为涉外企业法律部门、涉外律师事务所、仲裁委员会、法院涉外庭提供权威的外国法律查明、涉外法律咨询服务。同时,亦为对外投资个人及企业提供域外投资前期论证、落地配套、合规方案设计、法务定制化培训、律师匹配等服务。
第三,提供定制化服务,服务与收费模式灵活
蓝海中心可根据客户的项目需求、适用场景以及时间节点,提供灵活的服务与收费模式,并尽可能配合客户所需的各项内外部要求,为客户提供高质量定制化服务。
