敏感数据规则：了解规定与要求

(一)《敏感数据规则》简介

2010年10月,印度政府人事部(Department of Personnel,DoP)颁布了有关个人隐私立法的文件。根据文件的内容摘要来看,该文件主要涉及印度出台个人敏感数据保护立法的建议。这似乎预示着印度即将开展针对个人数据保护的专门立法工作。2011年,印度议会提出了一项个人隐私保护法案的草案,名为《信息技术(合理的安全措施和程序以及敏感的个人数据或信息)规则》(以下简称《敏感数据规则》)。该法案旨在建立全面的个人隐私和数据保护制度,成为印度第一部针对个人数据保护的专门立法,具有划时代的意义。

《敏感数据规则》具有广泛的适用性,适用于所有在印度通过计算机等设备收集、处理或存储任何个人敏感数据的行为。该法案主要制约的主体是“法人团体”,即指任何从事商业活动的公司、个人独资企业或其他协会。其对法人团体的设立地没有任何限制,可以是在印度设立的法人团体,也可以是在外国设立的法人团体,只要符合上述特征,都属于被制约的主体。其对行为客体也没有限制,任何敏感数据都可以作为客体,并非一定要是专属于印度居民的敏感数据。但其要求行为地必须在印度境内。此外,其对行为方式也有限制,仅限“通过计算机等设备收集、处理或存储个人敏感数据”的手段。

(二)《敏感数据规则》保护的对象

《敏感数据规则》是印度第一部提及“个人信息”概念的法案。法案中第2(i)条将个人信息界定为“与自然人直接或间接有关的信息”。这个定义十分宽泛,通俗地说,如果一个信息直接或间接地与另一个可获得的信息结合,就能识别出一个人,那么这个信息就属于个人信息。个人信息通常是由公民、组织、政府或机构收集的信息,商业秘密或其他机密信息不属于个人信息。该法案还提出了一个新概念——个人敏感数据。法案第3条将个人敏感数据界定为:“一个机构、中介或个人收集、接收、存储、传递和处理的以下信息:密码;通话数据记录;用户登记时及登记后提供的个人信息;与个人财务相关的信息,如银行账户、信用卡、借记卡、其他支付工具等用户的详细信息;个人的生理和心理健康状况;个人的医疗记录和历史;生物识别信息,即为了认证目的而测量和分析人体特征的技术,如指纹、眼睛视网膜和虹膜、语音图案、面部图案、手部测量和DNA;法人团体根据合法的合同接收、存储、加工的信息等。可以免费获取或在公共领域获得的信息不属于个人敏感数据”。

那么《敏感数据规则》保护的对象究竟是什么呢?结合其他条文来看,与其他出台个人信息保护法的国家和地区不同,该法案旨在保护个人敏感数据。因为“个人信息”的概念比“个人敏感数据”的概念宽泛得多,所以不能将数据隐私规则的保护对象扩大为“个人信息”。但从某种意义上说,个人信息和个人敏感数据不能被完全割裂开来。个人敏感数据一直被认为是个人信息的关键部分。所以,保护敏感的个人数据在某种程度上也可以说是在保护个人信息。

(三)个人敏感数据的收集

根据《敏感数据规则》第5(1)条的规定,在从信息提供者处收集个人敏感数据之前,法人团体或数据处理者必须事先从信息提供者处获得书面同意(可以通过信函、传真或电子邮件等方式),并说明收集和使用数据的目的,且必须要证明收集这些信息具有必要性。这些信息只能为了与公司实体的运作有关的合法目的而收集。未经过信息提供者同意,除非法律另有规定外,法人团体或数据处理者不得擅自收集个人敏感数据。

如果法人团体或数据处理者直接从信息提供商处收集个人敏感数据,必须确保向个人敏感数据的所有人披露如下事项:其个人敏感数据正在被收集;是谁在收集其个人敏感数据;为什么要收集这些个人敏感数据;其个人敏感数据将会被哪个机构使用;其个人敏感数据由哪个机构保留等。而且法人团体或数据处理者必须向个人敏感数据的所有人保证,非经其书面同意,绝不会以任何理由、任何形式,擅自向第三方披露其个人敏感数据。

即使敏感信息的提供者已经同意敏感信息的收集,但是在法人团体或数据处理者正式收集敏感数据之前,依然具有反悔权。其可以通过书面形式撤回之前同意收集的意思表示。且法人团体或数据处理者必须要保证敏感信息提供者的反悔权可以得到实现,不得对其进行限制。如果信息提供者撤回了同意,则法人团体或数据处理者可以选择停止相应的服务或商品。

(四)个人敏感信息的保留

根据《敏感数据规则》的规定,敏感数据不得用于收集之外的目的。数据隐私规则没有明确规定法人团体或数据处理人员可以保留敏感数据的最长时限,只是规定其将敏感数据保留的时限必须与满足其合法使用目的所要求的时限保持一致。当然,在法律对保留敏感数据的最长时限另有规定的情况下,以其他规定为主。例如,为了安全起见,《信息技术法》第67C条要求包括电信服务提供商、网络服务提供商、互联网服务提供商、网络托管服务提供商、搜索引擎、在线拍卖网站、在线市场和网吧在内的中介机构对用户信息要保留一段时间,具体的保留时间由印度政府制定的规则决定。没有制定规则的,由中介机构按照合理的时间段进行保留。

根据《敏感数据规则》第5条第6款的规定,信息的提供者有权随时访问已被公开的个人信息,并可以随时对这些信息进行审查。如果发现任何由电信服务提供商、网络服务提供商、互联网服务提供商、网络托管服务提供商、搜索引擎、在线拍卖网站、在线市场和网吧等法人团体或数据处理者保留的信息是不准确的或有缺陷的,信息提供者都有权要求法人团体或数据处理者纠正、修改不准确的地方或弥补缺陷。那么信息提供者应当遵循怎样的程序行使访问数据的权利呢?关于这一点《敏感数据规则》没有作出详细规定。此外,该法案也没有规定信息提供者在多长的时间段内可以行使这种权利,以及法人团体或数据处理人员在多长的时间段内要承担配合信息提供者访问数据的义务。

(五)个人敏感信息的披露(www.xing528.com)

根据《敏感数据规则》的规定,敏感数据的披露要求必须事先得到信息提供者的同意。未经同意,法人团体和数据处理者均不得擅自披露敏感数据。如果敏感数据不幸被披露或泄露,任何接收到该敏感数据的第三方法人团体或数据处理人员也不得进行进一步披露。除非该敏感数据存在如下情况:法人团体或数据处理人员在与信息提供者订立合同时,明确约定可以进行信息披露,并把这种约定写入了合同条款;信息提供者涉嫌犯罪行为,经过法律授权的政府机构要求法人团体或数据处理人员提供敏感数据,以便核实罪犯的身份,预防、侦查、调查、起诉和惩罚罪犯的犯罪行为;根据法律规定,在某种情况下必须披露信息。

在向经过法律授权的政府机构披露信息的情况下,该政府机构必须要向法人团体或数据处理人员出示书面要求,其中应明确说明收集和使用信息的目的,并承诺其绝不会发布或共享其中的任何一条数据。法人团体或数据处理人员只有在收到书面要求后才可以将数据进行披露。在印度的对外合作贸易中,印度政府出于安全考虑,很有可能要求印度的法人团体和数据处理者披露外方的个人敏感数据。这意味着印度的法人团体和数据处理者在与外方签订合同时,必须要将此情况告知外方,使外方同意在合同中添加“允许印度一方向印度政府机构披露信息”的条款,以避免不必要的纠纷和争议。

(六)个人敏感信息的转让

根据《敏感数据规则》的规定,法人团体或数据处理人只有在满足如下条件时,才可以将敏感数据转移给在印度或者印度以外的第三方:①第三方能够对敏感数据提供与《敏感数据规则》中规定的相同级别的数据保护措施;②法人团体或数据处理人员在与信息提供者订立合同时,明确约定可以进行数据转让行为;③转让数据的行为得到了信息提供者的同意。法人团体或数据处理与受让人之间的转让合同应包含适用于第三方的违约赔偿条款,并且合同中必须明确规定“数据处理的最终目的”“谁可以访问这些数据”“第三方受让人的责任”“必要的安全措施”“已经获得信息提供者同意”等条款。

《敏感数据规则》对敏感数据的披露和转让均做出了独立规定,其中敏感数据转让的条件要比敏感数据披露的条件更为严格。根据上文,在与信息提供者订立合同时,明确约定可以进行数据披露的情况下,法人团体或数据处理人可以向第三方披露敏感数据。但是除需要遵守“禁止擅自发布收到的敏感数据”这一义务以外,第三方没有其他义务,无法保证其能够采取足够的安全措施或阻止对敏感数据的滥用。而且,关于“转让”的条款中规定,第三方必须要能够对敏感数据提供与《敏感数据规则》中规定的相同级别的数据保护措施,但法案中没有规定向第三方披露信息时,第三方应当具有的资格。可见,第三方可以是没有足够的隐私数据保护能力的个人,也可以是法人团体。

因此,在没有法律规定的情况下,为了减少纠纷,就必须要采取合理措施。首先,要增强原持有数据的法人团体或数据处理人的义务。其在向第三方披露数据时,必须要格外留意第三方的资质,至少应当保证第三方能够提供和原本持有数据的法人团体或数据处理人员相同水平的保护措施,并要求第三方必须采取适当的安全措施,防止滥用敏感数据、保留敏感数据超过必要时间等情形的出现。其次,可以理解为如果原本持有数据的法人团体或数据处理人将数据披露给第三方,那么第三方对于信息提供者来说,将和原本持有数据的法人团体或数据处理人处于相同的法律地位,自然也要遵守《敏感数据规则》中关于法人团体或数据处理人的规定。这样第三方就会被强加保证信息安全的义务和责任。

(七)个人敏感信息的政策发布

根据《敏感数据规则》第4条的规定,法人团体或数据处理人员在收集、接收、拥有、存储或交易敏感数据时,应在其网站或App上公布有关敏感数据处理的隐私政策,对其处理和披露个人信息的做法提供清晰可靠的声明。声明应包括对其收集政策的陈述、需要收集的用户个人信息或个人敏感信息的种类、收集目的、使用目的、对第三方的信息披露政策和安全保障措施等相关信息。法人团体或数据处理人员应当保证其公布的隐私政策可供查看,无论是通过访问法人团体的网站还是通过询问法人团体的工作人员,都可以获取完整的隐私政策。

根据上述规定可见,由法人团体或数据处理器发布的信息可能不是信息提供者的一般信息,而可能是包含着特定具体细节的信息,例如需要收集的个人敏感信息的种类、使用目的、对第三方的信息披露政策等。在不同类型的商业活动中,上述细节所呈现出的信息也都各不相同。法人团体或数据处理人员要严格遵守隐私政策中对应的义务,对于其中列举出的个人敏感数据,不能作为公众信息公开,并对其给予限制访问的保护。

在政策发布的过程中,法人团体或数据处理人员必须保证在特定的时间内,能够随时接收和处理信息提供者提出的不满。法人团体或数据处理人员应在收到信息提供者申诉之后的一个月内,指定申诉官员专门处理。指定的申诉官员没有国籍限制,可以不是印度公民或印度居民。任命申诉官员是对法人团体或数据处理人员进行法定尽职调查程序的一部分,因此十分必要。

(八)对法人团体和数据处理机构的监管

根据《敏感数据规则》第8条的规定,法人团体和数据处理机构应当设定一个全面的信息安全保护计划和标准,由工作人员按照其计划实施合理的安全措施。安全措施的种类丰富,可以包括管理措施、技术措施、物理安全控制措施等,但是必须满足与被保护的信息资产和业务性质相同的要求。根据《敏感数据规则》,通常情况下,安全措施的标准要符合国家公认的《安全实践标准》中“信息技术-安全技术-信息安全管理体系”这一部分内容的要求。除此之外,法人或数据处理机构还可以采用中央政府批准的任何其他安全标准。无论法人团体和数据处理机构采用何种安全标准,都要接受中央政府批准的审计机构的认证和审计。审计必须每年至少进行一次,或者在法人团体或数据处理器对其安全标准和计算机资源进行重大改变和升级时进行特别审计。如果存在安全违规现象,法人团体或数据处理机构必须要依据其信息安全计划和信息安全标准,举证证明已经采取了恰当的安全措施。