来源：腾讯网络安全与犯罪研究基地 昨天

印度《2018个人数据保护法（草案）》译文节选

THE PERSONAL DATA PROTECTION BILL, 2018

在DPO社群的努力下，印度《2018个人数据保护法（草案）》被全文翻译出来了。为什么要翻译印度的草案？

洪延青指出：“不仅是因为我国企业已经在印度取得了显著的市场份额，例如小米，还因为印度无论在人口数量，还是不同区域发展和线上线下差异程度等方面，相对于欧盟、美国，与我国有更好的可比性。仔细观察印度在建立个人信息保护法律框架方面的努力和经验，对未来我国的立法可能具备更强的借鉴意义。”

本文整理了该草案最重要的“数据保护义务”一章，更多内容请关注“腾讯网络安全与犯罪研究基地”公众号。

第二章

数据保护义务

4公正合理处理

任何处理个人数据的人，均对该数据主体负有以公正合理的、尊重其隐私的方式处理其个人数据的义务。

5目的限制

（1）个人数据的处理应仅限于明确、具体和合法的目的。

（2）个人数据的处理应仅限于特定目的，或者考虑到该特定目的、个人数据收集的场景与情形, 数据主体能够合理预期其数据将被用于的任何其他的附随目的。

6收集限制

收集个人数据应限于处理目的所必需。

7合法处理

（1）个人数据仅得基于第三章内规定的一项或者几项结合的处理基础。

（2）个人敏感数据仅得基于第四章内规定的一项或者几项结合的处理基础进行处理。

8告知

（1）数据受托人最迟应当在收集个人数据时向数据主体提供以下信息，或者当个人数据并非自数据主体处收集时，数据受托人应在合理可行时立即提供以下信息——

（a）个人数据的处理目的；

（b）收集的个人数据的种类；

（c）数据受托人的身份和详细联系方式，以及如适用，数据保护官的详细联系方式；

（d）如果个人数据的处理是基于同意，数据主体具有撤回同意的权利，以及撤回同意的程序；

（e）如果个人数据的处理是基于第12节至第17节，以及第18节至第22节所述依据时，提供处理个人数据的依据，以及未能提供的后果；

（f）如果个人数据并非自数据主体处收集时，数据收集的来源；

（g）如适用，个人数据可能被分享的个人或实体，包括其他数据受托人或数据处理者；

（h）如适用，数据受托人计划实施的跨境传输个人数据的任何信息；

（i）根据第10节确定的个人数据保留期间，或者当该保留期间未知时，确定期间的原则；

（j）第六章所述的数据主体的权利及权利行使程序，以及任何相关详细联络方式；

（k）根据第39节提出申诉补救的程序；

（l）向保护局提出申诉的权利的存在；

（m）如适用，根据第35节，指定对数据受托人采取信用评级的方式进行打分；

（n）保护局可能规定的任何其他信息。

（2）数据受托人应当以对于一个理性人来说易于理解的、清晰简洁的方式向数据主体提供本节要求的信息，如必要和可行，应当提供多种语言版本。

（3）如果根据本条提供告知将严重损害本法案第15节或者第21节个人数据处理目的时，则第（1）条不适用。

9数据质量

（1）考虑到数据处理目的，数据受托人应当采取合理措施，保证处理个人数据的完整、准确、不具误导性且是最新的。

（2）在考虑第（1）条下的合理措施是否必要时，数据受托人应当考虑个人数据是否：

（a）可能被用于做出与数据主体相关的决定；

（b）可能会向其他个人或者实体，包括其他数据受托人或者数据处理者进行披露；

（c）以把基于事实的个人数据与基于观点的个人数据或个人评价予以区分的形式进行保存。

(3）当个人数据被披露于其他个人或者实体，包括其他数据受托人或者数据处理者，而数据受托人发现个人数据不符合第（1）条规定时，数据受托人应采取合理措施将此情况通知这些个人或者实体。

10数据存储限制

（1）数据受托人应仅在实现处理目的所需合理必要的时间内，保留个人数据。

（2）尽管有第（1）条的规定，如保留是法律明确规定，或者遵守任何法律义务所必须，个人数据可以被保留更长的时间。

（3）数据受托人必须进行定期审查，以确定是否有必要继续保留其拥有的个人数据。

（4）如果根据第（1）条和第（2）条，数据受托人不再必要保留个人数据，则此类个人数据必须以指定的方式删除。

11问责

（1）数据受托人应当对由其自身或者代表其进行的任何处理行为，负有履行本法案规定的所有义务的责任。

（2）数据受托人应当能够证明，由其自身或者代表其进行的任何处理行为，都符合本法案的规定。

（数据保护官沙龙DPO公益出品）