印度数据本地化与跨境流动立法实践研究
胡文华1孔华锋2*
1(公安部第三研究所 上海 201204)2(武汉商学院 湖北 武汉 430056)
摘 要 作为实施数据本地化与跨境流动限制的典型国家,印度进行了诸多相关立法实践。印度数据本地化与跨境流动立法呈现出规制对象从个人数据扩展至非个人数据;区分数据类型,实施分级分类管控;多种监管机制并行,设有豁免规则的特点。印度系列做法引来了国际社会的诸多争议。在我国《网络安全法》第37条规定的数据本地化与出境细则尚不明晰,数据本地化与跨境流动制度设计尚在探索之际,印度此番立法有诸多问题值得我国在未来相关立法中加以关注或反思。
关键词 印度 数据本地化 数据跨境 立法实践
0 引 言
数据是现代全球经济的命脉,随着数字经济的兴起,全球化的深入发展,电子商务、云服务等跨境服务日益频繁,数据跨境流动也逐渐走向常态化,数据流动成为影响全球经济贸易的重要问题。2016年麦肯锡全球研究所发布报告指出,货物、服务、资本和数据的流动将为全球GDP带来至少10%的增长,相当于7.8万亿美元。其中,互联网数据流动贡献了2.8万亿美元。在此背景下,一方面,倡导数据自由化,减少贸易壁垒已成为新一轮多边、双边谈判的重要议题。另一方面,基于维护国家安全、社会公共秩序、保护个人隐私、提升执法效率、促进本土产业发展等需要,各国纷纷采取数据本地化措施,限制数据跨境流动。
作为实施数据本地化与跨境流动限制政策的典型国家,印度随着其数据经济的发展,近年来相继颁布了一系列的重要法律或文件,倾向于实施广泛的数据本地化和数据跨境流动限制。但国内尚未见到对之进行系统的梳理和研究的文献。鉴于印度的信息产业环境、发展水平、发展目标与我国存在诸多类似之处,在我国《网络安全法》第37条规定的数据本地化与出境细则尚不明晰,数据本地化与跨境流动制度设计尚在探索之际,研究印度相关立法实践对我国网安法第37条的完善,乃至数据本地化与跨境流动制度设计具有重要的现实意义。
本文将重点梳理印度数据本地化与跨境流动的主要立法,介绍其具体内容,分析其立法动因,考察其国际反应,并对我国相关立法进行反思。
1950年代云南民族民间文学的整理翻译工作,1953年的《阿诗玛》也是一个典范文本,其在全国范围的成功也是一个标志性事件。《阿诗玛》让外界见识了云南民族民间文化的魅力,也让云南的文化工作者看到民歌的力量——“可以促进各民族的‘伟大的精神解放’”(陆万美:《隽永的回忆》),而且也让很多少数民族知识分子唤起了自身的“民族文学”的意识以及对本民族文化的自豪感。陆万美说,云南其他兄弟民族的干部群众看到《阿诗玛》后,都说,“这样的歌,我们也有”。
1 印度数据本地化与跨境流动典型立法及特点
早在1993年《公共记录法》中,印度就规定除为“公共目的”外,禁止公共记录向印度境外传输。近年来,随着印度数字产业的发展,印度对于数据本地化与跨境流动的限制逐渐增多。
1.1 主要立法
1) 将个人数据纳入数据本地化的规制范畴 印度《个人数据保护法草案2018》在很大程度上也借鉴了欧盟GDPR的规定。但与GDPR不同的是,印度《个人数据保护法草案2018》不仅对个人数据的跨境流动机制做出了规定,还将其纳入数据本地化规制的范畴,要求个人数据在本地存储。作为印度数据本地化立法典型代表的《印度电子商务国家政策框架草案》也并未将个人数据加以特殊处理,而是统一适用数据本地化规则。由此可见,对于印度立法者而言,个人数据不仅是数据跨境流动所规范的对象,也是数据本地化的重要规制对象。
1.1.1 电子药房规则草案
为规范电子药店的在线销售行为,2018年印度健康和家庭福利部发布了《电子药房规则草案》(Draft E-pharmacy Rules)。该草案规定,电子药店的所有者应对其收集的处方信息和用户信息进行保密,不得违法披露。通过电子药房门户网站生成的数据均需在印度本地维护,不得以任何方式向印度境外传输或在印度境外存储[2]。
当前国内学者对“社会治理”的研究取向大致分为“规范式”研究和“解释式”研究。“规范式”研究关注的是顶层制度设计,“解释式”研究关注的是微观具体问题的学术探讨[1]。但是这两种研究取向大多有一个共同的假设前提,即以西方成熟的治理理论视角和治理对策作为价值判断标准,对中国社会治理的路径做出评价和设计,这显然是不现实的。本文试图以这种不现实性为切入点,选择当前中国社会治理的重心——社区进行分析。在对理想的、静态的社区治理格局进行架构的基础上,结合当前社区治理困境,从社区治理的主体角度对“谁来参与社区治理”做解读,并以结构化的方式展现社区多元治理主体的关系模式。
1.1.2 个人数据保护法草案2018
2018年7月,印度发布《个人数据保护法草案2018》(Personal Data Protection Bill 2018)[3]。该法案总体上效仿欧盟GDPR的规定,引入了域外管辖权、数据可携权、被遗忘权等新权利,隐私影响评估、通过设计保护隐私等新机制,增强印度的个人数据保护水平。其中,该草案第八章专门对个人数据的跨境传输加以规范。该法案将个人数据分为一般个人数据、敏感个人数据和关键个人数据(critical personal data)。其中敏感个人数据包括密码、财务数据、健康数据、官方标识符、性生活、性取向、生物数据、基因数据、宗教或政治信仰等。关键个人数据则由印度政府确定后再行公布。
针对支付数据、IOT设备收集的数据、社交数据以及搜索记录,印度实施了高度严格的数据本地化要求,禁止该类数据的离境。在个人数据方面,印度《个人数据保护法草案2018》将个人数据划分为一般个人数据、敏感个人数据和关键个人数据,并对敏感个人数据、关键个人数据的本地化和跨境设置了更严格的要求。
此外,该草案还规定:IOT设备在公共空间收集的团体数据(Community data),电子商务平台、社交媒体、搜索引擎等产生的数据仅能在印度境内存储。
虽然上述诸多立法尚在制定中,但从其目前公布的版本可以看出,印度数据本地化与跨境流动立法有以下特点:
1.1.3 印度电子商务国家政策框架草案
2018年8月,印度发布了《印度电子商务:国家政策框架草案》(Electronic Commerce in India: Draft National Policy Framework)[4]。该草案明确印度将逐步采取措施,推进数据本地化存储,例如建立数据中心、使用境内服务器等。但该草案也列出了五种不受数据本地化或跨境规则限制的数据,包括:1) 不在印度收集的数据;2) 印度境内企业基于合同所需向境外以B2B模式传输的数据;3) 与软件和云计算服务相关的技术数据;4) 跨国公司基于内部系统所需跨境传输数据;5) 符合规定标准的初创企业的数据传输。
对于一般个人数据,根据该草案的规定,可通过充分保护水平认定机制、标准合同或集团内部计划机制、数据保护局批准机制、数据主体的同意机制进行跨境传输。其中,充分保护水平认定机制、标准合同或集团内部计划机制与欧盟GDPR框架下的充分性认定和有约束力的行为规则、标准合同条款机制类似。对于敏感个人数据,该草案规定,只有满足为特定人员或机构提供健康服务或紧急事件服务所必须,且数据接收国为印度中央政府确认的提供充分保护水平的国家等条件时才能进行传输。在数据本地化方面,草案规定,对于一般个人数据和敏感个人数据,数据受托人应当至少在印度境内的服务器或数据中心中存储一份其处理的个人数据副本,印度中央政府基于国家因素的考量可豁免一般个人数据的本地化义务;印度中央政府认定的“关键个人数据”则仅能在印度境内的服务器或数据中心处理。
1.2 立法特点
此外,为规范数据跨境流动,草案还引进了GDPR中的行为准则机制,印度数据保护局可以发布数据跨境传输行为准则,或批准行业组织、贸易协会或其他机构提交的行为准则,以促进数据保护的良好实践。并且,规定行为准则的制定应当满足透明度要求,咨询相关行业主管部门和利益相关方。
2018年4月,印度储备银行发布通知,要求印度境内支付服务提供商将支付数据仅在印度境内存储,并提交相应的合规审计报告。同时将2018年10月15日确定为各公司执行“数据本地化”的截止日期[1]。之后,印度又相继颁布了《电子药房规则草案》、《个人数据保护法草案2018》以及《印度电子商务国家政策框架草案》。上述一系列草案对数据本地化和跨境流动做出了诸多规定,代表着印度数据本地化与跨境流动最新的立法态度和政策倾向。
2) 区分数据类型,实施分级分类管控 通过梳理印度数据本地化与跨境流动主要立法不难发现,印度建立了广泛的数据本地化要求,但并未针对所有类型的数据施加同一种规制方式,而是根据数据类型的不同加以分别管控。
本次市场营销的教学改革最终选择3个平行院校作为标杆,分别是中国人民大学、沈阳药科大学、美国得克萨斯州大学奥斯汀分校,上述3所高校在市场营销专业领域的发展较为突出。
按以上程序代码将坐标点转换的程序语句输出到粘贴板。如图7所示,分别选取图中的1,2两点,对应的程序语句如图中信息提示,将坐标信息粘贴到文本编辑器中并添加准备功能字等便可以形成数控程序。
3) 多种监管机制并行,设有豁免规则 在个人数据跨境流动方面,印度充分借鉴了欧盟经验,引入了多种数据跨境传输可行机制。例如:充分性认定机制、标准合同机制、集团内部计划机制、数据保护局批准机制等。此外,还设有一些豁免性条款。例如:《个人数据保护法草案2018》规定,印度中央政府可以豁免部分一般个人数据的本地化要求;《印度电子商务国家政策框架草案》则明确了跨国公司内部业务数据传输、云服务相关数据传输等五种无需遵守数据本地化或跨境传输要求的数据。
2 印度数据本地化与跨境流动立法动因及国际反应
在数据本地化与跨境流动限制成为全球一大立法趋势的大背景下,印度强势推进其数据本地化与跨境流动政策有其自身的价值考量。其数据本地化政策也引来了国际社会的诸多争议。
2.1 立法动因
对于为何密集推出数据本地化与跨境流动立法限制,印度官方并未正式做出明确解释。仅在印度储备银行要求支付数据本地存储时,在该行发布的《关于发展和监管政策的声明》中指出,新支付系统、平台的出现使得印度的支付生态系统大大扩展,为确保支付系统数据的安全性,保持数字支付的健康增长,需要对支付数据采取持续性的监控,但数据的境外存储不能满足相应的监督目的[5]。这在一定程度上可理解为印度要求支付数据本地化是基于保障数据安全性,满足执法监督的需要。但这一理由遭到了诸多质疑,诸多分析人士认为,数据本地化并不能有效提升数据的安全性。此外,基于执法目的,并不需要数据在印度境内唯一存储,数据镜像同样可以满足上述需求。
综合各种因素分析,与诸多国家基于国家安全、执法便利或保护个人隐私等立法目的不同,促进印度本土数据产业的发展是印度数据本地化与跨境传输立法的核心驱动力。一直以来,数据被称为数字时代的新石油,具有巨大的经济价值和战略价值,并成为推动第四次工业革命的核心动力。印度物联网、机器学习、人工智能等新一代技术的发展均需要数据支撑,而印度拥有庞大的人口和市场,在此基础上产生了大量数据。根据房地产和基础设施咨询公司Cushman和Wakefield的报告,印度的数字化数据在2010年约为40 000 PB,到2020年可能会达到2 300 000 PB,是全球速度的两倍。数据本地化不仅为印度发展新技术提供了基础资源,同时也为印度本土的数据中心、数字基础设施服务市场的发展提供了契机。咨询公司预测,如果印度拥有上述所有数据,到2050年它将成为数据中心市场的第二大投资者,全球第五大数据中心市场[6]。在此背景下,作为一个急需促进经济增长的新兴经济体,印度需要重新定位其在数据推动经济发展的世界贸易中的位置,为其在全球数据经济中争取优势。以期继英国、美国、中国主导前三次工业革命之后,将印度打造成为工业革命4.0时代第一个成熟的经济体。
因此,有理由认为,印度以数据保护为支点,进行数据本地化与跨境传输立法真正旨在解决的问题是,依托印度巨大的用户市场,实现数据资源的原始积累,同时推进本土数据中心、数字基础设施的建设,通过数据本地化进而实现数据价值的本地化。
由于印尼的华文教育中断了32年,整整两代人失去了学习华语的机会,华语的代际传承已经中断,目前印尼已基本不存在华语通行的社区,所以第一语言为华语的儿童极少,这使得华文教育失去了已具备熟练华语听说能力的生源。因而,传统的华文教育已经失去了生存的土壤,以华语书面语教学为主、以华语教授其他主要科目,并重视中华文化传承教育的典型的“华文教育”在印尼已经不复存在,取而代之的是华语作为第二语言的教学。
2.2 国际反应
对于印度的数据本地化要求,印度本土企业以及监管机构大多持赞成态度。印度国内数字支付平台Paytm表示将完全遵从本地化规定,并认为在印度支付生态系统中应当有印度本土企业,反对全球巨头对印度市场的垄断。印度支付委员会认为,集中数据有助于通过大数据分析改善防欺诈技术,最终使印度用户受益。电话支付和银行业务关系监管机构表示,印度有足够的能力建立强大的风险管理框架,任何有兴趣为印度支付长期增长做出贡献的参与者也应愿意在这里投资建立基础设施[7]。但在国际层面,在全球化深入发展的当下,印度的数据本地化与跨境流动政策产生引来了国际社会的诸多争议。
第二类以长三角地区为代表:2004年10月西气东输一线工程投产后,为配合“西气东输一线”建设,长三角地区配套建设了一批9F级大型天然气发电项目,主要有江苏华电戚墅堰、华电望亭、张家港华兴、华能金陵,上海石洞口、上海漕泾以及浙江华电半山等电厂。
行业层面,作为仅次于中国的世界第二大市场,印度的数据本地化政策引发了诸多印度境内的外国企业,尤其是美国企业的强烈反对,认为数据本地化将增加其在印度的运营成本,影响其盈利能力。也有企业认为数据本地化不仅仅是个商业问题,还可能导致政府监控泛滥,损害用户权益。目前,亚马逊、微软、SAP等公司正积极通过行业协会游说或国家施压等途径,要求印度放宽其数据本地化要求。
政府层面,印度数据本地化规定引来了欧盟和美国的激烈反对。美国方面,美国商务部对于美国企业的诉求表示支持,并计划将印度的该项监管要求纳入接下来的印美贸易谈判中[8]。此外,美国参议员也致函印度总理称,印度的数据本地化将会阻碍数字贸易的进一步发展,成为两国间的“关键贸易壁垒”[9]。欧盟方面,针对印度《个人数据保护法2018草案》,欧洲委员会向印度电子信息技术部正式提交意见。其中,欧盟表示印度的数据本地化立法无论从经济政策考量还是从执法便利的角度考量都是不必要的。数据本地化将阻碍印度数字贸易的发展。从执法角度看,该举措也不是解决当前执法数据跨境调取困境的有效途径[10]。
3 对我国数据本地化与跨境流动的立法反思
我国《网络安全法》第37条对关键信息基础设施境内运营过程中产生的个人数据和重要数据实施了数据本地化要求,并规定了数据出境评估制度。目前,该条的配套规范《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》也在加紧推进中。通观印度此番数据本地化与跨境流动立法及其面临的诸多争议,有诸多问题值得我国在未来相关立法中加以关注或反思。
生在皖南的人,一生必然要走很多山路,翻越很多山岭,有时出于必须,有时出于好奇和征服欲。但并非每见到一座山都想登上去。更多的时候,我还是喜欢在山谷中无目的地漫游,没有登顶的愿望。
3.1 厘清数据本地化与跨境流动差异化诉求,区分规制对象及规则
网安法第37条将个人数据与重要数据并列,均要求数据本地化,并在数据本地化的基础上适用出境评估机制的制度设计是否科学合理。
虽然,印度此次立法将个人数据纳入本地化范畴,但此举没有国际惯例的支持,主要也不是基于国家安全、公共安全等考量。该立法也遭到诸多反对,包括在其立法过程中一直给予支持的欧盟。虽然数据本地化与数据跨境流动密切相关,但二者并非完全一致。从国际立法例上看,从1980年OECD制定的《关于隐私保护与个人数据跨境流动的指南》到欧盟95指令,再到最新实施的GDPR。数据跨境流动的立法主要集中于个人数据,属于个人数据或隐私保护领域的问题。而数据本地化则主要针对的是个人数据之外的数据类型(例如美国针对政府云服务数据、重要技术数据;韩国针对地理数据,加拿大针对银行金融数据,荷兰针对公共数据),主要基于国家安全、公共安全、执法便利等目标。因此,对于个人数据与重要数据规范有着不同的立法诉求,相应的规则也应当有所不同。
对于个人数据,其更多的是对个体权益保障。基于此,对其进行规范的原则应为“以安全保障为基线,以自由流动为目标”,而不是要求本地化。对于重要数据,基于其与国家安全、公共安全等的强相关性,则应以数据本地化为原则,数据出境为例外。相应地,涉及出境评估时,个人数据与重要数据的评估重点也应当有所不同。
3.2 融合数据分级分类理念,平衡数据本地化与跨境流动自由
印度此次立法虽有尚不完善之处,但亦不乏亮点。其中,《个人数据保护法草案2018》将个人数据划分为一般个人数据、敏感个人数据以及关键个人数据,并分别实施了不同程度的要求,充分将数据分级分类管控理念融入立法,体现了印度在要求本地化的同时,也在努力平衡与数据自由流动的问题。我国未来在数据本地化与跨境流动机制设计时,也应当充分融入数据分级分类的理念,针对不同的数据加以区分管控。
蔬果产业对洪都拉斯的贸易平衡有积极的作用。虽然其2003年出口总额在3亿美元以上,但包括加工产品在内,进口量仅约5000万美元。2003年仅新鲜水果和蔬菜进口就约2000万美元,意味着其是进口替代的好机会。种植新鲜水果和蔬菜最好的地区是Intibuca、科马亚瓜和拉巴斯。乔卢特卡山谷地区也是非常重要的,但是这一地区的种植权限主要集中在大型出口企业手中,不在我们此次的讨论范围之内。
3.3 积极参与国际网络空间治理规则构建,增强国际影响力
伴随着数字经济全球化程度的加深以及全球互联网日益紧密的结合,跨境数据流动已经成为时代发展的必然要求。另一方面,不同主权国家规制传统与制度环境的差异使得跨境数据流动的规制冲突日益严重,达成政策共识的可能性日渐困难[11]。在数字全球化时代,尤其是在数据本地化和跨境传输领域,简单的单边主义已经不能适应时代的需求。国际多边规则成为各国主张和推行符合本国利益诉求,同时寻求国际共识的重要渠道。当前,WTO《服务贸易总协定》、OECD《关于隐私保护与个人数据跨境流动的指南》、APEC《隐私框架》与《跨境隐私规则体系》,及TPP规则为规范数据跨境流动的重要国际规则。纵观各国立法,不难发现,在分歧巨大的当下,加强国际合作,成为各国数据本地化和跨境领域的重要措施。
例如,欧盟修订后的《第108号公约》特别新增了国际合作条款,强调在数据领域国际合作的重要性,并通过充分性认定机制,积极推进欧日、欧韩等国的数据流动双边协议,构建欧盟的数据跨境流动“同盟圈”。美国方面,双、多边贸易协议已成为美国推进其数据流动政策的主要渠道。自2002年以来,美国已与澳大利亚、智利、摩洛哥、阿曼、秘鲁、新加坡、中美洲诸国、巴拿巴、哥伦比亚、韩国等签订了双边自由贸易协定,推行数据贸易自由化的原则。在美韩自由贸易协定的跨境服务一章,新设相关条款禁止数字贸易壁垒,特别是本地化要求。2016年欧美新签订的《欧美隐私盾协议》,2018年9月美国、墨西哥、加拿大签订协议(USMCA)均对数据跨境与本地化做出了规范。此外,美国还通过亚太合作组织(APEC),积极推进《APEC跨境隐私规则体系》(CBPRs)的实施,试图通过推进“数据日内瓦公约”(Geneva Convention on the Status of Data),推行美国的数据流动政策。
②提供与其他应用程序的服务接口,照标准格式协议,将预警数据与消息数据存放于数据库中,可供其他应用系统所读取调用。
印度数据本地化与跨境流动立法引起的国际反应充分体现了各国在数据跨境和本地化立法方面的利益冲突和博弈。如何有效应对国际上对印度的不良反应,同时促进印度数字产业良好生态的建立,是印度亟需应对的问题。不能妥善处理这些问题,可能会对印度的国际关系、产业投资均会带来巨大的冲击。
我国网安法对于数据本地化与跨境流动的规定也面临着印度本地化立法类似的境遇。2017年美国针对我国网安法第37条的数据跨境安全评估制度向WTO提交文件,以阻碍数据自由流动为由,要求WTO敦促中国暂缓实施该措施。这一系列的事件充分表明在数字全球化时代,尤其是在数据本地化和跨境传输领域,简单的单边主义已经不能适应时代的需求。我国应当积极参与国际交流与合作,积极推进国际双边或多边规则的建立,为我国在国际领域话语权的建立以及未来相关制度的顺利有效落实减少阻碍。
(2)待办事宜模块涵盖需要用户审批、确认或转发的事项,该功能模块实现了基于用户的平台自身待办提醒,同时,与统一通信平台对接,可有针对性地实现部分岗位的短信、邮件提醒,为用户及时处理提供便捷途径。
4 结 语
随着大数据、云计算、人工智能等新一代信息技术的飞速发展,数据价值不断攀升,国际社会围绕数据资源的争夺和博弈愈发激烈。在此背景下,数据本地化成为全球又一立法趋势。如何审慎、科学地制定数据本地化与跨境流动立法和政策直接关系到个人、产业、国家等多方主体的利益保护。
综合分析印度数据本地化与跨境流动立法现状及国际社会的诸多反应,未来我国在制定相关立法及政策时应注意厘清数据本地化与跨境流动差异化诉求,区分规制对象及规则;融合数据分级分类理念,平衡数据本地化与跨境流动自由;积极参与国际网络空间治理规则构建,增强国际影响力。
参考文献
[1] Storage of Payment System Data[EB/OL].https://www.rbi.org.in/scripts/NotificationUser.aspx?Id=11244&Mode=0.
[2] Draft Rules For E-Pharmacy Under The Drugs And Cosmetic Rules[EB/OL].http://www.mondaq.com/india/x/740234/food+drugs+law/Draft+Rules+For+EPharmacy+Under+The+Drugs+And+Cosmetic+Rules+1945.
[3] Personal Data Protection Bill[EB/OL].http://meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill,2018.pdf.
[4] Electronic Commerce in India: Draft National Policy Framework[EB/OL].https://www.medianama.com/wp-content/uploads/Draft-National-E-commerce-Policy.pdf.
[5] Statement on Developmental and Regulatory Policies[EB/OL].https://rbi.org.in/Scripts/BS_PressReleaseDisplay.aspx?prid=43574.
[6] All about India’s data localisation policy[EB/OL].https://economictimes.indiatimes.com/tech/ites/all-about-indias-data-localisation-policy/articleshow/66297596.cms.
[7] Payments Council of India says not all payment firms want to store data in India[EB/OL].https://www.moneycontrol.com/news/business/startup/payments-council-of-india-says-not-all-payment-firms-want-to-store-data-in-india-2570545.html.
[8] US firms move Trump against RBI’s financial data localisation rule[EB/OL]. https://www.domain-b.com/finance/Credit_Cards/20181015_localisation_rule.html.
[9] U.S. Senators Write To PM Modi, Seek Soft Stance On India’s Data Localisation[EB/OL]. https://www.bloombergquint.com/business/us-senators-write-to-pm-modi-seek-soft-stance-on-indias-data-localisation#gs.i0YKVEg.
[10] GDPR-loving EU says India’s data localisation unnecessary[EB/OL]. https://economictimes.indiatimes.com/tech/internet/gdpr-loving-eu-says-indias-data-localisation-unnecessary/articleshow/66725579.cms.
[11] 贾开.跨境数据流动的全球治理:权力冲突与政策合作—以欧美数据跨境流动监管制度的演进为例[J].汕头大学学报(人文社会科学版),2017,33(5):57-64.
INDIAN DATA LOCALIZATION AND CROSS-BORDER FLOW LEGISLATION PRACTICE
Hu Wenhua1 Kong Huafeng2*
1 (Third Research Institute of Ministry of Public Security ,Shanghai 201204 ,China )2 (Wuhan Business University ,Wuhan 430056 ,Hubei ,China )
Abstract As a typical country implementing data localization and cross-border flow restrictions, India has carried out many relevant legislative practices. India’s legislation on data localization and cross-border flow has the characteristics of expanding the regulatory objects from personal data to non-personal data, differentiating data types, implementing hierarchical and classified control, and having parallel regulatory mechanisms and exemption rules. India’s series of practices has drawn much controversy from the international community. The rules of data localization and exit stipulated in Article 37 of the Cyber Security Law of China are still unclear, and the system design of data localization and cross-border flow is still under exploration. There are many problems in India’s legislation that deserve our attention or reflection in the future.
Keywords India Data localization Cross-border data Legislative practice
收稿日期: 2019-01-07。国家重点研发计划项目(2018YFC0830401);上海市2017年度“科技创新行动计划”高新技术领域项目(17DZ1101004);中央级公益性科研院所基本科研业务费专项资金项目(C18355)。胡文华 ,研究实习员,主研领域:网络安全政策法律。孔华锋 ,教授。
中图分类号 TP309.2 D93/97
文献标识码 A
DOI: 10.3969/j.issn.1000-386x.2019.08.051