據外媒 ET 消息,2018 年 5 月 25 日,歐盟出臺了號稱史上最嚴厲的互聯網保護法令《通用數據保護法令》(GDPR),雄心勃勃要為個人隱私保護立法樹立一個全球性標準。歐盟稱,印度的數據本地化提案不僅沒有必要,甚至有消極作用,或將對貿易和投資產生負面影響。印度的數據保護法案草案要求,個人數據跨境傳輸須在境內留有副本,每個數據受託人應確保在印度本地服務器或數據中心存儲至少一份個人數據的服務副本。
歐盟委員會在 9 月 29 日提交給印度電子和信息技術部(MeitY)的文件中表示,此類法規將產生“不必要的成本、麻煩和不確定性,這將不利於印度的商業和投資環境”。
在書面文件中,歐盟委員會國際數據流動和保護部門負責人布魯諾•根卡雷利(Bruno Gencarelli)還表示,對於中央政府何時可能會考慮在印度境外處理數據的“必要”例外情況,該法案草案並沒有作出明確的界定。該文件還對印度數據保護管理局(Data Protection Authority of India)的獨立性表示擔憂,該機構將負責監督和調查法律的適用範圍,以及出於“國家安全”的考慮而對數據免費收集和處理的豁免情況。
法案諮詢意見書的提交日期截止 9 月 29 日。目前,印度政府尚未披露其收到的意見書的數量。印度互聯網自由基金會(Internet Freedom Foundation) 已提交了一份響應干預 RTI,要求歐盟公佈其提交給印度政府的意見書的詳細內容。11 月 19 日,歐盟委員會在其網站上對其提交給 MeitY 的文件進行了公佈。
歐盟表示,當前,在全球對個人數據隱私和法律監管日趨嚴格的大趨勢下,印度對高水平數據保護的支持,將成為一個十分重要的典範。在這方面,“無論是從數據保護的角度,還是從經濟政策的角度,還是從執法的角度,這種本地化要求都是不必要的,”歐盟委員會表示。同時,歐盟委員會還指出,其 GDPR 條例不包含任何數據本地化規定,併為不同的商業模式和數據傳輸提供靈活的工具。
在意見書中,歐盟還警告稱,數據本地化提案將給企業增加巨大成本,尤其是外國企業,它們將不得不建立額外的數據處理、存儲和複製基礎設施。該文件稱:“相反,印度的科技行業正處於爬坡起步階段,目前還不需要這種強制本地化措施……如果實施的話,這種規定也將會妨礙數據傳輸,而且也不利於商業交易,包括關於自由貿易協定的印歐雙邊談判也會受到影響。”
歐盟委員會表示,數據本地化絕不是執法部門合法獲取電子證據的唯一途徑。它指出:“在這方面,歐盟正面臨著與印度類似的挑戰。不過,與強制個人數據本地化的做法不同,歐盟目前正準備通過立法途徑加以解決。屆時,無論個人電子信息是否存儲在歐盟境內,警方和檢察官均有權進行訪問。”歐盟委員會還提出了一項多邊安排,允許印度和歐盟雙方相互訪問數據,或者採用美國《雲計算法案》(US CLOUD Act)的類似方法。
閱讀更多 白鯨出海 的文章
