Hackernews 编译，转载请注明出处：

上周五，印度总统德鲁帕迪·穆穆批准了《数字个人数据保护法案》(DPDPB)，该法案上周在议会两院一致通过，标志着印度在保护个人信息方面迈出了重要一步。

印度政府表示:“该法案规定了数字个人数据的处理方式，既承认个人保护其个人数据的权利，也承认为合法目的以及与之相关或附带的事项处理此类个人数据的必要性。”

该立法框架适用于印度境内外在线上和离线(以及随后的数字化)收集的个人数据，要求“在个人同意的情况下，仅为合法目的”处理信息。

征求用户明确同意的要求应附有或在此之前附有通知，告知建议处理个人资料的目的。“个人资料”是指“有关个人的任何资料，而该等资料可识别该等资料或与该等资料有关。”

然而，在“某些合法用途”下，平台可以处理自愿提供的个人用户数据。例如，选择通过电子邮件发送账单，则不需要征得同意。它还放弃了对某些数据受托人(如初创公司)的合规要求。

此外，如果要处理18岁以下儿童或有合法监护人的残疾人的个人信息，就必须得到其父母或监护人的明确同意。

政府指出:“该法案不允许对儿童的健康有害的处理，也不允许涉及对儿童的跟踪、行为监控或定向广告。”

《数据保护法案》规定建立了一个数据保护委员会(DPB)，由政府任命的成员组成，负责审查投诉，调查数据泄露，并根据事件的严重性、持续时间和“重复性”征收罚款。

滥用或未能保护个人数字数据，以及未能通知DPB的黑客行为，将面临高达25亿卢比(3010万美元)的罚款。委员会的决定可以在60天内上诉到电信纠纷解决和上诉法庭进行审查。

与之前的法案草案相比，现在处理个人数据的公司可以将数据转移到任何其他国家进行处理，除非中央政府明确禁止此类转移。以前，跨境数据传输只允许在一组特定的国家进行。

尽管DPB缺乏自主权，但大部分焦点都集中在对豁免可能导致数据收集，处理和保留超出必要范围的担忧上，从而可能促进大规模监视和政府主导的隐私侵犯。

另一个同样令人担忧的问题是，为了公众的利益，政府有能力限制“在任何计算机资源中产生、传输、接收、存储或托管的任何信息”的访问，导致“对不同意见的无限制审查”。

互联网自由基金会(Internet Freedom Foundation)在一份声明中表示:“以目前的形式，DPDPB, 2023，没有充分保障隐私权，不能颁布。它未能解决许多数据保护问题，而是建立了一个促进国家和私人行为者数据处理活动的制度。”

---

消息来源：thehackernews，译者：Linn；  

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc ” 并附上原文