印度政府11月18日发布了《2022年个人数据保护法案》草案，自2018年7月首次提出以来，这是印度政府第四次修改该草案。

《2022年个人数据保护法案》草案旨在确保个人数据的安全，在用户同意的情况下，表明收集信息的目的并确切分类。该草案将在2022年12月17日之前公开征求公众意见。

印度有超过7.6亿活跃的互联网用户，这就要求在线平台产生和使用的数据必须遵守隐私规则，以防止滥用，同时要加强问责，提高用户信任度。

印政府表示："该法案会是全面管理印度个人数据保护的法律框架。"该法案规定了个人数据的处理方式，承认用户保护其个人数据及合法处理个人数据的权力。目前的立法要求公司（即数据处理者）遵循足够的安全保障措施来保护用户信息，在发生数据泄露时提醒用户，并在个人选择删除账户时停止保留用户数据。

在印度电子和信息技术部（MeitY）发布的一份解释性说明中提到："存储时间仅限于收集个人数据所必需的时间"。因没有采取措施导致数据泄露，公司将被处以高达250亿英镑（3060万美元）的罚款。未能即时通知用户数据泄露情况的，也将总罚款额提高到500亿英镑（6130万美元）。

此外，该草案还规定了数据最小化的要求，以及公司必须采取的额外防护措施，以防止未经授权收集或处理个人数据。同样值得注意的是，该立法不再强制要求数据本地化，允许科技巨头将个人数据从印度转移到特定国家和地区。

最后，通过该法案将建立一个数据保护委员会，这是一个政府任命的机构，将监督合规工作的核心。也就是说，为了印度的主权和完整、国家安全、与外国的友好关系、维护公共秩序或防止煽动任何可识别的行为，中央（又名联邦政府）政府不受该法案的规定约束。

在缺乏任何数据保护机制的情况下，这些模糊的条款可能赋予政府广泛的权力，并有效地促进大规模监控。互联网自由基金会 (IFF) 表示：在政府机构不受该法案规定的情况下，可能会导致对公民隐私的巨大侵犯。因为这些标准过于模糊和宽泛，因此很容易被误解和滥用。

参考来源：https://thehackernews.com/2022/11/indian-government-publishes-draft-of.html