网络安全法的亚洲视角 – 印度

导航

我们生活的方方面面，无论是医学、天文学、金融、法律、社会生活还是几乎其他所有的事情，都是由计算机驱动，或者间接依赖于计算机的传播和存在。虽然计算机使我们的生活变得容易，但它们也带来了一系列新的挑战。

正如微软创始人比尔盖茨的名言所说：“计算机生来就是解决以前不存在的问题。”尽管如此，某些源自对计算机依赖的挑战可能会对社会产生不利影响，除非有一个强大和健全的法律框架，否则社会将无法获得保护。本期文章旨在介绍目前管理印度网络安全和数据隐私的法规。

随着数字化在生活各个领域的出现，政府最初采取的措施是针对电子记录的认可，以及对数字处理的认可和批准。为此，有几部现行法律进行了修改，以迎接数字化带来的新挑战。

尽管如此，印度在网络安全方面迈出最重要的第一步是2000年《信息技术法案》的颁布。随后的法律发展虽然非常有限，但还是为进一步的发展铺平了道路，并导致《信息技术法案（修正案）》于2008年通过。

《信息技术法案》广泛涵盖了各种网络罪行和网络违法行为。几乎所有已知的构成与信息技术有关的刑事犯罪活动都被《信息技术法案》所涵盖。

黑客。虽然《信息技术法案》没有明确提到黑客行为，但《信息技术法案》第43条规定如果任何人未经所有者的许可访问计算机、计算机系统或计算机网络（小节a）、或者下载、复制和提取任何数据（小节b），或导致任何系统中断（小节e），都将通过向受影响人士进行赔偿的方式承担赔偿责任。《信息技术法案》第66条进一步规定包括黑客行为在内的第43条所述的犯罪行为可被处以三年以下有期徒刑或最高7100美元的罚款，或两项并罚。

网络钓鱼。《信息技术法案》没有明确界定网络钓鱼行为。不过，《信息技术法案》第66C条和第66D条规定了对网络钓鱼类行为的处罚。第66C条规定任何人以欺诈或者不诚实方式使用他人的电子签名、密码或者其他独特识别特征将面临三年以下监禁和最高1300美元的罚款。除了《信息技术法案》之外，1860年《印度刑法典》第419条也对冒充他人的欺骗行为规定了类似的处罚。

恶意软件/病毒攻击。根据《信息技术法案》第43条C款，如果任何人未经所有人的许可向计算机资源引入任何计算机污染物或计算机病毒，都将通过赔偿的方式承担赔偿责任。该等行为根据《信息技术法案》第66条的规定也会受到处罚。

网络恐怖主义。2008年《信息技术法案》的修正案增加了第66F条，对网络恐怖主义进行了明确的规定。根据第66F条的规定，如果犯罪行为带有威胁印度团结、诚信、安全或主权的意图，或者对人民进行恐怖袭击，或者其行为造成人员伤亡、财产破坏或者中断对生命至关重要的服务和供应，或者对关键信息基础设施产生不利影响，都将构成网络恐怖主义，并可能导致终身监禁。

信息技术领域发展迅速，随着时间的推移印度政府继续制定了一些规定和条例扩大《信息技术法案》的范围，以跟上新的挑战。随着时间的推移，政府制定了各种规定，其中有一些在网络安全和数据隐私方面发挥了重要作用：

(1) 2011年《信息技术（合理安全实践和程序及敏感个人数据或信息）规则》（SPDI规则）；

(2) 2011年《信息技术（中介机构准则）规则》；

(3) 2011年《信息技术（网吧准则）规则》；

(4) 2011年《信息技术（电子服务交付）规则》；

(5) 2013年《信息技术（印度计算机应急响应小组及履行职能和职责的方式）规则》（CERT-In规则）；以及

(6) 2018年《信息技术（受保护系统的信息安全实践和程序）规则》。

政府颁布的各种信息技术规则使个人和组织承担了重要义务，以确保安全实践，并报告网络安全事件。上述CERT-In规则要求受到任何“网络安全事件”影响的个人和企业实体应当向印度计算机应急响应小组（CERT-In）进行报告。网络安全事件是指违反明确或者默示适用的安全政策的、与网络安全有关的任何真实或疑似不良事件。

印度计算机应急响应小组的成立是为了在网络安全突发事件期间响应并协调行动，并提供信息以帮助提高网络安全。

毫无疑问的是，《信息技术法案》将会遇到需要特殊知识才能解决的更深层次的技术问题。因此，《信息技术法案》规定有关该法案的争议任命特殊的“裁判官”，这些裁判官的决定可以被再次上诉到根据该法案专门成立的上诉法院。

根据2000年《信息技术法案》第48（1）条的规定，电子和信息技术部于2006年10月设立了网络法规上诉法院。2008年《信息技术法案（修正案）》将该法院重新命名为网络上诉法院（CyAT）。根据《信息技术法案》，任何人因为认证授权控制机构或者裁判官的命令受到侵害的，都可以向网络上诉法院提起上诉。

印度在确保个人数据方面采取了重要措施，并努力使其法律框架与全球进程接轨。法律法规的一部分是旨在让这些机构有义务确保适当的基础设施和安全，以保护进入他们手中的数据。根据SPDI规则，储存财务、健康、密码、生物识别等数据的公司和组织应当制定包含与寻求保护的信息资产相称的技术、操作和物理安全控制措施的政策。

法律法规的另一部分是界定了什么是个人数据，以及在数据隐私和信息披露方面必须遵守的政策。SPDI规则中的规则2（i），个人信息是指与能够识别该自然人有关的任何信息，以及直接或间接与法人实体获得或可能获得的其他信息。规则3规定将密码、财务信息、身心健康状况、性取向、生物特征等信息归为敏感数据。

根据这些规则，任何公司或个人须明确披露（在其网站或任何合同中）有关个人数据的政策、收集和使用该等信息的目的、披露信息的相关政策，以及所采用的合理安全程序。这些规则确保了个人数据是安全的，泄露这些数据的人士知悉收集这些数据的意图，以及寻求这些数据的机构是否对这些数据会受到保护产生任何信心。

随着情况日益复杂，人们认识到现行数据隐私法的不足之处。2017年8月，在KS Puttaswamy法官诉Union of India案中，印度最高法院认可了制定更健全的法律保护个人数据的需要。它明确认可了个人的基本隐私权和加强个人数据保护的必要性。

随后BN Srikrishna法官主持的专家委员会发布了报告和法律草案。印度议会目前正在审议2019年《个人数据保护法案》，该法案既符合专家委员会起草的法律草案，也与2018年欧盟的《通用数据保护条例》有共鸣。

鉴于信息技术的动态性质，与其相关的法律也以比其他法律更快的速度经历着持续的发展。印度政府已经认识到这种动态，并不断地通过扩大《信息技术法案》的范围来改革信息技术法律。

近期，随着2018年《信息技术（受保护系统的信息安全实践和程序）规则》和《个人数据保护法案》的出台，政府认识到进一步加强数据隐私法律的重要性，这是为跨境信息流动注入信心的一个积极方向。

LEXORBIS
709/710 Tolstoy House
15-17 Tolstoy Marg
New Delhi – 110 001 India
电话: +91 11 2371 6565
传真: +91 11 2371 6556
电子邮件: mail@lexorbis.com
www.lexorbis.com