您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。 [Nishith Desai Associates]:跨境金融科技合规:在印度DPDPA和美国行业监管框架下为BFSI行业构建框架 - 发现报告

跨境金融科技合规:在印度DPDPA和美国行业监管框架下为BFSI行业构建框架

报告封面

跨境金融科技合规 解读印度的《数字个人数据保护法案》与美国行业监管体系,为金融服务行业构建框架 研究 跨境金融科技合规 解读印度的《数字个人数据保护法案》与美国行业监管体系,为金融服务行业构建框架 DMS Code: 151844.2 多年荣获《金融时报》亚太区创新律师大奖中“最具创新力印度律师事务所”称号,亦在该权威《金融时报》创新排名中位列“最具创新力亚太律师事务所”前列。 免责声明 本报告为Nishith Desai Associates版权所有。任何读者在依据本报告任何陈述行事前,均应寻求专业建议。作者及该机构明确声明,对于任何阅读本报告或以其他方式阅读本报告的人,就其就任何事情所负的任何及所有责任,以及就任何此类人依赖本报告内容所做或未做任何事情而引起的任何后果,均予以明确豁免。 联系 concierge@nishithdesai.comwww.nishithdesai.com.如有任何帮助或协助需求,请通过电子邮件与我们联系。或访问我们 致谢 avikonduris@gmail.com阿维·孔杜里 vaibhav.parikh@nishithdesai.com韦巴夫·帕里克 (Wéibāfū·Pàlǐkè) 内容 1缩略语列表 6印度:法定框架与横向框架(DPDPA,2023) 9印度金融服务业生态系统的行业合规:印度储备银行、印度保险业监管与发展局和计算机应急响应小组 I.央行数据本地化要求(2018年及以后) 9II. 央行关于支付聚合商和代币化的指南 10 15印度执法环境 17《通用隐私法规法案》(GLBA) 与美国金融数据行业框架 19跨境数据传输与美國金融服務及科技行業的雲服務使用 21国家层面隐私法规与《格雷姆-里奇-布莱迪法案》豁免 28 执法与监管机构 风险管理与事件响应 45 47来源/拓展阅读 执行摘要 本文对印度和美国的银行、金融服务业和保险业(BFSI)部门的数据保护框架进行了比较法律与法规分析,尤其关注跨境金融科技公司所面临的挑战。随着数字金融的持续全球化,企业遵守不同国家隐私法规的能力已成为运营可扩展性、基础设施设计和监管战略的核心关注点。鉴于如今企业日益寻求在具有根本不同法律理念和执法文化的司法管辖区运营,本分析尤为有用。因此,本文旨在梳理印度与美国监管方法在结构、学说和制度层面的差异,并评估这些差异对在两个司法管辖区运营的金融科技公司合规、风险管理及市场进入战略的影响。 简而言之,印度的监管架构具有协同监管和垂直分层的特点。《2023年数字个人数据保护法》(DPDPA)1建立了一个基于同意、目的限制和问责制原则的横向、权利本位框架。然而,各行业监管机构,特别是印度储备银行(RBI)2、印度保险监管与发展局(IRDAI)3 以及印度计算机应急响应小组(CERT-In)4,仍保留着强大的独立监管权。因此,金融科技公司必须同时遵守印度储备银行关于支付的数据本地化要求5、印度保险监管与发展局关于保险记录的本地存储规则6 以及印度计算机应急响应小组关于网络安全事件报告的规程7,从而形成了重叠但不可克减的义务。自原草案撰写以来,印度的方向已更加明确:通过最终规则和印度数据保护委员会的正式成立,该国已将其数据保护架构付诸实施。8 相比之下,美国在金融数据监管上采取的是分行业和联邦制的模式。格莱姆-里奇-布莱利法案(GLBA)9 通过其隐私保护、安全防护和借口规则,为银行金融服务业(BFSI)领域的隐私和安全设定了联邦基准。然而,执法权分散在多个机构,包括联邦贸易委员会(FTC)、联邦银行监管机构(OCC、美联储、FDIC)以及州级机构,如总检察长办公室和纽约金融服务部门(NYDFS)10。美国的监管框架在跨境数据传输方面表现出显著的灵活性,依赖合同性保护措施而非地域限制,但通过州级隐私法(如CPRA 11和VCDPA 12)增加了合规的复杂性,而这些法律可能适用范围超出了GLBA的规定。 本文因此论证,两个司法管辖区的监管碎片化和合规不对称性为跨境金融科技公司带来了实质性挑战。这些挑战包括基础设施成本增加、安全漏洞管理责任加重,以及构建分段式合规架构的需求。所有这些尤其影响拓展印度市场的美国金融科技公司,它们必须应对不可协商的本地化和报告规则。为应对这些挑战,本文建议将合规框架与经合组织隐私指南13、金融行动特别工作组建议14和巴塞尔银行监管委员会23915等全球标准对齐,并推进双边或多边互操作性机制,特别是在银行和金融服务业(BFSI)领域,该领域数据既具有商业价值,又涉及法律敏感性。 印度:法定框架与横向框架(DPDPA,2023) 《2023年数字个人数据保护法》(“DPDPA”)标志着印度正式进入以权利为基础的全面数据治理体系,这对银行业、金融服务和保险业(BFSI)部门具有重大影响。该法依据宪法第246条规定的立法权颁布,适用于在印度领土内处理的数字个人数据,并对外国境内处理的数据具有域外适用性,前提是该数据处理与向印度数据主体提供商品或服务有关。1 该法案体现了从部门化和基于行政命令的数据治理向更结构化的法定体系的转变,该法定体系承认个人隐私是一项基本权利,这是在最高法院作出K.S. Puttaswamy诉印度联邦案判决之后实现的。2 该法案围绕若干核心数据保护原则构建: § 注意:数据受托人必须在数据收集前或收集时向数据主体提供清晰且逐项的告知。告知必须说明拟收集的个人数据的性质、处理目的、数据保留政策、投诉救济机制、数据将共享的处理器类别,以及拟进行的跨境传输(如有)。3 § 同意:合法处理的默认基础是自愿、明确、知情的无条件且不模糊的同意。同意的请求必须使用清晰的语言提出,并与其他条款和条件分开。只有在 narrowly defined “legitimate use” 场景中,例如遵守法律、履行国家职能或处理医疗紧急情况,才允许未经同意进行处理。4 § 目的限制与数据最小化:个人数据必须仅用于获得同意或主张合法使用目的而指定的目的。收集必须限于实现该目的所需的数据,并且一旦目的达成,处理必须停止。5 § 存储限制和准确性:受托人必须确保数据准确且最新,仅保留满足目的所需的时间,然后删除,除非法律规定或为法律诉讼需要而必须保留。6 § 安全保障:必须采取适当的技术和组织措施,以防止个人数据遭到未经授权的访问、披露、更改或销毁。7 重要的是,印度个人数据保护法(DPDPA)并未建立欧盟式的基于白名单的充分性认定制度。相反,第16条规定,个人数据默认允许传输至印度境外,除非中央政府发布通知,限制此类传输至特定国家或地区。8 然而,需要注意的是,已发布的规则并未创建一个公共的充分性白名单。相反,第15条规定,允许个人数据传输至印度境外,但需遵守中央政府发布的任何一般或特别指令,该指令规定了向外国提供个人数据的具体要求。 或控制该州之个人或实体。9 此“负面清单”模式赋予监管机构战略自由裁量权,包括基于国家安全、互惠或目的地国家缺乏有效执法而限制转移的权力。草案阶段现已结束。《2025年数字个人数据保护规则》已于2025年11月13日分阶段发布:规则1、2及17至21条立即生效;规则4于一年后生效;规则3、5至16条及22至23条于十八个月后生效。因此,自2026年3月起,《数字个人数据保护规则》框架不再仅具前瞻性,而是部分生效。10 该法案界定了关键实体和角色: §11§12§© Nishith Desai 事务所 2026“数据受托人”是指确定个人数据处理目的和方式的任何个人。“数据主体”是指数据所关联的个人。“同意管理器”是一个在监管机构注册的第三方实体,作为数据的中立接口。用于管理其授权的负责人。最终规则现明确规定,必须指定一名授权管理负责人。一家在印度注册的公司,并且其互操作性平台必须独立获得认证。违反委员会发布的数据保护标准和保证框架。 印度数据保护委员会依据第五章设立,是主要监管机构,具有裁决、执法和监督职能。13 该委员会可根据投启程序,布合指令,每次行以最高25比(250 crore)的民事,14 在情严重的情况下,可下令屏蔽屡次违规的平台。15 该委员会还监督自愿承诺和替代性争议解决机制,认识到在商业环境中高效执法的必要性。16 中央政府已正式设立印度数据保护委员会,将其总部设在国家首都区,并另行通知该委员会由四名成员组成。17 重要的是,根据第10条确定的、基于所处理个人数据的数量和敏感性、对数据主体权利的风险以及可能对印度主权和完整性的潜在影响等因素而识别的重要数据受托人(“SDFs”)应承担额外的义务: § 在印度设立数据保护官;18 §定期执行数据保护影响评估,并开展独立数据审计; § 维护更严格的记录和内部申诉救济机制。20 《个人信息保护法》与特定行业的监管框架并存。该法案第3条明确保留了其他法律规定的更严格义务,这意味着对于金融科技公司,遵守《个人信息保护法》并不取代 印度储备银行2018年支付数据本地化通知、印度保险业监管局(保险记录维护)条例,2015年,或印度计算机应急响应小组网络安全指令,2022年。21 这造成了双重合规负担,即金融科技公司必须在《数字个人数据保护法案》规定的横向义务和垂直行业强制性规定之间进行权衡。 尽管该法案并未为金融数据制定特殊规则,但在实践中,与金融监管机构职责的交叉导致对金融科技公司(BFSI)参与者,特别是提供面向消费者的数字支付、信贷或保险产品的公司,进行了更严格的审查。此外,根据第15条,中央政府可以豁免某些类型的数据受托人,例如初创公司或仅限线下处理商,使其免于特定的义务;然而,此类豁免尚未最终确定。22 最后,最终规则部分解决了论文早期对违规时间的不确定性。规则7要求数据受托人在意识到个人数据违规后,应以简洁、清晰、易懂的方式立即通知受影响的数据主体,并立即通知理事会,且除非理事会允许更多时间,否则必须在72小时内提供更新和详细的信息。规则还要求数据受托人和同意管理方维持能够在一合理期限内(不超过九十天)作出回应的申诉解决系统。23 印度金融服务业生态系统的行业合规:印度储备银行、印度保险业监管与发展局和计算机应急响应小组 印度银行、金融服务业和保险(BFSI)行业的监管体系可被描述为一种协同监管结构,该结构将适用于所有行业的横向隐私立法与特定行业的强制性规定相结合。这是因为尽管《2023年数字个人数据保护法》(“DPDPA”)适用于所有行业,但它明确保留了印度储备银行(“RBI”)和印度保险监管与发展局(“IRDAI”)等行业监管机构的权力,这些机构都发布了具有约束力的义务,特别是在数据本地化和网络安全领域。1这些规定进一步得到了2000年《信息技术法》下印度计算机应急响应小组(“CERT-In”)发布的指令的支持,这些指令适用于所有数字服务提供商,包括BFSI领域的提供商。2 因此,在印度运营的金融科技公司必须同时遵守《数据保护法》(DPDPA)的一般义务,包括目的限制、数据最小化、通知和同意要求,以及更具体的、通常施加更严格义务的行业指令。3 例如,印度储备银行(RBI)要求支付数据必须存储在印度境内,并禁止未经授权存储卡凭证。此外,印度保险监管与发展局(IRDAI)要求保险公司将所有保单持有人记录保存在位于印度境内的服务器上。4 最后,CERT-In的2022年指南还要求近实时报告网络安全事件并保留境内日志。5 那么,问题在于这些框架是独立执行的,通常缺乏正式的协调,导致累积的合规义务。正如行业观察家所指出的,鉴于监管执行的多个垂直领域,协同监管的摩擦仍然是金融科技行业的结构性现实。6 因此,该行业的监管复杂性已超越简单的重复,并扩展到跨机构协调、运营设计和跨境基础设施战略等领域。 I. 央行数据本地化要求(2018年及以后) 印度最具影响力的行业数据保护法规源于印度储备银行(RBI)2018年发布的题为《支付系统数据存储》的通知。该通