Jak proponowana ustawa o ochronie danych wpłynie na Twój start-up?

Niedawno przedłożony przez Wspólną Komisję Parlamentarną (JPC) raport dotyczący ustawy o ochronie danych osobowych z 2019 r. (ustawa z 2019 r.) zalecił rozszerzenie zakresu prawa w celu objęcia nim danych nieosobowych (NPD), ujawnienie uczciwości algorytmów i nie tylko. Wprowadzenie prawa wymagałoby od start-upów ponownego przemyślenia swoich praktyk w zakresie przetwarzania danych, co uwzględniłoby znaczne koszty przestrzegania przepisów.

Aby pomóc graczom z ekosystemu startupów rozszyfrować wpływ proponowanego prawa o ochronie danych, Ikigai Law zorganizowało interaktywną wirtualną dyskusję „ Rozszyfruj: wpływ indyjskiego prawa o ochronie danych na startupy ” w dniu 24 lutego.

W dyskusji udział wzięła społeczność startupów z przedstawicielami wiodących firm z branży fintech, edtech, healthtech, e-commerce i AI.

Prowadzona przez Sreenidhi Srinivasana, głównego współpracownika w Ikigai Law, dyskusja ujawniła wpływ ustawy z 2019 r. na startupy. Poruszono w nim wyzwania związane z kategoryzacją zbiorów danych na dane osobowe i NPD, w jaki sposób zgodność z prawem może utrudniać rozwój startupów, między innymi implikacje praw własności intelektualnej wynikające z niektórych ujawnień.

Regulowanie NPD i innych zastrzeżonych danych jest jak proszenie coli o ujawnienie „tajnej” formuły

Ustawa o ochronie danych osobowych pracuje już blisko pięć lat. Po drodze rząd wpadł na pomysł wykorzystania zanonimizowanych danych/informacji biznesowych (NPD), aby uzyskać z nich wartość ekonomiczną. Obecnie ustawa proponuje uregulować zarówno dane osobowe, jak i NPD. Pozwala rządowi centralnemu na kierowanie firmami do dzielenia się NPD w celu tworzenia polityki. Sreenidhi szukał opinii na temat rozszerzonego zakresu prawa, potrzeby uregulowania NPD i jego wpływu na startupy, które opierają się na fosach danych w celu uzyskania przewagi konkurencyjnej.

Ashutosh Senger, główny doradca Florence Capital (platformy pożyczkowej), mówił o tym, że włączenie NPD jest krokiem w kierunku zrównoważenia dostępu do danych, ale nie można ignorować przewagi konkurencyjnej, jaką zapewniają zastrzeżone zasoby danych. Wskazując na potrzebę zrównoważenia interesów rządu w wykorzystywaniu NPD do celów społeczno-gospodarczych z prawami własności intelektualnej (IP) przedsiębiorstw, powiedział: „jak promować interes państwa i całego ekosystemu czy środowisko przedsiębiorczości i innowacji.”

Manuj Garg, współzałożyciel MyUpchar (platformy opieki zdrowotnej), dodał, że dane są „kluczową walutą” dla wszystkich startupów. „Wszystko, co generujesz z pracy, którą wykonałeś, jest twoją własnością intelektualną. To właśnie daje przewagę na rynku i pozwala robić to, co robisz. Stwierdzenie, że te dane muszą zostać następnie upublicznione, w zasadzie zabija biznes”.

W ramach proponowanej ustawy istnieją inne przepisy, które mogą zaszkodzić prawom własności intelektualnej przedsiębiorstw, na przykład żądanie ujawnienia „uczciwości” algorytmów. Nie ma jeszcze progu do zdefiniowania „uczciwości”, a nawet jeśli takie wyjaśnienie nadejdzie w przyszłości, techniczne know-how na temat algorytmów nie jest powszechnie znane.

„To tak, jakby poprosić Colę o ujawnienie ich tajnej formuły – odebranie jej bodźca do działania” – dodał Garg.

Megha Nambiar, starszy radca prawny HyperVerge (platformy do weryfikacji tożsamości i wykrywania oszustw), zgodziła się, że włączenie NPD dodaje „dużo niepewności do tej mieszanki, ponieważ są to zasadniczo prywatne dane, które są naruszane. I jest obowiązkowy element udostępniania danych, który ponownie staje się problemem”. Nawiązała do braku zachęt do promowania udostępniania danych.

Nambiar zadał sali kilka pytań i zastanawiał się, czy takie udostępnianie danych może być dobrowolne i jak będzie to wyceniane, wyceniane i udostępniane.

Sruthi Srinivasan, radca prawny Uni Cards, zgodził się z wcześniejszymi prelegentami i zakwestionował potrzebę uregulowania pochodnych/anonimowych zbiorów danych.

Startupy będą musiały stawić czoła ogromnym wyzwaniom związanym ze strukturą proponowanego prawa

W okresie poprzedzającym wprowadzenie prawa firmy musiałyby zrewidować swoje zasady dotyczące danych i dostosować swoje budżety do zgodności z prawem. Sreenidhi szukał opinii na temat wyzwań związanych ze zgodnością, których oczekują firmy.

Aditya Shamlal, szef prawny Zeta (startupu fintech), powiedział, że prawo w obecnej formie jest „ciężkie z powodu zgodności”. I że „prawdziwe zęby tego prawa będą widoczne w przepisach i kodeksach postępowania dotyczących takich kwestii jak prywatność w fazie projektowania, prawo do bycia zapomnianym i nie tylko. Dopóki nie pojawią się te przepisy, działasz w mglistej przestrzeni, w której domyślasz się na podstawie europejskich doświadczeń, takich jak RODO”. Uważał, że nowszym startupom zorientowanym na dane będzie trudno wejść na rynek i rozwijać się, gdy ustawa wejdzie w życie.

Polecany dla Ciebie:

Zasoby

Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach

Amit Das

31 lipca 2022

Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jaspreet K.

31 lipca 2022

Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Vaibhav S.

31 lipca 2022

Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

Charanya L.

31 lipca 2022

Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Ankusz S.

31 lipca 2022

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

Tapanjana R.

31 lipca 2022

Uczestnicy dyskutowali również o wzajemnych zależnościach między regulatorami sektorowymi a nadchodzącym regulatorem danych. Sruthi z Uni Cards zauważył, że wiele regulowanych podmiotów w przestrzeni fintech już włącza prawo do wycofania zgody (przewidziane w proponowanym prawie o ochronie danych) w swoich standardowych praktykach dotyczących danych. Zastanawiała się, jak wycofanie zgody będzie miało miejsce w regulowanej przestrzeni, w której gracze muszą przechowywać zestawy danych jako dzienniki danych w swoim systemie, aby pokazać je do celów audytu.

Sruthi powiedział, że organy regulacyjne będą musiały zajmować się pytaniami o ilość informacji, które można wycofać i zatrzymać. „W przyszłości klienci mogą zwrócić się do podmiotów regulowanych i poprosić o całkowite usunięcie ich informacji z systemu. Jednak jako platforma pożyczkowa, RBI wymaga, abyś zachował te informacje, aby potwierdzić fakt, że wprowadziłeś tego klienta” – zauważyła.

Vinita Varghese, szef działu prawnego, Urban Company (hiperlokalna platforma usług eksperckich), zgodziła się ze Sruthi i dodała, że ​​„Kiedy mówisz o wdrażaniu prawa w obecnym kształcie, jest to inwestycja kosztów i czasu dla startupów i mniejszej organizacji, podczas gdy dla dużych organizacji — które nie rozpoczęły tego procesu — jest to absolutnie potworne przedsięwzięcie”.

Powiedziała, że ​​proponowana ustawa wymaga od firm, niezależnie od ich wielkości, tworzenia inwentaryzacji danych, aby móc podzielić dane na różne kategorie. Nie jest to ćwiczenie ściśle prawne, ponieważ dotyczyłoby wszystkich pionów w organizacji. Varghese powiedział również, że umożliwienie startupom przestrzegania prawa wymagałoby świadomości i edukacji na poziomie wielofunkcyjnym.

Opierając się na tym problemie, Garg omówił, jak przeciętny współzałożyciel bez wiedzy prawnej zmaga się z rozpakowaniem, co oznaczają i zawierają dane osobowe, wrażliwe i krytyczne dane osobowe. W przypadku różnych kategorii danych występują różne progi zgody (podwyższone obowiązki uzyskania wyraźnej zgody w przypadku danych wrażliwych). Wspomniał, że zgodnie z wytycznymi telemedycyny, jeśli pacjent zainicjuje konsultację, aplikacja nie musi uzyskiwać od pacjenta wyraźnej zgody. Jednak zgodnie z proponowaną ustawą o danych „nie jest jasne, w jaki sposób wyraźna zgoda będzie zarządzana”. Garg zwrócił również uwagę na niejednoznaczność w uzyskiwaniu certyfikacji oprogramowania sprzętowego (która jest wprowadzana w celu zachowania integralności danych) oraz potrzebę ponownego sprawdzenia takiej certyfikacji po aktualizacji oprogramowania.

Panduranga Acharya, doradca generalny Girnarsoft.com (dostawcy rozwiązań IT), powiedział, że „Zgodność nie może być trudna, może być droga”.

Wezwał do włączenia progów, aby wyłączyć małe przedsiębiorstwa z droższych wymogów zgodności. Acharya zidentyfikował również trudności związane z różnymi standardami zgody dla różnych kategorii danych. Powiedział, że „Kategoryzacja, taka jak dane wrażliwe, krytyczne, niewrażliwe, prowadziłaby do wielości zgody lub wymagałaby dwubiegunowych mechanizmów wyrażania zgody. Wdrożenie takich mechanizmów zgody może być bardzo trudne dla każdej firmy”.

Udoskonalone zabezpieczenia danych dzieci są bardzo kosztowne dla firm Edtech

Sachin Ravi, współzałożyciel Qshala (platformy edtech), mówił o tym, jak Chiny i Indie pracują nad polityką regulującą sektor edtech. Zauważył, że definiowanie dzieci jako osób poniżej 18 roku życia jest niepokojące dla kilku graczy w tym sektorze. Powiedział, że „wytyczne pochodzące od rządu dla edtech dotyczące tego, jak można grać z danymi” mogą być korzystne.

Shatakrutu Saha, doradca prawny w KidsChaupal (platformie edtech), zauważył, że ponieważ uzasadnienie dla 18 lat wynika z zapisów indyjskiej ustawy o umowach i ustawy o większości, to raczej nie ulegnie zmianie. Zauważył jednak, że ustawa o sądownictwie dla nieletnich inaczej rozumie wiek pełnoletności.

Saha podzielił się ciekawym spostrzeżeniem na temat tego, jak 16-letni Hindus pokonał mistrza świata w szachach Magnusa Carlsena: „Wyobraź sobie, że to dziecko jest ograniczone za zgodą swojego opiekuna, który sprzeciwia się decyzji tego utalentowanego chłopca, które kursy wybrać online – to jest problematyczny scenariusz przypadku.” Mówił również o różnicy w podejściu między Indiami a innymi globalnymi ramami, takimi jak UE, które definiują dziecko jako każdego, kto jest w wieku 13-16 lat.

Omówiono również brak jasności w zakresie mechanizmów bramkowania wieku i przepisów dotyczących zgody rodziców. Ravi z Qshala powiedział, że rodzice mogliby zbadać tworzenie kont pseudonimowych dla dzieci, zamiast rezygnować z danych osobowych. Nadal jednak pojawiają się pytania dotyczące sposobów wykorzystywania zanonimizowanych danych do tworzenia treści i świadczenia usług zarówno dorosłym użytkownikom, jak i dzieciom. Saha z KidsChaupal zauważyła, że ​​bramkowanie wiekowe może być oparte na ryzyku, wyjaśniając, że takie środki są stosowane w przypadku produktów i usług skierowanych do określonych grup wiekowych i demograficznych, takich jak aplikacje randkowe i gry online. W tych aplikacjach i usługach bramkowanie wiekowe ma na celu ochronę nieletnich przed zagrożeniami związanymi z takimi usługami.

Saha dodał, że wdrożenie nowych funkcji może uruchomić definicję szkody lub śledzenia w proponowanym prawie. Ogólny zakaz śledzenia/profilowania danych dzieci oraz szeroka definicja szkody mogą wywołać tarcia między projektami produktów a zespołami prawnymi w startupach edtech

Proponowane prawo musi być interoperacyjne z globalnymi ramami, aby napędzać gospodarkę danych w Indiach

Sreenidhi zapytał, czy uważają, że proponowana ustawa promuje interoperacyjność z globalnymi ramami danych i jak zgodność z prawem może wpłynąć na dostęp do rynków globalnych.

Neelakshi Gupta, prawnik w Qure.ai (platformie healthtech), zadała kilka pytań dotyczących globalnych zgodności — zapytała: „Co to jest transgraniczny transfer danych? Kiedy będą miały zastosowanie nowe standardowe klauzule umowne (SCC)? Jeśli podpiszemy SCC z naszymi klientami, czy możemy powiedzieć, że postępujemy zgodnie z orzeczeniem Schrems II ?”

Jeśli chodzi o globalne strategie zgodności, Nambiar z HyperVerge powiedział, że dążenie do lokalizacji danych w kilku systemach ochrony danych na całym świecie jest niepokojące, ponieważ firma angażuje dostawców w różnych lokalizacjach geograficznych. Powiedziała, że ​​„jeśli zobaczymy, że lokalizacja danych staje się coraz bardziej globalnym trendem, posiadanie lokalnych centrów danych w każdym z tych obszarów geograficznych będzie dla nas bardzo kosztowne”.

Varghese z Urban Company zgodził się, że przepisy dotyczące lokalizacji danych spowodują wyzwania w zakresie zgodności, ponieważ różne kraje wydają się mieć inny próg lokalizacji. Powiedziała, że ​​można by opracować złoty standard lokalizacji danych, który byłby przyjazny dla biznesu i kompatybilny w różnych jurysdykcjach.

Kolejne kroki w angażowaniu się w obawy startupów

Koszty przestrzegania przepisów i brak jasności wokół niektórych przepisów są kluczowymi problemami dla startupów. Celowi rządu, jakim jest pozycjonowanie Indii jako głównego gracza w gospodarce cyfrowej, powinien towarzyszyć system umożliwiający ochronę danych. Powinno to umożliwić start-upom wzrost skali i wejście na rynki globalne.

Obecnie Ministerstwo Informatyki omawia zalecenia KWP i dostrzega wyzwania związane z zapewnieniem zgodności, które wiążą się z prawem. To świetna okazja dla startupów i małych firm do nawiązania kontaktu z decydentami i wezwania do szerszych konsultacji społecznych na temat prawa i pracy nad obopólnie korzystnymi rozwiązaniami.

*Cytaty zostały zredagowane i udoskonalone, aby pasowały do ​​artykułu i kontekstu.

*Ten artykuł został napisany wspólnie przez Shrinidhi Rao i Kanupriyę Grover, współpracowników w Ikigai Law