Спустя почти четыре года после того, как правительство впервые поручило Комитету юстиции Шрикришны принять закон о защите данных, Индия, наконец, приблизилась к его выполнению. Объединенный парламентский комитет ( JPC) недавно представил свой долгожданный отчет по законопроекту о защите персональных данных 2019 года (законопроект 2019 года). Он также сформулировал свою собственную версию предлагаемого закона, назвав его Законом о защите данных (Закон о защите данных). Изменение названия отражает решение JPC расширить сферу действия закона, включив в него неперсональные данные.

Предлагаемый закон устанавливает, что можно и чего нельзя делать для всех компаний, занимающихся обработкой данных. Таким образом, чтобы соблюдать закон, стартапы должны переосмыслить то, как они собирают, хранят, используют и обмениваются данными. Они должны принять подход «конфиденциальность по замыслу», т.е. включить конфиденциальность в саму конструкцию своих систем и обеспечить их безопасность. Им также потребуется создать процессы для обработки запросов от пользователей, желающих воспользоваться определенными правами в отношении своих данных. В дополнение к этому требуется наращивание технического потенциала для обмена данными с правительством в целях разработки политики, получения сертификатов для их аппаратного и программного обеспечения и, среди прочего, локального хранения конфиденциальных данных. Эти изменения влекут за собой значительные затраты на соблюдение требований, которые компании должны будут учитывать, и очень важно, чтобы у стартапов было достаточно времени для соблюдения предлагаемого закона.

В дополнение к изменениям в тексте законопроекта 2019 года JPC также предлагает общие рекомендации, такие как рассмотрение платформ социальных сетей в качестве издателей контента, обеспечение обязательной проверки пользователей социальных сетей, формулирование строгой политики локализации данных и другие. Хотя общие рекомендации могут и не привести к немедленным действиям регулирующих органов, в долгосрочной перспективе они могут повлиять на мышление правительства. Для стартапов важно использовать эти рекомендации, чтобы у них было представление о будущем регулирования.

Чтобы помочь стартапам понять влияние предлагаемого закона, Ikigai Law проводит виртуальный круглый стол « Расшифруй: влияние индийского закона о защите данных на стартапы » 24 февраля 2022 года в 15:00 по восточноевропейскому времени. Некоторые из тем, рассматриваемых в ходе сессии, включают обязательный обмен неличными данными с правительством, ограничения на трансграничный поток данных, раскрытие справедливости алгоритмов и общую проблему соответствия для стартапов.

Подать заявку здесь, чтобы принять участие

Влияние включения неличных данных в закон о конфиденциальности

Законопроект DP направлен на регулирование неличных данных ( NPD) в рамках системы защиты персональных данных. Это дает центральному правительству широкие полномочия для доступа к NPD для разработки политик цифровой экономики и уполномочивает Управление по защите данных (DPA) расследовать нарушения NPD.

Но почему это должно иметь значение для стартапов?

Предполагается, что NPD включает широкий спектр данных, в том числе данные, которые лишены какой-либо информации, позволяющей установить личность, данные, которые являются анонимными, и данные, которые никогда не были связаны с личными данными, такими как данные о погоде, геопространственные данные, данные телеметрии, данные о путешествиях. и т. д. Компании вкладывают технические и финансовые ресурсы, чтобы извлечь выгоду из NPD, применяя инструменты обработки и анализа данных. Такие данные включают необработанные данные (данные, собранные у источника), предполагаемые данные, ключевые бизнес-идеи (которые по своей природе являются собственностью).

Разрешение правительству доступа к закрытым данным может нарушить права компаний на интеллектуальную собственность (ИС) в отношении их наборов данных. Это также может повлиять на стартапы, которые полагаются на информацию из данных для получения конкурентного преимущества на рынке. Требование к компаниям отказаться от NPD может отбить у них охоту инвестировать в сбор, агрегацию, хранение и аналитику данных. Это может препятствовать инновациям, препятствовать развитию рынка данных и сдерживать компании от экспериментов с данными и другими активами, связанными с данными.

Целью регулирования персональных данных является обеспечение неприкосновенности частной жизни, а целью регулирования NPD является извлечение экономической выгоды. Регулирование персональных данных и NPD под одной крышей, вероятно, ослабит обе цели.

Неопределенность и проблемы соблюдения

Законопроект о защите персональных данных, как и законопроект 2019 года, классифицирует данные как конфиденциальные личные данные и важные личные данные. Конфиденциальные данные включают неисчерпывающий список регулярно обрабатываемой информации, такой как финансовые данные, данные о здоровье, генетические данные и многое другое. Важнейшие личные данные еще должны быть определены правительством. Обработка конфиденциальных данных связана с более строгими обязательствами по соблюдению требований, включая требование получения явного согласия от пользователей.

Чрезмерный характер как конфиденциальных, так и важных данных, а также способность правительства уведомлять дополнительные категории могут создать неопределенность. Это может затруднить для стартапов оценку того, как классифицировать данные и как привязать соответствие к различным категориям.

В отличие от законов о защите данных в других юрисдикциях, предлагаемый индийский закон в значительной степени сосредоточен на согласии пользователя как на правовой основе для обработки данных. Предлагаемый закон потребует от компаний получать согласие даже на рутинные операции, такие как улучшение продукта, исправление ошибок и т. д., что приведет к чрезмерному уведомлению и усталости пользователей от согласия. Он также создает два стандарта — согласие и прямое согласие — без четкого объяснения разницы между ними, что увеличивает неопределенность.

Предлагаемый регулятор данных будет иметь право назначать любого фидуциара данных (наш эквивалент тому, что GDPR называет «контроллерами данных», субъектами, которые определяют цель и средства сбора данных) в качестве фидуциара важных данных (SDF) на основе определенных критериев. . Это включает, среди прочего, объем и конфиденциальность обрабатываемых данных, использование новых технологий, обработку данных детей, компании социальных сетей, количество пользователей которых превышает определенный порог.

SDF предъявляют повышенные требования к соответствию, такие как проведение оценок воздействия на защиту данных и назначение сотрудников по защите данных. Финтех-компании, обрабатывающие финансовые данные, и любой стартап, использующий новые технологии, останутся в неведении относительно их классификации в качестве SDF.

Кроме того, в попытке создать дополнительные меры безопасности для защиты данных детей закон фактически требует, чтобы все онлайн-компании каким-либо образом ограничивали возраст своих услуг. Однако руководство по стандартам методов ограничения возраста будет поступать от регулирующего органа только на более позднем этапе, что затрудняет планирование соблюдения.

Требования к локальному хранилищу могут повлиять на конкурентоспособность стартапов

Большое количество индийских стартапов зависит от трансграничной передачи данных, например, для использования услуг поставщиков облачных услуг, расположенных за пределами Индии. Положения, препятствующие свободному потоку данных, создадут трудности для стартапов, которые не смогут получить доступ к экономически эффективным и лучшим в своем классе технологиям и инфраструктуре. Кроме того, требования к локальному хранилищу могут стать препятствием для стартапов, работающих в сфере высоких технологий (AI/ML, анализ данных) , стремящихся обслуживать потребителей по всему миру.

Законопроект 2019 года уже наложил несколько ограничений на трансграничную передачу данных. JPC в законопроекте DP предложил дополнительные бюрократические препятствия для передачи данных, такие как требование одобрения центрального правительства для передачи в соответствии с контрактом или внутригрупповыми схемами.

Свободный поток данных действует как уравнитель, позволяя стартапам конкурировать на глобальном уровне по цене и качеству, независимо от их размера. С другой стороны, непропорциональные ограничения на передачу данных могут закрыть доступ к более дешевым услугам и передовым технологиям, предлагаемым глобальными облачными платформами и международными рынками для стартапов.

Раскрытие «справедливости» алгоритмов и коммерческих секретов может повлиять на права интеллектуальной собственности стартапов

Предлагаемый закон требует, чтобы организации делились информацией о «справедливости алгоритма» с регулятором данных. Это необходимо для обеспечения прозрачности обработки и предотвращения неправильного использования алгоритмов. Неясно, что означает «справедливость» или сколько информации потребуется для раскрытия. Это также может иметь последствия для прав ИС бизнеса, особенно если алгоритм интерпретируется регулирующим органом как алгоритмический исходный код.

Законопроект о защите персональных данных также позволяет физическим лицам запрашивать у компаний передачу их личных данных себе или другой компании. Объем персональных данных, которые могут быть переданы, широк, поскольку он включает в себя данные, сгенерированные в процессе предоставления услуг пользователям, и любые данные, которые являются частью любого профиля пользователей. Это может включать конфиденциальную информацию о бизнесе.

В то время как законопроект 2019 года позволял компаниям отклонять эти запросы — если это было необходимо для защиты коммерческой тайны — JPC предлагает отменить освобождение от коммерческой тайны, раскрывая конфиденциальную деловую информацию компании конкурентам. Поскольку стартапы в значительной степени полагаются на свои информационные рвы для поддержания конкурентоспособности, это может повредить их перспективам роста.

Дополнительные сертификаты

Законопроект о ДП также предлагает установить режим сертификации и тестирования программного и аппаратного обеспечения вычислительных устройств, чтобы предотвратить утечку данных или угрозу национальной безопасности на цифровых устройствах. Это может привести к созданию новых стандартов аппаратного/программного обеспечения в дополнение к существующим местным и глобальным стандартам. Это может нарушить производственные операции и только обременит стартапы, которым, возможно, придется изменить свои аппаратные и программные системы, что приведет к увеличению затрат.

И что дальше?

Хотя в отчете JPC рекомендуется, чтобы регулятор данных учитывал интересы стартапов и малого бизнеса для поощрения инноваций, неопределенность соответствия, строгие требования к локальному хранилищу, среди прочего, могут помешать этому намерению. Таким образом, крайне важно донести озабоченность стартапов до правительства, поскольку оно обсуждает законопроект о ДП.

С этой целью Ikigai Law приглашает всех заинтересованных сторон из экосистемы обсудить влияние предлагаемой системы защиты персональных данных на виртуальном круглом столе — Unscramble: Impact Of India's Data Protection Framework For Startups 24 февраля 2022 г. в 15:00 по восточноевропейскому времени.

Забронируйте игровые автоматы сейчас