Какова будет судьба рекомендаций TRAI и циркуляра RBI после принятия законопроекта о PDP?

Около 10 дней назад Комитет экспертов под председательством судьи Шрикришны (Комитет Шрикришны), назначенный Министерством электроники и информационных технологий (MeitY) в прошлом году, опубликовал свои окончательные рекомендации о том, как должна выглядеть система защиты данных в Индии. Он также опубликовал проект закона о защите персональных данных от 2018 года (законопроект о PDP).

В этой статье я сопоставляю законопроект о PDP с рекомендациями Управления по регулированию телекоммуникаций Индии (TRAI) в отношении конфиденциальности и владения данными и диктатом Резервного банка Индии (RBI) в отношении локализации данных платежных систем. (См. здесь и здесь сопоставленные списки статей по другим аспектам законопроекта о PDP).

Итак, что, по вашему мнению, произойдет с циркуляром RBI и рекомендациями TRAI, когда (любая версия) законопроекта о PDP будет принята? Начнем с недавней истории.

В июле 2017 года правительство Индии поручило Комитету Шрикришны разработать всеобъемлющий закон о защите данных для Индии. Затем комитет выпустил официальный документ для общественного обсуждения, а позже, в январе 2018 года, провел четыре общественных консультации — по одной в Дели, Бангалоре, Хайдарабаде и Мумбаи. Шесть месяцев спустя, положив конец всем спекуляциям о сроках их выпуска, комитет представил свои окончательные рекомендации и законопроект о PDP. Между тем, в августе 2017 года TRAI начала собственные консультации по вопросам конфиденциальности, безопасности данных и владения данными в телекоммуникационном секторе. Обсуждения TRAI проходили параллельно с собственными мероприятиями Комитета Шри-Кришны и завершились тем, что регулятор электросвязи опубликовал свои рекомендации по конфиденциальности 16 июля 2018 года, менее чем за две недели до того, как Комитет Шри-Кришны выпустил свои собственные.

TRAI был не единственным регулирующим органом, который ухватился за защиту данных в ожидании публикации окончательных рекомендаций Комитета Шри Кришны. В апреле, ранее в этом году, финансовый регулятор страны — RBI — обязал локализовать данные платежных систем, что означает, что они должны храниться только в Индии. Хотя рекомендации TRAI — это всего лишь рекомендации, мандат RBI вступил в силу немедленно. Провайдеры платежных систем должны до 15 октября 2018 года выполнить норму и сообщить об этом в РБИ.

Действия TRAI и RBI не понравились Комитету Шрикришны. Вскоре после того, как TRAI выпустила свои рекомендации, сообщалось, что Комитет был расстроен сроками действия регулятора электросвязи, поскольку это задержит выпуск его собственных окончательных рекомендаций. Что касается шага RBI, на пресс-конференции, посвященной выпуску окончательных рекомендаций Комитета, судья Шрикришна высказал мнение, что финансовый регулятор поторопился со своим циркуляром. Помимо недовольства Комитета TRAI и RBI, отраслевые регулирующие органы будут играть ключевую роль в продвижении системы защиты данных в Индии. Сам судья Шрикришна ранее признавал это.

Рекомендуется для вас:

Новости

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: Cit...

Джасприт К.

31 июля 2022 г.

Ресурсы

Как Metaverse изменит индийскую автомобильную промышленность

Вайбхав С.

31 июля 2022 г.

Ресурсы

Что означает положение о борьбе со спекуляцией для индийских стартапов?

Чаранья Л.

31 июля 2022 г.

Ресурсы

Как стартапы Edtech помогают повысить квалификацию рабочей силы Индии и стать готовыми к будущему ...

Анкуш С.

31 июля 2022 г.

Новости

Технологические акции нового века на этой неделе: проблемы Zomato продолжаются, EaseMyTrip публикует...

Тапанджана Р.

31 июля 2022 г.

Функции

Индийские стартапы срезают путь в погоне за финансированием

Нихил С.

31 июля 2022 г.

Законопроект о PDP — это только первый шаг к разработке комплексной системы защиты данных для Индии. Отраслевые регулирующие органы, включая TRAI и RBI, несомненно, будут играть ключевую роль в реализации законопроекта о PDP и разработке принципов и норм конфиденциальности для соответствующих секторов. Хотя законопроект о PDP предусматривает создание нового органа — Управления по защите данных — для надзора за выполнением закона, он также требует, чтобы этот орган консультировался и работал с другими отраслевыми регулирующими органами.

Учитывая, что законопроект о PDP будет основным законом, любые действия, предпринимаемые TRAI, RBI или любым другим регулирующим органом в отношении защиты данных, должны соответствовать его положениям. Любое действие любого регулирующего органа, которое не соответствует основному закону, когда оно вступит в силу, должно быть пересмотрено. Имея это в виду, маловероятно, что всеобъемлющие рекомендации TRAI о конфиденциальности, которые расширяют его юрисдикцию далеко за пределы телекоммуникаций, превратятся в конкретное регулирование в их нынешнем виде. «Цифровая экосистема», о регулировании которой говорит регулятор телекоммуникаций, в любом случае будет регулироваться законом страны о защите данных.

TRAI расширяет свою юрисдикцию?

Попытка TRAI расширить свою юрисдикцию не нова, и ее можно проследить как минимум до 2008 года, когда она впервые предприняла попытку регулировать «услуги с добавленной стоимостью». В последнее десятилетие эти усилия по регулированию не только телекоммуникаций продолжались, хотя терминология изменилась — «услуги с добавленной стоимостью» стали «услугами приложений», «услугами Over-the-top», а теперь и «цифровыми услугами». экосистема».

Рекомендации TRAI в отношении конфиденциальности — его последняя попытка чрезмерного регулирования — отличаются от законопроекта о PDP в некоторых ключевых областях.

По мнению TRAI, пользователи владеют своей личной информацией, а контролеры данных (называемые фидуциариями данных согласно законопроекту о PDP) являются «простыми хранителями» этих данных. Законопроект о PDP не предоставляет пользователям никаких прав собственности, но создает доверительные отношения между доверенными лицами данных и пользователями, так что первые должны действовать в наилучших интересах последних.

Кроме того, хотя законопроект о PDP возлагает ответственность только на доверенных лиц по закону, а на обработчиков данных — только при определенных условиях, TRAI считает, что ответственность должны нести как контролеры, так и обработчики. Рекомендации TRAI и законопроекта о PDP также различаются в отношении локализации данных. Регулирующий орган в области телекоммуникаций не дал никаких конкретных рекомендаций по этому вопросу и передал решение Комитету Шри Кришны.

С другой стороны, законопроект о PDP определяет различные степени локализации данных для разных категорий данных и предписывает хранить и обрабатывать важные персональные данные только в Индии. Интересно, что в законопроекте не уточняется, что такое критически важные персональные данные, и оставляет это на усмотрение центрального правительства. Вполне вероятно, что правительство отнесет телекоммуникационные данные к критическим личным данным.

В отличие от рекомендаций TRAI, циркуляр RBI в целом соответствует законопроекту PDP. Однако отсутствие ясности в отношении того, что представляет собой критически важные персональные данные, является проблемой и для финансовой информации. Как и в случае с телекоммуникационными данными, вполне вероятно, что правительство отнесет финансовые данные к числу важных личных данных. Если это так, то все финансовые данные, а не только данные платежных систем, нужно будет локально хранить и обрабатывать только в Индии.

Законопроект о PDP, скорее всего, будет изменен до того, как он станет законом. Однако независимо от окончательной формы закона тот факт, что отраслевые регулирующие органы играют решающую роль в формировании индийского закона о защите данных, остается неизменным.