กฎหมายคุ้มครองข้อมูลที่เสนอจะส่งผลต่อการเริ่มต้นธุรกิจของคุณอย่างไร

เมื่อเร็วๆ นี้ คณะกรรมการร่วมของรัฐสภา (JPC) ได้จัดทำรายงาน เกี่ยวกับร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ร่างกฎหมาย พ.ศ. 2562) แนะนำให้ขยายขอบเขตของกฎหมายเพื่อให้ข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล (NPD) อยู่ในขอบเขต การเปิดเผยความเป็นธรรมของอัลกอริทึม และอื่นๆ เมื่อเริ่มใช้กฎหมายแล้ว สตาร์ทอัพจะต้องคิดใหม่เกี่ยวกับแนวทางปฏิบัติในการจัดการข้อมูล โดยคำนึงถึงต้นทุนในการปฏิบัติตามข้อกำหนดที่สำคัญ

เพื่อช่วยให้ผู้เล่นจากระบบนิเวศเริ่มต้นถอดรหัสผลกระทบของกฎหมายคุ้มครองข้อมูลที่เสนอ Ikigai Law ได้จัดการอภิปรายเสมือนจริงแบบโต้ตอบ ' Unscramble: Impact of India's Data Protection Law on Startups ' เมื่อวันที่ 24 กุมภาพันธ์

การอภิปรายเห็นการมีส่วนร่วมอย่างกว้างขวางจากชุมชนสตาร์ทอัพโดยมีตัวแทนจากบริษัทฟินเทค เอ็ดเทค เฮลท์เทค อีคอมเมิร์ซ และบริการ AI ชั้นนำ

นำโดย Sreenidhi Srinivasan ผู้ร่วมงานหลักที่ Ikigai Law การอภิปรายได้แยกผลกระทบของร่างกฎหมาย 2019 ที่มีต่อการเริ่มต้น ได้กล่าวถึงความท้าทายในการจัดหมวดหมู่ชุดข้อมูลเป็นข้อมูลส่วนบุคคลและ NPD การปฏิบัติตามกฎหมายสามารถขัดขวางการเริ่มต้นจากการขยายธุรกิจได้อย่างไร ผลกระทบด้านทรัพย์สินทางปัญญาในการเปิดเผยข้อมูลบางอย่าง และอื่นๆ

การควบคุม NPD และข้อมูลที่เป็นกรรมสิทธิ์อื่น ๆ ก็เหมือนกับการขอให้โค้กเปิดเผยสูตร 'ความลับ'

กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ดำเนินการมาเกือบห้าปีแล้ว ตลอดทางที่รัฐบาลยึดถือแนวคิดในการใช้ข้อมูล/ข้อมูลทางธุรกิจที่ไม่เปิดเผยตัวตน (NPD) เพื่อสร้างมูลค่าทางเศรษฐกิจจากมัน ปัจจุบันกฎหมายเสนอให้ควบคุมทั้งข้อมูลส่วนบุคคลและ NPD อนุญาตให้รัฐบาลกลางสั่งบริษัทต่างๆ ให้แบ่งปัน NPD เพื่อวัตถุประสงค์ในการกำหนดนโยบาย Sreenidhi แสวงหาความคิดเห็นเกี่ยวกับขอบเขตของกฎหมายที่ขยายออกไป ความจำเป็นในการควบคุม NPD และผลกระทบต่อบริษัทสตาร์ทอัพที่ต้องอาศัยข้อมูลคูเมืองเพื่อความได้เปรียบในการแข่งขัน

Ashutosh Senger หัวหน้าที่ปรึกษาของ Florence Capital (แพลตฟอร์มการให้ยืม) กล่าวถึงการรวม NPD เป็นขั้นตอนหนึ่งในการสร้างสมดุลในการเข้าถึงข้อมูล แต่ความได้เปรียบทางการแข่งขันที่ทรัพย์สินข้อมูลที่เป็นกรรมสิทธิ์มีให้นั้นไม่อาจละเลยได้ โดยชี้ให้เห็นถึงความจำเป็นในการปรับสมดุลผลประโยชน์ของรัฐบาลในการให้ NPD ใช้เพื่อวัตถุประสงค์ทางเศรษฐกิจและสังคมกับสิทธิในทรัพย์สินทางปัญญา (IP) ของธุรกิจ เขากล่าวว่า “เราจะส่งเสริมผลประโยชน์ของรัฐตลอดจนระบบนิเวศทั้งหมดหรือ สภาพแวดล้อมของผู้ประกอบการและนวัตกรรม”

Manuj Garg ผู้ร่วมก่อตั้ง MyUpchar (แพลตฟอร์มด้านการดูแลสุขภาพ) กล่าวเสริมว่าข้อมูลเป็น 'สกุลเงินหลัก' สำหรับการเริ่มต้นทั้งหมด “ทุกสิ่งที่คุณสร้างขึ้นจากงานที่คุณทำคือทรัพย์สินทางปัญญาของคุณ เป็นสิ่งที่ทำให้คุณได้เปรียบในตลาดและช่วยให้คุณทำสิ่งที่คุณกำลังทำอยู่ได้ กล่าวได้ว่าข้อมูลนี้จะต้องเปิดเผยต่อสาธารณะ โดยพื้นฐานแล้วเป็นการฆ่าธุรกิจ”

มีบทบัญญัติอื่นๆ ภายใต้กฎหมายที่เสนอซึ่งอาจส่งผลกระทบต่อสิทธิ์ในทรัพย์สินทางปัญญาของธุรกิจ เช่น ขอให้พวกเขาเปิดเผย 'ความเป็นธรรม' ของอัลกอริทึม ยังไม่มีเกณฑ์ที่จะกำหนด 'ความเป็นธรรม' และแม้ว่าการชี้แจงดังกล่าวจะเกิดขึ้นในอนาคต ความรู้ทางเทคนิคเกี่ยวกับอัลกอริทึมก็ไม่ใช่ความรู้สาธารณะ

“มันเหมือนกับการขอให้โค้กเปิดเผยสูตรลับของพวกเขา – ดึงแรงจูงใจในการดำเนินการออกไป” Garg กล่าวเสริม

Megha Nambiar ที่ปรึกษากฎหมายอาวุโสของ HyperVerge (แพลตฟอร์มการตรวจสอบตัวตนและการตรวจจับการฉ้อโกง) ตกลงว่าการรวม NPD ได้เพิ่ม "ความไม่แน่นอนจำนวนมากในการปะปนเพราะนี่เป็นข้อมูลส่วนตัวที่ถูกบุกรุก และมีองค์ประกอบที่จำเป็นในการแบ่งปันข้อมูลซึ่งจะกลายเป็นปัญหาอีกครั้ง” เธอพาดพิงถึงการขาดแรงจูงใจในการส่งเสริมการแบ่งปันข้อมูล

Nambiar ตั้งคำถามกับห้องนั้น และสงสัยว่าการแบ่งปันข้อมูลดังกล่าวอาจเป็นไปโดยสมัครใจหรือไม่ และจะตั้งราคา ให้คุณค่า และแบ่งปันได้อย่างไร

Sruthi Srinivasan ที่ปรึกษากฎหมายของ Uni Cards เห็นด้วยกับวิทยากรรุ่นก่อน ๆ และตั้งคำถามถึงความจำเป็นในการควบคุมชุดข้อมูลอนุพันธ์/ที่ไม่เปิดเผยชื่อ

สตาร์ทอัพจะเผชิญกับความท้าทายอันยิ่งใหญ่ในลักษณะที่กฎหมายที่เสนอมีโครงสร้าง

ในการดำเนินการตามกฎหมาย ธุรกิจต่างๆ จะต้องทบทวนนโยบายที่เกี่ยวข้องกับข้อมูลและปรับงบประมาณของตนเพื่อให้สอดคล้องกับกฎหมาย Sreenidhi ขอความคิดเห็นเกี่ยวกับความท้าทายด้านการปฏิบัติตามกฎระเบียบที่บริษัทคาดหวัง

Aditya Shamlal หัวหน้าฝ่ายกฎหมายของ Zeta (บริษัทสตาร์ทอัพด้านฟินเทค) กล่าวว่ากฎหมายในรูปแบบปัจจุบันคือ 'การปฏิบัติตามกฎระเบียบอย่างหนัก' และ "ฟันแท้ของกฎหมายนี้จะแสดงให้เห็นในข้อบังคับและหลักปฏิบัติที่ออกในสิ่งต่างๆ เช่น ความเป็นส่วนตัวโดยการออกแบบ สิทธิที่จะถูกลืม และอื่นๆ จนกว่ากฎระเบียบเหล่านั้นจะเกิดขึ้น คุณกำลังดำเนินการในพื้นที่ที่คลุมเครือ ซึ่งคุณกำลังทำการคาดเดาอย่างมีการศึกษาบนพื้นฐานของประสบการณ์ในยุโรป เช่น GDPR” เขาเชื่อว่าการเริ่มต้นใหม่ที่เน้นข้อมูลเป็นศูนย์กลางจะพบว่าเป็นการยากที่จะเข้าสู่ตลาดและขยายตัวเมื่อกฎหมายมีผลบังคับใช้

แนะนำสำหรับคุณ:

ทรัพยากร

วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย

อามิต ดาส

31 กรกฎาคม 2565

ข่าว

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Jaspreet K.

31 กรกฎาคม 2565

ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

วิภาวดี ส.

31 กรกฎาคม 2565

ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

จรัญญา ล.

31 กรกฎาคม 2565

ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

อังคุช เอส

31 กรกฎาคม 2565

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

ตปัญจนา ร.

31 กรกฎาคม 2565

ผู้เข้าร่วมยังได้กล่าวถึงการมีปฏิสัมพันธ์ระหว่างหน่วยงานกำกับดูแลกับหน่วยงานกำกับดูแลข้อมูลที่กำลังจะมีขึ้น Sruthi จาก Uni Cards ตั้งข้อสังเกตว่าหน่วยงานที่ได้รับการควบคุมจำนวนมากในพื้นที่ fintech ได้รวมสิทธิ์ในการเพิกถอนความยินยอมแล้ว (ภายใต้กฎหมายคุ้มครองข้อมูลที่เสนอ) ในแนวทางปฏิบัติด้านข้อมูลมาตรฐาน เธอสงสัยว่าการเพิกถอนความยินยอมจะเกิดขึ้นได้อย่างไรในพื้นที่ที่มีการควบคุมซึ่งผู้เล่นจำเป็นต้องเก็บชุดข้อมูลเป็นบันทึกข้อมูลในระบบของตนเพื่อแสดงเพื่อวัตถุประสงค์ในการตรวจสอบ

Sruthi กล่าวว่าหน่วยงานกำกับดูแลจะต้องจัดการกับคำถามเกี่ยวกับควอนตัมของข้อมูลที่สามารถถอนและเก็บรักษาได้ “ในอนาคต ลูกค้าอาจเข้าหาหน่วยงานที่ได้รับการควบคุมและขอให้ลบข้อมูลออกจากระบบโดยสมบูรณ์ อย่างไรก็ตาม เนื่องจากแพลตฟอร์มการให้กู้ยืม RBI กำหนดให้คุณต้องเก็บข้อมูลนั้นไว้เพื่อตรวจสอบข้อเท็จจริงว่าคุณได้ร่วมงานกับลูกค้ารายนี้” เธอกล่าว

Vinita Varghese หัวหน้าฝ่ายกฎหมาย Urban Company (แพลตฟอร์มบริการผู้เชี่ยวชาญ Hyperlocal) เห็นด้วยกับ Sruthi และเสริมว่า “เมื่อคุณพูดถึงการดำเนินการตามกฎหมายในลักษณะที่ร่างไว้ในปัจจุบัน มันคือการลงทุนด้านต้นทุนและเวลาสำหรับสตาร์ทอัพและ องค์กรขนาดเล็ก ในขณะที่สำหรับองค์กรขนาดใหญ่ ที่ยังไม่ได้เริ่มกระบวนการนี้ มันเป็นงานที่ยิ่งใหญ่”

เธอกล่าวว่ากฎหมายที่เสนอนี้กำหนดให้บริษัทต่างๆ โดยไม่คำนึงถึงขนาด จะต้องสร้างคลังข้อมูลเพื่อให้สามารถเก็บข้อมูลเป็นหมวดหมู่ต่างๆ ได้ นี่ไม่ใช่การฝึกปฏิบัติทางกฎหมายอย่างเคร่งครัด เนื่องจากจะเกี่ยวข้องกับทุกแนวดิ่งในองค์กร Varghese ยังกล่าวอีกว่าเพื่อให้สตาร์ทอัพปฏิบัติตามกฎหมายจะต้องมีความตระหนักและการศึกษาในระดับข้ามสายงาน

จากประเด็นนี้ Garg ได้พูดคุยถึงวิธีที่ผู้ร่วมก่อตั้งทั่วไปที่ไม่มีความเชี่ยวชาญด้านกฎหมายจะต้องดิ้นรนกับการแกะข้อมูลส่วนตัว ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนและมีความสำคัญ และรวมไว้ด้วย ด้วยหมวดหมู่ข้อมูลที่แตกต่างกัน เกณฑ์ความยินยอมที่ต่างกันก็มีตามมา (ภาระหน้าที่ที่เพิ่มขึ้นในการขอความยินยอมอย่างชัดแจ้งในกรณีที่มีข้อมูลที่ละเอียดอ่อน) เขากล่าวว่าภายใต้แนวทางการแพทย์ทางไกล หากผู้ป่วยเริ่มการปรึกษาหารือ แอปไม่จำเป็นต้องได้รับความยินยอมอย่างชัดแจ้งจากผู้ป่วย แต่ภายใต้กฎหมายข้อมูลที่เสนอ "ไม่มีความชัดเจนว่าจะมีการจัดการความยินยอมอย่างชัดแจ้งได้อย่างไร" Garg ยังชี้ให้เห็นถึงความคลุมเครือในการได้รับการรับรองซอฟต์แวร์ฮาร์ดแวร์ (ซึ่งนำมาใช้เพื่อรักษาความสมบูรณ์ของข้อมูล) และความจำเป็นในการทบทวนการรับรองดังกล่าวอีกครั้งเมื่อมีการอัปเดตซอฟต์แวร์

Panduranga Acharya ที่ปรึกษาทั่วไปจาก Girnarsoft.com (ผู้ให้บริการโซลูชันด้านไอที) กล่าวว่า "การปฏิบัติตามข้อกำหนดไม่ใช่เรื่องยาก อาจมีราคาแพง"

เขาเรียกร้องให้มีการรวมเกณฑ์เพื่อแยกธุรกิจขนาดเล็กออกจากข้อกำหนดการปฏิบัติตามกฎระเบียบที่มีราคาแพงกว่า Acharya ยังระบุถึงปัญหาด้วยมาตรฐานความยินยอมที่แตกต่างกันสำหรับข้อมูลประเภทต่างๆ เขากล่าวว่า "การจัดหมวดหมู่เช่นข้อมูลที่ละเอียดอ่อน สำคัญ และไม่ละเอียดอ่อนจะนำไปสู่การยินยอมหลายหลาก หรือจะใช้กลไกการยินยอมอัตราสองขั้ว การใช้กลไกการยินยอมดังกล่าวอาจเป็นเรื่องยากมากสำหรับธุรกิจใดๆ”

การปกป้องข้อมูลเด็กที่ปรับปรุงให้ดีขึ้นนั้นมีค่าใช้จ่ายสูงสำหรับธุรกิจ Edtech

Sachin Ravi ผู้ร่วมก่อตั้ง Qshala (แพลตฟอร์ม edtech) พูดถึงวิธีที่ทั้งจีนและอินเดียกำลังทำงานเกี่ยวกับนโยบายเพื่อควบคุมภาค edtech เขาตั้งข้อสังเกตว่าการกำหนดเด็กให้เป็นผู้ที่อายุต่ำกว่า 18 ปีเป็นเรื่องที่เกี่ยวข้องกับผู้เล่นหลายคนในภาคส่วนนี้ เขากล่าวว่า "คำแนะนำที่มาจากรัฐบาลสำหรับ edtech เกี่ยวกับวิธีการเล่นข้อมูล" อาจเป็นประโยชน์

Shatakrutu Saha ที่ปรึกษากฎหมายของ KidsChaupal (แพลตฟอร์ม edtech) ตั้งข้อสังเกตว่าเนื่องจากเหตุผลในการกำหนดอายุที่ 18 มาจากบทบัญญัติในพระราชบัญญัติสัญญาของอินเดียและพระราชบัญญัติเสียงข้างมาก จึงไม่น่าจะมีการเปลี่ยนแปลง อย่างไรก็ตาม เขาสังเกตเห็นว่าพระราชบัญญัติความยุติธรรมในเด็กและเยาวชนเข้าใจอายุของคนส่วนใหญ่แตกต่างกัน

Saha แบ่งปันข้อมูลเชิงลึกที่น่าสนใจเกี่ยวกับวิธีการที่เด็กอินเดียอายุ 16 ปีเอาชนะแชมป์หมากรุกโลก Magnus Carlsen “ลองนึกภาพว่าเด็กคนนี้ถูก จำกัด โดยความยินยอมของผู้ปกครองของเขาซึ่งคัดค้านการตัดสินใจของเด็กที่มีความสามารถคนนี้ว่าจะเรียนหลักสูตรใดทางออนไลน์— นั่นคือ สถานการณ์กรณีที่มีปัญหา” นอกจากนี้ เขายังพูดถึงความแตกต่างในแนวทางระหว่างอินเดียกับกรอบการทำงานระดับโลกอื่นๆ เช่นสหภาพยุโรป ซึ่งกำหนดเด็กว่าเป็นใครก็ตามที่มีอายุระหว่าง 13-16 ปี

ยังกล่าวถึงการขาดความชัดเจนเกี่ยวกับกลไกการจำกัดอายุและข้อกำหนดความยินยอมของผู้ปกครอง Ravi จาก Qshala กล่าวว่าผู้ปกครองสามารถสำรวจการสร้างบัญชีนามแฝงสำหรับเด็กแทนที่จะให้ข้อมูลส่วนบุคคล อย่างไรก็ตาม คำถามยังคงสะท้อนถึงรูปแบบของการใช้ข้อมูลที่ไม่เปิดเผยตัวตนเพื่อสร้างเนื้อหาและให้บริการแก่ทั้งผู้ใช้ที่เป็นผู้ใหญ่และเด็ก Saha จาก KidsChaupal ตั้งข้อสังเกตว่าการจำกัดอายุอาจขึ้นอยู่กับความเสี่ยง โดยอธิบายว่ามีการใช้มาตรการดังกล่าวสำหรับผลิตภัณฑ์และบริการที่กำหนดเป้าหมายกลุ่มอายุและข้อมูลประชากรที่เฉพาะเจาะจง เช่น แอปหาคู่และเกมออนไลน์ ในแอปและบริการเหล่านี้ มีการกำหนดอายุเพื่อป้องกันผู้เยาว์จากความเสี่ยงที่เกี่ยวข้องกับบริการดังกล่าว

สฮากล่าวเสริมว่าการใช้คุณสมบัติใหม่อาจก่อให้เกิดคำจำกัดความของอันตรายหรือการติดตามในกฎหมายที่เสนอ ข้อห้ามครอบคลุมในการติดตาม/จัดทำโปรไฟล์ข้อมูลเด็กและคำจำกัดความกว้างๆ ของอันตรายอาจสร้างความขัดแย้งระหว่างการออกแบบผลิตภัณฑ์และทีมกฎหมายในบริษัทสตาร์ทอัพด้าน edtech

กฎหมายที่เสนอต้องทำงานร่วมกับกรอบการทำงานระดับโลกเพื่อขับเคลื่อนเศรษฐกิจข้อมูลของอินเดีย

Sreenidhi ถามห้องนี้ว่าพวกเขารู้สึกว่ากฎหมายที่เสนอนี้ส่งเสริมการทำงานร่วมกันกับกรอบข้อมูลทั่วโลกหรือไม่ และการปฏิบัติตามกฎหมายจะส่งผลต่อการเข้าถึงตลาดทั่วโลกอย่างไร

Neelakshi Gupta ผู้ช่วยฝ่ายกฎหมายของ Qure.ai (แพลตฟอร์ม healthtech) ตั้งคำถามหลายข้อในแง่ของการปฏิบัติตามข้อกำหนดทั่วโลก เธอถามว่า "อะไรถือเป็นการถ่ายโอนข้อมูลข้ามพรมแดน? Standard Contractual Clauses (SCC) ใหม่จะมีผลบังคับใช้เมื่อใด หากเราลงนามใน SCC กับลูกค้าของเรา เราจะพูดได้ไหมว่าเราปฏิบัติตามคำตัดสินของ Schrems II ”

ในแง่ของกลยุทธ์การปฏิบัติตามข้อกำหนดทั่วโลก Nambiar จาก HyperVerge กล่าวว่าการย้ายไปสู่การโลคัลไลซ์เซชั่นข้อมูลในเฟรมเวิร์กการปกป้องข้อมูลต่างๆ ทั่วโลกนั้นมีความเกี่ยวข้องเนื่องจากธุรกิจเกี่ยวข้องกับผู้ขายในภูมิภาคต่างๆ เธอกล่าวว่า "ถ้าเราเห็นว่าการโลคัลไลเซชันข้อมูลกลายเป็นเทรนด์ระดับโลกมากขึ้น การมีศูนย์ข้อมูลในพื้นที่ในแต่ละภูมิภาคเหล่านี้จะมีราคาแพงมากสำหรับเรา"

Varghese จาก Urban Company ตกลงว่าข้อกำหนดการแปลข้อมูลจะสร้างความท้าทายในการปฏิบัติตามข้อกำหนด เนื่องจากประเทศต่างๆ ดูเหมือนจะมีเกณฑ์ที่แตกต่างกันสำหรับการแปลเป็นภาษาท้องถิ่น เธอกล่าวว่ามาตรฐานทองคำสำหรับการแปลข้อมูลสามารถพัฒนาได้ซึ่งเป็นมิตรกับธุรกิจและเข้ากันได้ข้ามเขตอำนาจศาล

ก้าวต่อไปในการรับมือกับความกังวลของสตาร์ทอัพ

ค่าใช้จ่ายในการปฏิบัติตามข้อกำหนดและการขาดความชัดเจนเกี่ยวกับข้อกำหนดบางประการเป็นข้อกังวลหลักสำหรับการเริ่มต้น เป้าหมายของรัฐบาลในการวางตำแหน่งอินเดียในฐานะผู้เล่นหลักในเศรษฐกิจดิจิทัลควรควบคู่ไปกับระบอบการปกป้องข้อมูลที่เปิดใช้งาน ควรอนุญาตให้สตาร์ทอัพขยายขนาดและเจาะตลาดโลกได้

ขณะนี้กระทรวงไอทีกำลังหารือเกี่ยวกับข้อเสนอแนะของ JPC และรับทราบถึงความท้าทายในการปฏิบัติตามกฎหมายที่มาพร้อมกับกฎหมาย นี่เป็นโอกาสที่ดีสำหรับสตาร์ทอัพและธุรกิจขนาดเล็กที่จะมีส่วนร่วมกับผู้กำหนดนโยบายและเรียกร้องให้มีการปรึกษาหารือสาธารณะในวงกว้างเกี่ยวกับกฎหมายและทำงานเพื่อแก้ไขปัญหาที่เป็นประโยชน์ร่วมกัน

*คำพูดได้รับการแก้ไขและปรับปรุงให้เหมาะสมกับบทความและบริบท

*บทความนี้ร่วมเขียนโดย Shrinidhi Rao และ Kanupriya Grover ผู้ร่วมงานที่ Ikigai Law