เกือบสี่ปีหลังจากที่รัฐบาลมอบหมายให้คณะกรรมการยุติธรรมศรีกฤษณะนำกฎหมายคุ้มครองข้อมูลมาใช้เป็นครั้งแรก ในที่สุดอินเดียก็ใกล้จะบรรลุผลสำเร็จในที่สุด เมื่อเร็วๆ นี้ คณะกรรมการร่วมรัฐสภา ( JPC) ได้จัดทำรายงานที่รอคอยมานานเกี่ยวกับร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ร่างกฎหมาย พ.ศ. 2562) นอกจากนี้ยังได้กำหนดกฎหมายที่เสนอในรูปแบบของตนเอง – ตั้งชื่อว่า Data Protection Bill (DP Bill) การเปลี่ยนชื่อสะท้อนให้เห็นถึงการตัดสินใจของ JPC ในการขยายขอบเขตของกฎหมายเพื่อรวมข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลไว้ภายในขอบเขต

กฎหมายที่เสนอกำหนดสิ่งที่ควรทำและไม่ควรทำสำหรับบริษัททั้งหมดที่จัดการข้อมูล ดังนั้น เพื่อให้เป็นไปตามกฎหมาย สตาร์ทอัพต้องคิดใหม่ว่าพวกเขารวบรวม จัดเก็บ ใช้ และแบ่งปันข้อมูลอย่างไร พวกเขาต้องนำแนวทาง 'ความเป็นส่วนตัวโดยการออกแบบ' มาใช้ กล่าวคือ ฝังความเป็นส่วนตัวไว้ในการออกแบบระบบของพวกเขาและรับรองความปลอดภัย พวกเขาจะต้องสร้างกระบวนการเพื่อจัดการกับคำขอจากผู้ใช้ที่ต้องการใช้สิทธิ์บางอย่างที่เกี่ยวข้องกับข้อมูลของพวกเขา นอกจากนี้ ยังต้องการการสร้างความสามารถทางเทคนิคในการแบ่งปันข้อมูลกับรัฐบาลเพื่อวัตถุประสงค์ในการกำหนดนโยบาย การขอรับการรับรองสำหรับฮาร์ดแวร์และซอฟต์แวร์ และการจัดเก็บข้อมูลที่มีความละเอียดอ่อนในเครื่อง เป็นต้น การเปลี่ยนแปลงเหล่านี้นำมาซึ่งค่าใช้จ่ายในการปฏิบัติตามข้อกำหนดที่สำคัญซึ่งบริษัทต่างๆ จะต้องคำนึงถึง และเป็นสิ่งสำคัญที่สตาร์ทอัพจะต้องมีเวลาเพียงพอในการปฏิบัติตามกฎหมายที่เสนอ

นอกเหนือจากการเปลี่ยนแปลงข้อความในร่างกฎหมาย 2019 แล้ว JPC ยังเสนอคำแนะนำทั่วไป เช่น การปฏิบัติต่อแพลตฟอร์มโซเชียลมีเดียในฐานะผู้เผยแพร่เนื้อหา การบังคับใช้การตรวจสอบที่จำเป็นของผู้ใช้โซเชียลมีเดีย การกำหนดนโยบายการแปลข้อมูลที่เข้มงวด และอื่นๆ แม้ว่าคำแนะนำทั่วไปอาจไม่แปลไปสู่การดำเนินการด้านกฎระเบียบในทันที แต่อาจผลักดันความคิดของรัฐบาลในระยะยาว เป็นสิ่งสำคัญสำหรับสตาร์ทอัพที่จะต้องปฏิบัติตามคำแนะนำเหล่านี้ เพื่อให้พวกเขาเข้าใจว่ากฎระเบียบในอนาคตจะเป็นอย่างไร

เพื่อช่วยให้สตาร์ทอัพเข้าใจผลกระทบของกฎหมายที่เสนอ Ikigai Law ได้จัดการอภิปรายแบบโต๊ะกลมเสมือนจริง — “ Unscramble: Impact Of India's Data Protection Law on Startups ” — ในวันที่ 24 กุมภาพันธ์ 2022 เวลา 15.00 น. IST หัวข้อบางส่วนที่เจาะลึกระหว่าง เซสชันรวมถึงการแบ่งปันข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลกับรัฐบาล ข้อจำกัดในการไหลของข้อมูลข้ามพรมแดน การเปิดเผยความเป็นธรรมของอัลกอริทึม และความท้าทายในการปฏิบัติตามกฎโดยรวมสำหรับสตาร์ทอัพ

สมัครที่นี่เพื่อเข้าร่วม

ผลกระทบของการรวมข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลลงในกฎหมายความเป็นส่วนตัว

DP Bill พยายามที่จะควบคุมข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล ( NPD) ภายในขอบเขตของกรอบการคุ้มครองข้อมูลส่วนบุคคล โดยให้อำนาจในวงกว้างแก่รัฐบาลกลางในการเข้าถึง NPD เพื่อกำหนดนโยบายสำหรับเศรษฐกิจดิจิทัล และให้อำนาจแก่หน่วยงานคุ้มครองข้อมูล (DPA) ในการตรวจสอบการละเมิด NPD

แต่ทำไมสิ่งนี้จึงสำคัญสำหรับสตาร์ทอัพ?

NPD ได้รับการพิจารณาให้รวมข้อมูลที่หลากหลาย รวมทั้งข้อมูลที่ถูกถอดออกจากข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ ข้อมูลที่ไม่เปิดเผยชื่อ และข้อมูลที่ไม่มีการเชื่อมโยงใดๆ กับข้อมูลส่วนบุคคล เช่น ข้อมูลสภาพอากาศ ข้อมูลภูมิสารสนเทศ ข้อมูลการวัดระยะทาง ข้อมูลการเดินทาง เป็นต้น บริษัทต่างๆ ลงทุนทรัพยากรทางเทคนิคและการเงินเพื่อรับคุณค่าจาก NPD โดยนำไปประมวลผลและเครื่องมือวิเคราะห์ข้อมูล ข้อมูลดังกล่าวรวมถึงข้อมูลดิบ (ข้อมูลที่รวบรวมจากแหล่งที่มา) ข้อมูลโดยอนุมาน ข้อมูลเชิงลึกทางธุรกิจที่สำคัญ (ซึ่งเป็นกรรมสิทธิ์โดยธรรมชาติ)

การอนุญาตให้รัฐบาลเข้าถึงข้อมูลที่เป็นกรรมสิทธิ์อาจรบกวนสิทธิ์ในทรัพย์สินทางปัญญาของบริษัท ( IP ) เหนือชุดข้อมูลของตน ซึ่งอาจส่งผลกระทบต่อสตาร์ทอัพที่ต้องอาศัยข้อมูลเชิงลึกจากข้อมูลเพื่อสร้างความได้เปรียบในการแข่งขันในตลาด การเรียกร้องให้บริษัทเลิกใช้ NPD อาจกีดกันไม่ให้ลงทุนในการเก็บรวบรวมข้อมูล การรวม การจัดเก็บและการวิเคราะห์ มันอาจขัดขวางการสร้างสรรค์นวัตกรรม ขัดขวางการพัฒนาตลาดข้อมูล และยับยั้งบริษัทจากการทดลองกับข้อมูลและทรัพย์สินอื่นๆ ที่เกี่ยวข้องกับข้อมูล

วัตถุประสงค์ของการควบคุมข้อมูลส่วนบุคคลคือการรักษาความปลอดภัยความเป็นส่วนตัวของแต่ละบุคคล และการควบคุม NPD คือการดึงมูลค่าทางเศรษฐกิจ การควบคุมข้อมูลส่วนบุคคลและ NPD ภายใต้ร่มเดียวกันมีแนวโน้มที่จะทำให้วัตถุประสงค์ทั้งสองเจือจางลง

ความไม่แน่นอนและความท้าทายในการปฏิบัติตามกฎระเบียบ

DP Bill เช่นเดียวกับร่างกฎหมาย 2019 จัดหมวดหมู่ข้อมูลเป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อนและข้อมูลส่วนบุคคลที่สำคัญ ข้อมูลที่ละเอียดอ่อนประกอบด้วยรายการข้อมูลโดยย่อของข้อมูลที่ประมวลผลเป็นประจำ เช่น ข้อมูลทางการเงิน ข้อมูลด้านสุขภาพ ข้อมูลทางพันธุกรรม และอื่นๆ รัฐบาลยังไม่ได้กำหนดข้อมูลส่วนบุคคลที่สำคัญ การประมวลผลข้อมูลที่ละเอียดอ่อนมาพร้อมกับภาระหน้าที่ในการปฏิบัติตามที่เข้มงวดยิ่งขึ้น รวมถึงข้อกำหนดในการขอความยินยอมจากผู้ใช้อย่างชัดแจ้ง

ลักษณะที่กว้างเกินไปของทั้งข้อมูลที่ละเอียดอ่อนและสำคัญ และความสามารถของรัฐบาลในการแจ้งหมวดหมู่เพิ่มเติม อาจสร้างความไม่แน่นอนได้ อาจทำให้ยากสำหรับสตาร์ทอัพในการประเมินวิธีการจัดประเภทข้อมูล และวิธีตรึงการปฏิบัติตามข้อกำหนดสำหรับหมวดหมู่ต่างๆ

ซึ่งแตกต่างจากกฎหมายคุ้มครองข้อมูลในเขตอำนาจศาลอื่นๆ กฎหมายอินเดียที่เสนอให้ มุ่งเน้น อย่างมากที่ความยินยอมของผู้ใช้เป็นพื้นฐานทางกฎหมายในการประมวลผลข้อมูล กฎหมายที่เสนอจะกำหนดให้บริษัทต่างๆ ต้องได้รับความยินยอมแม้ในการดำเนินการตามปกติ เช่น การปรับปรุงผลิตภัณฑ์ การแก้ไขข้อบกพร่อง ฯลฯ ซึ่งนำไปสู่การแจ้งเตือนที่มากเกินไปและความยินยอมสำหรับผู้ใช้ นอกจากนี้ยังสร้างสองมาตรฐาน - ความยินยอมและความยินยอมอย่างชัดแจ้ง - โดยไม่มีคำอธิบายที่ชัดเจนเกี่ยวกับความแตกต่างระหว่างทั้งสอง เพิ่มความไม่แน่นอน

ผู้ควบคุมข้อมูลที่เสนอจะมีอำนาจในการกำหนดผู้ดูแลข้อมูลใด ๆ (เทียบเท่ากับสิ่งที่ GDPR เรียกว่า "ผู้ควบคุมข้อมูล" ซึ่งเป็นหน่วยงานที่ตัดสินใจวัตถุประสงค์และวิธีการรวบรวมข้อมูล) เป็นผู้ดูแลข้อมูลที่สำคัญ (SDF) ตามเกณฑ์บางอย่าง . ซึ่งรวมถึงปริมาณและความละเอียดอ่อนของข้อมูลที่ประมวลผล การใช้เทคโนโลยีใหม่ การประมวลผลข้อมูลของเด็ก บริษัทโซเชียลมีเดียที่อยู่เหนือเกณฑ์ที่กำหนดของผู้ใช้ และอื่นๆ

SDFs ได้เพิ่มข้อกำหนดในการปฏิบัติตามข้อกำหนด เช่น การดำเนินการประเมินผลกระทบต่อการปกป้องข้อมูลและการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล Fintechs ที่ประมวลผลข้อมูลทางการเงินและการเริ่มต้นใด ๆ ที่ใช้เทคโนโลยีใหม่จะยังคงอยู่ในประเภทของพวกเขาเป็น SDFs

นอกจากนี้ ในความพยายามที่จะสร้างมาตรการป้องกันเพิ่มเติมเพื่อปกป้องข้อมูลของเด็ก กฎหมายกำหนดให้ธุรกิจออนไลน์ทั้งหมดต้องจำกัดอายุบริการของตนในลักษณะใดลักษณะหนึ่งอย่างมีประสิทธิภาพ อย่างไรก็ตาม คำแนะนำเกี่ยวกับมาตรฐานของเทคนิคการจำกัดอายุจะมาจากหน่วยงานกำกับดูแลในภายหลังเท่านั้น ทำให้ยากต่อการวางแผนการปฏิบัติตามข้อกำหนด

ความต้องการพื้นที่จัดเก็บในเครื่องอาจส่งผลต่อการแข่งขันของสตาร์ทอัพ

บริษัทสตาร์ทอัพในอินเดียจำนวนมากต้องพึ่งพาการถ่ายโอนข้อมูลข้ามพรมแดน เช่น เพื่อใช้บริการของผู้ให้บริการระบบคลาวด์ที่ตั้งอยู่นอกอินเดีย บทบัญญัติที่ขัดขวางการไหลของข้อมูลอย่างเสรีจะสร้างปัญหาให้กับสตาร์ทอัพ ซึ่งจะไม่สามารถเข้าถึงเทคโนโลยีและโครงสร้างพื้นฐานที่คุ้มค่าและดีที่สุดในระดับเดียวกัน นอกจากนี้ ข้อกำหนดด้านพื้นที่จัดเก็บในเครื่องอาจเป็นอุปสรรคสำหรับการเริ่มต้นเทคโนโลยีขั้นสูง (AI/ML, การวิเคราะห์ข้อมูล) ด้วยความทะเยอทะยานที่จะตอบสนองผู้บริโภคทั่วโลก

ร่างพระราชบัญญัติ 2019 ได้กำหนดข้อจำกัดหลายประการในการถ่ายโอนข้อมูลข้ามพรมแดนแล้ว JPC ใน DP Bill ได้เสนออุปสรรคเพิ่มเติมเกี่ยวกับระบบราชการในการถ่ายโอนข้อมูล เช่น ต้องการให้รัฐบาลกลางอนุมัติการโอนตามสัญญาหรือแผนงานภายในกลุ่ม

การไหลของข้อมูลอย่างอิสระทำหน้าที่เป็นอีควอไลเซอร์ ทำให้สตาร์ทอัพสามารถแข่งขันได้ทั่วโลกในด้านราคาและคุณภาพ โดยไม่คำนึงถึงขนาด ในทางกลับกัน ข้อ จำกัด ในการถ่ายโอนข้อมูลที่ไม่สมส่วนอาจทำให้การเข้าถึงบริการที่ถูกกว่าและเทคโนโลยีล้ำสมัยที่นำเสนอโดยแพลตฟอร์มคลาวด์ทั่วโลกและตลาดต่างประเทศสำหรับสตาร์ทอัพ

การเปิดเผย 'ความเป็นธรรม' ของอัลกอริทึมและความลับทางการค้าอาจส่งผลกระทบต่อสิทธิ์ในทรัพย์สินทางปัญญาของสตาร์ทอัพ

กฎหมายที่เสนอกำหนดให้หน่วยงานต้องแบ่งปันข้อมูลเกี่ยวกับ 'ความเป็นธรรมของอัลกอริทึม' กับผู้ควบคุมข้อมูล ทั้งนี้เพื่อให้แน่ใจว่ามีความโปร่งใสในการประมวลผลและเพื่อป้องกันการใช้อัลกอริทึมในทางที่ผิด ยังไม่ชัดเจนว่า 'ความเป็นธรรม' หมายถึงอะไร หรือต้องมีการเปิดเผยข้อมูลมากน้อยเพียงใด นอกจากนี้ยังอาจมีนัยสำหรับสิทธิ์ IP ของธุรกิจ โดยเฉพาะอย่างยิ่งหากอัลกอริทึมถูกตีความโดยผู้ควบคุมเพื่อหมายถึงซอร์สโค้ดของอัลกอริทึม

DP Bill ยังอนุญาตให้บุคคลร้องขอให้บริษัทถ่ายโอนข้อมูลส่วนบุคคลของตนไปยังตนเองหรือไปยังบริษัทอื่นได้ ขอบเขตของข้อมูลส่วนบุคคลที่สามารถถ่ายโอนได้นั้นกว้าง เนื่องจากรวมถึงข้อมูลที่สร้างขึ้นในระหว่างการให้บริการแก่ผู้ใช้และข้อมูลใดๆ ที่เป็นส่วนหนึ่งของโปรไฟล์ของผู้ใช้ ซึ่งอาจรวมถึงข้อมูลเชิงลึกทางธุรกิจที่เป็นความลับ

ในขณะที่ร่างกฎหมายปี 2019 อนุญาตให้บริษัทต่างๆ ปฏิเสธคำขอเหล่านี้ — หากจำเป็นสำหรับการปกป้องความลับทางการค้า — JPC แนะนำให้ยกเลิกการยกเว้นความลับทางการค้า โดยเปิดเผยข้อมูลทางธุรกิจที่เป็นความลับของบริษัทต่อคู่แข่ง เนื่องจากสตาร์ทอัพพึ่งพาข้อมูลของตนอย่างมากเพื่อรักษาความสามารถในการแข่งขัน จึงอาจส่งผลเสียต่อแนวโน้มการเติบโตของพวกเขา

ใบรับรองเพิ่มเติม

DP Bill ยังเสนอให้ตั้งค่าระบบการรับรองและการทดสอบสำหรับซอฟต์แวร์และฮาร์ดแวร์ของอุปกรณ์คอมพิวเตอร์เพื่อป้องกันการรั่วไหลของข้อมูลหรือภัยคุกคามต่อความมั่นคงของชาติบนอุปกรณ์ดิจิทัล ซึ่งอาจนำไปสู่การสร้างมาตรฐานฮาร์ดแวร์/ซอฟต์แวร์ใหม่ นอกเหนือจากมาตรฐานระดับท้องถิ่นและระดับโลกที่มีอยู่ สิ่งนี้สามารถขัดขวางการดำเนินการผลิต และจะเป็นภาระแก่สตาร์ทอัพที่อาจต้องปรับเปลี่ยนระบบฮาร์ดแวร์และซอฟต์แวร์ของตน ส่งผลให้ต้นทุนเพิ่มขึ้น

แล้วจะเป็นอย่างไรต่อไป?

แม้ว่ารายงานของ JPC จะแนะนำให้ผู้ควบคุมข้อมูลคำนึงถึงผลประโยชน์ของสตาร์ทอัพและธุรกิจขนาดเล็กเพื่อส่งเสริมให้เกิดนวัตกรรม แต่การปฏิบัติตามที่ไม่แน่นอน ข้อกำหนดในการจัดเก็บข้อมูลในเครื่องที่เข้มงวด และอื่นๆ อาจเอาชนะความตั้งใจนี้ได้ ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องแจ้งข้อกังวลของสตาร์ทอัพให้กับรัฐบาล เนื่องจากมีการพิจารณาถึงร่างกฎหมาย DP

ด้วยเหตุนี้ กฎหมาย Ikigai จึงเชิญผู้มีส่วนได้ส่วนเสียทั้งหมดจากระบบนิเวศเพื่อหารือเกี่ยวกับผลกระทบของเฟรมเวิร์กการปกป้องข้อมูลส่วนบุคคลที่เสนอในโต๊ะกลมเสมือน — Unscramble: Impact Of India's Data Protection Framework สำหรับการเริ่มต้น ในวันที่ 24 กุมภาพันธ์ 2022 เวลา 15.00 น. IST

จองสล็อตของคุณตอนนี้