拟议的数据保护法将如何影响您的创业公司?

已发表: 2022-03-15

为了帮助初创公司了解拟议的数据保护法的影响,Ikigai Law 于 2 月 24 日组织了“Unscramble”

来自金融科技、教育科技、健康科技、人工智能服务领域的领先初创公司参与了讨论

提出的主要担忧是初创公司在没有数据护城河的情况下生存的能力、隔离数据集的合规挑战和成本,以及缺乏与全球数据框架的互操作性

联合议会委员会 (JPC)最近提交了关于 2019 年个人数据保护法案(2019 年法案)的报告,建议扩大法律范围,将非个人数据 (NPD) 纳入其范围,披露算法的公平性等。 一旦引入该法律,将要求初创公司重新考虑他们的数据处理实践,并考虑到大量的合规成本。

为了帮助初创企业生态系统的参与者解读拟议数据保护法的影响,Ikigai Law于 2 月 24 日组织了一场互动虚拟讨论,“解读:印度数据保护法对初创企业的影响”。

来自领先的金融科技、教育科技、健康科技、电子商务和人工智能服务公司的代表广泛参与了讨论。

在 Ikigai Law 首席合伙人 Sreenidhi Srinivasan 的带领下,讨论揭示了 2019 年法案对初创企业的影响。 它涉及将数据集分类为个人数据和 NPD 的挑战、遵守法律如何阻碍初创公司扩张、某些披露对知识产权的影响等。

监管 NPD 和其他专有数据就像要求可口可乐揭示其“秘密”配方

个人数据保护法已经制定了近五年。 在此过程中,政府抓住了利用匿名数据/商业信息 (NPD) 从中获取经济价值的想法。 目前,法律建议对个人数据和 NPD 进行监管。 它允许中央政府指导公司分享 NPD 以用于政策制定。 Sreenidhi 就法律范围的扩大、监管 NPD 的必要性以及它对依赖数据护城河以获得竞争优势的初创公司的影响寻求意见。

Florence Capital(一家借贷平台)的首席法律顾问 Ashutosh Senger 谈到了 NPD 的加入如何是平衡数据访问的一步,但专有数据资产提供的竞争优势不容忽视。 他暗示需要平衡政府将 NPD 用于社会经济目的的利益与企业的知识产权 (IP) 权利,他说:“我们如何促进国家和整个生态系统的利益或创业创新的环境。”

MyUpchar(一个医疗保健平台)的联合创始人 Manuj Garg 补充说,数据是所有初创公司的“关键货币”。 “你从你所做的工作中产生的一切都是你的知识产权。 这是什么让你在市场上的优势,让你做你正在做的事情。 说这些数据必须随后公开,基本上会扼杀业务。”

拟议法律中的其他条款可能会损害企业的知识产权,例如要求他们披露算法的“公平性”。 还没有定义“公平”的门槛,即使将来会有这样的澄清,关于算法的技术知识也不是公共知识。

“这就像要求可口可乐公开他们的秘密配方——剥夺其经营的动力,”加格补充道。

HyperVerge(一个身份验证和欺诈检测平台)的高级法律顾问 Megha Nambiar 同意,包括 NPD 会增加“很多不确定性,因为这本质上是正在被侵犯的私人数据。 数据共享有一个强制性要素,这再次成为一个问题。” 她提到缺乏促进数据共享的激励措施。

Nambiar 向会议室提出了一些问题,并想知道这种数据共享是否可以是自愿的,以及如何定价、评估和共享。

Uni Cards 的法律顾问 Sruthi Srinivasan 同意前面的发言者的观点,并质疑监管衍生/匿名数据集的必要性。

初创公司将在拟议法律的结构方式上面临巨大挑战

在立法前夕,企业将不得不重新审视其与数据相关的政策并调整其预算以遵守法律。 Sreenidhi 就公司预期的合规挑战征求意见。

Zeta(一家金融科技初创公司)的法律负责人 Aditya Shamlal 表示,目前形式的法律“合规性很重”。 并且“这项法律的真正意义将体现在针对设计隐私、被遗忘权等问题发布的法规和行为准则中。 在这些法规出台之前,您将在一个模糊的空间中运作,您需要根据 GDPR 等欧洲经验做出有根据的猜测。” 他认为,新的以数据为中心的初创公司在法律生效后将难以进入市场并进行扩张。

为你推荐:

RBI 的账户聚合器框架将如何改变印度的金融科技
资源

RBI 的账户聚合器框架将如何改变印度的金融科技

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:CitiusTech 首席执行官
消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:Cit...

元界将如何改变印度汽车业
资源

元界将如何改变印度汽车业

反暴利条款对印度初创企业意味着什么?
资源

反暴利条款对印度初创企业意味着什么?

Edtech 初创公司如何帮助提高技能并使劳动力为未来做好准备
资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

消息

本周新时代科技股:Zomato 的麻烦仍在继续,EaseMyTrip 发布强...

与会者还讨论了部门监管机构与即将到来的数据监管机构之间的相互作用。 Uni Cards 的 Sruthi 指出,金融科技领域的许多受监管实体已经将撤回同意的权利(根据拟议的数据保护法设想)纳入其标准数据实践中。 她想知道撤回同意将如何在受监管的空间中发挥作用,在该空间中,玩家需要将数据集保留为系统中的数据日志以显示以供审核。

Sruthi 表示,监管机构将不得不处理有关可以撤回和保留的信息量的问题。 “未来客户可能会联系受监管的实体并要求从系统中完全删除他们的信息。 然而,作为一个借贷平台,RBI 要求您保留这些信息,以验证您加入该客户的事实,”她说。

Urban Company(一个超本地化专家服务平台)法律负责人 Vinita Varghese 同意 Sruthi 的观点,并补充说:“当你谈到以目前起草的方式实施法律时,它是对初创公司和较小的组织,而对于尚未开始此过程的大型组织而言,这绝对是一项艰巨的任务。”

她说,拟议的法律要求公司,无论其规模大小,都必须创建数据清单,以便能够将数据分成不同的类别。 这不是一项严格的法律活动,因为它将涉及组织中的每个垂直领域。 Varghese 还表示,要让初创企业遵守法律,需要跨职能层面的意识和教育。

在这个问题的基础上,Garg 讨论了一个没有法律专业知识的普通联合创​​始人将如何努力解开个人数据、敏感和关键个人数据的含义和包含的内容。 对于不同类别的数据,有不同的同意阈值(在敏感数据的情况下获得明确同意的更高义务)。 他提到根据远程医疗指南,如果患者发起咨询,该应用程序无需征得患者的明确同意。 但根据拟议的数据法,“尚不清楚如何管理明确的同意”。 Garg 还指出了在获得硬件软件认证(为了维护数据完整性而引入)方面的模糊性,以及在软件更新时需要重新访问此类认证。

Girnarsoft.com(一家 IT 解决方案提供商)的总法律顾问 Panduranga Acharya 表示,“合规并非难事,可能会很昂贵。”

他呼吁纳入门槛,将小企业排除在更昂贵的合规要求之外。 Acharya 还发现了针对不同类别数据的不同同意标准的困难。 他说,“像敏感、关键、非敏感数据这样的分类将导致多重同意,或者会采用双极速率同意机制。 对于任何企业来说,部署这种同意机制都可能非常困难。”

加强对儿童数据的保护对教育科技企业来说是沉重的代价

Qshala(一个教育科技平台)的联合创始人 Sachin Ravi 谈到了中国和印度如何制定政策来规范教育科技行业。 他指出,将儿童定义为 18 岁以下的任何人都涉及该行业的一些参与者。 他说,“政府为教育科技提供的关于如何使用数据的指导”可能是有益的。

KidsChaupal(教育科技平台)的法律顾问 Shatakrutu Saha 表示,由于将年龄设置为 18 岁的理由来自《印度合同法》和《多数法》的规定,因此不太可能改变。 然而,他确实指出,《少年司法法》对成年年龄的理解不同。

Saha 分享了一个有趣的见解,讲述了一个 16 岁的印度人如何击败世界国际象棋冠军马格努斯卡尔森,“想象一下,如果这个孩子受到监护人同意的限制,监护人反对这个天才男孩决定在网上学习哪些课程——那是有问题的案例场景。” 他还谈到了印度与欧盟等其他全球框架在方法上的差异,后者将儿童定义为 13 至 16 岁之间的任何人。

还讨论了年龄限制机制和父母同意条款缺乏明确性。 来自 Qshala 的 Ravi 说,父母可以探索为孩子创建假名帐户,而不是放弃个人信息。 然而,问题仍然存在于使用匿名数据创建内容并向成人用户和儿童提供服务的方式上。 KidsChaupal 的 Saha 指出,年龄限制可能是基于风险的,并解释说此类措施适用于针对特定年龄组和人口统计的产品和服务,例如约会和在线游戏应用程序。 在这些应用程序和服务中,年龄限制是为了保护未成年人免受与此类服务相关的风险。

Saha 补充说,实施新功能可能会触发拟议法律中对损害或跟踪的定义。 全面禁止跟踪/分析儿童数据以及对伤害的广泛定义可能会在教育科技初创公司的产品设计和法律团队之间造成摩擦

拟议的法律需要与全球框架互操作,以推动印度的数据经济

Sreenidhi 询问房间,他们是否认为拟议的法律促进了与全球数据框架的互操作性,以及遵守法律如何影响进入全球市场。

Qure.ai(一个健康科技平台)的法律助理 Neelakshi Gupta 就全球合规性提出了几个问题——她问道:“什么是跨境数据传输? 新的标准合同条款 (SCC) 何时适用? 如果我们与客户签署 SCC,我们可以说我们遵守了Schrems II判决吗?”

在全球合规战略方面,HyperVerge 的 Nambiar 表示,由于业务涉及不同地区的供应商,全球多个数据保护框架中的数据本地化趋势令人担忧。 她说:“如果我们看到数据本地化越来越成为一种全球趋势,那么在这些地区建立本地数据中心对我们来说将是非常昂贵的。”

Urban Company 的 Varghese 同意数据本地化规定将带来合规挑战,因为不同国家似乎有不同的本地化门槛。 她说,可以制定一个对业务友好且跨司法管辖区兼容的数据本地化黄金标准。

参与初创企业关注的后续步骤

合规成本和某些规定缺乏明确性是初创公司的主要担忧。 政府将印度定位为数字经济主要参与者的目标应该伴随着一个有利的数据保护制度。 它应该允许初创公司扩大规模并进入全球市场。

目前,IT 部正在讨论 JPC 的建议,并承认法律带来的合规挑战。 对于初创企业和小企业来说,这是一个与政策制定者接触并呼吁就法律进行更广泛的公众咨询并努力寻求互利解决方案的绝佳机会。

*报价已被编辑和完善,以适应文章和上下文。

*本文由 Ikigai Law 的合伙人 Shrinidhi Rao 和 Kanupriya Grover 共同撰写