印度的个人数据保护法案草案和物联网：未来的挑战

已发表: 2018-09-04

在收集的每个实例中向用户发送多个冗长的通知以获得他们的同意可能会导致同意疲劳

为缺乏交互式用户界面或显示屏的设备提供通知将被证明是一项挑战

印度的物联网开发人员需要与数据保护局协调，制定切实可行的指导方针来解决这些问题

2018 年个人数据保护法案草案（PDP 法案）恰逢其时——收集和使用我们的个人数据已成为日常生活中无处不在的方面。

该法案的重点是确保知情用户同意处理所有个人数据，这标志着从 2011 年信息技术（合理的安全实践和程序以及敏感的个人数据或信息）规则（IT 规则）下的框架向前迈出了一步。根据 IT 规则，与新法案不同，只有收集、使用或披露敏感个人数据才需要用户同意。

公民现在可以高枕无忧，因为他们知道在他们不知情的情况下无法获取他们的数据。然而，该法案对同意的严格标准存在另一面。

为了使用户同意在法案下有效，它必须是自由给出的、具体的、明确的、能够撤回的，也许最重要的是——通过在收集时提供的明确而详细的通知来告知。虽然在每个阶段提供全面的通知以确保同意使用数据是一个很好的指导原则，但从理论上讲，在实践中执行可能会很棘手。

对于依赖在高度互连环境中运行的物联网 (IoT) 设备的用户来说尤其如此。为了使通知被认为是有意义的，物联网设备的用户应该能够理解他们的个人数据被使用的方式和原因，以及在敏感个人数据的情况下，使用该数据的后果。

在收集的每个实例中向用户发送多个冗长的通知以获得他们的同意可能会导致同意疲劳，并且可能不是获得有意义同意的最佳方式。

此外，为缺乏交互式用户界面或显示屏的设备提供通知也将被证明是一个挑战。印度的物联网开发人员将需要与数据保护局协调，制定解决这些问题的实用指南。

收集同意并不像定义的那么容易

该法案关于目的和收集限制的规定也可能引发一些操作挑战。该法案下的数据受托人只能出于明确、具体、合法和提前传达的目的收集个人数据。

虽然这一限制对于保护个人隐私和防止数据滥用是必要的，但对于建立在互连数据集上以得出结论的智能家居、智能汽车和智能城市等支持物联网的环境来说，它实际上可能无法执行。

例如，在相同数据集的用途不断发展的环境中，可能很难事先确定数据收集的确切目的。

消息

资源

资源

资源

消息

特征

事实上，严格的目的和收集限制甚至可能不利于某些设备和应用程序的功能，例如家庭安全系统。例如，具有视频功能的智能门铃将如何捕捉按门铃的访客的面部图像，并在不违背安装此类摄像头的初衷的情况下告知这些访客他们的图像已被捕捉？在没有任何用户界面的基于传感器的设备的情况下，这个问题更加复杂。

虽然该法案放宽了对“合理”和偶然使用个人数据的数据收集限制，但目前尚不清楚在这些情况下确定“合理性”的标准。

该条例草案在采用高标准保护个人隐私方面无疑是进步的。但是，希望遵守该法案的企业会发现在没有任何实际指导的情况下遵守其严格要求具有挑战性。鉴于不遵守该法案会招致严厉的民事和刑事处罚，明确该法案的各个方面对于数据密集型企业来说至关重要。

2018 年《个人数据保护法案》草案（“法案”）第 5 节建议，仅出于明确、具体和合法的目的处理数据。但是，该法案允许出于任何其他偶然目的处理数据，数据主体根据收集个人数据的情况和背景合理地预期个人数据将用于此目的。

该法案第 6条规定，只有在收集此类数据对于处理目的是必要的情况下，才应收集数据。

目的和收集限制背后的目的是什么？

由于数据受托人（收集和处理数据的实体）和数据委托人（正在收集和处理数据的个人）之间存在信任关系，目的限制的目的是确保收集的数据仅用于收集数据的目的，不得用于收集时未向数据主体披露的任何其他目的。收集限制的目的是确保数据最小化。

目的和收集限制有什么问题？

目的和收集限制是基于这样的假设，即为了使同意有效，模糊地提及收集目的是不够的，因此，目的需要具体。但是，这种假设的问题在于，个人数据将来可能用于的每个目的都可以在收集时确定。

但是，情况并非如此，因为数据可能需要用于收集时无法预料的某些目的。 因此，“改善用户体验”形式中的模糊目的说明就足够了，因为它是处理个人数据的有效和合法依据。

得益于预测分析和先进数据科学的力量，数据是未来战略和即时变革的推动者。正确利用数据有助于实现更好的、基于事实的决策并改善整体客户体验。

通过使用新的大数据技术，组织可以在几秒钟而不是几天，几天而不是几个月内回答问题。这种加速使企业能够对关键业务问题和挑战做出快速反应，从而建立竞争优势并提高绩效，并为复杂问题或难以分析的问题提供答案。

关于作者

本文由 Tuhina Joshi 和 Ila Tyagi 合着，他们是 Ikigai Law（前身为 TRA Law）的合伙人，这是一家专注于新兴技术的屡获殊荣的政策和律师事务所。