印度提议的数据保护法对初创企业意味着什么？

在政府首次委托斯里克里希纳大法官委员会制定数据保护法近四年后，印度终于接近完成它。 联合议会委员会 ( JPC) 最近提交了期待已久的关于 2019 年个人数据保护法案（2019 年法案）的报告。 它还制定了自己的拟议法律版本——将其命名为《数据保护法案》（DP 法案）。 更名反映了 JPC 决定扩大法律范围以将非个人数据包括在其范围内。

拟议的法律规定了所有处理数据的公司的注意事项。 因此，为了遵守法律，初创公司必须重新思考他们如何收集、存储、使用和共享数据。 他们必须采用“设计隐私”的方法，即将隐私嵌入到他们系统的设计中并确保其安全性。 他们还需要创建流程来处理希望对其数据行使某些权利的用户的请求。 除此之外，它还需要建立技术能力，以便与政府共享数据以用于决策、获得其硬件和软件的认证，以及在本地存储敏感数据等。 这些变化带来了公司需要考虑的巨大合规成本，初创公司必须有足够的时间来遵守拟议的法律。

除了修改 2019 年法案的文本外，JPC 还提出了一般性建议，例如将社交媒体平台视为内容发布者、强制对社交媒体用户进行验证、制定严格的数据本地化政策等。 虽然一般性建议可能不会立即转化为监管行动，但从长远来看，它们可能会推动政府的思考。 对于初创公司来说，参与这些建议很重要，这样他们才能了解监管的未来会怎样。

为了帮助初创公司了解拟议法律的影响，Ikigai Law将于 2022 年 2 月 24 日下午 3 点（IST ）举办虚拟圆桌讨论会——“解读：印度数据保护法对初创公司的影响”。 会议期间探讨的一些主题包括与政府强制共享非个人数据、限制数据跨境流动、披露算法的公平性以及初创公司面临的整体合规挑战。

将非个人数据纳入隐私法的影响

DP 法案旨在在个人数据保护框架范围内规范非个人数据 ( NPD)。 它赋予中央政府访问 NPD 以制定数字经济政策的广泛权力，并授权数据保护局 (DPA) 调查违反 NPD 的行为。

但是，为什么这对初创公司很重要？

NPD 被设想包括各种各样的数据，包括被剥离任何个人身份信息的数据、匿名数据以及从未与个人数据有任何联系的数据，例如天气数据、地理空间数据、遥测数据、旅行数据等公司投资技术和财务资源，通过处理和数据分析工具从 NPD 中获取价值。 此类数据包括原始数据（从源头收集的数据）、推断数据、关键业务洞察（本质上是专有的）。

允许政府访问专有数据可能会干扰公司对其数据集的知识产权 (IP) 权利。 这也可能影响依赖数据洞察力在市场上获得竞争优势的初创公司。 要求公司放弃 NPD 可能会阻止他们投资于数据收集、聚合、存储和分析。 它可能会阻碍创新，阻碍数据市场的发展，并阻碍公司尝试数据和其他与数据相关的资产。

规范个人数据的目的是保护个人隐私，规范NPD的目的是提取经济价值。 在一个保护伞下监管个人数据和 NPD 可能会削弱这两个目标。

不确定性和合规性挑战

DP 法案与 2019 年法案一样，将数据归类为敏感个人数据和关键个人数据。 敏感数据包括常规处理信息的非详尽列表，例如财务数据、健康数据、遗传数据等。 政府尚未定义关键的个人数据。 处理敏感数据伴随着更严格的合规义务，包括获得用户明确同意的要求。

为你推荐：

资源

RBI 的账户聚合器框架将如何改变印度的金融科技

阿米特·达斯

2022 年 7 月 31 日

消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司：Cit...

贾斯普雷特 K.

2022 年 7 月 31 日

资源

元界将如何改变印度汽车业

瓦巴夫·S。

2022 年 7 月 31 日

资源

反暴利条款对印度初创企业意味着什么？

查兰亚 L.

2022 年 7 月 31 日

资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

安库什·S。

2022 年 7 月 31 日

消息

本周新时代科技股：Zomato 的麻烦仍在继续，EaseMyTrip 发布强...

塔潘贾纳·R。

2022 年 7 月 31 日

敏感数据和关键数据的过于宽泛的性质，以及政府通知其他类别的能力，可能会造成不确定性。 这可能使初创公司难以评估如何对数据进行分类，以及如何确定不同类别的合规性。

与其他司法管辖区的数据保护法不同，拟议中的印度法律着重将用户同意作为处理数据的法律依据。 拟议的法律将要求公司即使是对产品改进、错误修复等日常操作也征得同意，从而导致用户过度通知和同意疲劳。 它还创建了两个标准——同意和明确同意——没有明确解释两者之间的区别，增加了不确定性。

拟议的数据监管机构将有权根据某些标准将任何数据受托人（我们相当于 GDPR 所称的“数据控制者”，即决定收集数据的目的和方式的实体）指定为重要数据受托人 (SDF) . 这包括处理数据的数量和敏感性、新技术的使用、儿童数据的处理、超过一定用户门槛的社交媒体公司等。

SDF 提高了合规性要求，例如进行数据保护影响评估和任命数据保护官员。 处理金融数据的金融科技公司，以及任何使用新技术的初创公司，都将在将其归类为 SDF 方面保持领先地位

此外，为了建立额外的保护措施来保护儿童数据，法律实际上要求所有在线企业以某种方式对其服务进行年龄限制。 然而，关于年龄限制技术标准的指导只会在稍后阶段由监管机构提供，因此难以规划合规性。

本地存储要求可能会影响初创公司的竞争力

大量印度初创公司依赖跨境数据传输，例如使用位于印度境外的云服务提供商的服务。 阻碍数据自由流动的规定将为初创公司带来困难——他们将无法获得具有成本效益和一流的技术和基础设施。 此外，本地存储需求可能会给希望满足全球消费者需求的深度技术（AI/ML、数据分析）初创公司带来障碍。

2019 年法案已经对跨境数据传输施加了多项限制。 JPC 在 DP 法案中提出了对数据传输设置额外的官僚障碍，例如要求中央政府批准根据合同或集团内部计划进行传输。

数据的自由流动起到了均衡器的作用，允许初创公司在价格和质量上进行全球竞争，无论其规模大小。 另一方面，对数据传输的不成比例的限制可能会阻止全球云平台和国际市场为初创企业提供更便宜的服务和尖端技术。

披露算法和商业秘密的“公平性”可能会影响初创公司的知识产权

拟议的法律要求实体与数据监管机构共享有关“算法公平性”的信息。 这是为了确保处理的透明度并防止算法的滥用。 目前尚不清楚“公平”是什么意思，或者需要披露多少信息。 它还可能对企业的知识产权产生影响，特别是如果该算法被监管机构解释为算法源代码。

DP 法案还允许个人要求公司将其个人数据转移给自己或另一家公司。 可以传输的个人数据范围很广，因为它包括在向用户提供服务的过程中产生的数据以及构成任何用户资料一部分的任何数据。 这可能包括机密的业务洞察力。

虽然 2019 年法案允许公司拒绝这些请求——如果有必要保护商业秘密——但 JPC 建议取消商业秘密豁免，将公司的机密商业信息暴露给竞争对手。 由于初创公司严重依赖其数据护城河来保持竞争力，这可能会损害其增长前景。

更多认证

DP法案还建议建立计算设备软硬件的认证和测试制度，以防止数据泄露或对数字设备的国家安全构成威胁。 除了现有的本地和全球标准之外，这可能会导致创建新的硬件/软件标准。 这可能会扰乱生产运营，只会给初创公司带来负担，他们可能不得不改变他们的硬件和软件系统，从而导致成本增加。

那么下一步是什么？

尽管 JPC 的报告建议数据监管机构牢记初创企业和小企业的利益以鼓励创新，但不确定的合规性、严格的本地存储要求等可能会挫败这一意图。 因此，在政府审议 DP 法案时，将初创企业的担忧传达给政府至关重要。

为此，Ikigai Law 邀请生态系统中的所有利益相关者在虚拟圆桌会议上讨论拟议的个人数据保护框架的影响——解读：印度数据保护框架对初创企业的影响，于 2022 年 2 月 24 日下午 3 点IST。