Inc42 和 Ikigai Law 的“對話”：PDP 法案標誌著政策制定者和初創企業之間的明顯分歧

已發表: 2018-09-09

“對話”詳細討論了 PDP 法案，包括初創公司必須在數據收集和處理實踐方面做出的改變

它還討論了法案的數據本地化授權將如何影響初創公司的成本效益和運營

它討論了初創公司如何在滿足征得用戶同意和分類個人數據的任務的同時控製成本

雖然電子和信息技術部 (MeitY) 已在 9 月 30 日之前就 2018 年個人數據保護法案草案（PDP 法案）徵求公眾意見，但Inc42於 9 月 7 日聯合Ikigai Law （前身 TRA） ，與初創公司組織了一次圓桌互動會議，討論該法案在議會通過後對其業務的影響。

由Inc42 創始人兼首席執行官 Vaibhav Agrawal、Ikigai Law 創始人 Anirudh Rastogi 和 Ikigai Law 政策負責人 Nehaa Chaudhari 主持， “對話”討論了 PDP 法案的關鍵點——數據本地化、數據關鍵性、同意通知給用戶，以及同意要求等。僅受邀參加的圓桌會議由初創公司創始人參加，他們提出了現有法案草案中未解決或回答的一系列挑戰。

個人數據保護法案：要點

數據採集

無論是離線還是在線，一旦法案頒布，初創公司的數據收集做法都需要改變。該法案要求數據受託人（收集或處理數據的實體）向其用戶發出通知，說明他們尋求收集的數據、收集的目的、數據是否會轉移到第三方或國外，以及如何轉移存儲，將保留多長時間，等等。

因此，該草案對個人數據的收集進行了限制，並須經通知和同意。因此，初創公司必須通知現有用戶他們的數據收集和使用做法，並獲得新的用戶同意。圓桌會議上的初創公司表示擔心，他們的大部分用戶群可能不會以所需的方式再次提供同意，從而導致他們的業務中斷。為管理、法律和金融專業人士提供互動平台的 InteractiveMedia 首席執行官 Vivek Jain 表示：“鑑於印度普通用戶的技術素養不高，並且可能無法提供詳細的同意，這個問題在印度被放大了。”

該法案主要適用於“個人數據”，即可用於識別個人的數據。但是，個人數據不限於姓名、地址等。它可以是任何可以與其他數據（甚至是公開可用的信息）結合起來以某種方式識別個人的數據。 Ikigai Law 的 Anirudh Rastogi 解釋說，例如，如果出租車公司知道有人每天都會去一家特定的咖啡店，那麼該數據集可用於識別一個獨特的個人並將構成個人信息。

雖然一些與會的初創公司認為這一個人數據條款可能是他們面臨的主要障礙之一，但一些人認為印度 PDP 法案草案並未像《通用數據保護條例》(GDPR) 那樣優先考慮“商業權” ）已經完成了。

數據本地化

對於直接或間接參與數據收集或處理屬於印度數據主體的數據的每個數據受託人，PDP 法案草案規定必須在位於印度的服務器或數據中心至少存儲一份數據副本。 此外，某些數據，例如“關鍵”數據，將由政府與提議的數據保護局 (DPA) 一起定義，將僅存儲在印度的服務器中。

因此，數據本地化要求也要求數據受託人在印度設置他們的服務器。然而，在圓桌會議上，初創公司創始人指出，選擇在印度的數據服務器比在美國和新加坡擁有數據服務器的成本更高；他們認為，這項授權還限制了初創公司的選擇，帶來了更高的管理負擔，並且從數據安全的角度來看是有害的。其他人表示，目前印度服務器上沒有各種基於雲的服務，並且不一定會本地化，因為與全球市場相比，許多此類服務的印度市場很小。

為你推薦：

資源

RBI 的賬戶聚合器框架將如何改變印度的金融科技

消息

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司：Cit...

資源

元界將如何改變印度汽車業

資源

反暴利條款對印度初創企業意味著什麼？

資源

教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……

消息

本週新時代科技股：Zomato 的麻煩仍在繼續，EaseMyTrip 發布強...

因此，數據本地化、同意通知、娛樂用戶的訪問權和被遺忘權等強制要求不僅會增加初創公司的成本，降低其利潤率，還會對其運營、效率和全球競爭力產生不利影響。

與會者還強調了創業公司需要遵守的不僅僅是 PDP 法案。他們需要遵守多項與數據相關的法律，這些法律可能是部門性的，也可能是特定於國家/地區的數據保護法，這將增加他們的負擔。

許多人認為，由於支持該問題的特別強大的遊說團體，數據本地化條款已包含在法案草案中。他們補充說，規定的高達 15 盧比的巨額罰款和刑事責任將阻礙整個初創企業的業務。

敏感的個人資料

PDP 法案草案還援引了敏感個人數據 (SPD) 的概念。敏感的個人數據包括健康數據、官方標識符（Aadhaar ID、駕駛執照等）、生物特徵數據、宗教或政治信仰以及種姓相關數據等信息。

但是，“關鍵數據”是否是 SPD 的子集尚不清楚。政府尚未概述“關鍵數據”的定義。

徵得數據負責人同意

根據 GDPR，PDP 法案也明確規定，與徵求同意相關的信息必須是免費的、全面的、明確的，並通過平權行動表明。 公司不建議在隱私政策的開頭向用戶提供預先勾選的“我同意”框，而用戶應主動勾選僅出現在隱私政策末尾的框，以確定他們有至少向下滾動政策以實際閱讀它。 Rastogi 解釋說，在這種情況下，產品團隊必須與律師密切合作，在良好的數據收集實踐和用戶體驗之間取得平衡。

除了同意之外，法案草案還賦予數據委託人某些權利，數據受託人必須在給定的時間範圍內接受這些權利。其中包括訪問權、被遺忘權等。

PDP 法案：未來的挑戰

圓桌會議列出了一些仍然模棱兩可、沒有答案的挑戰，必須在法案提交議會之前解決。考慮到的一些挑戰包括：

在印度，仍有大量數據離線處理，但 PDP 法案並未提及離線數據收集的同意模式。數據受託人在收集數據時應如何向數據委託人發送同意通知？
條例草案所訂的標准定義鬆散或根本沒有定義。
Ikigai Law 的 Nehaa Chaudhari 解釋說，為重複交易或使用物聯網設備或面部識別等新技術收集數據將變得更加困難。
藥效等研究領域的跨境數據共享將受到該法案的影響。
公司的合規成本將大幅上升，尤其會給初創企業帶來負擔。
渴望在全球範圍內提供服務的初創公司的合規性將更加困難，因為它們需要遵守不同法律規定的不同標準。
參與者還指出，人們的手機包含聯繫人的個人數據，可能會丟失；人們經常交換名片而沒有具體提及目的。他們質疑該法案將如何影響未來的這種情況？如果有人丟失了他或她的手機會怎樣？他/她是否鬚根據現行條例草案提起訴訟？

PDP 法案草案還概述了公司只能收集與數據保護機構定義的特定目的相關的特定數據。對於初創公司來說，這可能是一個主要障礙。例如，在數據收集的目的本質上仍然不可知的情況下，開展了一些試點項目。目前的法案草案沒有對此類情況作出任何明確說明。與會者補充說，如果該法案以目前的形式頒布，它將對通常通過初創公司運行的試點項目實現的顛覆性技術進步產生負面影響。

PDP法案：對話必須繼續

Inc42 和 Ikigai Law 的“對話”在所有參與者的積極參與下進行了激烈而富有洞察力的討論。從本質上講，對話突出了政策制定者和技術驅動型初創公司之間的明顯差距。需要彌合這一差距，以保持印度創業生態系統的發展勢頭。 對話必須繼續。

MeitY 對 PDP 法案草案的評論和反饋開放至 2018 年 9 月 30 日。不要忘記在為時已晚並變得更難以修復錯誤之前發出您的聲音！

更新 1：2018 年 9 月 9 日，21.46

就 2018 年印度個人數據保護法案草案提交反饋意見的日期已延長至 2018 年 9 月 30 日。