印度提議的數據保護法對初創企業意味著什麼？

在政府首次委託斯里克里希納大法官委員會制定數據保護法近四年後，印度終於接近完成它。 聯合議會委員會 ( JPC) 最近提交了期待已久的關於 2019 年個人數據保護法案（2019 年法案）的報告。 它還制定了自己的擬議法律版本——將其命名為《數據保護法案》（DP 法案）。 更名反映了 JPC 決定擴大法律範圍以將非個人數據包括在其範圍內。

擬議的法律規定了所有處理數據的公司的注意事項。 因此，為了遵守法律，初創公司必須重新思考他們如何收集、存儲、使用和共享數據。 他們必須採用“設計隱私”的方法，即將隱私嵌入到他們系統的設計中並確保其安全性。 他們還需要創建流程來處理希望對其數據行使某些權利的用戶的請求。 除此之外，它還需要建立技術能力，以便與政府共享數據以用於決策、獲得其硬件和軟件的認證，以及在本地存儲敏感數據等。 這些變化帶來了公司需要考慮的巨大合規成本，初創公司必須有足夠的時間來遵守擬議的法律。

除了修改 2019 年法案的文本外，JPC 還提出了一般性建議，例如將社交媒體平台視為內容髮布者、強制對社交媒體用戶進行驗證、制定嚴格的數據本地化政策等。 雖然一般性建議可能不會立即轉化為監管行動，但從長遠來看，它們可能會推動政府的思考。 對於初創公司來說，參與這些建議很重要，這樣他們才能了解監管的未來會怎樣。

為了幫助初創公司了解擬議法律的影響，Ikigai Law將於 2022 年 2 月 24 日下午 3 點（IST ）舉辦虛擬圓桌討論會——“解讀：印度數據保護法對初創公司的影響”。 會議期間探討的一些主題包括與政府強制共享非個人數據、限制數據跨境流動、披露算法的公平性以及初創公司面臨的整體合規挑戰。

將非個人數據納入隱私法的影響

DP 法案旨在在個人數據保護框架範圍內規範非個人數據 ( NPD)。 它賦予中央政府訪問 NPD 以製定數字經濟政策的廣泛權力，並授權數據保護局 (DPA) 調查違反 NPD 的行為。

但是，為什麼這對初創公司很重要？

NPD 被設想包括各種各樣的數據，包括被剝離任何個人身份信息的數據、匿名數據以及從未與個人數據有任何联系的數據，例如天氣數據、地理空間數據、遙測數據、旅行數據等公司投資技術和財務資源，通過處理和數據分析工具從 NPD 中獲取價值。 此類數據包括原始數據（從源頭收集的數據）、推斷數據、關鍵業務洞察（本質上是專有的）。

允許政府訪問專有數據可能會干擾公司對其數據集的知識產權 (IP) 權利。 這也可能影響依賴數據洞察力在市場上獲得競爭優勢的初創公司。 要求公司放棄 NPD 可能會阻止他們投資於數據收集、聚合、存儲和分析。 它可能會阻礙創新，阻礙數據市場的發展，並阻礙公司嘗試數據和其他與數據相關的資產。

規範個人數據的目的是保護個人隱私，規範NPD的目的是提取經濟價值。 在一個保護傘下監管個人數據和 NPD 可能會削弱這兩個目標。

不確定性和合規性挑戰

DP 法案與 2019 年法案一樣，將數據歸類為敏感個人數據和關鍵個人數據。 敏感數據包括常規處理信息的非詳盡列表，例如財務數據、健康數據、遺傳數據等。 政府尚未定義關鍵的個人數據。 處理敏感數據伴隨著更嚴格的合規義務，包括獲得用戶明確同意的要求。

為你推薦：

資源

RBI 的賬戶聚合器框架將如何改變印度的金融科技

阿米特·達斯

2022 年 7 月 31 日

消息

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司：Cit...

賈斯普雷特 K.

2022 年 7 月 31 日

資源

元界將如何改變印度汽車業

瓦巴夫·S。

2022 年 7 月 31 日

資源

反暴利條款對印度初創企業意味著什麼？

查蘭亞 L.

2022 年 7 月 31 日

資源

教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……

安庫什·S。

2022 年 7 月 31 日

消息

本週新時代科技股：Zomato 的麻煩仍在繼續，EaseMyTrip 發布強...

塔潘賈納·R。

2022 年 7 月 31 日

敏感數據和關鍵數據的過於寬泛的性質，以及政府通知其他類別的能力，可能會造成不確定性。 這可能使初創公司難以評估如何對數據進行分類，以及如何確定不同類別的合規性。

與其他司法管轄區的數據保護法不同，擬議中的印度法律著重將用戶同意作為處理數據的法律依據。 擬議的法律將要求公司即使是對產品改進、錯誤修復等日常操作也徵得同意，從而導致用戶過度通知和同意疲勞。 它還創建了兩個標準——同意和明確同意——沒有明確解釋兩者之間的區別，增加了不確定性。

擬議的數據監管機構將有權根據某些標準將任何數據受託人（我們相當於 GDPR 所稱的“數據控制者”，即決定收集數據的目的和方式的實體）指定為重要數據受託人 (SDF) . 這包括處理數據的數量和敏感性、新技術的使用、兒童數據的處理、超過一定用戶門檻的社交媒體公司等。

SDF 提高了合規性要求，例如進行數據保護影響評估和任命數據保護官員。 處理金融數據的金融科技公司，以及任何使用新技術的初創公司，都將在將其歸類為 SDF 方面保持領先地位

此外，為了建立額外的保護措施來保護兒童數據，法律實際上要求所有在線企業以某種方式對其服務進行年齡限制。 然而，關於年齡限制技術標準的指導只會在稍後階段由監管機構提供，因此難以規劃合規性。

本地存儲要求可能會影響初創公司的競爭力

大量印度初創公司依賴跨境數據傳輸，例如使用位於印度境外的雲服務提供商的服務。 阻礙數據自由流動的規定將為初創公司帶來困難——他們將無法獲得具有成本效益和一流的技術和基礎設施。 此外，本地存儲需求可能會給希望滿足全球消費者需求的深度技術（AI/ML、數據分析）初創公司帶來障礙。

2019 年法案已經對跨境數據傳輸施加了多項限制。 JPC 在 DP 法案中提出了對數據傳輸設置額外的官僚障礙，例如要求中央政府批准根據合同或集團內部計劃進行傳輸。

數據的自由流動起到了均衡器的作用，允許初創公司在價格和質量上進行全球競爭，無論其規模大小。 另一方面，對數據傳輸的不成比例的限制可能會阻止全球雲平台和國際市場為初創企業提供更便宜的服務和尖端技術。

披露算法和商業秘密的“公平性”可能會影響初創公司的知識產權

擬議的法律要求實體與數據監管機構共享有關“算法公平性”的信息。 這是為了確保處理的透明度並防止算法的濫用。 目前尚不清楚“公平”是什麼意思，或者需要披露多少信息。 它還可能對企業的知識產權產生影響，特別是如果該算法被監管機構解釋為算法源代碼。

DP 法案還允許個人要求公司將其個人數據轉移給自己或另一家公司。 可以傳輸的個人數據范圍很廣，因為它包括在向用戶提供服務的過程中產生的數據以及構成任何用戶資料一部分的任何數據。 這可能包括機密的業務洞察力。

雖然 2019 年法案允許公司拒絕這些請求——如果有必要保護商業秘密——但 JPC 建議取消商業秘密豁免，將公司的機密商業信息暴露給競爭對手。 由於初創公司嚴重依賴其數據護城河來保持競爭力，這可能會損害其增長前景。

更多認證

DP法案還建議建立計算設備軟硬件的認證和測試制度，以防止數據洩露或對數字設備的國家安全構成威脅。 除了現有的本地和全球標準之外，這可能會導致創建新的硬件/軟件標準。 這可能會擾亂生產運營，只會給初創公司帶來負擔，他們可能不得不改變他們的硬件和軟件系統，從而導致成本增加。

那麼下一步是什麼？

儘管 JPC 的報告建議數據監管機構牢記初創企業和小企業的利益以鼓勵創新，但不確定的合規性、嚴格的本地存儲要求等可能會挫敗這一意圖。 因此，在政府審議 DP 法案時，將初創企業的擔憂傳達給政府至關重要。

為此，Ikigai Law 邀請生態系統中的所有利益相關者在虛擬圓桌會議上討論擬議的個人數據保護框架的影響——解讀：印度數據保護框架對初創企業的影響，於 2022 年 2 月 24 日下午 3 點IST。