為什麼 2019 年個人數據保護法案下的數據保護機構必須從一開始就做好準備？

已發表: 2020-06-06

數據保護局更像是一個總體監管機構，而不是部門監管機構

印度政府決定出台個人數據保護法是一個受歡迎的舉措

重要的是，任何提議的數據授權都可供各行各業的個人使用

顧名思義，2019 年《個人數據保護法案》旨在保護公民的隱私，保護他們的個人數據不被任何實體（無論是私人公司還是國家）利用。該法案在本質上是雄心勃勃的，旨在讓個人更多地控制他們的個人數據和行使數字權利的方法。

對於像印度這樣的國家，從糟糕的數據保護法律和實踐狀態轉變為如此廣泛的框架並非易事。擬議的法律可能會對數字企業或任何與此相關的企業的運作方式產生劇烈影響。一旦框架生效，這些企業如何從個人那裡收集數據以及他們如何處理這些數據將受到某些要求和限制。

該法案旨在實現無數目標，從保護用戶權利、監控數據跨境流動到建立監管機構和創建沙箱以促進創新等等。然而，在它設定要實現的所有目標的中心，是一個很大程度上被授權的機構——數據保護局 (DPA) 或根據該法案提議的監管機構。

未來幾年，數據保護局 (DPA) 將必須履行成為印度整個數據保護框架基石的任務，並將在立法的過渡階段發揮關鍵作用。

考慮到數據保護局 (DPA) 將承擔的大量責任，根據法案提出的有關當局的第一個擔憂是其獨立性。目前，負責遴選 DPA 成員的專責委員會僅由行政人員組成。該法案的當前版本偏離了較早的草案，該草案提議在委員會中包括一名司法成員，以確保表面上的司法監督。

將司法成員或行政部門以外的利益相關者納入其中，將提高透明度，並避免對政府偏見或控制的任何恐懼。獨立性的需求勢在必行，因為擬議中的 DPA 不僅監管私人實體，還監管政府，而政府恰好是數據的最大受託人。

政府已經通過預算控制和製定對 DPA 具有約束力的政策的權力與 DPA 的運作進行了重大互動。在這種情況下，為數據保護機構增加透明度義務，以及在選擇過程中實現司法監督的措施將是一個受歡迎的舉措。

數據保護局更像是一個總體監管機構，而不是部門監管機構。其管轄範圍內的實體跨越不同的部門，例如衛生、金融、國家安全等。甚至 DPA 將要執行的職能也涵蓋了從裁決、立法、行政到諮詢職能的各個領域。

資源

RBI 的賬戶聚合器框架將如何改變印度的金融科技

消息

資源

資源

資源

消息

這樣一個涉足如此多領域的權威機構，在印度監管史上是史無前例的。以前的監管機構主要處理有限的實體。這樣的授權強調了這樣一個權威機構需要擁有最先進的技術專長。

與數據框架監管有關的問題通常涉及需要高水平技術專長的問題，除正式成員外任命技術成員將是朝著增強機構能力方向邁出的可喜一步。監管機構履行司法職能的能力也是其關鍵職能之一，在這種情況下，存在對先前司法經驗或在此類事項上接受某種形式培訓的要求很重要。

儘管與之前發布的草案相比，委託給數據保護局 (DPA) 的職能數量有所減少，但它仍然面臨著艱鉅的任務。 DPA 的職能包括監督遵守法律、為受委屈的公民提供救濟、立法和提高民眾的意識。除此之外，該法案中規定的許多原則將在未來幾天由 DPA 編纂。

在這種情況下，擬議的權力可能會負擔過重，從而影響其有效性。這樣的問題伴隨著擬議權力的單層結構，在未來可能會成為很大的問題。分層結構，在中心設有授權機構，州級或地區當局向其報告，這將減輕 DPA 的負擔，並與印度的聯邦結構產生共鳴。

很明顯，數據保護局 (DPA) 有一些繁重的工作要做。因此，立法者必須認識到健全的結構對於確保 DPA 是一個有效機構的重要性。

在談論數據保護機構 (DPA) 時，我們經常忘記提及它必須滿足的關鍵要求之一才能真正有效 - 可訪問性。由於數據具有如此普遍的性質，它屬於任何使用工具連接到互聯網或撥打電話的人，因此有必要賦予社會各階層利益相關者的數據權利。

重要的是，任何提議的數據授權都可供各行各業的個人訪問。理想情況下，與 DPA 交互的平台應該是多語言、更多圖形和更少基於文本的，以迎合廣大受眾。它必須總體上減少對掃盲（和數字掃盲）的依賴，以便更廣泛的人口，跨越經濟領域，可以向當局提出他們的擔憂。

印度政府制定個人數據保護法的決定是一個受歡迎的舉措，並將在很大程度上增強印度的數字經濟。但是，政府尚未認識到數據保護局 (DPA) 將面臨的直接負擔，以幫助政府完成該法律的過渡和實施。

為了實現該立法中提出的廣泛目標，政府必須確保從一開始就擁有強大、獨立和充分授權的權力機構。如果這樣一個權威（理想情況下構成這樣一個框架的基礎）一開始就搖搖欲墜，它可能會隨之摧毀整個結構。

[本文由 The Dialogue 的戰略參與和研究協調員 Kazim Rizvi 和 Shefali Mehta 共同撰寫]