بعد ما يقرب من أربع سنوات من قيام الحكومة بتكليف لجنة العدل سريكريشنا لأول مرة بإدخال قانون حماية البيانات ، تقترب الهند أخيرًا من إنجازه. قدمت اللجنة البرلمانية المشتركة ( JPC) مؤخرًا تقريرها الذي طال انتظاره حول مشروع قانون حماية البيانات الشخصية لعام 2019 (مشروع قانون 2019). كما قامت بصياغة نسختها الخاصة من القانون المقترح - وأطلق عليها اسم قانون حماية البيانات (DP Bill). يعكس تغيير الاسم قرار JPC بتوسيع نطاق القانون ليشمل البيانات غير الشخصية في نطاقه.

يحدد القانون المقترح ما يجب فعله وما يجب تجنبه لجميع الشركات التي تتعامل مع البيانات. لذلك ، للالتزام بالقانون ، يجب على الشركات الناشئة إعادة التفكير في كيفية جمع البيانات وتخزينها واستخدامها ومشاركتها. يجب أن يتبنوا نهج "الخصوصية حسب التصميم" ، أي تضمين الخصوصية في تصميم نظامهم / أنظمتهم وضمان أمنها. سيحتاجون أيضًا إلى إنشاء عمليات للتعامل مع الطلبات الواردة من المستخدمين الراغبين في ممارسة حقوق معينة فيما يتعلق ببياناتهم. بالإضافة إلى ذلك ، يتطلب الأمر بناء القدرة التقنية لمشاركة البيانات مع الحكومة لأغراض صنع السياسات ، والحصول على شهادات لأجهزتهم وبرامجهم ، وتخزين البيانات الحساسة محليًا ، من بين أشياء أخرى. تجلب هذه التغييرات تكاليف امتثال كبيرة يتعين على الشركات أخذها في الاعتبار ومن الضروري أن يكون لدى الشركات الناشئة الوقت الكافي للامتثال للقانون المقترح.

بالإضافة إلى التغييرات التي تم إجراؤها على نص قانون 2019 ، تطرح JPC أيضًا توصيات عامة مثل التعامل مع منصات التواصل الاجتماعي كناشرين للمحتوى ، وفرض التحقق الإلزامي من مستخدمي وسائل التواصل الاجتماعي ، وصياغة سياسة تعريب البيانات الصارمة ، من بين أمور أخرى. في حين أن التوصيات العامة قد لا تترجم إلى إجراء تنظيمي فوري ، إلا أنها قد تدفع تفكير الحكومة على المدى الطويل. من المهم أن تتعامل الشركات الناشئة مع هذه التوصيات حتى يكون لديها إحساس بما يمكن أن يحمله مستقبل التنظيم.

لمساعدة الشركات الناشئة على فهم تأثير القانون المقترح ، تستضيف Ikigai Law مناقشة مائدة مستديرة افتراضية - " Unscramble: Impact Of India Data Protection Law on Startups " - في 24 فبراير 2022 ، في الساعة 3 مساءً بتوقيت IST. تتضمن بعض الموضوعات التي يتم التطرق إليها خلال الجلسة المشاركة الإلزامية للبيانات غير الشخصية مع الحكومة ، والقيود المفروضة على تدفق البيانات عبر الحدود ، والكشف عن عدالة الخوارزميات ، وتحدي الامتثال العام للشركات الناشئة.

قدم هنا للحضور

تأثير تضمين البيانات غير الشخصية في قانون الخصوصية

يسعى مشروع قانون DP إلى تنظيم البيانات غير الشخصية ( NPD) في نطاق إطار حماية البيانات الشخصية. يمنح الحكومة المركزية سلطات واسعة للوصول إلى NPD لصياغة سياسات للاقتصاد الرقمي وتمكين هيئة حماية البيانات (DPA) للتحقيق في انتهاكات NPD.

لكن لماذا يجب أن يكون هذا مهمًا للشركات الناشئة؟

من المتصور أن تتضمن NPD مجموعة متنوعة من البيانات ، بما في ذلك البيانات التي تم تجريدها من أي معلومات تعريف شخصية ، والبيانات مجهولة المصدر ، والبيانات التي لم يكن لها أي ارتباط مطلقًا بالبيانات الشخصية مثل بيانات الطقس والبيانات الجغرافية المكانية وبيانات القياس عن بُعد وبيانات السفر إلخ. تستثمر الشركات الموارد التقنية والمالية لاشتقاق قيمة من NPD من خلال إخضاعها لأدوات المعالجة وتحليل البيانات. تتضمن هذه البيانات البيانات الأولية (البيانات التي تم جمعها عند المصدر) ، والبيانات المستنبطة ، والرؤى التجارية الرئيسية (والتي تعتبر ملكية بطبيعتها).

قد يتداخل السماح للحكومة بالوصول إلى بيانات الملكية مع حقوق الملكية الفكرية للشركات ( IP ) على مجموعات البيانات الخاصة بها. يمكن أن يؤثر هذا أيضًا على الشركات الناشئة التي تعتمد على رؤى من البيانات للحصول على ميزة تنافسية في السوق. قد يؤدي مطالبة الشركات بالتخلي عن NPD إلى تثبيطها عن الاستثمار في جمع البيانات وتجميعها وتخزينها وتحليلاتها. قد يعيق الابتكار ، ويعيق تطوير سوق البيانات ، ويعيق الشركات عن تجربة البيانات والأصول الأخرى المتعلقة بالبيانات.

الهدف من تنظيم البيانات الشخصية هو تأمين الخصوصية الفردية ، والهدف من تنظيم NPD هو استخراج قيمة اقتصادية. من المحتمل أن يؤدي تنظيم البيانات الشخصية و NPD تحت مظلة واحدة إلى إضعاف كلا الهدفين.

تحديات عدم اليقين والامتثال

يصنف قانون DP ، مثل قانون 2019 ، البيانات على أنها بيانات شخصية حساسة وبيانات شخصية مهمة. تتضمن البيانات الحساسة قائمة غير شاملة بالمعلومات التي تتم معالجتها بشكل روتيني مثل البيانات المالية والبيانات الصحية والبيانات الجينية والمزيد. البيانات الشخصية الهامة لم تحددها الحكومة بعد. تأتي معالجة البيانات الحساسة مصحوبة بالتزامات امتثال أكثر صرامة ، بما في ذلك شرط الحصول على موافقة صريحة من المستخدمين.

الطبيعة الفضفاضة لكل من البيانات الحساسة والحرجة ، وقدرة الحكومة على إخطار الفئات الإضافية ، يمكن أن تخلق حالة من عدم اليقين. يمكن أن يجعل من الصعب على الشركات الناشئة تقييم كيفية تصنيف البيانات ، وكيفية ربط الامتثال للفئات المختلفة.

على عكس قوانين حماية البيانات في الولايات القضائية الأخرى ، يركز القانون الهندي المقترح بشكل كبير على موافقة المستخدم كأساس قانوني لمعالجة البيانات. سيتطلب القانون المقترح من الشركات الحصول على موافقة حتى بالنسبة للعمليات الروتينية مثل تحسين المنتج وإصلاح الأخطاء وما إلى ذلك ، مما يؤدي إلى الإفراط في الإخطار وإرهاق الموافقة للمستخدمين. كما أنه ينشئ معيارين - الموافقة والموافقة الصريحة - دون تفسير واضح للاختلاف بين الاثنين ، مما يزيد من حالة عدم اليقين.

سيكون لمنظم البيانات المقترح القدرة على تعيين أي جهة ائتمانية للبيانات (ما يعادل ما يسميه اللائحة العامة لحماية البيانات "مراقبو البيانات" ، الكيانات التي تقرر الغرض والوسائل من جمع البيانات) كجهة ائتمانية مهمة للبيانات (SDF) ، بناءً على معايير معينة . وهذا يشمل حجم وحساسية البيانات المعالجة ، واستخدام التقنيات الجديدة ، ومعالجة بيانات الأطفال ، وشركات الوسائط الاجتماعية التي تتجاوز عتبة معينة من المستخدمين ، من بين أمور أخرى.

زادت SDF من متطلبات الامتثال مثل إجراء تقييمات تأثير حماية البيانات وتعيين مسؤولي حماية البيانات. ستظل شركات Fintech التي تعالج البيانات المالية وأي شركة ناشئة تستخدم تقنيات جديدة على أهبة الاستعداد بشأن تصنيفها على أنها صناديق SDF

علاوة على ذلك ، في محاولة لبناء ضمانات إضافية لحماية بيانات الأطفال ، يتطلب القانون بشكل فعال من جميع الشركات عبر الإنترنت تحديد عمر خدماتهم بطريقة ما. ومع ذلك ، فإن الإرشادات الخاصة بمعايير تقنيات تحديد السن لن تأتي إلا من الجهة المنظمة في مرحلة لاحقة مما يجعل من الصعب التخطيط للامتثال.

قد تؤثر متطلبات التخزين المحلي على تنافسية الشركات الناشئة

يعتمد عدد كبير من الشركات الهندية الناشئة على عمليات نقل البيانات عبر الحدود ، على سبيل المثال ، لاستخدام خدمات موفري الخدمات السحابية الموجودين خارج الهند. ستؤدي الأحكام التي تعيق التدفق الحر للبيانات إلى خلق صعوبات للشركات الناشئة - التي لن تكون قادرة على الوصول إلى التقنيات والبنية التحتية الأفضل من حيث التكلفة والفعالية من حيث التكلفة. بالإضافة إلى ذلك ، يمكن أن تشكل متطلبات التخزين المحلي عقبات أمام الشركات الناشئة في مجال التكنولوجيا العميقة (الذكاء الاصطناعي / التعلم الآلي ، وتحليلات البيانات) التي تطمح لتلبية احتياجات المستهلكين في جميع أنحاء العالم.

فرض مشروع قانون 2019 بالفعل عدة قيود على عمليات نقل البيانات عبر الحدود. اقترحت JPC ، في مشروع قانون DP ، عقبات بيروقراطية إضافية على نقل البيانات ، مثل طلب موافقة الحكومة المركزية على عمليات النقل وفقًا لعقد أو مخططات داخل المجموعة.

يعمل التدفق الحر للبيانات كمعادل ، مما يسمح للشركات الناشئة بالمنافسة عالميًا على السعر والجودة ، بغض النظر عن حجمها. من ناحية أخرى ، يمكن للقيود غير المتناسبة على نقل البيانات أن تمنع الوصول إلى الخدمات الأرخص وأحدث التقنيات التي تقدمها المنصات السحابية العالمية والأسواق الدولية للشركات الناشئة.

قد يؤثر الكشف عن "عدالة" الخوارزميات والأسرار التجارية على حقوق الملكية الفكرية للشركات الناشئة

يتطلب القانون المقترح من الكيانات تبادل المعلومات حول "عدالة الخوارزمية" مع منظم البيانات. هذا لضمان الشفافية في المعالجة ومنع إساءة استخدام الخوارزميات. من غير الواضح ما يعنيه "العدل" أو مقدار المعلومات المطلوب الكشف عنها. يمكن أن يكون لها أيضًا آثار على حقوق الملكية الفكرية الخاصة بشركة ما ، خاصةً إذا تم تفسير الخوارزمية من قبل المنظم على أنها تعني شفرة مصدر خوارزمية.

كما يسمح قانون DP للفرد بمطالبة الشركات بنقل بياناتها الشخصية إلى أنفسهم أو إلى شركة أخرى. نطاق البيانات الشخصية التي يمكن نقلها واسع لأنه يشمل البيانات التي تم إنشاؤها في سياق تقديم الخدمات للمستخدمين وأي بيانات تشكل جزءًا من أي ملف تعريف للمستخدمين. يمكن أن يشمل ذلك رؤى تجارية سرية.

في حين أن قانون 2019 سمح للشركات برفض هذه الطلبات - إذا كان ذلك ضروريًا لحماية الأسرار التجارية - تقترح JPC إزالة إعفاء الأسرار التجارية ، مما يعرض المعلومات التجارية السرية للشركة للمنافسين. نظرًا لأن الشركات الناشئة تعتمد بشكل كبير على خنادق البيانات الخاصة بها للحفاظ على قدرتها التنافسية ، فقد يؤدي ذلك إلى الإضرار بآفاق نموها.

المزيد من الشهادات

يقترح مشروع قانون موانئ دبي أيضًا إنشاء نظام اعتماد واختبار للبرامج والأجهزة الخاصة بأجهزة الحوسبة لمنع تسرب البيانات أو تهديد الأمن القومي على الأجهزة الرقمية. قد يؤدي ذلك إلى إنشاء معايير جديدة للأجهزة / البرامج - بالإضافة إلى المعايير المحلية والعالمية الحالية. يمكن أن يؤدي ذلك إلى تعطيل عمليات الإنتاج ، ولن يؤدي إلا إلى عبء الشركات الناشئة ، التي قد تضطر إلى تغيير أنظمة أجهزتها وبرامجها ، مما يؤدي إلى زيادة التكاليف.

إذن ما هي الخطوة التالية؟

على الرغم من أن تقرير JPC يوصي بأن يضع منظم البيانات مصالح الشركات الناشئة والشركات الصغيرة في الاعتبار لتشجيع الابتكار ، والامتثال غير المؤكد ، ومتطلبات التخزين المحلية الصارمة ، من بين أمور أخرى ، يمكن أن يقضي على هذه النية. وبالتالي ، من الأهمية بمكان توصيل مخاوف الشركات الناشئة إلى الحكومة أثناء تداولها بشأن مشروع قانون DP.

تحقيقًا لهذه الغاية ، يدعو Ikigai Law جميع أصحاب المصلحة من النظام البيئي لمناقشة تأثير إطار حماية البيانات الشخصية المقترح في مائدة مستديرة افتراضية - Unscramble: تأثير إطار حماية البيانات في الهند للشركات الناشئة في 24 فبراير 2022 ، الساعة 3 مساءً بتوقيت IST.

احجز فتحاتك الآن