提案されたデータ保護法はあなたのスタートアップにどのように影響しますか?

公開: 2022-03-15

スタートアップが提案されたデータ保護法の影響を理解するのを助けるために、生きがい法律は2月24日に「Unscramble」を組織しました

ディスカッションには、フィンテック、エドテック、ヘルステック、AI サービス セクターの主要なスタートアップが参加しました。

提起された主な懸念は、スタートアップがデータの堀なしで生き残る能力、コンプライアンスの課題とデータセットを分離する際のコスト、およびグローバル データ フレームワークとの相互運用性の欠如でした。

合同議会委員会 (JPC) の最近提出された 2019 年の個人データ保護法案 (2019 年法案) に関するレポートでは、法律の範囲を拡大して、非個人データ (NPD) をその範囲内に持ち込み、アルゴリズムの公平性を開示することなどを推奨しています。 この法律が導入されると、スタートアップはデータ処理の慣行を再考する必要があり、かなりのコンプライアンス コストが考慮されます。

スタートアップ エコシステムのプレイヤーが提案されたデータ保護法の影響を解読するのを助けるために、生きがい法律はインタラクティブな仮想ディスカッション「 Unscramble: スタートアップに対するインドのデータ保護法の影響」を 2 月 24 日に開催しました。

ディスカッションには、主要なフィンテック、エドテック、ヘルステック、e コマース、AI サービス企業の代表者とともに、スタートアップ コミュニティからの幅広い参加が見られました。

Ikigai Law のプリンシパル アソシエイトである Sreenidhi Srinivasan 氏が率いるこのディスカッションでは、2019 年法案がスタートアップに与える影響が明らかになりました。 データセットを個人データと NPD に分類する際の課題、法律の遵守がスタートアップの拡大をどのように妨げるか、特定の開示の IPR への影響などに触れました。

NPD やその他の独自データを規制することは、コーラにその「秘密の」処方を明らかにするよう求めるようなものです

個人データ保護法は、5 年近く前から施行されています。 その過程で、政府は匿名化されたデータ/ビジネス情報 (NPD) を利用してそこから経済的価値を引き出すという考えに気づきました。 現在、法律は個人データと NPD の両方を規制することを提案しています。 これにより、中央政府は、政策決定の目的で NPD を共有するよう企業に指示することができます。 Sreenidhi 氏は、法律の範囲の拡大、NPD を規制する必要性、および競争力のためにデータ堀に依存しているスタートアップへの影響について意見を求めました。

フローレンス キャピタル (融資プラットフォーム) の主任弁護士である Ashutosh Senger 氏は、NPD を含めることがデータへのアクセスのバランスをとるための一歩であると語りましたが、独自のデータ資産が提供する競争上の優位性は無視できません。 NPD を社会経済目的で使用する際の政府の利益と、企業の知的財産 (IP) 権とのバランスをとる必要があることをほのめかし、彼は次のように述べています。起業家精神と革新の環境。」

MyUpchar (ヘルスケア プラットフォーム) の共同設立者である Manuj Garg 氏は、データはすべてのスタートアップにとって「基軸通貨」であると付け加えました。 「あなたが行った仕事から生み出すものはすべて、あなたの知的財産です。 それが市場での優位性をもたらし、あなたがしていることを可能にします。 このデータを公開する必要があると言うのは、本質的にビジネスを台無しにします。」

提案された法律の下には、アルゴリズムの「公正さ」を開示するよう求めるなど、企業の知的財産権を損なう可能性のある他の条項があります。 「公平性」を定義するための閾値はまだありません。将来そのような明確化が行われたとしても、アルゴリズムに関する技術的ノウハウは公開された知識ではありません。

「それは、コカ・コーラに彼らの秘密の処方を明らかにするように頼むようなものです。それは、コカ・コーラから経営へのインセンティブを奪うようなものです」とガーグは付け加えました。

HyperVerge (身元確認および不正検出プラットフォーム) の上級法律顧問である Mega Nambiar 氏は、NPD を含めると、「これは本質的に侵害されている個人データであるため、ミックスに多くの不確実性が追加される. また、データ共有には必須の要素があり、これが再び問題になります。」 彼女は、データ共有を促進するインセンティブがないことをほのめかしました。

Nambiar 氏は会議室にいくつかの質問を投げかけ、そのようなデータ共有が任意であり得るかどうか、また、これがどのように価格設定され、評価され、共有されるのか疑問に思いました.

Uni Cards の法律顧問である Sruthi Srinivasan 氏は、以前のスピーカーに同意し、派生的/匿名化されたデータセットを規制する必要性に疑問を呈しました。

スタートアップ企業は、提案された法律が構造化されている方法で大きな課題に直面します

法律が施行されるまでの間、企業はデータ関連のポリシーを再検討し、法律を遵守するために予算を調整する必要があります。 Sreenidhi は、企業が予想するコンプライアンスの課題について意見を求めました。

Zeta(フィンテックの新興企業)の法務責任者である Aditya Shamlal 氏は、現在の形の法律は「コンプライアンス重視」であると述べました。 そして、「この法律の真骨頂は、プライバシー・バイ・デザイン、忘れられる権利などに関して発行される規則や行動規範に示されるでしょう。 これらの規制が制定されるまでは、GDPR のようなヨーロッパの経験に基づいて、知識に基づいた推測を行っている漠然とした空間で活動していることになります。」 彼は、新しいデータ中心の新興企業は、法律が施行されたときに市場に参入して拡大するのが難しいと感じるだろうと信じていました.

あなたにおすすめ:

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか
資力

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: CitiusTech CEO
ニュース

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...

メタバースがインドの自動車産業をどのように変革するか
資力

メタバースがインドの自動車産業をどのように変革するか

反営利条項はインドのスタートアップ企業にとって何を意味するのか?
資力

反営利条項はインドのスタートアップ企業にとって何を意味するのか?

Edtech の新興企業がどのようにスキルアップを支援し、従業員を将来に備えさせるか
資力

Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...

ニュース

今週の新時代のテック株:Zomatoのトラブルは続き、EaseMyTripはスト...

参加者は、セクター別規制当局と今後のデータ規制当局との相互作用についても議論しました。 Uni Cards の Sruthi 氏は、フィンテック分野の多くの規制対象組織が、標準的なデータ プラクティスに同意を撤回する権利 (提案されたデータ保護法の下で想定されている) を既に組み込んでいると指摘しました。 彼女は、プレーヤーがデータセットをシステム内のデータログとして保持し、監査目的で表示する必要がある規制されたスペースで、同意の撤回がどのように行われるのか疑問に思いました.

Sruthi 氏は、規制当局は、引き出して保持できる情報の量に関する問題に対処する必要があると述べました。 「将来、顧客は規制対象の組織にアプローチし、システムからの情報の完全な削除を要求する可能性があります。 ただし、融資プラットフォームである RBI では、この顧客をオンボーディングしたという事実を検証するために、その情報を保持する必要があります」と彼女は述べています。

Urban Company (ハイパーローカルの専門家サービス プラットフォーム) の法務責任者である Vinita Varghese 氏は、Sruthi 氏に同意し、次のように付け加えました。このプロセスを開始していない大規模な組織にとって、それは絶対に途方もない事業です。」

彼女は、提案された法律は、企業の規模に関係なく、データをさまざまなカテゴリに分類できるようにデータインベントリを作成することを企業に義務付けていると述べました。 これは、組織内のすべての業種が関与するため、厳密に合法的な行為ではありません。 Varghese 氏はまた、スタートアップが法律を遵守できるようにするには、機能横断的なレベルでの認識と教育が必要になると述べました。

この問題に基づいて、Garg は、法律の専門知識を持たない平均的な共同創設者が、個人データ、機密データ、重要な個人データが何を意味し、何を含むかを理解するのにどのように苦労するかについて話しました。 データのカテゴリが異なれば、同意のしきい値も異なります (機密データの場合、明示的な同意を得る義務が高まります)。 彼は、遠隔医療のガイドラインの下では、患者が診察を開始した場合、アプリは患者から明示的な同意を得る必要がないことに言及しました。 しかし、提案されたデータ法の下では、「明示的な同意がどのように管理されるかは不明」です。 Garg はまた、ハードウェア ソフトウェア認定 (データの整合性を維持するために導入されたもの) を取得する際の曖昧さ、およびソフトウェアが更新されたときにそのような認定を再検討する必要があることを指摘しました。

Girnarsoft.com (IT ソリューション プロバイダー) の法律顧問である Panduranga Acharya 氏は、「コンプライアンスは難しいものではなく、費用がかかる可能性がある」と述べています。

彼は、より費用のかかるコンプライアンス要件から中小企業を除外するためのしきい値を含めるよう求めました。 Acharya はまた、データのカテゴリごとに同意基準が異なることの難しさを特定しました。 彼は次のように述べています。 このような同意メカニズムを展開することは、どの企業にとっても非常に困難になる可能性があります。」

子供のデータの保護を強化することは、Edtech ビジネスにとって大きなコストとなります

Qshala (edtech プラットフォーム) の共同創設者である Sachin Ravi 氏は、中国とインドの両国がどのように Edtech 部門を規制する政策に取り組んでいるかについて話しました。 彼は、子供を 18 歳未満の者と定義することは、この分野の一部のプレーヤーにとって懸念事項であると指摘しました。 彼は、「データをどのように扱うことができるかについて、教育技術のための政府からのガイダンス」が有益である可能性があると述べた.

KidsChaupal (edtech プラットフォーム) の法律顧問である Shatakrutu Saha 氏は、年齢を 18 歳に設定する根拠はインドの契約法と多数派法の規定に由来するため、変更される可能性は低いと述べています。 しかし、彼は、少年司法法が成年年齢を異なる方法で理解していることを指摘しました.

Saha は、16 歳のインド人が世界のチェス チャンピオンである Magnus Carlsen を打ち負かした方法について興味深い洞察を共有しました。問題のあるケースのシナリオ。」 彼はまた、インドと EU のような他のグローバルな枠組みとのアプローチの違いについても話しました。EU では、子供を 13 歳から 16 歳までのすべての人として定義しています。

年齢ゲーティングのメカニズムと保護者の同意条項が明確でないことも議論されました。 Qshala の Ravi 氏は、保護者は個人情報を放棄するのではなく、子供用の仮名アカウントを作成することを検討できると述べました。 ただし、匿名化されたデータを使用してコンテンツを作成し、大人のユーザーと子供の両方にサービスを提供する方法については、疑問が残ります. KidsChaupal の Saha 氏は、年齢制限はリスクに基づくものである可能性があると指摘し、デートやオンライン ゲーム アプリなど、特定の年齢層や人口統計を対象とした製品やサービスには、そのような措置が講じられていると説明しました。 これらのアプリやサービスでは、未成年者をそのようなサービスに関連するリスクから保護するために、年齢制限が行われています。

サハ氏は、新機能を実装することで、提案された法律で危害または追跡の定義が開始される可能性があると付け加えました。 子供のデータの追跡/プロファイリングを全面的に禁止し、危害を広範に定義することで、製品設計と Edtech スタートアップの法務チームとの間に摩擦が生じる可能性があります。

提案された法律は、インドのデータ経済を推進するためにグローバルなフレームワークと相互運用可能である必要があります

Sreenidhi 氏は、提案された法律がグローバル データ フレームワークとの相互運用性を促進すると感じているかどうか、および法律の遵守がグローバル市場へのアクセスにどのように影響するかを質問しました。

Qure.ai (ヘルステック プラットフォーム) の法務アソシエイトである Neelakshi Gupta 氏は、グローバル コンプライアンスに関していくつかの質問を投げかけました。 新しい標準契約条項 (SCC) はいつ適用されますか? お客様と SCC に署名した場合、 Schrems II判決を順守していると言えますか?」

グローバル コンプライアンス戦略に関して、HyperVerge の Nambiar 氏は、ビジネスにはさまざまな地域のベンダーが関与しているため、世界中のいくつかのデータ保護フレームワークでデータ ローカリゼーションに向けた動きが懸念されると述べました。 彼女は、「データのローカライゼーションがよりグローバルなトレンドになるのを見ると、これらの地域のそれぞれにローカル データ センターを持つことは、私たちにとって非常に高価になるでしょう」と述べました。

Urban Company の Varghese 氏は、国によってローカリゼーションのしきい値が異なるように見えるため、データのローカリゼーション規定によってコンプライアンス上の課題が生じることに同意しました。 彼女は、ビジネスにやさしく、法域を超えて互換性のある、データ ローカリゼーションのゴールド スタンダードを開発できると述べました。

スタートアップの懸念に取り組むための次のステップ

コンプライアンスのコストと特定の条項に関する明確性の欠如は、スタートアップにとって重要な懸念事項です。 インドをデジタル経済の主要プレーヤーとして位置づけるという政府の目標には、有効なデータ保護体制が伴う必要があります。 スタートアップが規模を拡大し、グローバル市場に参入できるようにする必要があります。

現在、IT 省は JPC の勧告について議論しており、法律に伴うコンプライアンスの課題を認識しています。 これは、新興企業や中小企業が政策立案者と関わり、法律に関するより広範な公開協議を呼びかけ、相互に有益な解決策に向けて取り組む絶好の機会です。

*引用は、記事と文脈に合うように編集および改良されています。

*この記事は、いきがい法律事務所のアソシエートである Shrinidhi Rao と Kanupriya Grover によって共同執筆されました。