政府が最初にスリクリシュナ司法委員会にデータ保護法の導入を命じてから約 4 年が経ち、インドはついにその実現に少しずつ近づいています。 合同議会委員会 ( JPC) は最近、2019 年個人データ保護法案 (2019 年法案) に関する待望の報告書を提出しました。 また、提案された法律の独自のバージョンを策定し、データ保護法案 (DP 法案) と名付けました。 名称の変更は、法律の適用範囲を拡大して非個人データを適用範囲に含めるという JPC の決定を反映しています。

提案された法律は、データを扱うすべての企業に対してすべきこととすべきでないことを定めています。 したがって、法律を遵守するために、スタートアップはデータの収集、保存、使用、共有の方法を再考する必要があります。 「プライバシー バイ デザイン」アプローチを採用する必要があります。つまり、システムの設計そのものにプライバシーを組み込み、そのセキュリティを確保する必要があります。 また、データに関して特定の権利を行使したいというユーザーからの要求を処理するプロセスを作成する必要があります。 これに加えて、政策決定の目的で政府とデータを共有するための技術的能力の構築、政府のハードウェアとソフトウェアの認証の取得、機密データのローカルでの保管などを行う必要があります。 これらの変更は、企業が考慮に入れなければならない重大なコンプライアンス費用をもたらし、スタートアップが提案された法律を遵守するのに十分な時間を確保することが不可欠です.

2019 年法案の文言の変更に加えて、JPC は、ソーシャル メディア プラットフォームをコンテンツの発行者として扱う、ソーシャル メディア ユーザーの必須の検証を実施する、厳格なデータ ローカリゼーション ポリシーを策定するなどの一般的な推奨事項も提示しています。 一般的な推奨事項は、すぐに規制措置につながるわけではありませんが、長期的には政府の考え方を後押しする可能性があります。 規制の将来がどうなるかを理解するために、スタートアップがこれらの推奨事項に取り組むことが重要です。

スタートアップが提案された法律の影響を理解するのを助けるために、Ikigai Law は、2022 年 2 月 24 日午後 3 時 (IST) に、バーチャル ラウンドテーブル ディスカッション「 Unscramble: Impact Of India's Data Protection Law on Startups 」を開催します。 セッション中に掘り下げられたテーマには、政府との非個人データの強制共有、国境を越えたデータの流れの制限、アルゴリズムの公平性の開示、およびスタートアップの全体的なコンプライアンスの課題が含まれます。

参加申し込みはこちら

非個人データをプライバシー法に含めることの影響

DP 法案は、個人データ保護の枠組みの範囲内で非個人データ (NPD) を規制しようとしています。 これにより、中央政府は、デジタル経済の政策を策定するために NPD にアクセスする幅広い権限を与えられ、データ保護機関 (DPA) が NPD の違反を調査する権限が与えられます。

しかし、なぜこれがスタートアップにとって重要なのでしょうか?

NPD には、個人を特定できる情報が取り除かれたデータ、匿名化されたデータ、気象データ、地理空間データ、テレメトリ データ、旅行データなどの個人データとはまったく関係のないデータなど、さまざまなデータが含まれることが想定されています。企業は、処理およびデータ分析ツールに NPD を適用することにより、NPD から価値を引き出すために技術的および財務的リソースに投資します。 このようなデータには、生データ (ソースで収集されたデータ)、推測されたデータ、重要なビジネスの洞察 (本質的に独自のもの) が含まれます。

政府が独自のデータにアクセスすることを許可すると、企業のデータセットに対する知的財産 (IP) の権利が侵害される可能性があります。 これは、市場での競争力のためにデータからの洞察に依存しているスタートアップにも影響を与える可能性があります。 企業に NPD を放棄するよう要求すると、データの収集、集約、ストレージ、および分析への投資を思いとどまらせる可能性があります。 それはイノベーションを阻害し、データ市場の発展を妨げ、企業がデータやその他のデータ関連資産を試すことを妨げる可能性があります。

個人データを規制する目的は個人のプライバシーを確​​保することであり、NPD を規制する目的は経済的価値を引き出すことです。 個人データと NPD を 1 つの傘の下で規制すると、両方の目的が希薄化する可能性があります。

不確実性とコンプライアンスの課題

DP 法案は、2019 年の法案と同様に、データを機密性の高い個人データと重要な個人データに分類しています。 機密データには、財務データ、健康データ、遺伝子データなど、定期的に処理される情報の網羅的ではないリストが含まれます。 重要な個人データは、政府によってまだ定義されていません。 機密データの処理には、ユーザーから明示的な同意を得る必要があるなど、より厳格なコンプライアンス義務が伴います。

機密データと重要データの両方の広すぎる性質と、追加のカテゴリを通知する政府の能力により、不確実性が生じる可能性があります。 スタートアップがデータを分類する方法や、さまざまなカテゴリのコンプライアンスをどのようにペグするかを評価することが難しくなる可能性があります。

他の法域のデータ保護法とは異なり、提案されているインドの法律は、データを処理するための法的根拠としてユーザーの同意に重点を置いています。 提案された法律は、企業が製品の改善、バグ修正などの日常的な操作であっても同意を得る必要があり、ユーザーの過剰な通知と同意疲れにつながります. また、同意と明示的同意という 2 つの基準が作成されますが、この 2 つの違いが明確に説明されていないため、不確実性が増しています。

提案されたデータ規制当局は、特定の基準に基づいて、任意のデータ受託者 (GDPR が「データ管理者」と呼んでいるもの、データ収集の目的と手段を決定するエンティティに相当するもの) を重要なデータ受託者 (SDF) として指定する権限を持ちます。 . これには、処理されるデータの量と機密性、新しいテクノロジーの使用、子供のデータの処理、ユーザーの特定のしきい値を超えるソーシャル メディア企業などが含まれます。

SDF は、データ保護影響評価の実施やデータ保護責任者の任命など、コンプライアンス要件を強化しています。 金融データを処理するフィンテックや、新しいテクノロジーを使用するスタートアップは、SDF としての分類について引き続き神経質になります。

さらに、子供のデータを保護するための追加の保護手段を構築するために、法律は事実上、すべてのオンライン ビジネスに何らかの方法でサービスの年齢制限を課しています。 ただし、年齢ゲーティング技術の基準に関するガイダンスは、後の段階で規制当局からのみ提供されるため、コンプライアンスを計画することは困難です.

ローカルストレージの要件は、スタートアップの競争力に影響を与える可能性があります

多くのインドの新興企業は、たとえば、インド国外にあるクラウド サービス プロバイダーのサービスを使用するために、国境を越えたデータ転送に依存しています。 データの自由な流れを妨げる規定は、費用対効果が高くクラス最高のテクノロジーとインフラストラクチャにアクセスできないスタートアップに困難をもたらします。 さらに、ローカル ストレージの要件は、世界中の消費者に対応したいという野心を持つディープ テック (AI/ML、データ分析) のスタートアップにとって障害となる可能性があります。

2019 年の法案は、すでに国境を越えたデータ転送にいくつかの制限を課しています。 JPC は、DP 法案の中で、データ転送に関する追加の官僚的なハードルを提案しています。たとえば、契約またはグループ内スキームに基づく転送には中央政府の承認を要求することです。

データの自由な流れはイコライザーとして機能し、スタートアップは規模に関係なく、価格と品質でグローバルに競争することができます。 一方、データ転送に対する過度の制限は、グローバル クラウド プラットフォームや新興企業向けの国際市場が提供する安価なサービスや最先端技術へのアクセスを遮断する可能性があります。

アルゴリズムと企業秘密の「公平性」を開示することは、スタートアップの知的財産権に影響を与える可能性があります

提案された法律は、エンティティが「アルゴリズムの公平性」に関する情報をデータ規制当局と共有することを要求しています。 これは、処理の透明性を確保し、アルゴリズムの誤用を防ぐためです。 「公平性」が何を意味するのか、どの程度の情報を開示する必要があるのか​​は不明です。 ビジネスの知的財産権にも影響を与える可能性があります。特に、アルゴリズムが規制当局によってアルゴリズムのソース コードを意味すると解釈された場合はなおさらです。

DP 法案はまた、個人が自分の個人データを自分自身または別の会社に転送するように企業に要求することを許可しています。 転送できる個人データの範囲は、ユーザーにサービスを提供する過程で発生するデータや、ユーザーのプロファイルの一部を形成するデータなど、幅広いものです。 これには、機密のビジネス上の洞察が含まれる場合があります。

2019 年の法案では、企業が企業秘密を保護するために必要な場合は、これらの要求を拒否することができましたが、JPC は企業秘密の免除を削除して、企業の機密ビジネス情報を競合他社に公開することを提案しています。 スタートアップは競争力を維持するためにデータの壕に大きく依存しているため、これは成長の見通しを損なう可能性があります。

その他の認定

DP 法案は、デジタル デバイスでのデータ漏洩や国家安全保障への脅威を防ぐために、コンピューティング デバイスのソフトウェアとハ​​ードウェアの認証とテスト制度を設定することも提案しています。 これは、既存のローカルおよびグローバル標準に加えて、新しいハードウェア/ソフトウェア標準の作成につながる可能性があります。 これは生産オペレーションを混乱させる可能性があり、ハードウェアとソフトウェアのシステムを変更しなければならない可能性があるスタートアップに負担をかけるだけであり、結果としてコストが増加します。

次は何ですか？

JPC のレポートは、データ規制当局がイノベーションを促進するために新興企業や中小企業の利益を念頭に置いておくことを推奨していますが、不確実なコンプライアンス、厳格なローカル ストレージ要件などにより、この意図が無効になる可能性があります。 このように、政府がDP法案を審議する際には、スタートアップの懸念を政府に伝えることが重要です。

この目的のために、生きがい法は、エコシステムのすべての利害関係者を招待して、提案された個人データ保護フレームワークの影響について、バーチャル円卓会議 — Unscramble: Impact of India's Data Protection Framework For Startups on 2022 年 2 月 24 日午後 3 時 (IST) で議論します。

今すぐスロットを予約