Permettre la construction de la souveraineté des données via le pouvoir exécutif de la surveillance de masse

Publié: 2020-08-30

La souveraineté des données est déployée comme un outil pour saper les règles obligatoires de confidentialité des données et les principes d'autodétermination, de limitation des finalités et de minimisation des données

La notion actuelle de souveraineté des données donne lieu à des «pots de miel» de données personnelles et non personnelles tentantes qui soulèvent des questions de sécurité

Les lois sur la protection de la vie privée devraient être conçues de manière à respecter la libre circulation des données

Il y a quarante-quatre ans, le rapport du comité de l'Église révélait les malversations de la présidence américaine dans la manière dont elle avait initié ou encouragé les activités de renseignement pour mener des opérations de recherche intérieures. Les opérations ont été utilisées pour surveiller les opposants politiques, les citoyens subversifs et les voix dissidentes - comme Martin Luther King, Muhammad Ali, Norman Mailer, Howard Baker, etc.

Un comité d'experts encadré par le ministère de l'Électronique et des Technologies de l'information (Meity) a récemment publié un rapport sur le cadre de gouvernance des données non personnelles (NPD). Le rapport suggère que le gouvernement peut collecter et utiliser le NPD "à des fins de sécurité nationale, à des fins légales, etc." La politique les qualifie d'objectifs souverains, notamment la cybersécurité, la protection des infrastructures physiques, l'application de la loi, la cartographie des pandémies, etc.

Ce langage large peut susciter des inquiétudes concernant la surveillance de l'État et potentiellement décourager les consommateurs de partager des données avec le gouvernement ou avec des entreprises, ce qui freine l'innovation et la croissance. De plus, l'article 35 du projet de loi sur la protection des données personnelles, 2019, accorde des pouvoirs illimités au gouvernement pour collecter des données sans consentement et désormais accéder aux données non personnelles. C'est un fourrage parfait pour améliorer les futures capacités de surveillance du gouvernement en mélangeant des ensembles de données personnelles et non personnelles.

Par exemple, les cellules de gestion des ressources d'application des télécommunications (cellules TERM) sont responsables de l'interception et de la surveillance légales du trafic Internet/des appels passant par le réseau des fournisseurs de services Internet et de télécommunications indiens, en particulier à des fins de sécurité nationale. Cela permet à TERM Cells de traiter d'énormes quantités de NPD comme - les détails de localisation, les détails des enregistrements d'appels, la liste complète des abonnés, les enregistrements de données pour les tentatives d'appel même infructueuses, les MSISDN (aide à mapper l'identité de l'abonné au numéro de téléphone), IMEI, durée d'appel, Type de connexion, etc.

Bien que ces NPD en silos puissent ne pas causer de préjudice, une fois agrégés, ils peuvent être utilisés pour la réidentification d'un individu, ce qui équivaut à une violation de l'autonomie, de la dignité humaine et de la vie privée d'un individu.

La souveraineté des données est déployée comme un outil pour saper les règles obligatoires de confidentialité des données et les principes d'autodétermination, de limitation des finalités et de minimisation des données. Dans un pays démocratisé, si la souveraineté des données doit être respectée, un cadre de protection des données qui respecte les droits fondamentaux garantis par la constitution est vital.

La notion actuelle de souveraineté des données donne lieu à des «pots de miel» de données personnelles et non personnelles alléchantes qui soulèvent des questions de sécurité. Ainsi, pour renforcer les principes de souveraineté des données, l'Inde a besoin de mesures de sécurité plus robustes comme un cryptage robuste, des outils d'anonymat et des exigences d'audit indépendant.

Recommandé pour vous:

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde
Ressources

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via « Jugaad » : PDG de CitiusTech
Nouvelles

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...

Comment Metaverse va transformer l'industrie automobile indienne
Ressources

Comment Metaverse va transformer l'industrie automobile indienne

Que signifie la disposition anti-profit pour les startups indiennes ?
Ressources

Que signifie la disposition anti-profit pour les startups indiennes ?

Comment les startups Edtech aident à améliorer les compétences et à préparer la main-d'œuvre pour l'avenir
Ressources

Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...

Nouvelles

Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...

Le piège de l'anonymisation

Les lois sur la protection de la vie privée devraient être conçues de manière à respecter la libre circulation des données. La libre circulation alimente l'économie, optimise le fonctionnement des institutions et favorise les normes de liberté. Avant de promulguer une autre législation sur la vie privée, les décideurs politiques devraient mettre en balance les avantages du partage d'informations sans entrave avec ses risques, puis calibrer les réglementations existantes.

Cependant, les législateurs ont mis en place une solution miracle parfaite - l'anonymisation - qui les a dispensés de la nécessité de se livrer à un exercice d'équilibre transparent. L'anonymisation a libéré les décideurs politiques en les incitant à effleurer le calcul et l'équilibrage des valeurs compensatoires telles que la sécurité, l'innovation et la libre circulation de l'information. L'importance excessive et la foi en l'anonymisation sont toujours répandues, même après que les chercheurs ont prouvé que l'anonymisation n'est pas une panacée.

Le rapport du comité d'experts est également d'accord avec cette conclusion selon laquelle :

"Même le NPD, y compris les données anonymisées, pourrait fournir des informations collectives qui pourraient ouvrir la voie à des préjudices collectifs (abus d'exploitation ou discriminatoires) contre les communautés". Le rapport identifie également neuf techniques différentes d'anonymisation telles que l'anonymat k, la diversité l, la proximité T, l'anonimatron et les techniques de confidentialité différentielle.

Cependant, aucun d'entre eux ne s'est avéré totalement adéquat pour éviter les fuites d'informations. La mort de l'anonymisation rendra les lois de l'État incontrôlables, et les législateurs devront trouver un nouveau moyen de retrouver l'ordre perdu et ainsi la souveraineté des données. Le principal pilier de toute loi sur la protection des données est ses garanties de sécurité, et si celles-ci s'avèrent inefficaces, cela signifie que les droits du principal des données sont dans un trou noir.

La souveraineté des données est le droit de propriété des données dévolu à un individu et les outils d'anonymat inefficaces envahissent les droits du principal des données comme le droit à la vie privée, la liberté de choisir, le droit à l'effacement, etc.

Souveraineté des données – Du vieux vin dans une nouvelle bouteille ?

Le juge Chelameswar, dans son opinion dans KS Puttaswamy c. Union de l'Inde, a déclaré: «Les constitutions comme la nôtre sont des moyens par lesquels les individus - le «peuple de l'Inde» du préambule - créent «l'État», une nouvelle entité pour servir leurs intérêts et être responsables devant eux et lui transfèrent une partie de leur souveraineté ». Depuis des temps immémoriaux, les citoyens ont cédé leur souveraineté au gouvernement en échange de la sauvegarde de leurs droits et, à l'ère numérique, de leurs droits à l'information.

Ce n'est pas un nouveau concept, cependant, à l'ère numérique, il est décrit que la souveraineté des données semblable à la localisation des données s'avérerait coûteuse, réduirait les investissements étrangers, créerait un obstacle à la promotion de l'Inde en tant que nouvelle plaque tournante pour les services de la nouvelle ère et augmenterait les ressources locales. surveillance. Ce récit autour de la souveraineté émerge du contexte intellectuel et géopolitique actuel dans lequel les États restent puissants à la fois dans le système politique et l'imagination politique et souvent confondus avec le colonialisme des données. Cependant, la notion de souveraineté doit être considérée sous l'angle de la théorie du contrat social, non seulement comme un aspect de la seule territorialité.

La notion de souveraineté ne devrait être envisagée que lorsque toutes les normes de respect de la vie privée sont en place. L'objectif central de la souveraineté des données ne peut pas être la datafication de nos corps via une surveillance de masse, modifiant ainsi la relation entre la nation et l'État.

La notification RBI sur le stockage des données de paiement et les réglementations en matière de pharmacie électronique considère le stockage des dossiers financiers et médicaux comme des données sensibles à stocker en Inde. Ces règles doivent désormais tenir compte de l'évolution du paysage des flux de données, de la vie privée et des défis émergents, établissant ainsi de nouvelles normes pour faire respecter les droits fondamentaux.

[L'article a été co-écrit par Kazim Rizvi, directeur fondateur, The Dialogue et Harsh Bajpai, chercheur doctoral et tuteur à temps partiel à l'Université de Durham]