• ホームページ
  • 記事
  • 技術
  • Inc42 と Ikigai Law による「The Dialogue」: PDP 法案は、政策立案者と新興企業の考え方の明確な違いを示しています

Inc42 と Ikigai Law による「The Dialogue」: PDP 法案は、政策立案者と新興企業の考え方の明確な違いを示しています

公開: 2018-09-09

「The Dialogue」では、スタートアップがデータ収集と処理の慣行で行う必要がある変更を含め、PDP 法案について詳しく説明しました

また、法案のデータローカリゼーションの義務がスタートアップの費用対効果と運用にどのように影響するかについても説明しました

ユーザーの同意を得て個人データを分類する義務を果たしながら、スタートアップがコストを抑える方法について説明しました

電子情報技術省 (MeitY) は、最新の 9 月 30 日までに、2018 年個人データ保護法案 (PDP 法案) に関するパブリック コメントを募集しましたが、 Inc42 は、 9 月 7 日に、いきがい法(旧 TRA)と連携して、スタートアップ企業との円卓会議を開催し、法案が議会で成立した後のビジネスへの影響について話し合いました。

Inc42 の創設者兼 CEO である Vaibhav Agrawal 氏、Ikigai Law の創設者である Anirudh Rastogi 氏、および Ikigai Law のポリシー リードである Nehaa Chaudhari 氏が司会を務めた「The Dialogue」では、PDP 法案の重要なポイントであるデータのローカリゼーション、データの重要性、同意通知が取り上げられました。ユーザーへの同意、とりわけ同意要件。 招待制の円卓会議にはスタートアップの創業者が出席し、既存の法案では対処または回答されていない多くの課題を提起しました。

個人情報保護法案:要点

データ収集

オフラインであろうとオンラインであろうと、法案が成立したら、スタートアップのデータ収集の慣行を変える必要があります。 この法案は、データ受託者 (データを収集または処理するエンティティ) に、ユーザーが収集しようとしているデータ、収集の目的、データが第三者または国外に転送されるかどうか、データがどのように転送されるかについて、ユーザーに通知を発行することを義務付けています。保存期間、保存期間など。

したがって、草案では、個人データの収集を制限し、通知と同意を条件としています。 したがって、スタートアップは既存のユーザーにデータの収集と使用方法を通知し、ユーザーの新たな同意を得る必要があります。 ラウンドテーブルに参加したスタートアップ企業は、ユーザーベースの大部分が必要な方法で同意を再度提供しない可能性があり、それによってビジネスの混乱につながる可能性があるという懸念を表明しました。 経営、法務、財務の専門家向けのインタラクティブ プラットフォームを提供する InteractiveMedia の CEO である Vivek Jain 氏は、次のように述べています。

この法案は主に、個人を特定するために使用できるデータである「個人データ」に適用されます。 ただし、個人データは名前、住所などに限定されません。個人を特定するために、他のデータ (公開されている情報であっても) と組み合わせることができるあらゆるデータである可能性があります。 たとえば、誰かが毎日特定のコーヒー ショップに行くことをタクシー会社が知っている場合、データセットを使用して一意の個人を識別し、個人情報を構成することができる、と Ikigai Law の Anirudh Rastogi 氏は説明しています。

出席したスタートアップの中には、この個人データ条項が大きなハードルの 1 つになる可能性があると感じているスタートアップもいましたが、インドの PDP 法案の草案は、一般データ保護規則 (GDPR) のような「ビジネスの権利」を優先していないとの見方もありました。 ) しました。

データのローカリゼーション

インドのデータ プリンシパルに属するデータの収集または処理に直接的または間接的に関与するすべてのデータ受託者にとって、PDP 法案の草案では、少なくともデータのコピーをインドにあるサーバーまたはデータ センターに保存することが不可欠です。 さらに、提案されたデータ保護機関 (DPA) と連携して政府によって定義される「重要な」データなどの特定のデータは、インドを拠点とするサーバーにのみ保存されます。

したがって、データ ローカリゼーションの義務では、データ受託者がインドにもサーバーをセットアップする必要があります。 しかし、円卓会議で、スタートアップの創業者は、インドにデータ サーバーを選択することは、米国とシンガポールにデータ サーバーを配置するよりもコストがかかると指摘しました。 また、この義務はスタートアップの選択肢を制限し、管理上の負担を増大させ、データ セキュリティの観点からも有害であると彼らは主張しました。 他の人は、今日のインドのサーバーではさまざまなクラウドベースのサービスを利用できず、そのようなサービスの多くのインド市場はグローバル市場に比べて小さいため、必ずしもローカライズされるとは限らないと述べています.

あなたにおすすめ:

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか
資力

RBI のアカウント アグリゲーター フレームワークがインドのフィンテックを変革するためにどのように設定されているか

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: CitiusTech CEO
ニュース

起業家は、「Jugaad」を通じて持続可能でスケーラブルなスタートアップを作成することはできません: Cit...

メタバースがインドの自動車産業をどのように変革するか
資力

メタバースがインドの自動車産業をどのように変革するか

反営利条項はインドのスタートアップ企業にとって何を意味するのか?
資力

反営利条項はインドのスタートアップ企業にとって何を意味するのか?

Edtech の新興企業がどのようにスキルアップを支援し、従業員を将来に備えさせるか
資力

Edtech スタートアップがインドの労働力のスキルアップと将来への準備をどのように支援しているか...

ニュース

今週の新時代のテック株:Zomatoのトラブルは続き、EaseMyTripはスト...

したがって、データのローカライゼーション、同意通知、娯楽ユーザーのアクセス権、忘れられる権利などの義務は、スタートアップのコストを増加させ、利益率を低下させるだけでなく、スタートアップの運用、効率、および国際競争力に悪影響を及ぼします。

参加者は、スタートアップが準拠する必要があるのは PDP 法案だけではないという点も強調しました。 彼らは複数のデータ関連の法律を遵守する必要があります。これは、部門別のデータ保護法や国固有のデータ保護法である可能性があり、これが彼らの負担を増大させます。

多くの人が、この問題を支持する特に強力なロビー活動により、データのローカライゼーション条項が法案草案に含まれていると考えていました。 規定された最大 15 億ルピーの高額な罰則と刑事責任は、スタートアップ企業全体のビジネスを妨げるだろう、と彼らは付け加えた。

機密個人データ

PDP 法案は、機密個人データ (SPD) の概念も呼び起こします。 機密性の高い個人データには、健康データ、公的識別子 (Aadhaar ID、運転免許証など)、生体認証データ、宗教的または政治的信念、カースト関連データなどの情報が含まれます。

ただし、「重要なデータ」が SPD のサブセットであるかどうかは明確ではありません。 「重要なデータ」の定義は、政府によってまだ概説されていません。

データ プリンシパルの同意を得る

GDPR に沿って、PDP 法案でも、同意を求めることに関連する情報は、無料で、包括的で、明確で、肯定的な行動によって示される必要があると明確に定義されています。 企業がプライバシー ポリシーの冒頭でユーザーに事前にチェックされた「同意する」ボックスを提供することはお勧めできませんが、ユーザーは、プライバシー ポリシーの最後にのみ表示されるボックスに積極的にチェックを入れて、プライバシー ポリシーに同意していることを確認する必要があります。少なくともポリシーを下にスクロールして実際に読んでください。 このような場合、製品チームが弁護士と緊密に協力して、適切なデータ収集の実践とユーザー エクスペリエンスのバランスを取ることが重要になると Rastogi 氏は説明しています。

同意に加えて、法案は、データ受託者が一定の期間内に享受する義務があるデータプリンシパルに特定の権利も与えています。 これらには、アクセスする権利、忘れられる権利などが含まれます。

PDP 法案: 今後の課題

円卓会議では、あいまいで未回答のままであり、法案が議会に提出される前に対処しなければならない多くの課題が挙げられました。 考慮される課題のいくつかは次のとおりです。

  • インドでは、依然としてかなりの量のデータがオフラインで処理されていますが、PDP 法案では、オフライン データ収集における同意の方法について言及されていません。 データ受託者は、データを収集する際にデータ プリンシパルに同意の通知をどのように送信する必要がありますか?
  • 法案に定められた基準は、大まかに定義されているか、まったく定義されていません。
  • 反復取引のためのデータ収集や、IoTデバイスや顔認識などの新しいテクノロジーを使用するためのデータ収集は、実装が難しくなると、イキガイ法律事務所のNehaa Chaudhari氏は説明しています。
  • 薬効などの分野の研究のための国境を越えたデータ共有は、法案の影響を受けるでしょう。
  • コンプライアンスのコストは企業にとって大幅に上昇し、特に新興企業に負担がかかります。
  • グローバルにサービスを提供することを目指す新興企業のコンプライアンスは、さまざまな法律の下で規定されているさまざまな基準を遵守する必要があるため、さらに問題になります。
  • 参加者は、人々の携帯電話には連絡先の個人データが含まれており、紛失する可能性があることも指摘しました。 人々は、特に目的を言及せずに名刺を交換することがよくあります。 彼らは、法案が将来そのようなシナリオにどのように影響するかを疑問視しました。 誰かが携帯電話を紛失した場合はどうなりますか? 彼/彼女は現在の法案の下で訴訟を起こす責任がありますか?

PDP 法案の草案では、データ保護機関によって定義された特定の目的に関連する特定のデータのみを企業が収集できることも概説しています。 スタートアップにとって、これは大きな障害になる可能性があります。 たとえば、データ収集の目的が本質的に不可知のままである多くのパイロットプロジェクトが実施されています。 現在の草案では、そのような場合について明確に規定していません。 参加者は、法案が現在の形で制定された場合、スタートアップが実施するパイロットプロジェクトを通じて通常達成される破壊的な技術の進歩に悪影響を与えると付け加えました。

PDP 法案: 対話は続けなければならない

Inc42と生きがいLawの「The Dialogue」では、参加者全員が積極的に参加し、白熱した洞察に満ちた議論が行われました。 本質的に、会話は、政策立案者とテクノロジー主導の新興企業の考え方との間の明確なギャップを浮き彫りにしました。 インドのスタートアップ エコシステムの勢いを維持するには、このギャップを埋める必要があります。 対話は続けなければなりません。

MeitY は、2018 年 9 月 30 日まで、PDP 法案に関するコメントやフィードバックを受け付けています。手遅れになり、バグの修正がより困難になる前に、あなたの声を届けることを忘れないでください!

更新 1: 2018 年 9 月 9 日 21.46

2018 年インド個人データ保護法案の草案に関するフィードバックの提出期限が 2018 年 9 月 30 日まで延長されました。