Как предлагаемый закон о защите данных повлияет на ваш стартап?

В недавно представленном Объединенным парламентским комитетом (JPC) отчете о законопроекте о защите персональных данных 2019 г. (законопроект 2019 г.) рекомендуется расширить сферу действия закона, чтобы включить в его сферу действия неличные данные (NPD), раскрыть справедливость алгоритмов и многое другое. После того, как закон будет принят, стартапы должны будут переосмыслить свои методы обработки данных, учитывая значительные затраты на соблюдение требований.

Чтобы помочь игрокам из стартап-экосистемы расшифровать влияние предлагаемого закона о защите данных, Ikigai Law организовала 24 февраля интерактивную виртуальную дискуссию « Расшифровать: влияние индийского закона о защите данных на стартапы ».

В обсуждении приняло широкое участие стартап-сообщество с представителями ведущих компаний в области финансовых технологий, образовательных технологий, медицинских технологий, электронной коммерции и услуг искусственного интеллекта.

Во главе с Сринидхи Шринивасан, главным юристом Ikigai Law, обсуждение раскрыло влияние законопроекта 2019 года на стартапы. В нем были затронуты проблемы классификации наборов данных на личные данные и NPD, как соблюдение закона может помешать расширению стартапов, последствия определенного раскрытия информации для прав интеллектуальной собственности, среди прочего.

Регулировать NPD и другие конфиденциальные данные — все равно, что просить кока-колу раскрыть ее «секретную» формулу

Закон о защите персональных данных находится в разработке уже почти пять лет. Попутно правительство уловило идею использования анонимных данных/бизнес-информации (NPD) для извлечения из них экономической ценности. В настоящее время закон предлагает регулировать как персональные данные, так и NPD. Это позволяет центральному правительству указывать компаниям делиться NPD в целях разработки политики. Шриниди интересовался расширенной сферой действия закона, необходимостью регулирования NPD и его влиянием на стартапы, которые полагаются на данные для своего конкурентного преимущества.

Ашутош Сенгер, ведущий юрисконсульт Florence Capital (кредитная платформа), рассказал о том, что включение NPD является шагом к балансировке доступа к данным, но нельзя игнорировать конкурентное преимущество, которое обеспечивают собственные активы данных. Намекая на необходимость сбалансировать интересы правительства в использовании NPD в социально-экономических целях с правами интеллектуальной собственности (ИС) бизнеса, он сказал: «Как мы продвигаем интересы государства, а также всей экосистемы или среда предпринимательства и инноваций».

Манудж Гарг, соучредитель MyUpchar (платформа для здравоохранения), добавил, что данные являются «ключевой валютой» для всех стартапов. «Все, что вы создаете в результате проделанной вами работы, является вашей интеллектуальной собственностью. Это то, что дает вам преимущество на рынке и позволяет вам делать то, что вы делаете. Сказать, что эти данные должны быть обнародованы, по сути, убить бизнес».

В предлагаемом законе есть и другие положения, которые могут нанести ущерб правам интеллектуальной собственности предприятий, например требование раскрыть «справедливость» алгоритмов. Порога для определения «справедливости» пока нет, и даже если такое разъяснение появится в будущем, технические ноу-хау в отношении алгоритмов не являются общедоступными.

«Это все равно, что просить Coca-Cola раскрыть их секретную формулу — лишая ее стимула работать», — добавил Гарг.

Мега Намбиар, старший юрисконсульт HyperVerge (платформа для проверки личности и обнаружения мошенничества), согласилась с тем, что включение NPD добавляет «много неопределенности, потому что это, по сути, личные данные, на которые посягают. И есть обязательный элемент обмена данными, который снова становится проблемой». Она сослалась на отсутствие стимулов для продвижения обмена данными.

Намбиар задал присутствующим несколько вопросов и поинтересовался, может ли такой обмен данными быть добровольным и как это будет оцениваться, оцениваться и распространяться.

Срути Шринивасан, юрисконсульт Uni Cards, согласилась с ранее выступавшими и поставила под сомнение необходимость регулирования производных/анонимных наборов данных.

Стартапы столкнутся с огромными проблемами из-за структуры предлагаемого закона

В преддверии принятия закона предприятиям придется пересмотреть свою политику в отношении данных и настроить свои бюджеты в соответствии с законом. Шриниди интересовалась мнениями о проблемах соблюдения нормативных требований, которые ожидают компании.

Адитья Шамлал, юридический руководитель Zeta (финтех-стартапа), сказал, что закон в его нынешнем виде «тяжело соблюдается». И что «настоящие зубы этого закона будут показаны в правилах и сводах правил, изданных в отношении таких вещей, как неприкосновенность частной жизни по замыслу, право на забвение и многое другое. Пока не появятся эти правила, вы будете действовать в туманном пространстве, где вы будете делать обоснованные предположения на основе европейского опыта, такого как GDPR». Он считал, что новым стартапам, ориентированным на данные, будет сложно выйти на рынок и расшириться, когда закон вступит в силу.

Рекомендуется для вас:

Ресурсы

Как платформа агрегатора учетных записей RBI предназначена для преобразования финансовых технологий в Индии

Амит Дас

31 июля 2022 г.

Новости

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: Cit...

Джасприт К.

31 июля 2022 г.

Ресурсы

Как Metaverse изменит индийскую автомобильную промышленность

Вайбхав С.

31 июля 2022 г.

Ресурсы

Что означает положение о борьбе со спекуляцией для индийских стартапов?

Чаранья Л.

31 июля 2022 г.

Ресурсы

Как стартапы Edtech помогают повысить квалификацию рабочей силы Индии и стать готовыми к будущему ...

Анкуш С.

31 июля 2022 г.

Новости

Технологические акции нового века на этой неделе: проблемы Zomato продолжаются, EaseMyTrip публикует...

Тапанджана Р.

31 июля 2022 г.

Участники также обсудили взаимодействие между отраслевыми регуляторами и будущим регулятором данных. Срути из Uni Cards отметил, что многие регулируемые организации в сфере финансовых технологий уже включают право на отзыв согласия (предусмотренное в предлагаемом законе о защите данных) в свои стандартные методы работы с данными. Она задалась вопросом, как отзыв согласия будет иметь место в регулируемом пространстве, где игрокам необходимо сохранять наборы данных в виде журналов данных в своей системе, чтобы показывать их в целях аудита.

Шрути сказал, что регулирующим органам придется решать вопросы о количестве информации, которая может быть отозвана и сохранена. «В будущем клиенты могут обратиться к регулируемым организациям и потребовать полного удаления их информации из системы. Однако, как кредитная платформа, RBI требует, чтобы вы сохранили эту информацию, чтобы подтвердить тот факт, что вы зарегистрировали этого клиента», — отметила она.

Винита Варгезе, глава юридического отдела Urban Company (гиперлокальная платформа экспертных услуг), согласилась со Шрути и добавила, что «когда вы говорите о реализации закона в том виде, в каком он сейчас составлен, это инвестиции затрат и времени для стартапов и организации поменьше, а для крупных организаций — которые не начали этот процесс — это абсолютно чудовищная затея».

Она сказала, что предлагаемый закон требует от компаний, независимо от их размера, создания реестров данных, чтобы иметь возможность группировать данные по разным категориям. Это не строго юридическое мероприятие, поскольку оно затронет все вертикали в организации. Варгезе также сказал, что для того, чтобы стартапы могли соблюдать закон, потребуются осведомленность и образование на межфункциональном уровне.

Основываясь на этом вопросе, Гарг обсудил, как средний соучредитель, не имеющий юридического опыта, будет бороться с распаковкой того, что означают и включают в себя личные данные, конфиденциальные и критические личные данные. С разными категориями данных приходят разные пороги согласия (повышенные обязательства по получению явного согласия в случае конфиденциальных данных). Он упомянул, что в соответствии с рекомендациями по телемедицине, если пациент инициирует консультацию, приложению не требуется получать явное согласие пациента. Но в соответствии с предлагаемым законом о данных «неясно, как будет управляться явное согласие». Гарг также указал на двусмысленность получения сертификации аппаратного программного обеспечения (которая вводится для обеспечения целостности данных) и необходимость повторного прохождения такой сертификации при обновлении программного обеспечения.

Пандуранга Ачарья, главный юрисконсульт Girnarsoft.com (поставщик ИТ-решений), сказал, что «соблюдение требований не может быть сложным, это может быть дорого».

Он призвал к включению пороговых значений, чтобы исключить малый бизнес из более дорогостоящих требований соответствия. Ачарья также выявил трудности с разными стандартами согласия для разных категорий данных. Он сказал, что «категоризация таких данных, как конфиденциальные, критические, неконфиденциальные данные, приведет к множеству согласий или потребует двухполярных механизмов согласия. Развертывание таких механизмов согласия может быть очень сложным для любого бизнеса».

Расширенные меры защиты данных детей дорого обходятся предприятиям Edtech

Сачин Рави, соучредитель Qshala (платформа образовательных технологий), рассказал о том, как Китай и Индия работают над политикой регулирования сектора образовательных технологий. Он отметил, что определение детей как лиц моложе 18 лет вызывает беспокойство у нескольких игроков в этом секторе. Он сказал, что «рекомендации правительства для образовательных технологий о том, как можно играть с данными», могут быть полезными.

Шатакруту Саха, юрисконсульт KidsChupal (платформа образовательных технологий), заметил, что, поскольку обоснование установления 18-летнего возраста вытекает из положений индийского Закона о контрактах и ​​Закона о совершеннолетии, оно вряд ли будет изменено. Однако он отметил, что Закон о ювенальной юстиции по-разному понимает возраст совершеннолетия.

Саха поделился интересным мнением о том, как 16-летний индиец обыграл чемпиона мира по шахматам Магнуса Карлсена: «Представьте, если этого ребенка ограничивает согласие его опекуна, который выступает против решения этого талантливого мальчика о том, какие курсы брать онлайн — это проблемный случай». Он также рассказал о разнице в подходах между Индией и другими глобальными структурами, такими как ЕС, которые определяют ребенка как любого человека в возрасте от 13 до 16 лет.

Также обсуждалось отсутствие ясности в отношении механизмов ограничения возраста и положений о согласии родителей. Рави из Кшалы сказал, что родители могут изучить возможность создания псевдонимных учетных записей для детей, а не раскрывать личную информацию. Однако остаются вопросы относительно условий использования анонимных данных для создания контента и предоставления услуг как взрослым пользователям, так и детям. Саха из KidsChupal отметил, что ограничения по возрасту могут быть основаны на риске, пояснив, что такие меры действуют для продуктов и услуг, ориентированных на определенные возрастные и демографические группы, таких как приложения для знакомств и онлайн-игр. В этих приложениях и сервисах ограничение по возрасту делается для защиты несовершеннолетних от рисков, связанных с такими сервисами.

Саха добавил, что внедрение новых функций может привести к включению определения вреда или отслеживания в предлагаемый закон. Полный запрет на отслеживание/профилирование данных детей и широкое определение вреда могут вызвать трения между командами разработчиков продукта и юридическими командами стартапов в сфере образовательных технологий.

Предлагаемый закон должен быть совместим с глобальными структурами для развития экономики данных в Индии

Шриниди спросил присутствующих, считают ли они, что предлагаемый закон способствует совместимости с глобальными системами данных и как соблюдение закона может повлиять на доступ к глобальным рынкам.

Нилакши Гупта, юрисконсульт Qure.ai (платформа медицинских технологий), задала несколько вопросов с точки зрения глобального соответствия: «Что представляет собой трансграничная передача данных? Когда будут применяться новые Стандартные договорные условия (SCC)? Если мы подпишем SCC с нашими клиентами, можем ли мы сказать, что соблюдаем решение Schrems II ?»

Что касается стратегий глобального соответствия, Намбиар из HyperVerge сказал, что переход к локализации данных в нескольких инфраструктурах защиты данных во всем мире вызывает обеспокоенность, поскольку в бизнесе участвуют поставщики из разных регионов. Она сказала, что «если мы увидим, что локализация данных становится все более глобальной тенденцией, то иметь локальные центры обработки данных в каждом из этих регионов будет очень дорого для нас».

Варгезе из Urban Company согласился с тем, что положения о локализации данных создадут проблемы с соблюдением требований, поскольку в разных странах, похоже, существуют разные пороговые значения для локализации. Она сказала, что можно разработать золотой стандарт локализации данных, который будет удобен для бизнеса и совместим в разных юрисдикциях.

Следующие шаги по взаимодействию с проблемами стартапов

Стоимость соблюдения и отсутствие ясности в отношении некоторых положений являются ключевыми проблемами для стартапов. Цель правительства по позиционированию Индии как крупного игрока в цифровой экономике должна сопровождаться благоприятным режимом защиты данных. Это должно позволить стартапам расширяться и выходить на глобальные рынки.

В настоящее время Министерство информационных технологий обсуждает рекомендации JPC и признало проблемы с соблюдением требований, связанные с законом. Это отличная возможность для стартапов и малого бизнеса пообщаться с политиками и призвать к более широким общественным консультациям по закону и поиску взаимовыгодных решений.

*Цитаты были отредактированы и уточнены, чтобы соответствовать статье и контексту.

*Эта статья написана в соавторстве с Шринидхи Рао и Кануприей Гровер, сотрудниками Ikigai Law.