ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอินเดียและ Internet Of Things: ความท้าทายข้างหน้า

เผยแพร่แล้ว: 2018-09-04

การทำให้ผู้ใช้ล้นด้วยการแจ้งเตือนที่มีความยาวหลายครั้งเพื่อขอความยินยอมในแต่ละอินสแตนซ์ของการรวบรวมอาจทำให้ได้รับความยินยอมจากความเหนื่อยล้า

การแจ้งสำหรับอุปกรณ์ที่ไม่มีอินเทอร์เฟซผู้ใช้แบบโต้ตอบหรือหน้าจอแสดงผลจะพิสูจน์ได้ว่าเป็นสิ่งที่ท้าทาย

นักพัฒนา IoT ในอินเดียจะต้องประสานงานกับ Data Protection Authority เพื่อพัฒนาแนวทางปฏิบัติเพื่อแก้ไขปัญหาเหล่านี้

ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2561 (ร่างกฎหมาย PDP) มาถึงในช่วงเวลาที่เหมาะสม ในช่วงเวลาที่การรวบรวมและการใช้ข้อมูลส่วนบุคคลของเราได้กลายเป็นแง่มุมที่แพร่หลายในชีวิตประจำวัน

บิลให้ความสำคัญกับการรักษาความยินยอมของผู้ใช้ที่ได้รับแจ้ง สำหรับการประมวลผลข้อมูลส่วนบุคคลทั้งหมดเป็นการก้าวไปข้างหน้าจากกรอบงานภายใต้เทคโนโลยีสารสนเทศ (แนวทางปฏิบัติและขั้นตอนการรักษาความปลอดภัยที่เหมาะสมและข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อน) กฎ 2011 (กฎไอที) ภายใต้กฎไอที ความยินยอมของผู้ใช้จำเป็นสำหรับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ ละเอียดอ่อน เท่านั้น ซึ่งแตกต่างจากร่างกฎหมายใหม่

ประชาชนสามารถพักผ่อนได้อย่างสบายใจโดยรู้ว่าข้อมูลของพวกเขาไม่สามารถนำไปใช้ได้โดยปราศจากความรู้ อย่างไรก็ตาม มาตรฐานที่เข้มงวดของ Bill ในเรื่องความยินยอมนั้นกลับกลายเป็นตรงกันข้าม

เพื่อให้ความยินยอมของผู้ใช้มีผลใช้บังคับภายใต้ร่างกฎหมาย จะต้องให้คำยินยอมโดยเสรี เฉพาะเจาะจง ชัดเจน สามารถถอนออกได้ และบางทีที่สำคัญที่สุด - แจ้งผ่านประกาศที่ชัดเจนและมีรายละเอียดซึ่งให้ไว้ ณ เวลาที่รวบรวม แม้ว่าการแจ้งข้อมูลอย่างครอบคลุมเพื่อรับรองความยินยอมในการใช้ข้อมูลในทุกขั้นตอนถือเป็นแนวทางที่ดี แต่ในทางทฤษฎี การบังคับใช้ในทางปฏิบัติอาจเป็นเรื่องยาก

โดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่พึ่งพา อุปกรณ์ Internet of Things (IoT) ซึ่งทำงานในสภาพแวดล้อมที่เชื่อมต่อถึงกันสูง เพื่อให้คำบอกกล่าวที่มีความหมาย ผู้ใช้อุปกรณ์ IoT ควรจะสามารถเข้าใจวิธีการและเหตุผลที่ใช้ข้อมูลส่วนบุคคลของพวกเขา และในกรณีของข้อมูลส่วนบุคคลที่ละเอียดอ่อน ผลที่ตามมาของการใช้ข้อมูลนั้น

การเพิ่มผู้ใช้ด้วยการแจ้งเตือนที่มีความยาวหลายครั้งเพื่อขอความยินยอมในแต่ละอินสแตนซ์ของการรวบรวม อาจทำให้ได้รับความยินยอม และอาจไม่ใช่วิธีที่ดีที่สุดในการได้รับความยินยอมที่มีความหมาย

นอกจากนี้ การแจ้งสำหรับอุปกรณ์ที่ไม่มีอินเทอร์เฟซผู้ใช้แบบโต้ตอบหรือหน้าจอแสดงผลจะพิสูจน์ได้ว่าเป็นสิ่งที่ท้าทาย เช่นกัน นักพัฒนา IoT ในอินเดียจะต้องประสานงานกับหน่วยงานคุ้มครองข้อมูลเพื่อพัฒนาแนวทางปฏิบัติเพื่อแก้ไขปัญหาเหล่านี้

ความยินยอมในการรวบรวมไม่ง่ายอย่างที่คิด

บทบัญญัติของ Bill เกี่ยวกับวัตถุประสงค์และข้อ จำกัด การรวบรวมอาจทำให้ความท้าทายในการปฏิบัติงานบางอย่างเกิดขึ้น เช่นกัน ผู้ดูแลข้อมูลภายใต้ร่างกฎหมายสามารถรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ชัดเจน เฉพาะเจาะจง ถูกกฎหมาย และแจ้งล่วงหน้าเท่านั้น

แม้ว่าข้อจำกัดนี้จำเป็นต่อการปกป้องความเป็นส่วนตัวของแต่ละบุคคลและป้องกันการใช้ข้อมูลในทางที่ผิด แต่อาจไม่สามารถบังคับใช้ได้ในทางปฏิบัติสำหรับสภาพแวดล้อมที่เปิดใช้งาน IoT เช่น บ้านอัจฉริยะ รถยนต์อัจฉริยะ และเมืองอัจฉริยะที่สร้างจากชุดข้อมูลที่เชื่อมต่อถึงกันเพื่อให้ได้ข้อสรุป

ตัวอย่างเช่น อาจเป็นเรื่องยากที่จะระบุวัตถุประสงค์ที่แน่นอนของการรวบรวมข้อมูลล่วงหน้าในสภาพแวดล้อมที่การใช้ชุดข้อมูลเดียวกันมีการพัฒนาอย่างต่อเนื่อง

แนะนำสำหรับคุณ:

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': CitiusTech CEO
ข่าว

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต
ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

สตาร์ทอัพอินเดียใช้ทางลัดในการไล่ล่าหาทุน
คุณสมบัติ

สตาร์ทอัพอินเดียใช้ทางลัดในการไล่ล่าหาทุน

อันที่จริง วัตถุประสงค์ที่เข้มงวดและข้อจำกัดในการรวบรวม อาจขัดกับการทำงานของอุปกรณ์และแอพพลิเคชั่นบางอย่าง เช่น ในกรณีของระบบรักษาความปลอดภัยภายในบ้าน ตัวอย่างเช่น กริ่งประตูอัจฉริยะที่เปิดใช้งานวิดีโอจะจับภาพใบหน้าของผู้มาเยี่ยมกริ่งประตูได้อย่างไร แจ้งให้ผู้เยี่ยมชมทราบว่าภาพของพวกเขาถูกจับภาพโดยไม่ทำลายวัตถุประสงค์ในการติดตั้งกล้องดังกล่าวตั้งแต่แรกได้อย่างไร ปัญหานี้ประกอบขึ้นในกรณีของอุปกรณ์ที่ใช้เซ็นเซอร์ที่ทำงานโดยไม่มีส่วนต่อประสานกับผู้ใช้

ในขณะที่ร่างกฎหมายผ่อนคลายข้อจำกัดในการรวบรวมข้อมูลสำหรับการใช้ข้อมูลส่วนบุคคลที่ 'สมเหตุสมผล' และโดยบังเอิญ มาตรฐานสำหรับการพิจารณา 'ความสมเหตุสมผล' ในกรณีเหล่านี้ยังไม่ชัดเจนในปัจจุบัน

ร่างกฎหมายนี้มีความก้าวหน้าอย่างแน่นอนในการนำมาตรฐานระดับสูงมาใช้เพื่อคุ้มครองความเป็นส่วนตัวของแต่ละบุคคล อย่างไรก็ตาม ธุรกิจที่ต้องการปฏิบัติตามร่างกฎหมายจะพบว่าเป็นการยาก ที่จะปฏิบัติตามข้อกำหนดที่เข้มงวดหากไม่มีแนวทางปฏิบัติ เนื่องจากการไม่ปฏิบัติตามกฎหมายสามารถดึงดูดบทลงโทษทางแพ่งและทางอาญาที่รุนแรง ความชัดเจนในทุกด้านของร่างกฎหมายจึงเป็นสิ่งจำเป็นสำหรับธุรกิจที่มีข้อมูลจำนวนมาก

วัตถุประสงค์และข้อ จำกัด การรวบรวมคืออะไร?

มาตรา 5 ของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2561 (“ ร่างกฎหมาย ”) เสนอว่าข้อมูลจะได้รับการประมวลผลเพื่อวัตถุประสงค์ที่ชัดเจน เฉพาะเจาะจง และชอบด้วยกฎหมายเท่านั้น อย่างไรก็ตาม ร่างกฎหมายอนุญาตให้ประมวลผลข้อมูลเพื่อจุดประสงค์อื่นใดโดยบังเอิญซึ่งเจ้าของข้อมูลคาดหวังอย่างสมเหตุสมผลว่าข้อมูลส่วนบุคคลจะถูกนำไปใช้โดยขึ้นอยู่กับสถานการณ์และบริบทที่ข้อมูลส่วนบุคคลถูกรวบรวม

มาตรา 6 ของร่างกฎหมาย กำหนดว่าข้อมูลจะถูกเก็บรวบรวมก็ต่อเมื่อการรวบรวมข้อมูลดังกล่าวมีความจำเป็นสำหรับวัตถุประสงค์ในการประมวลผล

วัตถุประสงค์เบื้องหลังวัตถุประสงค์และข้อจำกัดการรวบรวมคืออะไร?

เนื่องจากมีความสัมพันธ์ของความไว้วางใจระหว่างผู้ดูแลข้อมูล (หน่วยงานที่รวบรวมและประมวลผลข้อมูล) และหลักข้อมูล (บุคคลที่มีการรวบรวมและประมวลผลข้อมูล) วัตถุประสงค์ของการจำกัดวัตถุประสงค์คือเพื่อให้แน่ใจว่าข้อมูลที่รวบรวม ใช้เพื่อวัตถุประสงค์ในการรวบรวมเท่านั้น และไม่ใช่เพื่อวัตถุประสงค์อื่นใดที่ไม่ได้เปิดเผยต่อหัวหน้าข้อมูลในขณะที่รวบรวม วัตถุประสงค์ของการจำกัดการรวบรวมคือเพื่อให้แน่ใจว่ามีการลดข้อมูลให้น้อยที่สุด

ปัญหาเกี่ยวกับวัตถุประสงค์และข้อ จำกัด ในการรวบรวมคืออะไร?

วัตถุประสงค์และข้อจำกัดในการรวบรวมอยู่บนพื้นฐานของสมมติฐานที่ว่าเพื่อความยินยอมที่ถูกต้อง การกล่าวถึงวัตถุประสงค์ในการรวบรวมอย่างคลุมเครือนั้นไม่เพียงพอ ดังนั้นวัตถุประสงค์จึงต้องมีความเฉพาะเจาะจง อย่างไรก็ตาม ปัญหาของข้อสันนิษฐานนี้คือวัตถุประสงค์แต่ละประการที่อาจใช้ข้อมูลส่วนบุคคลในอนาคตสามารถกำหนดได้ในเวลาที่มีการรวบรวม

อย่างไรก็ตาม ข้อมูลนี้ไม่เป็นเช่นนั้น เนื่องจาก อาจจำเป็นต้องใช้ข้อมูลเพื่อวัตถุประสงค์บางอย่างที่ไม่สามารถคาดการณ์ได้ในเวลาที่มีการรวบรวม ดังนั้น การระบุวัตถุประสงค์ที่คลุมเครือในรูปแบบ "การปรับปรุงประสบการณ์ผู้ใช้" ควรเพียงพอเนื่องจากเป็นเหตุผลที่ถูกต้องและชอบด้วยกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล

ข้อมูลเป็นตัวขับเคลื่อนกลยุทธ์ในอนาคตและการเปลี่ยนแปลงในทันที ด้วยพลังของการวิเคราะห์เชิงคาดการณ์และวิทยาศาสตร์ข้อมูลขั้นสูง การควบคุมข้อมูลอย่างถูกต้องสามารถช่วยให้มีการตัดสินใจที่ดีขึ้น อิงตามข้อเท็จจริง และปรับปรุงประสบการณ์โดยรวมของลูกค้า

ด้วยการใช้เทคโนโลยี Big Data ใหม่ องค์กรสามารถตอบคำถามในไม่กี่วินาทีแทนที่จะเป็นวัน และเป็นวันแทนที่จะเป็นเดือน การเร่งความเร็วนี้ช่วยให้ธุรกิจสามารถตอบสนองต่อคำถามทางธุรกิจที่สำคัญและความท้าทายได้อย่างรวดเร็ว ซึ่งสามารถสร้างความได้เปรียบในการแข่งขันและปรับปรุงประสิทธิภาพการทำงาน และให้คำตอบสำหรับปัญหาที่ซับซ้อนหรือคำถามที่ขัดต่อการวิเคราะห์

เกี่ยวกับผู้เขียน

บทความนี้ร่วมเขียนโดย Tuhina Joshi และ Ila Tyagi ผู้ร่วมงานที่ Ikigai Law (เดิมชื่อ TRA Law) ซึ่งเป็นสำนักงานนโยบายและกฎหมายที่ได้รับรางวัลซึ่งมุ่งเน้นที่เทคโนโลยีเกิดใหม่