บทสนทนา — การเตรียมสตาร์ทอัพอินเดียสำหรับร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล
เผยแพร่แล้ว: 2018-09-28Ikigai Law ร่วมกับ Inc42 จัด 'The Dialogue'
นี่เป็นการอภิปรายโต๊ะกลมเกี่ยวกับผลกระทบของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล
การอภิปรายมุ่งเน้นไปที่ประเด็นสำคัญภายใต้ร่างกฎหมาย กล่าวคือ ประกาศใหม่และข้อกำหนดความยินยอม การรักษาข้อมูลส่วนบุคคลที่ละเอียดอ่อน และอื่น ๆ
เมื่อต้นเดือนเมษายนที่ผ่านมา ธนาคารกลางอินเดีย (RBI) ได้ออกหนังสือเวียนที่สั่งให้ผู้ให้บริการระบบการชำระเงินทั้งหมดในประเทศจัดเก็บข้อมูลของตนไว้เฉพาะในอินเดียเท่านั้น เนื่องจาก เส้นตาย 15 ตุลาคมสำหรับการปฏิบัติตามคำสั่ง RBI นั้นใกล้เข้ามาแล้ว เป็นที่แน่ชัดว่าบริษัทอินเดียจะต้องปรับปรุงแนวทางปฏิบัติในการเก็บรวบรวมและประมวลผลข้อมูลในเร็วๆ นี้ ด้วยการเปิดตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคลปี 2018 (บิล) ในเดือนสิงหาคม บัดนี้กลายเป็นเรื่องสำคัญสำหรับผู้มีส่วนได้ส่วนเสียในการคาดการณ์การเปลี่ยนแปลงที่พวกเขาจะต้องมีผลล่วงหน้า โดยเฉพาะอย่างยิ่งสตาร์ทอัพจะได้รับผลกระทบอย่างมากจากการเปลี่ยนแปลงเหล่านี้ เนื่องจากการปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวใหม่จะต้องลงทุนทั้งเวลาและเงินเป็นจำนวนมาก
เพื่อเตรียมสตาร์ทอัพสำหรับระบอบความเป็นส่วนตัวใหม่ Ikigai Law ร่วมกับ Inc42 ได้ จัด The Dialogue ซึ่งเป็นเซสชันโต๊ะกลมเชิงโต้ตอบเพื่อหารือเกี่ยวกับผลกระทบของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล กับสตาร์ทอัพ การอภิปรายนำโดย Anirudh Rastogi ผู้ก่อตั้ง Ikigai Law; Nehaa Chaudhari หัวหน้าฝ่ายนโยบาย กฎหมาย Ikigai และ Vaibhav Agrawal ผู้ก่อตั้งและซีอีโอ Inc42 มุ่งเน้นไปที่ประเด็นสำคัญภายใต้ร่างกฎหมาย ซึ่งรวมถึงข้อกำหนดในการแจ้งและการยินยอมใหม่ การรักษาข้อมูลส่วนบุคคลที่ละเอียดอ่อน วัตถุประสงค์และข้อจำกัดในการรวบรวม และการแปลข้อมูล
ข้อกำหนดในการแจ้งและการยินยอม: สิ่งที่ต้องระวัง
อภิปรายเรื่องประกาศใหม่และแนวทางปฏิบัติในการยินยอมภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลใน The Dialogue Anirudh เน้นย้ำว่าก่อนหน้านี้ นโยบายความเป็นส่วนตัวเคยถูกนำมาใช้อย่างไม่เป็นธรรม ข้อกำหนดในการแจ้งใหม่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีความเฉพาะเจาะจงมาก ต้องให้ข้อมูลแก่ผู้ใช้ในลักษณะที่เรียบง่ายและครอบคลุม แม้ในกรณีของภาษาพื้น ถิ่น สำหรับสตาร์ทอัพที่เกี่ยวข้องกับ Internet of Things (“IoT”) อุปกรณ์จะต้องมีหน้าจอเพื่อแจ้งให้ทราบ มิฉะนั้นจะต้องส่งอีเมลแบบเรียลไทม์ ซึ่งอาจมาในรูปแบบประสบการณ์ของผู้ใช้สำหรับอุปกรณ์บางตัว และอาจก่อให้เกิดการกลับไปกลับมาระหว่างทีมกฎหมายและทีม UX/UI ของบริษัทในระหว่างการพัฒนาผลิตภัณฑ์
ผู้เข้าร่วมอธิบายว่าการจดจำใบหน้าสามารถสร้างความท้าทายได้อย่างไร สำหรับเทคโนโลยีที่ใช้การจดจำใบหน้าเพื่อติดตามการจัดการและการเข้าร่วมกลุ่ม กฎสำหรับการยินยอมจะเบลอ แม้ว่าการยินยอมเป็นรายบุคคลจะเป็นเรื่องง่าย แต่การจับภาพใบหน้าหลายร้อยคนในฝูงชนถือเป็นเกมบอลอีกเกมหนึ่ง การได้รับความยินยอมสำหรับสิ่งนี้ดูเหมือนจะเป็นไปไม่ได้ในขั้นตอนนี้
อนิรุธตอบด้วยข้อเสนอแนะว่าบางทีพวกเขาอาจจะอาศัย 'จุดประสงค์ที่สมเหตุสมผล' ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พร้อมเตือนว่าจะต้องปฏิบัติตามมาตรฐานที่ค่อนข้างสูง เนื่องจากมีเพียงหน่วยงานคุ้มครองข้อมูลเท่านั้นที่มีอำนาจในการแสดงรายการสิ่งที่มีความสำคัญ ตามวัตถุประสงค์ที่สมเหตุสมผล และธุรกิจต่างๆ ไม่ได้มีอิสระที่จะกำหนดวัตถุประสงค์ที่สมเหตุสมผลสำหรับตนเอง สมาชิกผู้ฟังตอบกลับข้อสังเกตนี้ว่า “การพิจารณาต้นทุนการปฏิบัติตามข้อกำหนดเป็นสิ่งสำคัญมาก ฉันกลัวว่ามาตรฐานภายใต้ร่างพระราชบัญญัติฉบับนี้จะกำหนดอย่างหลวม ๆ บริษัทที่มีรายได้ต่อปีหนึ่งล้านเหรียญจะจัดสรรเงินสำหรับการปฏิบัติตามข้อกำหนดอย่างไร คุณจะนำต้นทุนนี้ไปปรับใช้ในธุรกิจอย่างไร”
ข้อมูลส่วนบุคคลที่ละเอียดอ่อน: เป็นไปตามมาตรฐานที่สูงขึ้น
การประมวลผลข้อมูลที่ถือว่าเป็น 'ข้อมูลส่วนบุคคลที่ละเอียดอ่อน' (SPD) ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นอยู่ภายใต้เกณฑ์ความยินยอมที่สูงกว่าข้อมูลส่วนบุคคล รหัสผ่าน ข้อมูลทางการเงิน ข้อมูลสุขภาพ ตัวระบุอย่างเป็นทางการ ข้อมูลไบโอเมตริก ข้อมูลทางพันธุกรรม ข้อมูลที่ระบุความเชื่อทางศาสนาหรือทางการเมือง รสนิยมทางเพศ หรือสถานะวรรณะ/เผ่า ถือเป็น SPD ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
แนะนำสำหรับคุณ:
ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...
Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...
หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...
สตาร์ทอัพอินเดียใช้ทางลัดในการไล่ล่าหาทุน
บริษัทที่รวบรวมหรือใช้ข้อมูลนี้จะต้องได้รับความยินยอม อย่างชัดแจ้ง จากผู้ใช้เพื่อประมวลผลข้อมูลนั้น ซึ่งหมายความว่าบริษัทจะต้องแจ้งให้ผู้ใช้ทราบถึงผลที่ตามมาของการประมวลผลข้อมูลของตนเพิ่มเติมจากประกาศปกติและข้อกำหนดความยินยอม
Anirudh อธิบายว่าสิ่งนี้อาจมีนัยที่ทำไม่ได้ - หากผู้ใช้บนแพลตฟอร์มโซเชียลมีเดียโพสต์ข้อมูลที่เปิดเผยเรื่องเพศ ความเชื่อทางศาสนา หรือความเชื่อทางการเมือง สิ่งนั้นจะถือเป็น SPD และจะต้องได้รับความยินยอมอย่างชัดแจ้งเพื่อใช้ข้อมูลนั้น แม้แต่ข้อมูลที่มีให้อย่างเสรี เช่น นามสกุลที่เปิดเผยวรรณะจะถูกระบุว่าเป็น SPD ภายใต้ร่างกฎหมายนี้
ข้อจำกัดวัตถุประสงค์และการรวบรวม: ข้อจำกัดในการเริ่มต้นสร้างรายได้จากข้อมูล
เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับแล้ว สตาร์ทอัพจะสามารถรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ชัดเจน เฉพาะเจาะจง ถูกกฎหมาย และแจ้งล่วงหน้าเท่านั้น พวกเขาสามารถรวบรวมข้อมูลที่จำเป็นสำหรับการประมวลผลเท่านั้น อธิบายความหมายของข้อกำหนดนี้ Nehaa ให้ความเห็นว่า “ความยินยอมจะต้องมีวัตถุประสงค์เฉพาะเจาะจง คุณไม่สามารถนำข้อมูลไปใช้ใหม่ได้โดยไม่แจ้งให้ผู้ใช้ทราบถึงการเปลี่ยนแปลงนั้น” อนิรุธเห็นด้วยและชี้ให้เห็นว่าสิ่งนี้อาจเกี่ยวข้องเป็นพิเศษสำหรับโครงการนำร่องที่รวบรวมข้อมูลโดยไม่มีจุดประสงค์ที่ชัดเจน โดยหวังว่าจะสร้างรายได้จากข้อมูลนั้นในบางช่วงเวลา
ภายใต้ระบอบความเป็นส่วนตัวใหม่ สตาร์ทอัพจะต้องคาดการณ์และแจ้งให้ผู้บริโภคทราบถึงกรณีการใช้งานและวัตถุประสงค์ของการรวบรวมข้อมูลล่วงหน้าก่อนที่จะประมวลผลข้อมูลใด ๆ เพื่อให้แน่ใจว่าความยินยอมของผู้ใช้ที่ได้รับนั้นถูกต้อง
การแปลข้อมูล: ผลกระทบที่อาจเกิดขึ้น
เมื่อถูกถามว่ามีบริษัทกี่แห่งที่จัดเก็บข้อมูลบนคลาวด์ เกือบทุกคนในปัจจุบันตอบตกลง ผู้เข้าร่วมจำนวนมากไว้วางใจแพลตฟอร์มการประมวลผลแบบคลาวด์ทั่วโลก เช่น Google Cloud, Microsoft Azure และ AWS ของ Amazon พวกเขาอธิบายว่าทางเลือกของแพลตฟอร์มคลาวด์นั้นพิจารณาจากการตอบสนองของบริการ เวลาแฝงของบริการคลาวด์ ความพร้อมใช้งานของศูนย์การกู้คืนจากความเสียหาย และประสิทธิภาพโดยรวม บริการเหล่านี้ช่วยให้สตาร์ทอัพลดต้นทุนได้อย่างมาก เนื่องจากไม่ต้องลงทุนในฮาร์ดแวร์จำนวนมากเพื่อจัดเก็บข้อมูล
การเข้าถึงแพลตฟอร์มคลาวด์คอมพิวติ้งทั่วโลกฟรีที่สตาร์ทอัพในอินเดียใช้งานอยู่ในปัจจุบันอาจได้รับผลกระทบจากข้อกำหนดการแปลข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังที่ Nehaa อธิบาย การโลคัลไลซ์เซชันใน Bill มีสองด้าน ขั้นแรก ต้องจัดเก็บสำเนาข้อมูลส่วนบุคคลทั้งหมดอย่างน้อยหนึ่งชุดในอินเดีย การดำเนินการนี้อาจทำได้ยาก ประการที่สอง มีการแกะสลัก "ข้อมูลส่วนบุคคลที่สำคัญ" ซึ่งสามารถจัดเก็บและประมวลผลในอินเดียเท่านั้น ขณะนี้ยังไม่มีการกำหนดข้อมูลส่วนบุคคลที่สำคัญ รัฐบาลกลางต้องแจ้งประเภทของข้อมูลที่จะจัดอยู่ในหมวดหมู่นี้ ทฤษฎีหนึ่งคือ SPD บางประเภทจะถือเป็นข้อมูลส่วนบุคคลที่สำคัญ แต่ยังไม่ชัดเจน
หนึ่งในผู้เข้าร่วมซึ่งเป็นนักวิทยาศาสตร์ข้อมูลที่ทำงานกับบริษัทวิเคราะห์ข้อมูล ชี้ให้เห็นว่าข้อกำหนดในการจัดเก็บข้อมูลที่เข้มงวดนำไปสู่ต้นทุนที่สำคัญแม้กระทั่งสำหรับบริษัทขนาดใหญ่ ดังนั้นการเริ่มต้นจะได้รับผลกระทบจากมาตรการนี้โดยเฉพาะ Vikas Chauhan จาก 1MG เน้นย้ำว่าเราไม่สามารถมีระบบที่ผู้ประกอบการด้านสุขภาพดิจิทัลกลัวที่จะดำเนินธุรกิจด้านสุขภาพดิจิทัลและสร้างสรรค์สิ่งใหม่ ๆ เนื่องจากกลัวว่าจะถูกดำเนินคดีทางอาญา สำหรับเขา บทลงโทษควรเป็นการเงินและควรมีระดับความรับผิดที่แตกต่างกันสำหรับบริษัทที่ละเมิดบทบัญญัติเดียวกันซ้ำแล้วซ้ำอีก เพื่อให้แน่ใจว่าผู้ประกอบการจะไม่เผชิญกับภัยคุกคามที่มีอยู่สำหรับความผิดเล็ก ๆ
สตาร์ทอัพมีส่วนร่วมกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างไร?
เป็นที่ชัดเจนว่าระบอบการปกป้องข้อมูลใหม่จะมีผลกระทบอย่างมีนัยสำคัญสำหรับการเริ่มต้นและธุรกิจจะได้รับประโยชน์จากการมีส่วนร่วมในการกำหนดร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล โชคดีที่กระทรวงอิเล็กทรอนิคส์และเทคโนโลยีสารสนเทศ (MeitY) ได้เรียกร้องให้สาธารณชนแสดงความคิดเห็นโดยเร็วใกล้จะถึงวันที่ 30 กันยายนนี้ เราขอแนะนำให้สตาร์ทอัพที่มีข้อมูลจำนวนมากตอบความคิดเห็นเพื่อให้แน่ใจว่าข้อกังวลของการเริ่มต้น ระบบนิเวศจะแสดงอย่างถูกต้องก่อน MeitY