• โฮมเพจ
  • บทความ
  • เทคโนโลยี
  • ชะตากรรมของคำแนะนำของ TRAI และหนังสือเวียน RBI จะเป็นอย่างไรหลังจากร่างกฎหมาย PDP ถูกประกาศใช้?

ชะตากรรมของคำแนะนำของ TRAI และหนังสือเวียน RBI จะเป็นอย่างไรหลังจากร่างกฎหมาย PDP ถูกประกาศใช้?

เผยแพร่แล้ว: 2018-08-08

แม้ว่า TRAI จะถือว่าข้อมูลเป็นทรัพย์สินของผู้ใช้ แต่ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้ให้สิทธิ์แก่ผู้ใช้ในการเป็นเจ้าของ

PDP Bill สร้างความสัมพันธ์ที่ไว้วางใจระหว่างผู้ดูแลข้อมูลและผู้ใช้เพื่อให้อดีตต้องดำเนินการเพื่อผลประโยชน์สูงสุดของหลัง

หนังสือเวียน RBI ดูเหมือนจะสอดคล้องกับร่างกฎหมาย PDP ในวงกว้าง อย่างไรก็ตาม การขาดความชัดเจนในสิ่งที่ก่อให้เกิดข้อมูลส่วนบุคคลที่สำคัญคือปัญหา

เมื่อประมาณ 10 วันที่ผ่านมา คณะกรรมการผู้เชี่ยวชาญซึ่งนำโดยผู้พิพากษา ศรีกฤษณะ (คณะกรรมการ Srikrishna) ซึ่งแต่งตั้งโดยกระทรวงอิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศ (MeitY) เมื่อปีที่แล้ว ได้ออกคำแนะนำขั้นสุดท้ายว่าเฟรมเวิร์กการปกป้องข้อมูลของอินเดียควรเป็นอย่างไร นอกจากนี้ยังได้ออกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2561 (ร่างกฎหมาย PDP)

ในส่วนนี้ ฉันได้วางร่างกฎหมาย PDP กับคำแนะนำของ Telecom Regulatory Authority of India (TRAI) เกี่ยวกับความเป็นส่วนตัวและการเป็นเจ้าของข้อมูล และข้อกำหนดของ Reserve Bank of India (RBI) เกี่ยวกับการแปลข้อมูลระบบการชำระเงิน (ดูที่นี่และที่นี่สำหรับรายการบทความที่รวบรวมในแง่มุมอื่น ๆ ของร่างพระราชบัญญัติ PDP)

ดังนั้น คุณคิดว่าจะเกิดอะไรขึ้นกับหนังสือเวียน RBI และคำแนะนำของ TRAI เมื่อมีการตรากฎหมาย PDP (เวอร์ชันใดก็ได้) ให้เราเริ่มต้นด้วยประวัติล่าสุด

ในเดือนกรกฎาคม 2017 รัฐบาลอินเดียมอบหมายให้คณะกรรมการ Srikrishna พัฒนากฎหมายคุ้มครองข้อมูลที่ครอบคลุมสำหรับอินเดีย คณะกรรมการจึงออกเอกสารไวท์เปเปอร์สำหรับความคิดเห็นสาธารณะ และต่อมาใน เดือนมกราคม 2018 ได้ดำเนินการปรึกษาหารือสาธารณะสี่ครั้ง แต่ละครั้งในเดลี บังกาลอร์ ไฮเดอราบัด และมุมไบ หกเดือนต่อมา ซึ่งเป็นการยุติการเก็งกำไรทั้งหมดในช่วงเวลาของการปล่อยตัว คณะกรรมการได้ออกคำแนะนำขั้นสุดท้ายและร่างกฎหมาย PDP ในขณะเดียวกัน ในเดือนสิงหาคม 2017 TRAI ได้เริ่มให้คำปรึกษาเกี่ยวกับความเป็นส่วนตัว ความปลอดภัยของข้อมูล และความเป็นเจ้าของข้อมูลในภาคโทรคมนาคม การพิจารณาของ TRAI ดำเนินไปควบคู่ไปกับการดำเนินการของคณะกรรมการ Srikrishna และจบลงด้วยการที่หน่วยงานกำกับดูแลด้านโทรคมนาคมได้เผยแพร่คำแนะนำความเป็นส่วนตัวในวันที่ 16 กรกฎาคม 2018 น้อยกว่าสองสัปดาห์ก่อนที่คณะกรรมการ Srikrishna จะเผยแพร่

TRAI ไม่ใช่หน่วยงานกำกับดูแลเพียงแห่งเดียวที่ก้าวเข้าสู่กลุ่มการคุ้มครองข้อมูล โดยอยู่ระหว่างรอการเผยแพร่คำแนะนำขั้นสุดท้ายของคณะกรรมการ Srikrishna ในเดือนเมษายน เมื่อต้นปีที่ผ่านมา RBI ซึ่งเป็นหน่วยงานกำกับดูแลด้านการเงินของประเทศ ได้กำหนดให้ข้อมูลระบบการชำระเงินต้องถูกแปลเป็นภาษาท้องถิ่น ซึ่งหมายความว่าจะต้องจัดเก็บในอินเดีย เท่านั้น ในขณะที่คำแนะนำของ TRAI เป็นเพียงคำแนะนำเท่านั้น — อาณัติของ RBI มีผลบังคับใช้ทันที ผู้ให้บริการระบบการชำระเงินมีเวลาถึงวันที่ 15 ตุลาคม 2018 ในการปฏิบัติตามบรรทัดฐานและแจ้งให้ RBI ทราบเกี่ยวกับการปฏิบัติตามข้อกำหนด

การกระทำของ TRAI และ RBI ไม่ได้ไปได้ดีกับคณะกรรมการ Srikrishna ไม่นานหลังจากที่ TRAI ออกคำแนะนำ มีรายงานว่าคณะกรรมการไม่พอใจกับจังหวะเวลาของการเคลื่อนไหวของหน่วยงานกำกับดูแลด้านโทรคมนาคม เนื่องจากจะทำให้การเผยแพร่คำแนะนำสุดท้ายของตนเองล่าช้า สำหรับการเคลื่อนไหวของ RBI ในงานแถลงข่าวเพื่อเผยแพร่คำแนะนำสุดท้ายของคณะกรรมการ Justice Srikrishna ให้ความเห็นว่าหน่วยงานกำกับดูแลด้านการเงินได้กระโดดปืนด้วยวงกลม ความไม่พอใจของคณะกรรมการที่มีต่อ TRAI และ RBI นั้น หน่วยงานกำกับดูแลรายสาขาจะมีบทบาทสำคัญในการนำกรอบการปกป้องข้อมูลของอินเดียไปใช้ ผู้พิพากษา Srikrishna เองก็เคยรับรู้เรื่องนี้มาก่อน

แนะนำสำหรับคุณ:

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': CitiusTech CEO
ข่าว

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต
ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

สตาร์ทอัพอินเดียใช้ทางลัดในการไล่ล่าหาทุน
คุณสมบัติ

สตาร์ทอัพอินเดียใช้ทางลัดในการไล่ล่าหาทุน

ร่างกฎหมาย PDP เป็นเพียงก้าวแรกสู่การพัฒนากรอบการคุ้มครองข้อมูลที่ครอบคลุมสำหรับอินเดีย หน่วยงานกำกับดูแลรายสาขา รวมทั้ง TRAI และ RBI จะมีบทบาทสำคัญในการดำเนินการตามร่างกฎหมาย PDP อย่างไม่ต้องสงสัย และพัฒนาหลักการและบรรทัดฐานด้านความเป็นส่วนตัวสำหรับภาคส่วนที่เกี่ยวข้อง ในขณะที่ร่างกฎหมาย PDP วาดภาพการสร้างอำนาจใหม่ - หน่วยงานคุ้มครองข้อมูล - เพื่อกำกับดูแลการปฏิบัติตามกฎหมาย แต่ก็กำหนดให้หน่วยงานนี้ต้องปรึกษาและทำงานร่วมกับหน่วยงานกำกับดูแลรายอื่น ๆ

เนื่องจากร่างกฎหมาย PDP จะเป็นกฎหมายหลัก การดำเนินการใด ๆ ที่ TRAI, RBI หรือหน่วยงานกำกับดูแลอื่น ๆ ดำเนินการเกี่ยวกับการปกป้องข้อมูลจะต้องสอดคล้องกับบทบัญญัติ การดำเนินการใด ๆ โดยหน่วยงานกำกับดูแลใด ๆ ที่ไม่สอดคล้องกับกฎหมายหลักเมื่อมีผลบังคับใช้จะต้องทบทวนอีกครั้ง ด้วยเหตุนี้ จึงไม่น่าเป็นไปได้ที่คำแนะนำด้านความเป็นส่วนตัวที่ครอบคลุมของ TRAI ซึ่งขยายเขตอำนาจไปสู่มากกว่าโทรคมนาคม จะแปลเป็นข้อบังคับที่เป็นรูปธรรมในรูปแบบปัจจุบัน “ระบบนิเวศดิจิทัล” ที่หน่วยงานกำกับดูแลด้านโทรคมนาคมพูดถึงการควบคุมจะอยู่ภายใต้กฎหมายคุ้มครองข้อมูลของประเทศไม่ว่ากรณีใดๆ

TRAI กำลังขยายเขตอำนาจศาลหรือไม่?

ความพยายามของ TRAI ในการขยายเขตอำนาจไม่ใช่เรื่องใหม่ และสามารถตรวจสอบย้อนกลับได้อย่างน้อยจนถึงปี 2008 เมื่อพยายามควบคุม "บริการที่มีมูลค่าเพิ่ม" เป็นครั้งแรก ในทศวรรษที่ผ่านมา ความพยายามเหล่านี้ในการควบคุมมากกว่าแค่โทรคมนาคมยังคงดำเนินต่อไป แม้ว่าคำศัพท์จะเปลี่ยนไป - "บริการที่มีมูลค่าเพิ่ม" กลายเป็น "บริการแอปพลิเคชัน" "บริการที่เหนือกว่า" และตอนนี้ "บริการดิจิทัล" ระบบนิเวศน์”

คำแนะนำด้านความเป็นส่วนตัวของ TRAI – ความพยายามครั้งล่าสุดในการควบคุมมากเกินไป – แตกต่างจากร่างกฎหมาย PDP ในบางประเด็นสำคัญ

ในมุมมองของ TRAI ผู้ใช้เป็นเจ้าของข้อมูลส่วนบุคคล และผู้ควบคุมข้อมูล (เรียกว่า data fiduciaries ภายใต้ PDP Bill) เป็น "ผู้พิทักษ์" ของข้อมูลนี้เท่านั้น ร่างกฎหมาย PDP ไม่ให้สิทธิ์ความเป็นเจ้าของแก่ผู้ใช้ แต่สร้างความสัมพันธ์ที่ได้รับความไว้วางใจระหว่างผู้ดูแลข้อมูลและผู้ใช้ โดยที่อดีตจะต้องดำเนินการเพื่อผลประโยชน์สูงสุดของฝ่ายหลัง

นอกจากนี้ ในขณะที่ร่างกฎหมาย PDP จะถือเฉพาะผู้ดูแลข้อมูลที่ต้องรับผิดตามกฎหมาย และผู้ประมวลผลข้อมูลภายใต้เงื่อนไขบางประการเท่านั้น TRAI เห็นว่าทั้งผู้ควบคุมและผู้ประมวลผลควรรับผิดชอบ คำแนะนำของ TRAI และร่างกฎหมาย PDP ก็แตกต่างกันไปตามการแปลข้อมูล หน่วยงานกำกับดูแลด้านโทรคมนาคมไม่ได้ให้คำแนะนำที่เป็นรูปธรรมในประเด็นนี้ และได้เลื่อนการพิจารณาไปยังคณะกรรมการศรีกฤษณะ

ในทางกลับกัน ร่างกฎหมาย PDP ระบุระดับการแปลข้อมูลที่แตกต่างกันสำหรับข้อมูลประเภทต่างๆ และกำหนดให้ข้อมูลส่วนบุคคลที่สำคัญจะถูกจัดเก็บและประมวลผลในอินเดียเท่านั้น ที่น่าสนใจคือ ร่างกฎหมายไม่ได้ระบุว่าข้อมูลส่วนบุคคลที่สำคัญคืออะไร และปล่อยให้รัฐบาลกลางเป็นผู้กำหนด มีแนวโน้มว่ารัฐบาลจะกำหนดให้ข้อมูลโทรคมนาคมเป็นข้อมูลส่วนบุคคลที่สำคัญ

ไม่เหมือนกับคำแนะนำของ TRAI หนังสือเวียน RBI ดูเหมือนจะสอดคล้องกับร่างกฎหมาย PDP ในวงกว้าง อย่างไรก็ตาม การขาดความชัดเจนในสิ่งที่ถือเป็นข้อมูลส่วนบุคคลที่สำคัญเป็นปัญหาสำหรับข้อมูลทางการเงินเช่นกัน เช่นเดียวกับข้อมูลโทรคมนาคม รัฐบาลจะกำหนดให้ข้อมูลทางการเงินเป็นข้อมูลส่วนบุคคลที่สำคัญ ในกรณีนี้ ข้อมูลทางการเงินทั้งหมด ไม่ใช่แค่ข้อมูลระบบการชำระเงิน จะต้องจัดเก็บและประมวลผลในเครื่องในอินเดียเท่านั้น

ร่างพระราชบัญญัติ PDP มีแนวโน้มที่จะได้รับการแก้ไขก่อนที่จะมีการประกาศใช้กฎหมาย ไม่ว่ากฎหมายจะออกมาในรูปแบบสุดท้ายอย่างไรก็ตาม ข้อเท็จจริงที่ว่าหน่วยงานกำกับดูแลรายสาขามีบทบาทสำคัญในการกำหนดกฎหมายคุ้มครองข้อมูลของอินเดียยังคงไม่เปลี่ยนแปลง