PDP 法案下的数据分类:对初创公司的影响
已发表: 2020-03-13PDP 法案于 2019 年 12 月提交给议会,对个人、敏感个人和关键个人数据的分类缺乏明确性
由于分类不明确,它不仅可能使用户面临更大的隐私风险,而且还会影响印度初创公司的数据处理活动
目前,该法案正在由一个议员联合委员会进行审查
个人数据保护 (PDP) 法案于 2019 年 12 月 11 日提交议会,旨在作为印度数字经济未来和保护其公民隐私的基石。
然而,其将数据分类为个人数据 (PD)、敏感个人数据 (SPD) 和关键个人数据 (CPD) 与这一预期不一致。 这些担忧源于缺乏明确的数据在每个类别下的资格,给缺乏必要的可见性以采取必要的预防措施的公司带来了不确定性和挑战。
反过来,数据的不明确分类会阻碍确定适合数据保护的安全控制措施,从而使用户面临隐私风险。 在议会联合委员会审查该法案时,需要仔细考虑这种分类的影响,尤其是对初创企业的影响。
敏感个人数据的广义定义
个人数据 SPD 的一个子集包括财务数据、健康数据、生物特征数据、遗传数据、表明宗教/政治信仰/性取向或种姓/部落状态的数据。 此列表造成的监管不确定性可能会带来挑战,例如,将所有揭示种姓或宗教的财务数据/数据视为 SPD 可能会对跨境传输和数据处理产生额外限制。
PDP 法案继续对“财务数据”进行广泛定义。 例如,提供金融服务的公司收集的名称可能被归类为 SPD。 此外,在“财务数据”范围内包括点对点交易所需的支付标识符将要求用户遵守法案的 SPD 义务。 也必然会给风险管理、欺诈检测等操作带来问题。 此外,包含健康数据和生物特征数据也是有问题的。
从表面上看,生物识别数据的定义可能会影响声控辅助服务,而健康数据势必会改变提供诊断服务的初创公司以及提供营养建议等的初创公司的做法。
SPD 分类也可能对日常使用公开信息(例如姓氏或任何揭示政治/宗教信息的信息)产生不切实际的影响。 例如,公司需要用户明确同意才能处理 SPD——这意味着除了定期通知和同意要求外,他们还必须告知他们处理其数据的后果。
为你推荐:
RBI 的账户聚合器框架将如何改变印度的金融科技
企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:Cit...
元界将如何改变印度汽车业
反暴利条款对印度初创企业意味着什么?
教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……
本周新时代科技股:Zomato 的麻烦仍在继续,EaseMyTrip 发布强...
因此,在像印度这样的国家,收集个人姓名以揭示种姓/宗教的公司将被迫遵守该法案下的所有 SPD 要求。 另一方面,根据欧盟的 GDPR 缩短 SPD 列表,甚至根据处理“目的”所承担的特定风险对 SPD 进行分类,可能会减轻这些担忧。
监管不确定性会使合规变得困难
PDP 法案既没有定义 CPD,也没有为这种分类提供基础。 它还授权中央政府通知新的 SPD 类别。 这两项规定都造成了监管不确定性,并使合规变得困难。 缺乏任何明确的标准只会加剧这种不确定性——尤其是对于那些急于收集一种甚至没有在法律中定义但具有更高合规性的数据的小公司而言。
允许中央政府在没有具体指导的情况下指定 CPD 赋予它过多的权力,它可能没有必要的专业知识来执行。 最令人担忧的是,在分类过程中不需要咨询数据保护机构 (DPA) 或行业,这严重阻碍了业务的可预测性,并引发了对滥用的担忧。
然而,授权中央政府在通知 CPD(和新的 SPD 类别)之前进行透明的 DPA 和行业咨询可以解决这些问题。 正如我的同事之前所写的那样,更高的立法透明度使企业能够计划并为未来做好准备,而不透明的立法过程往往会成为市场进入障碍,导致昂贵的诉讼。
跨境转账限制
SPD 的广泛定义实际上导致要求在印度存储几乎所有类型的数据。 此外,由于大多数数据是作为混合数据集收集和存储的,由 PD 和 SPD 组成,因此将 SPD 或 PD 从此类数据集中分离是不切实际的。 这些限制将阻碍需要与海外实体共享数据或计划在全球扩张的初创公司的运营,这可能会削减利润率、降低生产力并削弱竞争力。
但是,由于 SPD 的转让已经受到监管,本地存储限制可能会被淡化。 此外,鉴于 PDP 法案允许将数据传输到“允许的”国家,应鼓励双边和多边数据传输框架。
总之,SPD 和 CPD 定义的模糊性以及基于这些定义的限制对公司规划其业务运营和合规措施提出了严重的限制,进而导致用户隐私的淡化。 相反,为了减轻现有分类的开放性,该法案应该能够根据强大的行业咨询制定明确的分类标准。
此外,仅应在听取利益相关者的意见后通知其他类别的 SPD 和 CPD。 协商方法可能会增加行业的信任和认同,建立一个消息灵通的监管机构并增加全面的问责制。