Covid和大流行后世界中数据隐私和保护的挑战

Covid-19 大流行已严重扰乱并继续扰乱个人、政府和企业在几乎各行各业中的运作方式。 这种破坏的最大表现是越来越多地采用技术解决方案来应对这种流行病带来的挑战。

当今法律的主要亮点

2000 年信息技术法案（IT 法案）与 2011 年信息技术（合理的安全实践和程序以及敏感的个人数据或信息）规则（敏感个人数据规则）一起阅读是管理个人信息和敏感个人信息的收集和处理的主要立法。数据或信息（敏感个人数据）在行业中立的基础上。

敏感个人数据规则主要将以下内容指定为敏感个人数据：

• 密码
• 财务信息，例如银行账户或信用卡或借记卡或其他支付工具的详细信息
• 身体、生理和心理健康状况
• 性取向
• 病历和病史
• 生物特征信息

法人团体可以通过遵守敏感个人数据规则的规定（包括获得信息提供者的同意）来收集敏感的个人数据。

Covid-19 带来的合规挑战

考虑到印度与数据隐私相关的合规性总体前景，由于 Covid-19 的影响而导致的突然数字化转变对合规性提出了重大挑战。 随着 Covid-19 之后的远程工作，由于缺乏处理数据隐私和保护的能力，数据隐私、安全和管理已成为大多数组织的一个重大问题。

为你推荐：

资源

RBI 的账户聚合器框架将如何改变印度的金融科技

阿米特·达斯

2022 年 7 月 31 日

消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司：Cit...

贾斯普雷特 K.

2022 年 7 月 31 日

资源

元界将如何改变印度汽车业

瓦巴夫·S。

2022 年 7 月 31 日

资源

反暴利条款对印度初创企业意味着什么？

查兰亚 L.

2022 年 7 月 31 日

资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

安库什·S。

2022 年 7 月 31 日

消息

本周新时代科技股：Zomato 的麻烦仍在继续，EaseMyTrip 发布强...

塔潘贾纳·R。

2022 年 7 月 31 日

此外，由于 Covid-19，已经采取了某些措施，例如对员工和访客进行体温记录和筛查，但在大多数情况下，这些措施是在没有适当的保障措施和遵守合规性的情况下完成的。 另一个令人担忧的领域是缺乏对网络安全的投资，以及缺乏处理数据安全等问题的胜任人员。

可以做什么？

数据映射

大多数组织甚至对他们收集的数据都没有基本的了解，更不用说这种收集的原因和目的了。 这些对于以客户为中心的行业尤其有害，例如零售业，这些行业以节拍的速度收集数据，但甚至没有对数据实践进行初步审计。 可以为组织中处理数据的健全系统奠定基础的基本实践是分析正在处理的数据的类型和数量，并将它们映射到可能需要访问这些数据的目的和潜在部门。

需要考虑的问题

• 数据对企业有多重要？ 如果业务不需要数据，为什么要收集这些数据？
• 如果数据就像实物资产一样是资产，那么谁应该有权访问以及如何在组织内保护它？

建设组织能力

最好不要孤立地考虑数据隐私和保护。 尽管将 CISO 与 CTO 混淆并不能很好地反映组织能力，这是不言而喻的，但归根结底，组织聘用的每个人都必须了解保护数据的价值。 诸如定期培训课程和组织内使用设备和网络的明确政策等步骤可能是实现合规性的极具成本效益的解决方案。

需要考虑的问题

• 是否有涵盖员工确保专有数据和客户信息机密性责任的政策？
• 是否有任何责任矩阵明确赋予特定人员以确保组织中的数据保护？

对网络安全的重要性

组织通常对实施此类解决方案的成本感到畏惧，但如果没有它们，任何保护数据的努力都是徒劳的。 有趣的是，许多组织没有考虑其 IT 供应商（如云提供商）使用的网络安全标准。 在内部使用 IT 的组​​织可以考虑进行差距分析，以了解现有的合规水平和不足的领域。 这将为决定组织在保持商业问题相关性的同时可以努力实现的数据保护级别提供一个起点。

需要考虑的问题

• 是否有任何机制来审核 IT/云提供商的网络安全标准？
• 是否有明确的政策和措施来应对违规/网络攻击，例如业务连续性和恢复？

结论

Covid-19 已经迫使组织进行数字化飞跃，并且已经证明是一个挑战。 然而，印度的数据隐私和保护法律框架即将以 2019 年个人数据保护法案的形式实现巨大飞跃，目前正在由联合议会委员会审议。 一旦 Covid-19 大流行过去，现在是组织积极考虑彻底改革其现有做法并迎来业务蓬勃发展的新曙光的关键时刻。

[本文由 Khaitan & Co 的 Supratim Chakraborty（合伙人）和 Sumantra Bose（高级合伙人）共同撰写]