以大监控的执行力赋能数据主权建设

已发表: 2020-08-30

数据主权被用作破坏强制性数据隐私规则和自决、目的限制和数据最小化原则的工具

当前的数据主权概念产生了诱人的个人和非个人数据的“蜜罐”,这引起了安全考虑

隐私法规的框架应尊重数据的自由流动

44 年前,教会委员会的报告揭示了美国总统的不当行为,即他们如何发起或鼓励情报活动以开展国内搜索行动。 这些行动被用来监视政治对手、颠覆性公民和不同的声音——比如马丁·路德·金、穆罕默德·阿里、诺曼·梅勒、霍华德·贝克等。

由电子和信息技术部 (Meity) 组建的专家委员会最近发布了一份关于非个人数据 (NPD) 治理框架的报告。 该报告建议政府可能“出于国家安全、法律目的等目的”收集和使用 NPD。 该政策将这些称为主权目的,包括网络安全、物理基础设施保护、执法、流行病测绘等。

这种宽泛的语言可能会引发对国家监控的担忧,并可能阻止消费者与政府或企业共享数据,从而阻碍创新和增长。 此外,2019 年《个人数据保护法案》第 35 条授予政府不受限制的权力,可以在未经同意的情况下收集数据,现在可以访问非个人数据,通过这份报告,公民可以使用身份证。 这是通过混合个人和非个人数据集来增强政府未来监控能力的完美素材。

例如,电信执法资源管理小组 (TERM Cells) 负责合法拦截和监控通过印度电信和互联网服务提供商网络的互联网/呼叫流量,特别是出于国家安全目的。 这使 TERM Cells 能够处理大量 NPD,例如位置详细信息、通话记录详细信息、用户的完整列表、甚至失败的通话尝试的数据记录、MSISDN(帮助将用户身份映射到电话号码)、IMEI、通话时长、连接类型等

尽管这些孤岛中的 NPD 可能不会造成伤害,但一旦聚合可用于重新识别个人,相当于侵犯个人的自主权、人格尊严和隐私。

数据主权被用作破坏强制性数据隐私规则和自决、目的限制和数据最小化原则的工具。 在一个民主化的国家,如果需要执行数据主权,尊重宪法保障的基本权利的数据保护框架至关重要。

当前的数据主权概念产生了诱人的个人和非个人数据的“蜜罐”,这引起了安全考虑。 因此,为了加强数据主权原则,印度需要更强大的安全保障措施,如强大的加密、匿名工具和独立审计要求。

为你推荐:

RBI 的账户聚合器框架将如何改变印度的金融科技
资源

RBI 的账户聚合器框架将如何改变印度的金融科技

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:CitiusTech 首席执行官
消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:Cit...

元界将如何改变印度汽车业
资源

元界将如何改变印度汽车业

反暴利条款对印度初创企业意味着什么?
资源

反暴利条款对印度初创企业意味着什么?

Edtech 初创公司如何帮助提高技能并使劳动力为未来做好准备
资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

消息

本周新时代科技股:Zomato 的麻烦仍在继续,EaseMyTrip 发布强...

匿名化陷阱

隐私法规的框架应尊重数据的自由流动。 自由流动促进了经济,优化了机构的运作并有利于自由标准。 在制定另一项关于隐私的立法之前,政策制定者应平衡不受约束的信息共享的优势与其风险,然后校准现有法规。

然而,立法者已经实施了一个完美的黄金子弹解决方案——匿名化——这让他们无需沉迷于透明的平衡行为。 匿名化通过鼓励政策制定者略过安全、创新和信息自由流动等反补贴价值的计算和平衡,解放了他们。 即使在研究人员证明匿名化不是万能药之后,对匿名化的过分强调和信任仍然普遍存在。

专家委员会报告也同意以下结论:

“即使是 NPD,包括匿名数据,也可以提供集体见解,为针对社区的集体伤害(剥削性或歧视性伤害)开辟道路”。 该报告还确定了九种不同的匿名技术,如 k-匿名、l-多样性、T-closeness、Anonimatron 和差分隐私技术。

然而,它们都没有被证明完全足以避免信息泄露。 匿名化的消亡将使国家法律失控,立法者将需要找到一种新的方式来恢复失去的秩序,从而恢复数据主权。 任何数据保护法规的主要支柱是其安全保障措施,如果这些措施被证明无效,则意味着数据主体的权利陷入了黑洞。

数据主权是个人对数据的所有权,无效的匿名工具侵犯了数据主体的权利,如隐私权、选择自由、删除权等。

数据主权——新瓶装旧酒?

Chelameswar 法官在 KS Puttaswamy 诉印度联盟案中指出:“像我们这样的宪法是个人——序言中的‘印度人民’——创造‘国家’的手段,这是一个为他们的利益服务并成为对他们负责,并将他们的部分主权移交给它”。 自古以来,公民一直将主权授予政府,以换取维护他们的权利,在数字时代,他们的信息权。

这不是一个新概念,然而,在数字时代,它被描述为类似于数据本地化的数据主权将被证明是昂贵的,减少外国投资,阻碍印度成为新时代服务的新中心,并增加本地化监视。 这种围绕主权的叙述源于当前的知识和地缘政治背景,在这种背景下,国家在政治体系和政治想象中都保持强大,并且经常与数据殖民主义相混淆。 然而,从社会契约论的角度来看,主权概念不应仅作为领土的一个方面。

只有在所有尊重隐私的标准都已到位时,才应考虑主权概念。 数据主权的核心目标不能是通过大规模监视对我们的身体进行数据化,从而改变国家与国家之间的关系。

印度储备银行关于支付数据存储和电子药房法规的通知将财务和健康记录的存储视为要存储在印度的敏感数据。 这些规则现在必须承认数据流、隐私和新挑战的变化格局,从而为执行基本权利制定新标准。

[本文由杜伦大学博士研究员和兼职导师 Kazim Rizvi 创始董事 The Dialogue 和 Harsh Bajpai 共同撰写]