Inc42 和 Ikigai Law 的“对话”：PDP 法案标志着政策制定者和初创企业之间的明显分歧

已发表: 2018-09-09

“对话”详细讨论了 PDP 法案，包括初创公司必须在数据收集和处理实践方面做出的改变

它还讨论了法案的数据本地化授权将如何影响初创公司的成本效益和运营

它讨论了初创公司如何在满足征得用户同意和分类个人数据的任务的同时控制成本

虽然电子和信息技术部 (MeitY) 已在 9 月 30 日之前就 2018 年个人数据保护法案草案（PDP 法案）征求公众意见，但Inc42于 9 月 7 日联合Ikigai Law （前身 TRA） ，与初创公司组织了一次圆桌互动会议，讨论该法案在议会通过后对其业务的影响。

由Inc42 创始人兼首席执行官 Vaibhav Agrawal、Ikigai Law 创始人 Anirudh Rastogi 和 Ikigai Law 政策负责人 Nehaa Chaudhari 主持， “对话”讨论了 PDP 法案的关键点——数据本地化、数据关键性、同意通知给用户，以及同意要求等。仅受邀参加的圆桌会议由初创公司创始人参加，他们提出了现有法案草案中未解决或回答的一系列挑战。

个人数据保护法案：要点

数据采集

无论是离线还是在线，一旦法案颁布，初创公司的数据收集做法都需要改变。该法案要求数据受托人（收集或处理数据的实体）向其用户发出通知，说明他们寻求收集的数据、收集的目的、数据是否会转移到第三方或国外，以及如何转移存储，将保留多长时间，等等。

因此，该草案对个人数据的收集进行了限制，并须经通知和同意。因此，初创公司必须通知现有用户他们的数据收集和使用做法，并获得新的用户同意。圆桌会议上的初创公司表示担心，他们的大部分用户群可能不会以所需的方式再次提供同意，从而导致他们的业务中断。为管理、法律和金融专业人士提供互动平台的 InteractiveMedia 首席执行官 Vivek Jain 表示：“鉴于印度普通用户的技术素养不高，并且可能无法提供详细的同意，这个问题在印度被放大了。”

该法案主要适用于“个人数据”，即可用于识别个人的数据。但是，个人数据不限于姓名、地址等。它可以是任何可以与其他数据（甚至是公开可用的信息）结合起来以某种方式识别个人的数据。 Ikigai Law 的 Anirudh Rastogi 解释说，例如，如果出租车公司知道有人每天都会去一家特定的咖啡店，那么该数据集可用于识别一个独特的个人并将构成个人信息。

虽然一些与会的初创公司认为这一个人数据条款可能是他们面临的主要障碍之一，但一些人认为印度 PDP 法案草案并未像《通用数据保护条例》(GDPR) 那样优先考虑“商业权” ）已经完成了。

数据本地化

对于直接或间接参与数据收集或处理属于印度数据主体的数据的每个数据受托人，PDP 法案草案规定必须在位于印度的服务器或数据中心至少存储一份数据副本。 此外，某些数据，例如“关键”数据，将由政府与提议的数据保护局 (DPA) 一起定义，将仅存储在印度的服务器中。

因此，数据本地化要求也要求数据受托人在印度设置他们的服务器。然而，在圆桌会议上，初创公司创始人指出，选择在印度的数据服务器比在美国和新加坡拥有数据服务器的成本更高；他们认为，这项授权还限制了初创公司的选择，带来了更高的管理负担，并且从数据安全的角度来看是有害的。其他人表示，目前印度服务器上没有各种基于云的服务，并且不一定会本地化，因为与全球市场相比，许多此类服务的印度市场很小。

为你推荐：

资源

RBI 的账户聚合器框架将如何改变印度的金融科技

消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司：Cit...

资源

元界将如何改变印度汽车业

资源

反暴利条款对印度初创企业意味着什么？

资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

消息

本周新时代科技股：Zomato 的麻烦仍在继续，EaseMyTrip 发布强...

因此，数据本地化、同意通知、娱乐用户的访问权和被遗忘权等强制要求不仅会增加初创公司的成本，降低其利润率，还会对其运营、效率和全球竞争力产生不利影响。

与会者还强调了创业公司需要遵守的不仅仅是 PDP 法案。他们需要遵守多项与数据相关的法律，这些法律可能是部门性的，也可能是特定于国家/地区的数据保护法，这将增加他们的负担。

许多人认为，由于支持该问题的特别强大的游说团体，数据本地化条款已包含在法案草案中。他们补充说，规定的高达 15 卢比的巨额罚款和刑事责任将阻碍整个初创企业的业务。

敏感的个人资料

PDP 法案草案还援引了敏感个人数据 (SPD) 的概念。敏感的个人数据包括健康数据、官方标识符（Aadhaar ID、驾驶执照等）、生物特征数据、宗教或政治信仰以及种姓相关数据等信息。

但是，“关键数据”是否是 SPD 的子集尚不清楚。政府尚未概述“关键数据”的定义。

征得数据负责人同意

根据 GDPR，PDP 法案也明确规定，与征求同意相关的信息必须是免费的、全面的、明确的，并通过平权行动表明。 公司不建议在隐私政策的开头向用户提供预先勾选的“我同意”框，而用户应主动勾选仅出现在隐私政策末尾的框，以确定他们有至少向下滚动政策以实际阅读它。 Rastogi 解释说，在这种情况下，产品团队必须与律师密切合作，在良好的数据收集实践和用户体验之间取得平衡。

除了同意之外，法案草案还赋予数据委托人某些权利，数据受托人必须在给定的时间范围内接受这些权利。其中包括访问权、被遗忘权等。

PDP 法案：未来的挑战

圆桌会议列出了一些仍然模棱两可、没有答案的挑战，必须在法案提交议会之前解决。考虑到的一些挑战包括：

在印度，仍有大量数据离线处理，但 PDP 法案并未提及离线数据收集的同意模式。数据受托人在收集数据时应如何向数据委托人发送同意通知？
条例草案所订的标准定义松散或根本没有定义。
Ikigai Law 的 Nehaa Chaudhari 解释说，为重复交易或使用物联网设备或面部识别等新技术收集数据将变得更加困难。
药效等研究领域的跨境数据共享将受到该法案的影响。
公司的合规成本将大幅上升，尤其会给初创企业带来负担。
渴望在全球范围内提供服务的初创公司的合规性将更加困难，因为它们需要遵守不同法律规定的不同标准。
参与者还指出，人们的手机包含联系人的个人数据，可能会丢失；人们经常交换名片而没有具体提及目的。他们质疑该法案将如何影响未来的这种情况？如果有人丢失了他或她的手机会怎样？他/她是否须根据现行条例草案提起诉讼？

PDP 法案草案还概述了公司只能收集与数据保护机构定义的特定目的相关的特定数据。对于初创公司来说，这可能是一个主要障碍。例如，在数据收集的目的本质上仍然不可知的情况下，开展了一些试点项目。目前的法案草案没有对此类情况作出任何明确说明。与会者补充说，如果该法案以目前的形式颁布，它将对通常通过初创公司运行的试点项目实现的颠覆性技术进步产生负面影响。

PDP法案：对话必须继续

Inc42 和 Ikigai Law 的“对话”在所有参与者的积极参与下进行了激烈而富有洞察力的讨论。从本质上讲，对话突出了政策制定者和技术驱动型初创公司之间的明显差距。需要弥合这一差距，以保持印度创业生态系统的发展势头。 对话必须继续。

MeitY 对 PDP 法案草案的评论和反馈开放至 2018 年 9 月 30 日。不要忘记在为时已晚并变得更难以修复错误之前发出您的声音！

更新 1：2018 年 9 月 9 日，21.46

就 2018 年印度个人数据保护法案草案提交反馈意见的日期已延长至 2018 年 9 月 30 日。