对话——为个人数据保护法案准备印度初创公司

已发表: 2018-09-28

Ikigai Law 与 Inc42 联合组织了“对话”

这是关于个人数据保护法案影响的圆桌讨论

讨论集中于条例草案的主要议题,即新的通知和同意规定; 处理敏感的个人数据; 和更多

今年 4 月初,印度储备银行 (RBI) 发布了一份通知,指示该国所有支付系统运营商将其数据仅存储在印度。 随着 10 月 15遵守 RBI 指令的最后期限越来越近,很明显,印度公司很快将不得不改进其数据收集和处理实践。 随着 8 月《2018 年个人数据保护法案》(Bill)的发布,利益相关者现在必须提前预见他们必须实施的变化,这一点变得很重要。 尤其是初创公司,将受到这些变化的重大影响,因为遵守新的隐私要求将需要大量的时间和金钱投资。

为了让初创企业为新的隐私制度做好准备,Ikigai Law 与 Inc42 合作组织了对话——一个互动圆桌会议,讨论个人数据保护法案对初创企业的影响。 讨论由 Ikigai Law 创始人 Anirudh Rastogi 主持; Ikigai Law 政策负责人 Nehaa Chaudhari 和 Inc42 创始人兼首席执行官 Vaibhav Agrawal 专注于法案下的关键问题,包括新的通知和同意要求; 处理敏感的个人数据; 目的和收集限制; 和数据本地化。

对话——印度初创企业为个人数据保护法案做准备

通知和同意要求:注意事项

在讨论《个人数据保护法案》要求的新通知和同意做法时,Anirudh 在对话中强调,早些时候,隐私政策过去被相当轻视。 但是,《个人数据保护法案》下的新通知要求非常具体。 必须以简单而全面的方式向用户提供信息,即使是在白话语言的情况下也是如此 对于涉及物联网(“IoT”)的初创公司,设备将需要屏幕来提供通知,或者必须实时发送电子邮件。 这可能会影响某些设备的用户体验,并且可能需要在产品开发期间公司的法律和 UX/UI 团队之间来回交流。

一位参与者表达了他对同意要求的担忧,解释了面部识别如何带来挑战。 对于使用面部识别来跟踪群体管理和出席情况的技术,同意规则是模糊的。 虽然很容易获得个人同意,但在人群中捕捉数百张面孔是另一回事。 在现阶段,为此获得同意似乎几乎是不可能的。

Anirudh 回应说,也许他们可以依靠《个人数据保护法案》中的“合理目的”理由,同时警告说这将是一个相当高的标准,因为只有数据保护机构有权列出重要的内容作为一个合理的目的,企业不能自由地为自己定义什么是合理的目的。 一位听众回应这一观察时说: “考虑合规成本非常重要。 我担心本条例草案的标准界定松散。 年营业额一百万美元的公司如何拨出资金用于合规? 您如何在业务中实现这一成本?”

敏感的个人数据:满足更高的标准

根据《个人数据保护法案》处理被视为“敏感个人数据”(SPD) 的数据的同意门槛高于个人数据。 根据《个人数据保护法案》,所有密码、财务数据、健康数据、官方标识符、生物特征数据、基因数据、表明宗教或政治信仰、性取向或种姓/部落状态的数据均被视为 SPD。

为你推荐:

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:CitiusTech 首席执行官
消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:Cit...

元界将如何改变印度汽车业
资源

元界将如何改变印度汽车业

反暴利条款对印度初创企业意味着什么?
资源

反暴利条款对印度初创企业意味着什么?

Edtech 初创公司如何帮助提高技能并使劳动力为未来做好准备
资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

消息

本周新时代科技股:Zomato 的麻烦仍在继续,EaseMyTrip 发布强...

印度初创公司走捷径寻求资金
特征

印度初创公司走捷径寻求资金

收集或使用这些数据的公司需要获得用户的明确同意才能处理这些数据——这意味着除了定期通知和同意要求外,他们还必须告知用户处理其数据的后果。

Anirudh 解释说,这可能会产生不切实际的影响——如果用户在社交媒体平台上发布的信息揭示了他们的性取向、宗教信仰或政治信仰,这将被视为 SPD,并且必须明确同意才能使用该信息。 根据该法案,即使是诸如姓氏等揭示种姓的免费信息也将被标记为 SPD。

目的和收集限制:初创公司如何将数据货币化的限制

一旦《个人数据保护法案》作为法律生效,初创公司将只能出于明确、具体、合法和提前沟通的目的收集个人数据。 他们只能收集处理所需的数据。 在解释这一要求的含义时,Nehaa 评论说: “同意必须是针对特定目的的。 在未通知用户该更改的情况下,您不能将数据重新用于其他用途。” Anirudh 同意并指出,这可能与收集没有明确目的的数据的试点项目特别相关,希望在某个时间点将这些数据货币化。

在新的隐私制度下,初创公司必须在处理任何数据之前提前预测并告知消费者数据收集的用例和目的,以确保他们获得的用户同意是有效的。

数据本地化:可能的影响

当被问及有多少公司将数据存储在云上时,几乎所有在场的人都给出了肯定的回答。 许多参与者依赖谷歌云、微软Azure和亚马逊AWS等全球云计算平台。 他们解释说,他们对云平台的选择取决于服务的响应能力、云服务延迟、灾难恢复中心的可用性和整体效率。 这些服务允许初创公司显着降低成本,因为他们不必投资大量硬件来存储数据。

印度初创公司目前享有的对全球云计算平台的免费访问可能会受到《个人数据保护法案》下的数据本地化要求的影响。 正如 Nehaa 所解释的,该法案中的本地化有两个方面。 首先,至少有一份服务于所有个人数据的副本需要存储在印度。 这可能难以实施。 其次,“关键个人数据”有一个例外,只能在印度存储和处理。 关键个人数据目前尚未定义,中央政府必须通知将属于此类别的数据类型。 一种理论是,某些类型的 SPD 将被视为关键的个人数据,但目前还不清楚。

其中一位参与者是与一家数据分析公司合作的数据科学家,他指出,严格的数据存储要求即使对大公司来说也会导致巨大的成本,因此初创公司尤其会受到这一措施的影响。 关于对不遵守法案规定的严厉处罚和刑事责任,1MG 的 Vikas Chauhan 强调,我们不能有一个数字健康企业家害怕经营数字健康业务和创新的系统,因为害怕受到刑事起诉。 在他看来,处罚应该是经济上的,并且对于反复违反同一条款的公司应该承担不同程度的责任。 这将确保企业家不会因小罪而面临生存威胁。

对话——印度初创企业为个人数据保护法案做准备

初创公司如何参与个人数据保护法案?

很明显,新的数据保护制度将对初创企业产生重大影响,企业将从参与制定个人数据保护法案中受益。 幸运的是,电子和信息化部(MeitY)已经公开征求意见,截止日期很快就到了9月30日。我们建议所有数据密集型初创公司回应他们的评论,以确保初创公司的担忧生态系统在 MeitY 之前得到了适当的代表。