PDP 法案颁布后，TRAI 建议和 RBI 通告的命运将如何？

大约 10 天前，由电子和信息技术部 (MeitY) 去年任命的斯里克里希纳大法官 (Srikrishna Committee) 主持的专家委员会发布了关于印度数据保护框架应该是什么样子的最终建议。 它还发布了 2018 年个人数据保护法案草案（PDP 法案）。

在这篇文章中，我将 PDP 法案与印度电信监管局 (TRAI) 关于隐私和数据所有权的建议以及印度储备银行 (RBI) 关于本地化支付系统数据的命令并列。 （有关 PDP 法案其他方面的文章整理列表，请参见此处和此处）。

那么，当（任何版本的）PDP 法案获得颁布时，您认为 RBI 通告和 TRAI 建议会发生什么变化？ 让我们从最近的一些历史开始。

2017 年 7 月，印度政府委托 Srikrishna 委员会为印度制定全面的数据保护法。 该委员会随后发布了一份白皮书征询公众意见，随后于2018 年 1 月进行了四次公众咨询——在德里、班加罗尔、海得拉巴和孟买各进行一次。 六个月后，结束了所有关于发布时间的猜测，委员会提出了最终建议和 PDP 法案。 与此同时，2017 年 8 月，TRAI 开始就电信行业的隐私、数据安全和数据所有权进行咨询。 TRAI 的审议与 Srikrishna 委员会自己的工作同时进行，最终电信监管机构于 2018 年 7 月 16 日发布了其隐私建议，距离 Srikrishna 委员会发布自己的建议不到两周。

在 Srikrishna 委员会的最终建议发布之前，TRAI 并不是唯一加入数据保护潮流的监管机构。 今年早些时候，印度的金融监管机构——印度储备银行——要求支付系统数据本地化，这意味着它只能存储在印度。 虽然 TRAI 的建议只是——建议——但 RBI 的授权立即生效。 支付系统提供商必须在 2018 年 10 月 15 日之前遵守该规范并向 RBI 告知他们的合规情况。

TRAI 和印度储备银行的行动在 Srikrishna 委员会中并不顺利。 在 TRAI 发布其建议后不久，据报道，委员会对电信监管机构采取行动的时机感到不安，因为它将推迟发布自己的最终建议。 关于印度储备银行的举动，在发布委员会最终建议的新闻发布会上，斯里克里希纳大法官认为，金融监管机构的通函是操之过急。 除了委员会对 TRAI 和印度储备银行的不满之外，部门监管机构将在推进印度的数据保护框架方面发挥关键作用。 斯里克里希纳大法官本人此前已经认识到这一点。

为你推荐：

消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司：Cit...

贾斯普雷特 K.

2022 年 7 月 31 日

资源

元界将如何改变印度汽车业

瓦巴夫·S。

2022 年 7 月 31 日

资源

反暴利条款对印度初创企业意味着什么？

查兰亚 L.

2022 年 7 月 31 日

资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

安库什·S。

2022 年 7 月 31 日

消息

本周新时代科技股：Zomato 的麻烦仍在继续，EaseMyTrip 发布强...

塔潘贾纳·R。

2022 年 7 月 31 日

特征

印度初创公司走捷径寻求资金

尼基尔·S。

2022 年 7 月 31 日

PDP 法案只是为印度制定全面数据保护框架的第一步。 包括 TRAI 和 RBI 在内的部门监管机构无疑将在 PDP 法案的实施以及为各自部门制定隐私原则和规范方面发挥关键作用。 虽然 PDP 法案设想建立一个新的机构——数据保护机构——来监督法律的实施，但它还要求该机构与其他部门监管机构进行协商和合作。

鉴于 PDP 法案将成为母法，TRAI、RBI 或任何其他监管机构对数据保护采取的任何行动都必须符合其规定。 任何监管机构在其生效时与母法律不一致的任何行动都必须重新审查。 考虑到这一点，TRAI 的全面隐私建议（将其管辖范围扩展到电信之外）不太可能转化为当前形式的具体监管。 电信监管机构所说的“数字生态系统”无论如何都将受到该国数据保护法的约束。

TRAI 是否正在扩大其管辖范围？

TRAI 扩大管辖范围的尝试并不新鲜，至少可以追溯到 2008 年，当时它首次尝试规范“增值服务”。 在过去的十年里，尽管术语发生了变化，但这些对电信以外的监管的努力仍在继续——“增值服务”已经变成了“应用服务”、“OTT 服务”，而现在，“数字服务”变成了“数字服务”。生态系统”。

TRAI 的隐私建议——它最近一次过度监管的尝试——在某些关键领域与 PDP 法案不同。

在 TRAI 看来，用户拥有他们的个人信息，而数据控制者（根据 PDP 法案称为数据受托人）只是这些数据的“保管人”。 PDP 法案不授予用户所有权，但在数据受托人与用户之间建立了受托关系，从而要求前者为后者的最大利益行事。

此外，虽然 PDP 法案仅要求数据受托人依法承担责任，而数据处理者仅在某些条件下承担责任，但 TRAI 认为控制者和处理者都应承担责任。 TRAI 的建议和 PDP 法案在数据本地化方面也存在差异。 电信监管机构尚未就此问题提出任何具体建议，并已将其提交给 Srikrishna 委员会。

另一方面，PDP 法案为不同类别的数据规定了不同程度的数据本地化，并要求关键的个人数据只能在印度存储和处理。 有趣的是，该法律草案并没有具体说明什么是关键个人数据，而是由中央政府来定义。 政府很可能会将电信数据指定为重要的个人数据。

与 TRAI 的建议不同，RBI 通告似乎与 PDP 法案大体一致。 然而，对关键个人数据的构成缺乏明确性也是财务信息的一个问题。 就像电信数据一样，政府完全有可能将财务数据指定为关键的个人数据。 如果是这种情况，那么所有财务数据，而不仅仅是支付系统数据，都需要仅在印度本地存储和处理。

PDP 法案很可能在成为法律之前进行修改。 然而，无论法律的最终形式如何，部门监管机构在制定印度数据保护法方面发挥着至关重要的作用这一事实仍然没有改变。