为什么 2019 年个人数据保护法案下的数据保护机构必须从一开始就做好准备？

已发表: 2020-06-06

数据保护局更像是一个总体监管机构，而不是部门监管机构

印度政府决定出台个人数据保护法是一个受欢迎的举措

重要的是，任何提议的数据授权都可供各行各业的个人使用

顾名思义，2019 年《个人数据保护法案》旨在保护公民的隐私，保护他们的个人数据不被任何实体（无论是私人公司还是国家）利用。该法案在本质上是雄心勃勃的，旨在让个人更多地控制他们的个人数据和行使数字权利的方法。

对于像印度这样的国家，从糟糕的数据保护法律和实践状态转变为如此广泛的框架并非易事。拟议的法律可能会对数字企业或任何与此相关的企业的运作方式产生剧烈影响。一旦框架生效，这些企业如何从个人那里收集数据以及他们如何处理这些数据将受到某些要求和限制。

该法案旨在实现无数目标，从保护用户权利、监控数据跨境流动到建立监管机构和创建沙箱以促进创新等等。然而，在它设定要实现的所有目标的中心，是一个很大程度上被授权的机构——数据保护局 (DPA) 或根据该法案提议的监管机构。

未来几年，数据保护局 (DPA) 将必须履行成为印度整个数据保护框架基石的任务，并将在立法的过渡阶段发挥关键作用。

考虑到数据保护局 (DPA) 将承担的大量责任，根据法案提出的有关当局的第一个担忧是其独立性。目前，负责遴选 DPA 成员的专责委员会仅由行政人员组成。该法案的当前版本偏离了较早的草案，该草案提议在委员会中包括一名司法成员，以确保表面上的司法监督。

将司法成员或行政部门以外的利益相关者纳入其中，将提高透明度，并避免对政府偏见或控制的任何恐惧。独立性的需求势在必行，因为拟议中的 DPA 不仅监管私人实体，还监管政府，而政府恰好是数据的最大受托人。

政府已经通过预算控制和制定对 DPA 具有约束力的政策的权力与 DPA 的运作进行了重大互动。在这种情况下，为数据保护机构增加透明度义务，以及在选择过程中实现司法监督的措施将是一个受欢迎的举措。

数据保护局更像是一个总体监管机构，而不是部门监管机构。其管辖范围内的实体跨越不同的部门，例如卫生、金融、国家安全等。甚至 DPA 将要执行的职能也涵盖范围广泛，从裁决、立法、行政到咨询职能。

资源

RBI 的账户聚合器框架将如何改变印度的金融科技

消息

资源

资源

资源

消息

这样一个涉足如此多领域的权威机构，在印度监管史上是史无前例的。以前的监管机构主要处理有限的实体。这样的授权强调了这样一个权威机构需要拥有最先进的技术专长。

与数据框架监管有关的问题通常涉及需要高水平技术专长的问题，除正式成员外任命技术成员将是朝着增强机构能力方向迈出的可喜一步。监管机构履行司法职能的能力也是其关键职能之一，在这种情况下，存在对先前司法经验或在此类事项上接受某种形式培训的要求很重要。

尽管与之前发布的草案相比，委托给数据保护局 (DPA) 的职能数量有所减少，但它仍然面临着艰巨的任务。 DPA 的职能包括监督遵守法律、为受委屈的公民提供救济、立法和提高民众的意识。除此之外，该法案中规定的许多原则将在未来几天由 DPA 编纂。

在这种情况下，拟议的权力可能会负担过重，从而影响其有效性。这样的问题伴随着拟议权力的单层结构，在未来可能会成为很大的问题。分层结构，在中心设有授权机构，州级或地区当局向其报告，这将减轻 DPA 的负担，并与印度的联邦结构产生共鸣。

很明显，数据保护局 (DPA) 有一些繁重的工作要做。因此，立法者必须认识到健全的结构对于确保 DPA 是一个有效机构的重要性。

在谈论数据保护机构 (DPA) 时，我们经常忘记提及它必须满足的关键要求之一才能真正有效 - 可访问性。由于数据具有如此普遍的性质，它属于任何使用工具连接到互联网或拨打电话的人，因此有必要赋予社会各阶层利益相关者的数据权利。

重要的是，任何提议的数据授权都可供各行各业的个人访问。理想情况下，与 DPA 交互的平台应该是多语言、更多图形和更少基于文本的，以迎合广大受众。它必须总体上减少对扫盲（和数字扫盲）的依赖，以便更广泛的人口，跨越经济领域，可以向当局提出他们的担忧。

印度政府制定个人数据保护法的决定是一个受欢迎的举措，并将在很大程度上增强印度的数字经济。但是，政府尚未认识到数据保护局 (DPA) 将面临的直接负担，以帮助政府完成该法律的过渡和实施。

为了实现该立法中提出的广泛目标，政府必须确保从一开始就拥有强大、独立和充分授权的权力机构。如果这样一个权威（理想情况下构成这样一个框架的基础）一开始就摇摇欲坠，它可能会随之摧毁整个结构。

[本文由 The Dialogue 的战略参与和研究协调员 Kazim Rizvi 和 Shefali Mehta 共同撰写]