PDP 法案下的數據分類:對初創公司的影響
已發表: 2020-03-13PDP 法案於 2019 年 12 月提交給議會,對個人、敏感個人和關鍵個人數據的分類缺乏明確性
由於分類不明確,它不僅可能使用戶面臨更大的隱私風險,而且還會影響印度初創公司的數據處理活動
目前,該法案正在由一個議員聯合委員會進行審查
個人數據保護 (PDP) 法案於 2019 年 12 月 11 日提交議會,旨在作為印度數字經濟未來和保護其公民隱私的基石。
然而,其將數據分類為個人數據 (PD)、敏感個人數據 (SPD) 和關鍵個人數據 (CPD) 與這一預期不一致。 這些擔憂源於缺乏明確的數據在每個類別下的資格,給缺乏必要的可見性以採取必要的預防措施的公司帶來了不確定性和挑戰。
反過來,數據的不明確分類會阻礙確定適合數據保護的安全控制措施,從而使用戶面臨隱私風險。 在議會聯合委員會審查該法案時,需要仔細考慮這種分類的影響,尤其是對初創企業的影響。
敏感個人數據的廣義定義
個人數據 SPD 的一個子集包括財務數據、健康數據、生物特徵數據、遺傳數據、表明宗教/政治信仰/性取向或種姓/部落狀態的數據。 此列表造成的監管不確定性可能會帶來挑戰,例如,將所有揭示種姓或宗教的財務數據/數據視為 SPD 可能會在跨境傳輸和數據處理方面受到額外限制。
PDP 法案繼續對“財務數據”進行廣泛定義。 例如,提供金融服務的公司收集的名稱可能被歸類為 SPD。 此外,在“財務數據”範圍內包括點對點交易所需的支付標識符將要求用戶遵守法案的 SPD 義務。 也必然會給風險管理、欺詐檢測等操作帶來問題。 此外,包含健康數據和生物特徵數據也是有問題的。
從表面上看,生物特徵數據的定義可能會影響聲控輔助服務,而健康數據勢必會改變提供診斷服務的初創公司以及提供營養建議等的初創公司的做法。
SPD 分類也可能對日常使用公開信息(例如姓氏或任何揭示政治/宗教信息的信息)產生不切實際的影響。 例如,公司需要用戶明確同意才能處理 SPD——這意味著除了定期通知和同意要求外,他們還必須告知他們處理其數據的後果。
為你推薦:
RBI 的賬戶聚合器框架將如何改變印度的金融科技
企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:Cit...
元界將如何改變印度汽車業
反暴利條款對印度初創企業意味著什麼?
教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……
本週新時代科技股:Zomato 的麻煩仍在繼續,EaseMyTrip 發布強...
因此,在像印度這樣的國家,收集個人姓名以揭示種姓/宗教的公司將被迫遵守該法案下的所有 SPD 要求。 另一方面,根據歐盟的 GDPR 縮短 SPD 列表,甚至根據處理“目的”所承擔的特定風險對 SPD 進行分類,可能會減輕這些擔憂。
監管不確定性會使合規變得困難
PDP 法案既沒有定義 CPD,也沒有為這種分類提供基礎。 它還授權中央政府通知新的 SPD 類別。 這兩項規定都造成了監管不確定性,並使合規變得困難。 缺乏任何明確的標準只會加劇這種不確定性——尤其是對於那些急於收集一種甚至沒有在法律中定義但具有更高合規性的數據的小公司而言。
允許中央政府在沒有具體指導的情況下指定 CPD 賦予它過多的權力,它可能沒有必要的專業知識來執行。 最令人擔憂的是,在分類過程中不需要諮詢數據保護機構(DPA)或行業,嚴重阻礙了業務的可預測性,並引發了對濫用的擔憂。
然而,授權中央政府在通知 CPD(和新的 SPD 類別)之前進行透明的 DPA 和行業諮詢可以解決這些問題。 正如我的同事之前所寫的那樣,更高的立法透明度使企業能夠規劃並為未來做好準備,而不透明的立法過程往往會成為市場進入障礙,導致昂貴的訴訟。
跨境轉賬限制
SPD 的廣泛定義實際上導致要求在印度存儲幾乎所有類型的數據。 此外,由於大多數數據是作為混合數據集收集和存儲的,由 PD 和 SPD 組成,因此將 SPD 或 PD 從此類數據集中分離是不切實際的。 這些限制將阻礙需要與海外實體共享數據或計劃在全球擴張的初創公司的運營,這可能會削減利潤率、降低生產力並削弱競爭力。
但是,由於 SPD 的轉讓已經受到監管,本地存儲限制可能會被淡化。 此外,鑑於 PDP 法案允許將數據傳輸到“允許的”國家,應鼓勵雙邊和多邊數據傳輸框架。
總之,SPD 和 CPD 定義的模糊性以及基於這些定義的限制對公司規劃其業務運營和合規措施提出了嚴重的限制,進而導致用戶隱私的淡化。 相反,為了減輕現有分類的開放性,該法案應該能夠根據強大的行業諮詢制定明確的分類標準。
此外,僅應在聽取利益相關者的意見後通知其他類別的 SPD 和 CPD。 協商方法可能會增加行業的信任和認同,建立一個消息靈通的監管機構並增加全面的問責制。