對話——為個人數據保護法案準備印度初創公司

已發表: 2018-09-28

Ikigai Law 與 Inc42 聯合組織了“對話”

這是關於個人數據保護法案影響的圓桌討論

討論集中於條例草案的主要議題,即新的通知和同意規定; 處理敏感的個人數據; 和更多

今年 4 月初,印度儲備銀行 (RBI) 發布了一份通知,指示該國所有支付系統運營商將其數據僅存儲在印度。 隨著 10 月 15遵守 RBI 指令的最後期限越來越近,很明顯,印度公司很快將不得不改進其數據收集和處理實踐。 隨著 8 月《2018 年個人數據保護法案》(Bill)的發布,利益相關者現在必須提前預見他們必須實施的變化,這一點變得很重要。 尤其是初創公司,將受到這些變化的重大影響,因為遵守新的隱私要求將需要大量的時間和金錢投資。

為了讓初創企業為新的隱私製度做好準備,Ikigai Law 與 Inc42 合作組織了對話——一個互動圓桌會議,討論個人數據保護法案對初創企業的影響。 討論由 Ikigai Law 創始人 Anirudh Rastogi 主持; Ikigai Law 政策負責人 Nehaa Chaudhari 和 Inc42 創始人兼首席執行官 Vaibhav Agrawal 專注於法案下的關鍵問題,包括新的通知和同意要求; 處理敏感的個人數據; 目的和收集限制; 和數據本地化。

對話——印度初創企業為個人數據保護法案做準備

通知和同意要求:注意事項

在討論《個人數據保護法案》要求的新通知和同意做法時,Anirudh 在對話中強調,早些時候,隱私政策過去被相當輕視。 但是,《個人數據保護法案》下的新通知要求非常具體。 必須以簡單而全面的方式向用戶提供信息,即使是在白話語言的情況下也是如此 對於涉及物聯網(“IoT”)的初創公司,設備將需要屏幕來提供通知,或者必須實時發送電子郵件。 這可能會影響某些設備的用戶體驗,並且可能需要在產品開發期間公司的法律和 UX/UI 團隊之間來回交流。

一位參與者表達了他對同意要求的擔憂,解釋了面部識別如何帶來挑戰。 對於使用面部識別來跟踪群體管理和出席情況的技術,同意規則是模糊的。 雖然很容易獲得個人同意,但在人群中捕捉數百張面孔是另一回事。 在現階段,為此獲得同意似乎幾乎是不可能的。

Anirudh 回應說,也許他們可以依靠《個人數據保護法案》中的“合理目的”理由,同時警告說這將是一個相當高的標準,因為只有數據保護機構有權列出重要的內容作為一個合理的目的,企業不能自由地為自己定義什麼是合理的目的。 一位聽眾回應這一觀察時說: “考慮合規成本非常重要。 我擔心本條例草案的標準界定鬆散。 年營業額一百萬美元的公司如何撥出資金用於合規? 您如何在業務中實現這一成本?”

敏感的個人數據:滿足更高的標準

根據《個人數據保護法案》處理被視為“敏感個人數據”(SPD) 的數據的同意門檻高於個人數據。 根據《個人數據保護法案》,所有密碼、財務數據、健康數據、官方標識符、生物特徵數據、基因數據、表明宗教或政治信仰、性取向或種姓/部落狀態的數據均被視為 SPD。

為你推薦:

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:CitiusTech 首席執行官
消息

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司:Cit...

元界將如何改變印度汽車業
資源

元界將如何改變印度汽車業

反暴利條款對印度初創企業意味著什麼?
資源

反暴利條款對印度初創企業意味著什麼?

Edtech 初創公司如何幫助提高技能並使勞動力為未來做好準備
資源

教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……

消息

本週新時代科技股:Zomato 的麻煩仍在繼續,EaseMyTrip 發布強...

印度初創公司走捷徑尋求資金
特徵

印度初創公司走捷徑尋求資金

收集或使用這些數據的公司需要獲得用戶的明確同意才能處理這些數據——這意味著除了定期通知和同意要求外,他們還必須告知用戶處理其數據的後果。

Anirudh 解釋說,這可能會產生不切實際的影響——如果用戶在社交媒體平台上發布的信息揭示了他們的性取向、宗教信仰或政治信仰,這將被視為 SPD,並且必須明確同意才能使用該信息。 根據該法案,即使是諸如姓氏等揭示種姓的免費信息也將被標記為 SPD。

目的和收集限制:初創公司如何將數據貨幣化的限制

一旦《個人數據保護法案》作為法律生效,初創公司將只能出於明確、具體、合法和提前溝通的目的收集個人數據。 他們只能收集處理所需的數據。 在解釋這一要求的含義時,Nehaa 評論說: “同意必須是針對特定目的的。 在未通知用戶該更改的情況下,您不能將數據重新用於其他用途。” Anirudh 同意並指出,這可能與收集沒有明確目的的數據的試點項目特別相關,希望在某個時間點將這些數據貨幣化。

在新的隱私製度下,初創公司必須在處理任何數據之前提前預測並告知消費者數據收集的用例和目的,以確保他們獲得的用戶同意是有效的。

數據本地化:可能的影響

當被問及有多少公司將數據存儲在雲上時,幾乎所有在場的人都給出了肯定的回答。 許多參與者依賴谷歌云、微軟Azure和亞馬遜AWS等全球雲計算平台。 他們解釋說,他們對雲平台的選擇取決於服務的響應能力、雲服務延遲、災難恢復中心的可用性和整體效率。 這些服務允許初創公司顯著降低成本,因為他們不必投資大量硬件來存儲數據。

印度初創公司目前享有的對全球雲計算平台的免費訪問可能會受到《個人數據保護法案》下的數據本地化要求的影響。 正如 Nehaa 所解釋的,該法案中的本地化有兩個方面。 首先,至少有一份服務於所有個人數據的副本需要存儲在印度。 這可能難以實施。 其次,“關鍵個人數據”有一個例外,只能在印度存儲和處理。 關鍵個人數據目前尚未定義,中央政府必須通知將屬於此類別的數據種類。 一種理論是,某些類型的 SPD 將被視為關鍵的個人數據,但目前還不清楚。

其中一位參與者是與一家數據分析公司合作的數據科學家,他指出,嚴格的數據存儲要求即使對大公司來說也會導致巨大的成本,因此初創公司尤其會受到這一措施的影響。 關於對不遵守法案規定的嚴厲處罰和刑事責任,1MG 的 Vikas Chauhan 強調,我們不能有一個數字健康企業家害怕經營數字健康業務和創新的系統,因為害怕受到刑事起訴。 在他看來,處罰應該是經濟上的,並且對於反复違反同一條款的公司應該承擔不同程度的責任。 這將確保企業家不會因小罪而面臨生存威脅。

對話——印度初創企業為個人數據保護法案做準備

初創公司如何參與個人數據保護法案?

很明顯,新的數據保護製度將對初創企業產生重大影響,企業將從參與製定個人數據保護法案中受益。 幸運的是,電子和信息化部(MeitY)已經公開徵求意見,截止日期很快就到了9月30日。我們建議所有數據密集型初創公司回應他們的評論,以確保初創公司的擔憂生態系統在 MeitY 之前得到了適當的代表。