PDP 法案頒布後，TRAI 建議和 RBI 通告的命運將如何？

大約 10 天前，由電子和信息技術部 (MeitY) 去年任命的斯里克里希納大法官 (Srikrishna Committee) 主持的專家委員會發布了關於印度數據保護框架應該是什麼樣子的最終建議。 它還發布了 2018 年個人數據保護法案草案（PDP 法案）。

在這篇文章中，我將 PDP 法案與印度電信監管局 (TRAI) 關於隱私和數據所有權的建議以及印度儲備銀行 (RBI) 關於本地化支付系統數據的命令並列。 （有關 PDP 法案其他方面的文章整理列表，請參見此處和此處）。

那麼，當（任何版本的）PDP 法案獲得頒佈時，您認為 RBI 通告和 TRAI 建議會發生什麼變化？ 讓我們從最近的一些歷史開始。

2017 年 7 月，印度政府委託 Srikrishna 委員會為印度製定全面的數據保護法。 該委員會隨後發布了一份白皮書徵詢公眾意見，隨後於2018 年 1 月進行了四次公眾諮詢——在德里、班加羅爾、海得拉巴和孟買各進行一次。 六個月後，結束了所有關於發佈時間的猜測，委員會提出了最終建議和 PDP 法案。 與此同時，2017 年 8 月，TRAI 開始就電信行業的隱私、數據安全和數據所有權進行諮詢。 TRAI 的審議與 Srikrishna 委員會自己的工作同時進行，並最終導致電信監管機構於 2018 年 7 月 16 日發布其隱私建議，距 Srikrishna 委員會發布自己的建議不到兩週。

在 Srikrishna 委員會的最終建議發布之前，TRAI 並不是唯一加入數據保護潮流的監管機構。 今年早些時候，印度的金融監管機構——印度儲備銀行——要求支付系統數據本地化，這意味著它只能存儲在印度。 雖然 TRAI 的建議只是——建議——但 RBI 的授權立即生效。 支付系統提供商必須在 2018 年 10 月 15 日之前遵守該規範並向 RBI 告知他們的合規情況。

TRAI 和印度儲備銀行的行動在 Srikrishna 委員會中並不順利。 在 TRAI 發布其建議後不久，據報導，委員會對電信監管機構採取行動的時機感到不安，因為它將推遲發布自己的最終建議。 關於印度儲備銀行的舉動，在發布委員會最終建議的新聞發布會上，斯里克里希納大法官認為，金融監管機構的通函是操之過急。 除了委員會對 TRAI 和印度儲備銀行的不滿之外，部門監管機構將在推進印度的數據保護框架方面發揮關鍵作用。 斯里克里希納大法官本人此前已經認識到這一點。

為你推薦：

消息

企業家無法通過“Jugaad”創建可持續、可擴展的初創公司：Cit...

賈斯普雷特 K.

2022 年 7 月 31 日

資源

元界將如何改變印度汽車業

瓦巴夫·S。

2022 年 7 月 31 日

資源

反暴利條款對印度初創企業意味著什麼？

查蘭亞 L.

2022 年 7 月 31 日

資源

教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……

安庫什·S。

2022 年 7 月 31 日

消息

本週新時代科技股：Zomato 的麻煩仍在繼續，EaseMyTrip 發布強...

塔潘賈納·R。

2022 年 7 月 31 日

特徵

印度初創公司走捷徑尋求資金

尼基爾·S。

2022 年 7 月 31 日

PDP 法案只是為印度製定全面數據保護框架的第一步。 包括 TRAI 和 RBI 在內的部門監管機構無疑將在 PDP 法案的實施以及為各自部門製定隱私原則和規範方面發揮關鍵作用。 雖然 PDP 法案設想建立一個新的機構——數據保護機構——來監督法律的實施，但它還要求該機構與其他部門監管機構進行協商和合作。

鑑於 PDP 法案將成為母法，TRAI、RBI 或任何其他監管機構對數據保護採取的任何行動都必須符合其規定。 任何監管機構在其生效時與母法律不一致的任何行動都必須重新審查。 考慮到這一點，TRAI 的全面隱私建議（將其管轄範圍擴展到電信之外）不太可能轉化為當前形式的具體監管。 電信監管機構所說的“數字生態系統”無論如何都將受到該國數據保護法的約束。

TRAI 是否正在擴大其管轄範圍？

TRAI 擴大管轄範圍的嘗試並不新鮮，至少可以追溯到 2008 年，當時它首次嘗試規範“增值服務”。 在過去的十年中，儘管術語發生了變化，但這些對電信以外的監管的努力仍在繼續——“增值服務”已經變成了“應用服務”、“OTT 服務”，現在，“數字服務”生態系統”。

TRAI 的隱私建議——它最近一次過度監管的嘗試——在某些關鍵領域與 PDP 法案不同。

在 TRAI 看來，用戶擁有他們的個人信息，而數據控制者（根據 PDP 法案稱為數據受託人）只是這些數據的“保管人”。 PDP 法案不授予用戶所有權，但在數據受託人與用戶之間建立了受託關係，從而要求前者為後者的最大利益行事。

此外，雖然 PDP 法案僅要求數據受託人依法承擔責任，而數據處理者僅在某些條件下承擔責任，但 TRAI 認為控制者和處理者都應承擔責任。 TRAI 的建議和 PDP 法案在數據本地化方面也存在差異。 電信監管機構尚未就此問題提出任何具體建議，並已將其提交給 Srikrishna 委員會。

另一方面，PDP 法案為不同類別的數據規定了不同程度的數據本地化，並要求關鍵的個人數據只能在印度存儲和處理。 有趣的是，該法律草案並沒有具體說明什麼是關鍵個人數據，而是由中央政府來定義。 政府很可能會將電信數據指定為重要的個人數據。

與 TRAI 的建議不同，RBI 通告似乎與 PDP 法案大體一致。 然而，對關鍵個人數據的構成缺乏明確性也是財務信息的一個問題。 就像電信數據一樣，政府完全有可能將財務數據指定為關鍵的個人數據。 如果是這種情況，那麼所有財務數據，而不僅僅是支付系統數據，都需要僅在印度本地存儲和處理。

PDP 法案很可能在成為法律之前進行修改。 然而，無論法律的最終形式如何，部門監管機構在製定印度數據保護法方面發揮著至關重要的作用這一事實仍然沒有改變。