期待已久的Bharatiya Janata党领导的政府在星期三在议会中提出的数据保护法案始于一个有希望的说明:“该法案的规定,”该法案读到,“应适用于国家处理个人数据,任何印度公司,任何印度公民”,并继续列出使个人能够控制其信息的规则。
但是,在长达56页的法案中途,情况发生了变化,意图也变得很明确:“该法的全部或任何规定不适用于政府的任何机构,以处理此类个人数据。”广泛的豁免允许政府获取其公民的数据,表面上是履行治理职责,但实际上是授予其永久监视他们的许可证。
该矛盾是拟议的《 2019年个人数据保护法》的核心:向前迈进了一步,要保护个人数据不受私营公司的侵害,但在向政府监督施加保障方面却落后了两步,这从根本上损害了公民隐私保护的前提。
该法案是一个数据治理框架,该框架迫使组织处理人们的个人数据的组织重新审视数据管理,并规范保护个人隐私和个人数据的做法。它定义了他们可以做什么和不能做什么。它将个人数据定义为在线或离线收集的任何可用来识别您的信息:姓名,地址,电话号码,位置,购物历史,照片,电话记录,社交媒体活动,您所吃的食物,所看的电影,在线搜索,您交换的消息以及您拥有的设备。
该法案还定义了“敏感的个人数据”,其中包括其他保护措施,其中包括您的健康数据(例如您与医生或医疗应用共享的私人信息),财务数据(银行和付款信息),性取向,生物特征识别(面部图像) ,指纹,虹膜扫描),种姓或部落,宗教和政治信仰。
法案的规定如何改变各种利益相关者的利益?以及它如何保护您的数据?让我们分解一下。
对个人的影响
您何时最后一次在单击“我同意”之前在注册数字服务时阅读隐私政策?很有可能永远不会。隐私政策通常令人困惑,充满行话并且冗长乏味。
这种不透明的系统易于滥用。您的个人数据被用来操纵行为。它可能会确定您看到的产品,您支付的价格和可以访问的服务。越来越多地使用自动决策系统来决定您是否应该获得贷款,甚至是您成为犯罪分子的机会。人们不知道谁可以访问他们的信息,何时何地收集信息,如何处理信息以及信息如何影响他们的日常生活。
这就是印度的数据保护法案旨在解决的问题。该法案在很大程度上受到欧盟2016年通过并于2018年实施的通用数据保护法规(GDPR)的启发,该法案将个人权利置于数据保护的中心。根据帐单,未经您的同意,您的个人信息将不会被收集,处理或共享。您的个人数据可以用于明确的预定义目的,并且只能收集必要的数据。
为了给予同意公平的机会,公司将不得不调整其隐私协议。它必须清晰明了:以简单的语言描述要收集的数据,其目的,使用方式以及保留数据的持续时间。它将以多种语言提供。您还可以将数据从一个提供程序移动到另一个提供程序。向组织询问他们持有您的所有数据是什么,并要求将其删除;甚至随时撤回您的同意。
重要的是,如果您认为您的个人数据已过时或不正确,则可以要求将其修复,尤其是当数据不正确可能会造成有害后果时。例如,如果一家招聘公司存储了关于您的教育和职业经历的错误信息,则可能会损害您的就业前景。
这样,在大多数情况下,您可能不知道谁可以访问您与一个组织共享的数据。例如,医生是否与健康保险提供者共享了您的私人病历,从而影响了您支付的保费?您可以根据拟议法案的规定了解这一点,该法案允许您请求与您共享数据的实体的列表。可以肯定的是,像Google和Facebook这样的公司已经向印度人提供了许多这样的选择。
对组织的影响
从对工程架构进行技术更改到修改业务流程,私人组织将有很多工作要做。核心是,他们需要限制数据收集,处理和存储,但还有更多。例如,组织需要准备并采用“设计时保密”政策,这意味着在整个产品开发生命周期中,用户隐私应该是工程设计的中心,而不是追溯性,监管机构将根据定义的标准对政策进行认证和批准。
技术安全保障措施,包括取消身份识别(防止不慎泄露个人身份)和加密功能,必须内置加密功能。任何数据泄露事件都需要报告给监管机构。
较大的组织(取决于数据量,年营业额和其他因素)以及用户数量超出定义阈值的社交媒体公司将承担其他责任。这包括针对监管机构定义的特定任务进行数据保护影响评估,定期安全审核以及任命数据保护官。此外,将需要社交媒体平台来使用户能够自愿验证其帐户,类似于Twitter上的“蓝色勾号”。
对数据本地化要求施加了一些限制。个人数据可以不受限制地跨越国界。但是仍然存在一些限制:对“敏感的个人数据”进行了限制,这些数据必须存储在印度,但可以在获得监管机构批准后在外部进行处理。处理是指对个人数据进行的任何操作。中央政府可以自行通知,但有严格的限制:它需要在印度境内存储和处理。
关于数据共享,该法案说,政府可以要求公司为决策或其他公共物品提供“匿名”或“非个人数据”。想法是使用汇总数据得出有意义的见解并发现未知趋势。例如,来自出租车服务的汇总数据可以帮助进行交通规划。
但是,这也可能导致隐私问题。考虑来自本地汇总的电子商务或食品配送服务的销售数据。它本身无法识别任何特定的人。但是它可以识别出主要购买孟加拉食物或根本不订购非素食食物的地方;那些订购特定宗教的圣经或某种衣服的人。
这些都没有透露任何有关个人的信息,但是数据点可以说明很多有关社区的信息。该法案中的规则不适用于匿名数据的处理,而由监管机构决定。这可能很棘手。 Mozilla在博客文章中写道:“法律应继续关注个人数据的保护,而将非个人数据的法规留给独立法律处理。”
建议采取严厉的处罚措施:最高可达1500万卢比,占组织全球总营业额的4%。它还可能使人们入狱。这与GDPR不同,在GDPR中,不遵守数据保护要求不会导致刑事制裁。
GDPR经验告诉我们,公司面临的挑战将取决于组织的规模。例如,微软公司总裁布拉德·史密斯(Brad Smith)在其《工具和武器》一书中叙述了微软花费数亿美元和300多名专职工程师超过18个月的时间来构建新的软件架构。另一方面,报告表明,缺乏相关资源和专门知识的较小的公司正在努力遵守新准则。
对政府的影响
该法案为政府访问公民的个人数据提供了广泛的例外,并提供了充分的自由裁量权,以其公共机构,国家安全和与外国的友好关系为由,免除其任何机构的法律。
负责起草《 2018年个人数据保护法案》的委员会的法官BN Srikrishna告诉《经济时报》,该法案将“使印度变成奥威尔州”。“他们已经取消了保障措施。这是最危险的。政府可以任何时候都以主权或公共秩序为由访问私人数据或政府机构数据。”
经济学家Vijay Kelkar和Ajay Shah认为,虽然从事“监视资本主义”的私营公司是一个主要问题,但主要问题是需要限制政府对个人信息的访问,并将政府监督纳入法治程序。新书《为共和国服务》,这是第一步。
当然,私营公司可以通过使用个人数据来操纵行为来赚钱。但是,由于政府拥有更多的权力,因此访问个人信息要危险得多。政府有能力以武力强迫个人从事某些行为。这种区别至关重要。
在成熟的民主国家,有关政府监督的法律在很大程度上已解决。例如,欧洲联盟的大多数成员国都有管理监视的法律框架,并确保对情报部门进行民主监督,而印度却没有。根据议会法案没有建立印度情报机构,也没有明确定义角色或权力限制。
在统治政府的权力之后,欧洲开始制止私人行为者的虐待。与印度拟议的法律不同,GDPR也适用于公共部门和私营部门。印度从欧洲汲取了灵感,但错过了隐私法规发展的历史背景。
对监管机构的影响
该法案设立了一个功能强大的新隐私监管机构,即印度数据保护局(DPA),以定义标准,防止滥用个人数据,监控合规性并提高对数据保护的认识。当局可以根据自身或收到的投诉进行查询。它有权对违法者进行处罚-从经济支出到刑事制裁不等。 DPA的命令可以在上诉法庭中进行质疑。法庭的上诉将提交最高法院。
DPA将由一名主席和六名成员组成,这些成员在数据保护和信息技术领域具有至少10年的专业知识。但是,有一个问题:任命成员的委员会将没有司法或外部代表。它仅限于执行人员。 Mozilla在博客文章中解释说,这将“使DPA的授权和效力变得更加困难,因为整个治理结构将完全由政府任命。”
请务必注意,法律本身并不保护公民的数据。保护程度取决于拟议规则的执行情况。在这里,印度国家能力薄弱(政府的管理能力以及其设计和实施规则或政策的能力)可能会影响执法。加强新监管者的能力对于成功实施拟议法律至关重要。
结论
实施GDPR时提出的许多问题仍然与印度相关。这在很大程度上取决于政策的执行方式,以及这是否将有助于大公司比小公司进一步取得优势。为组织提供足够的支持以遵守新规则将至关重要。他们需要了解知情同意的含义,并将法律规范转化为技术实施。
数据保护法案尚未最终确定。它已被移交给两个参议院的联合特选委员会,其中有20名来自Lob Sabha的成员和10名来自Rajya Sabha的成员。他们应在即将举行的预算会议结束之前提交报告。如果该国议员真正希望保护公民的数据和隐私,则必须考虑该法案的缺点。至关重要的是,如果他们想赋予个人权力,就必须让出一些自己的权力。
Samarth Bansal是驻德里的自由记者。他撰写有关技术,政治和政策的文章。
