期待已久的Bharatiya Janata黨領導的政府在星期三在議會中提出的數據保護法案始於一個有希望的說明:「該法案的規定,」該法案讀到,「應適用於國家處理個人數據,任何印度公司,任何印度公民」,並繼續列出使個人能夠控制其信息的規則。
但是,在長達56頁的法案中途,情況發生了變化,意圖也變得很明確:「該法的全部或任何規定不適用於政府的任何機構,以處理此類個人數據。」廣泛的豁免允許政府獲取其公民的數據,表面上是履行治理職責,但實際上是授予其永久監視他們的許可證。
該矛盾是擬議的《 2019年個人數據保護法》的核心:向前邁進了一步,要保護個人數據不受私營公司的侵害,但在向政府監督施加保障方面卻落後了兩步,這從根本上損害了公民隱私保護的前提。
該法案是一個數據治理框架,該框架迫使組織處理人們的個人數據的組織重新審視數據管理,並規範保護個人隱私和個人數據的做法。它定義了他們可以做什麼和不能做什麼。它將個人數據定義為在線或離線收集的任何可用來識別您的信息:姓名,地址,電話號碼,位置,購物歷史,照片,電話記錄,社交媒體活動,您所吃的食物,所看的電影,在線搜索,您交換的消息以及您擁有的設備。
該法案還定義了「敏感的個人數據」,其中包括其他保護措施,其中包括您的健康數據(例如您與醫生或醫療應用共享的私人信息),財務數據(銀行和付款信息),性取向,生物特徵識別(面部圖像) ,指紋,虹膜掃描),種姓或部落,宗教和政治信仰。
法案的規定如何改變各種利益相關者的利益?以及它如何保護您的數據?讓我們分解一下。
對個人的影響
您何時最後一次在單擊「我同意」之前在註冊數字服務時閱讀隱私政策?很有可能永遠不會。隱私政策通常令人困惑,充滿行話並且冗長乏味。
這種不透明的系統易於濫用。您的個人數據被用來操縱行為。它可能會確定您看到的產品,您支付的價格和可以訪問的服務。越來越多地使用自動決策系統來決定您是否應該獲得貸款,甚至是您成為犯罪分子的機會。人們不知道誰可以訪問他們的信息,何時何地收集信息,如何處理信息以及信息如何影響他們的日常生活。
這就是印度的數據保護法案旨在解決的問題。該法案在很大程度上受到歐盟2016年通過並於2018年實施的通用數據保護法規(GDPR)的啟發,該法案將個人權利置於數據保護的中心。根據帳單,未經您的同意,您的個人信息將不會被收集,處理或共享。您的個人數據可以用於明確的預定義目的,並且只能收集必要的數據。
為了給予同意公平的機會,公司將不得不調整其隱私協議。它必須清晰明了:以簡單的語言描述要收集的數據,其目的,使用方式以及保留數據的持續時間。它將以多種語言提供。您還可以將數據從一個提供程序移動到另一個提供程序。向組織詢問他們持有您的所有數據是什麼,並要求將其刪除;甚至隨時撤回您的同意。
重要的是,如果您認為您的個人數據已過時或不正確,則可以要求將其修復,尤其是當數據不正確可能會造成有害後果時。例如,如果一家招聘公司存儲了關於您的教育和職業經歷的錯誤信息,則可能會損害您的就業前景。
這樣,在大多數情況下,您可能不知道誰可以訪問您與一個組織共享的數據。例如,醫生是否與健康保險提供者共享了您的私人病歷,從而影響了您支付的保費?您可以根據擬議法案的規定了解這一點,該法案允許您請求與您共享數據的實體的列表。可以肯定的是,像Google和Facebook這樣的公司已經向印度人提供了許多這樣的選擇。
對組織的影響
從對工程架構進行技術更改到修改業務流程,私人組織將有很多工作要做。核心是,他們需要限制數據收集,處理和存儲,但還有更多。例如,組織需要準備並採用「設計時保密」政策,這意味著在整個產品開發生命周期中,用戶隱私應該是工程設計的中心,而不是追溯性,監管機構將根據定義的標準對政策進行認證和批准。
技術安全保障措施,包括取消身份識別(防止不慎泄露個人身份)和加密功能,必須內置加密功能。任何數據泄露事件都需要報告給監管機構。
較大的組織(取決於數據量,年營業額和其他因素)以及用戶數量超出定義閾值的社交媒體公司將承擔其他責任。這包括針對監管機構定義的特定任務進行數據保護影響評估,定期安全審核以及任命數據保護官。此外,將需要社交媒體平台來使用戶能夠自願驗證其帳戶,類似於Twitter上的「藍色勾號」。
對數據本地化要求施加了一些限制。個人數據可以不受限制地跨越國界。但是仍然存在一些限制:對「敏感的個人數據」進行了限制,這些數據必須存儲在印度,但可以在獲得監管機構批准後在外部進行處理。處理是指對個人數據進行的任何操作。中央政府可以自行通知,但有嚴格的限制:它需要在印度境內存儲和處理。
關於數據共享,該法案說,政府可以要求公司為決策或其他公共物品提供「匿名」或「非個人數據」。想法是使用匯總數據得出有意義的見解並發現未知趨勢。例如,來自計程車服務的匯總數據可以幫助進行交通規劃。
但是,這也可能導致隱私問題。考慮來自本地匯總的電子商務或食品配送服務的銷售數據。它本身無法識別任何特定的人。但是它可以識別出主要購買孟加拉食物或根本不訂購非素食食物的地方;那些訂購特定宗教的聖經或某種衣服的人。
這些都沒有透露任何有關個人的信息,但是數據點可以說明很多有關社區的信息。該法案中的規則不適用於匿名數據的處理,而由監管機構決定。這可能很棘手。 Mozilla在博客文章中寫道:「法律應繼續關注個人數據的保護,而將非個人數據的法規留給獨立法律處理。」
建議採取嚴厲的處罰措施:最高可達1500萬盧比,占組織全球總營業額的4%。它還可能使人們入獄。這與GDPR不同,在GDPR中,不遵守數據保護要求不會導致刑事制裁。
GDPR經驗告訴我們,公司面臨的挑戰將取決於組織的規模。例如,微軟公司總裁布拉德·史密斯(Brad Smith)在其《工具和武器》一書中敘述了微軟花費數億美元和300多名專職工程師超過18個月的時間來構建新的軟體架構。另一方面,報告表明,缺乏相關資源和專門知識的較小的公司正在努力遵守新準則。
對政府的影響
該法案為政府訪問公民的個人數據提供了廣泛的例外,並提供了充分的自由裁量權,以其公共機構,國家安全和與外國的友好關係為由,免除其任何機構的法律。
負責起草《 2018年個人數據保護法案》的委員會的法官BN Srikrishna告訴《經濟時報》,該法案將「使印度變成奧威爾州」。「他們已經取消了保障措施。這是最危險的。政府可以任何時候都以主權或公共秩序為由訪問私人數據或政府機構數據。」
經濟學家Vijay Kelkar和Ajay Shah認為,雖然從事「監視資本主義」的私營公司是一個主要問題,但主要問題是需要限制政府對個人信息的訪問,並將政府監督納入法治程序。新書《為共和國服務》,這是第一步。
當然,私營公司可以通過使用個人數據來操縱行為來賺錢。但是,由於政府擁有更多的權力,因此訪問個人信息要危險得多。政府有能力以武力強迫個人從事某些行為。這種區別至關重要。
在成熟的民主國家,有關政府監督的法律在很大程度上已解決。例如,歐洲聯盟的大多數成員國都有管理監視的法律框架,並確保對情報部門進行民主監督,而印度卻沒有。根據議會法案沒有建立印度情報機構,也沒有明確定義角色或權力限制。
在統治政府的權力之後,歐洲開始制止私人行為者的虐待。與印度擬議的法律不同,GDPR也適用於公共部門和私營部門。印度從歐洲汲取了靈感,但錯過了隱私法規發展的歷史背景。
對監管機構的影響
該法案設立了一個功能強大的新隱私監管機構,即印度數據保護局(DPA),以定義標準,防止濫用個人數據,監控合規性並提高對數據保護的認識。當局可以根據自身或收到的投訴進行查詢。它有權對違法者進行處罰-從經濟支出到刑事制裁不等。 DPA的命令可以在上訴法庭中進行質疑。法庭的上訴將提交最高法院。
DPA將由一名主席和六名成員組成,這些成員在數據保護和信息技術領域具有至少10年的專業知識。但是,有一個問題:任命成員的委員會將沒有司法或外部代表。它僅限於執行人員。 Mozilla在博客文章中解釋說,這將「使DPA的授權和效力變得更加困難,因為整個治理結構將完全由政府任命。」
請務必注意,法律本身並不保護公民的數據。保護程度取決於擬議規則的執行情況。在這裡,印度國家能力薄弱(政府的管理能力以及其設計和實施規則或政策的能力)可能會影響執法。加強新監管者的能力對於成功實施擬議法律至關重要。
結論
實施GDPR時提出的許多問題仍然與印度相關。這在很大程度上取決於政策的執行方式,以及這是否將有助於大公司比小公司進一步取得優勢。為組織提供足夠的支持以遵守新規則將至關重要。他們需要了解知情同意的含義,並將法律規範轉化為技術實施。
數據保護法案尚未最終確定。它已被移交給兩個參議院的聯合特選委員會,其中有20名來自Lob Sabha的成員和10名來自Rajya Sabha的成員。他們應在即將舉行的預算會議結束之前提交報告。如果該國議員真正希望保護公民的數據和隱私,則必須考慮該法案的缺點。至關重要的是,如果他們想賦予個人權力,就必須讓出一些自己的權力。
Samarth Bansal是駐德里的自由記者。他撰寫有關技術,政治和政策的文章。
