Индия: что в новом законопроекте Индии о защите данных?

Призывы к реализации мер по снижению уязвимости данных и предотвращения эрозии конфиденциальности пользователей были громкими во всем мире.

Конфиденциальность личных данных – нужны ли Индии, такие как правила, такие как Европа GDPR и CCPA США

Хотя все мы согласны с тем, что «данные-это постблема в товар в эпоху цифровых технологий», защита их и обеспечение конфиденциальности данных становится чрезвычайно критической. Хорошо известно, что Индия является второй по величине онлайн-экосистемой в мире с более чем 900 миллионами пользователей Интернета. С ростом проникновения в Интернет это число обязательно резко возрастет в ближайшие 5 лет. Сообщается, что Индия имеет дело со вторым по величине количеством нарушений данных, о которых сообщалось во всем мире. В настоящее время крайне важно информировать пользователей о сборе данных и конфиденциальности, а также для создания законов, которые защищают людей от неправильного использования их личных данных.

С цифровым сдвигом и услугами, переходящими в облако, существует большое количество очень точных личных данных, которые обмениваются не только через веб -сайты, которые мы просматриваем, или приложения, которые люди используют на своих мобильных телефонах, но и с помощью таких приборов, как камеры безопасности/камеры наблюдения, цифров. Основным вариантом использования сбора данных является улучшение и персонализацию предлагаемых услуг, однако их можно неправильно использовать для вторжения в конфиденциальность, безопасность и доверие человека. Анализ этих данных, когда они собираются в течение некоторого времени, может привести к выявлению отдельных лиц, выводя информацию о убеждениях, предпочтениях, религии или здравоохранении человека. В конечном итоге они могут быть использованы для влияния, вызывать угрозы для личной безопасности, целевой рекламы, мошенничества и взлома. Например, анализ данных о местонахождении человека для определения магазинов/размещения индивидуальных посещений, и с какой частотой может привести к выявлению интересов, социальному поведению, а также социально-экономическому статусу.

Для организаций инцидент с безопасностью данных может привести к юридическим и бизнес -последствиям, а также к отсутствию доверия пользователей. Facebook-Cambridge Analytica Fiasco является одним из печально известных данных, в 2018 году были использованы данные для почти 87 миллионов пользователей Facebook без их согласия и понимания. Данные ненадлежащим образом получены из Facebook, использовались для создания профилей избирателей и использовались для политической рекламы (без согласия). Это была самая большая утечка данных, с которой столкнулась Facebook. Это вызвало осведомленность о проблемах конфиденциальности данных, о том, как концепция конфиденциальности меняется и подчеркнула беспокойство клиентов о том, чтобы привыкнуть к технологическим достижениям, но не полностью осознавать степень эрозии конфиденциальности и компромисс в качестве услуг по сравнению с конфиденциальными отказами. Есть настройки конфиденциальности, выявленные компаниями; Тем не менее, их нелегко понять, и также неясно, что влияние на пользовательский опыт на отключение определенных видов доступа к данным. Для правительств нарушение конфиденциальности может привести к риску утечки конфиденциальной национальной информации.

Изменения в законах, связанных с технологиями и данных, являются глобальной проблемой. Общее правила конфиденциальности в Европе (GDPR), которое вступило в силу в 2018 году, определяет и объединяет правила конфиденциальности с Европейским союзом (ЕС). GDPR не только дает контроль за конфиденциальностью отдельным лицам, но и предоставляет обязательства по организациям, хранящим свои данные. Китай объявил правила конфиденциальности данных с Законом о защите личной информации (PIPL) в 2021 году. Эти законы также описывают требования к конфиденциальности данных для компаний, базирующихся за пределами Китая/ЕС для управления и использования данных своих граждан. США не имеют единого закона о конфиденциальности, но сочетание законов штата или сектора, таких как Закон о конфиденциальности потребителей Калифорнии (CCPA), введенный в 2018 году, за которым следуют Закон о правах на конфиденциальность Калифорнии (CPRA) в 2020 году и Закон о конфиденциальности и мобильности здравоохранения (HIPAA).

Однако, в отличие от остального мира, в котором есть законы о конфиденциальности и нормативные акты, направленные на защиту конфиденциальности граждан, Индия по -прежнему не имеет закона о конфиденциальности для защиты своих граждан. В августе 2017 года Верховный суд Индии объявил право на конфиденциальность как фундаментальное право для граждан Индии, защищенных конституцией Индии. После права на конфиденциальность Индия представила законопроект о конфиденциальности данных в 2019 году; Тем не менее, он был отозван в 2022 году, и до сих пор не было предложено нового законодательства. Индии необходимо увеличить свои усилия и принять законы о конфиденциальности данных, соответствующие глобальному видению конфиденциальности данных. Правила снимают бремя от граждан и устанавливают четкое видение для организаций, чтобы соблюдать их.

Индия: что в новом законопроекте Индии о защите данных?

Правительство Индии опубликовало новый, упрощенный проект своего цифрового законопроекта о защите личных данных. Что это говорит?

18 ноября 2022 года правительство Индии опубликовало долгожданный четвертый проект предложенного Индии Закона о конфиденциальности, который теперь переименован в законопроект о защите личных данных цифровой. Правительство искало отзывы о проекте законопроекта 17 декабря 2022 года.

Индия: что в новом законопроекте Индии в защите данных

Призывы к реализации мер по снижению уязвимости данных и предотвращения эрозии конфиденциальности пользователей были громкими во всем мире.

Конфиденциальность личных данных – нужны ли Индии, такие как Европа’S GDPR и США’S CCPA

Доктор. Preeti Goel имеет более 15 лет профессионального опыта и внесла свой вклад в некоторые из ведущих технологических компаний мира, таких как Microsoft, Google, Adobe и Amazon. Прити Гоэль имеет степень бакалавра в области компьютерных наук, степень магистра в IIT-Kanpur и PH.Дюймовый. из Мельбурнского университета, Австралия. МЕНЬШЕ . БОЛЕЕ

Призывы к реализации мер по снижению уязвимости данных и предотвращения эрозии конфиденциальности пользователей были громкими во всем мире.

Хотя все мы согласны с тем, что “Данные являются постбранным товаром в цифровую эпоху”, Защита его и обеспечение конфиденциальности данных становится чрезвычайно критической. Это хорошо известный факт, что Индия является второй по величине онлайн -экосистемой в мире с более чем 900 миллионами пользователей Интернета. С ростом проникновения в Интернет это число обязательно увеличится в ближайшие 5 лет. Сообщается, что Индия имеет дело со вторым по величине количеством нарушений данных, о которых сообщалось во всем мире. В настоящее время крайне важно рассказать пользователям сбору данных и конфиденциальности, а также для создания законов, которые защищают людей от неправильного использования их личных данных.

С цифровым сдвигом и услугами, переходящими в облако, существует большое количество очень точных личных данных, которые обмениваются не только через веб -сайты, которые мы просматриваем, или приложения, которые люди используют на своих мобильных телефонах, но и с помощью таких приборов, как камеры безопасности/камеры наблюдения, цифров. Сбор данных’S первичный вариант использования – улучшить и персонализировать предлагаемые услуги, однако его можно неправильно использовать для уклонения от человека’S Конфиденциальность, безопасность и доверие. Анализ этих данных, когда они собираются в течение некоторого времени, может привести к идентификации отдельных лиц, выводя информацию о человеке’верования, предпочтения, религия или здоровье. В конечном итоге они могут быть использованы для влияния, вызывать угрозы для личной безопасности, целевой рекламы, мошенничества и взлома. Например, анализ индивидуума’S Данные о местоположении для определения магазинов/мест посещения индивидуальных посещений, и с какой частотой может привести к выявлению интересов, социальному поведению, а также социально-экономическому статусу.

Для организаций инцидент с безопасностью данных может привести к юридическим и бизнес -последствиям, а также к отсутствию доверия пользователей. Facebook-Cambridge Analytica Fiasco является одним из печально известных данных, в 2018 году были использованы данные для почти 87 миллионов пользователей Facebook без их согласия и понимания. Данные ненадлежащим образом получены из Facebook, использовались для создания профилей избирателей и использовались для политической рекламы (без согласия). Это была самая большая утечка данных, с которой столкнулась Facebook. Это вызвало осознание вопросов конфиденциальности данных, о том, как концепция конфиденциальности меняется и подчеркнула беспокойство клиентов о том, чтобы привыкнуть к технологическим достижениям, но не полностью осведомленного о степени эрозии конфиденциальности и компромиссов в качестве обслуживания и конфиденциальности, связанных. Существуют настройки конфиденциальности, раскрытые компаниями, однако их нелегко понять, и также нет ясного влияния на опыт пользователя на отключение определенных видов доступа к данным. Для правительств нарушение конфиденциальности может привести к риску утечки конфиденциальной национальной информации.

Изменения в законах, связанных с технологиями и данными, являются глобальной проблемой. Европа’S Общие правила конфиденциальности данных (GDPR), вступившее в силу в 2018 году, определяет и объединяет правила конфиденциальности с Европейским союзом (ЕС). GDPR не только дает контроль за конфиденциальностью отдельным лицам, но и предоставляет обязательства по организациям, хранящим свои данные. Китай объявил правила конфиденциальности данных с Законом о защите личной информации (PIPL) в 2021 году. Эти законы также описывают требования к конфиденциальности данных для компаний, базирующихся за пределами Китая/ЕС для управления и использования данных своих граждан. США не имеют единого закона о конфиденциальности, но сочетание законов о конкретном государстве или секторе, таких как Закон о конфиденциальности потребителей Калифорнии (CCPA), введенный в 2018 году, за которым следуют Закон о правах на конфиденциальность Калифорнии (CPRA) в 2020 году и Закон о конфиденциальности и мобильности здравоохранения (HIPAA).

Однако, в отличие от остального мира, в котором есть законы и положения о конфиденциальности, которые направлены на защиту конфиденциальности граждан, Индия по -прежнему не имеет закона о конфиденциальности для защиты своих граждан. В августе 2017 года Верховный суд Индии объявил право на конфиденциальность как фундаментальное право для граждан Индии, защищенных конституцией Индии. После права на конфиденциальность Индия представила законопроект о конфиденциальности данных в 2019 году, однако он был отозван в 2022 году, и до сих пор не было предложено нового законодательства. Индии необходимо увеличить свои усилия и принять законы о конфиденциальности данных, соответствующие глобальному видению конфиденциальности данных. Правила снимают бремя от граждан и устанавливают четкое видение для организаций, чтобы соблюдать их.

Индия: что в новом законопроекте Индии о защите данных?

Правительство Индии опубликовало новый, упрощенный проект своего цифрового законопроекта о защите личных данных. Что это говорит?

18 ноября 2022 года правительство Индии опубликовало долгожданный четвертый проект предлагаемого законодательства Индии о конфиденциальности, который теперь переименован в законопроект о защите личных данных цифровой цифры («Билл»). Правительство искало отзывы о проекте законопроекта 17 декабря 2022 года.

На первый взгляд, счет довольно сюрприз. Это совершенно новый черновик, а не перераспределение предыдущих версий и намного короче и проще. Он существенно отходит от модели законов о конфиденциальности GDPR, которая сегодня является довольно распространенным явлением.

Применимость

Закон относится только к личным данным, которые собираются онлайн или которые собираются в автономном режиме, но оцифровывают. Закон будет применяться к обработке личных данных за пределами Индии, если эта обработка связана с каким -либо профилированием директоров в Индии или любой деятельностью по предложению товаров или услуг в Индии. Закон также освобождает обработку данных в Индии лиц, расположенных за пределами Индии в рамках трансграничного договорного соглашения: это по сути охватывает индустрию оффшорного/аутсорсинга.

Определения

Законопроект использует аналогичную терминологию, как и предыдущие версии. Субъект данных называется ‘Принципал данных ‘ и контроллер данных называется ‘Data Fiduciary ‘. Нет концепции или определения конфиденциальных личных данных. DPA упоминается как Совет по защите данных Индии (‘dpbi’).

Основания для сбора и обработки

Согласие продолжает оставаться основным основанием для обработки персональных данных. Это должно быть «свободно дано», «конкретное», «информирован» и «однозначное признак согласия» с помощью «четкого утвердительного действия».

Кажется ясно, что явное согласие потребуется. Согласие также может быть отозвано, последствия которого будут нести субъект данных. Проект законопроекта также включает в себя очевидные основания для обработки личных данных, таких как соблюдение законов и распоряжений суда, действия, посвященные эпидемии или ситуациям на юридическом и положении.

Концепция законного интереса, по -видимому, захвачена по -разному. Упоминается несколько ситуаций, где считается согласием. К ним относятся обработка персональных данных «в общественных интересах», в том числе для предотвращения или обнаружения мошенничества, для сетевой и информационной безопасности, оценки кредитов, обработки общедоступных личных данных и для восстановления долга.

Кажется неясным, могут ли частные предприятия использовать эти основания, учитывая, что обработка должна быть «в общественных интересах». Существует также основание «справедливой и разумной цели», но в этом случае правительство должно уведомить, что является справедливой и разумной целью. При этом правительство может рассмотреть законные интересы фидуциарию данных.

Одним из ключевых оснований является то, где обработка персональных данных «необходима» и где персональные данные предоставляются добровольно, и «разумно ожидается, что субъект данных предоставит такие персональные данные». Нужно показать, что обработка является «необходимой», а персональные данные были предоставлены «добровольно», а принципала данных разумно ожидается предоставить такие данные.

Возможно, это положение могло бы быть разработано лучше, предполагая, что это должно быть законным типом интереса. Скорее всего, это станет наиболее важным положением нового закона для предприятий, которые не хотят идти по маршруту согласия.

Работа

Существует отдельная основа для обработки личных данных, связанных с занятостью, которая охватывает профилактику шпионажа, поддержание конфиденциальности коммерческих секретов и ИС, набор персонала, прекращение занятости, предоставление услуг или льгот работнику, проверка посещаемости и оценка эффективности. Персональные данные могут быть собраны на этих основаниях, если обработка «необходима».

Уведомление

Предыдущие версии законопроекта, предоставленные для обширной информации, которая должна быть предоставлена ​​в рамках уведомления о принципалах данных. Это было чрезмерным. Эта версия охватывает только две вещи: типы личных данных, которые необходимо обрабатывать, и целей обработки. Эта информация должна быть предоставлена ​​подробно.

Дети

Проект законопроекта сохраняет порог для детей в 18 лет. Это будет рассматриваться как разочарование для онлайн -мира, поскольку глобальные стандарты, как правило, будут ближе к 16 годам.

Подлежащее подтверждению согласия родителей требуется для сбора личных данных детей. Законопроект также запрещает профилирование детей или поведенческое мониторинг или целенаправленную рекламу для детей. Тем не менее, правительство имеет право освобождать эти требования посредством уведомления.

Права и обязанности директоров данных

Принципы данных (субъекты данных) имеют несколько прав. Они включают в себя право знать, какие личные данные обрабатываются, и право исправить неточные личные данные. Принципал данных также может запрашивать личные данные, чтобы быть удаленными на том основании, что его хранилище больше не служит цели, для которой они были собраны.

Интересно, что законопроект включает в себя обязанности принципалов данных; По сути, обязанности не предоставлять ложную информацию и не делать легкомысленные или ложные жалобы

Хранение личных данных

Проект Закона требует, чтобы фидуциарные данные (контроллер данных) гарантировал, что обслуживание персональных данных является точным, и для использования соответствующих организационных и технических мер для соблюдения закона. Коврофинки данных также должны использовать разумные меры безопасности для предотвращения нарушений данных. Доверенность данных может хранить личные данные только до тех пор, пока он служит цели, для которой они были собраны или для юридических или деловых целей. После этого необходимо удалить персональные данные.

Персональные данные

Проект законопроекта определяет «нарушение личных данных», чтобы означать любую несанкционированную обработку или случайное раскрытие, использование, изменение или уничтожение личных данных, которые ставят под угрозу его конфиденциальность, целостность или доступность.

В случае устранения личных данных фидуциарная сумма данных или Принципал данных должен информировать как DPBI, так и затронутой принципал данных, как правительство, предписанное правительством. Широкое определение нарушения личных данных будет охватывать небольшие случаи нарушения данных, для которых уведомление правительству и принципалам данных кажется довольно обременительным.

«Значительный фидуциарный»

Проект закона сохраняет концепцию Значительные данные фидуциарные (‘SDF’). Это фидуциарный (контроллер), который соответствует критериям, установленным правительством. При определении того, кто будет SDF, правительство будет рассмотреть такие факторы, как объем данных и риск вреда.

Интересно, что эти факторы также включают «потенциальное влияние на целостность и суверенитет Индии» и «риск для избирательной демократии». SDF обязаны назначать сотрудников по защите данных, которые должны отчитываться перед советом организации. Они также должны назначить независимого аудитора данных для аудита соответствия закону о конфиденциальности. Правительство также может уведомить, когда SDF должны проводить оценки воздействия на конфиденциальность.

Сотрудник по защите данных

Для назначения сотрудника по защите данных необходимо только SDF. Тем не менее, каждый фидуциал данных должен назначить человека, чтобы действовать в качестве точки контакта для всех, кто хочет подать жалобу. Контактные данные сотрудника по рассмотрению жалоб должны быть опубликованы.

Локализация и передача данных

Проект законопроекта не включает в себя положения о локализации данных. Требование в предыдущих проектах о том, что критические личные данные должны храниться только в Индии или о том, что конфиденциальные личные данные могут быть переданы за пределами Индии, но в Индии необходимо сохранить копию, но копия должна быть сохранена.

В законопроекте говорится, что правительство уведомит страны, в которые могут быть переданы личные данные. Похоже, что до тех пор, пока правительство не уведет эти страны, личные данные могут быть свободно перенесены за пределы Индии, хотя, возможно, уведомление будет выдано в то время, когда вступит в силу закон. Закон не охватывает другие способы разрешения передачи данных, таких как стандартные договорные положения (это, после того, как все методы, с помощью которого персональные данные в настоящее время передаются из ЕС в Индию).

Правительственное освобождение

Законопроект предоставляет власть правительству освободить себя и его учреждений от любого требования законопроекта. Упомянутые основания, такие как суверенитет и целостность Индии, безопасность государства и т. Д., взяты из Конституции Индии, а также цитируются Верховным судом Индии как основания, по которым права на конфиденциальность могут быть ограничены. Эти основания, однако, довольно широкие, а пропорциональность и разумность не являются важными ингредиентами.

Штрафы

Проект нового закона предписывает штрафы за несоблюдение. Существует график, в котором упоминаются штрафные за конкретные нарушения. Например, неспособность взять разумные гарантии безопасности для предотвращения нарушения личных данных, связанного с наказанием до 25 миллионов рупий (примерно 30 миллионов долларов США).

Штрафы в целом могут подняться до 50 млн. Рупий (ок. 60 миллионов долларов США). Интересно, что нет никаких положений о предоставлении компенсации затронутым субъектам данных.

Анализ

Правительство приняло определенно индийский подход к разработке этого законодательства. Это гораздо проще, чем прошлые версии, и идет вразрез с текущей тенденцией модели Законодательства о конфиденциальности GDPR. Этот тип законодательства вполне подходит для Индии, учитывая его огромный, неорганизованный сектор МСП и учитывая, что стандарты соответствия конфиденциальности в Индии довольно низкие.

Это, вероятно, означает, что законодательство не сможет получить адекватность решения от ЕС. В любом случае, из -за отсутствия независимого контроля над государственным наблюдением, индийский закон не полностью соответствует Schrems II.

Однако есть множество вопросов, с которыми необходимо решать в законе. Наиболее важным является уточнение языка, окружающего законное тип интереса, который, по нашему мнению, лежит в основе законодательства о конфиденциальности. Достаточно ли концепции «необходимости», чтобы справиться с законными ситуациями сбора и обработки личных данных?

Также может показаться, что требования к уведомлениям применяются только при получении согласия. Это означает, что когда личные данные обрабатываются под другими основаниями, которые подпадают под действие положения о согласии, нет уведомления. Необходимость назначения согласия сама по себе спорна. Было обнаружено, что согласие не является средством защиты для субъектов данных, особенно потому что в большинстве случаев у субъектов данных нет иного выбора, кроме как дать согласие.

Все время моим рекомендуемым подходом состоял в том, чтобы иметь законодательство о легком прикосновении и позволить DPA медленно строить дальнейшее регулирование с помощью делегированного законодательства. Этот проект законодательства частично следует за этим подходом. Хотя у DPBI есть полномочия для принятия правил, они относятся только к выполнению положений закона. Спокойно, есть ли у него полномочия для принятия регулирования по вопросам, не упомянутым в законе. Например, такие проблемы, как портитоспособность данных, конфиденциальность по проектированию и т. Д., не найти места в законопроекте. Было бы лучше, чтобы силы, предоставленные DPBI, были более подробно изложены.

Основной запрет на отслеживание активности детей в Интернете и поведенческая реклама кажется несколько неразумным. Как будет, например, онлайн -видео или музыкальный канал порекомендовать фильмы или музыку детям на основе их вкусов, не отслеживая их активность?

Законопроект также дает правительству полномочия освободить любое из своих учреждений от любого из положений закона. Не упомянуто не упомянуто разумность или порог пропорциональности. Возможно, однако, это может быть прочитано в законе, указанных заявлениями, уже сделанными Верховным судом Индии. Основное освобождение для правительства о необходимости удаления данных, которые больше не служат цели, для которой оно было собрано, также прискорбно.

К сожалению, состав DPBI не был предписан в законе, оставляя его правительству, чтобы назначить того, кого они хотят. Технологический и ловкий DPA очень требуется для управления регулированием конфиденциальности данных в Индии, особенно учитывая, что некоторые из требований закона будут «как можно назначить» позже.

В целом, принятый подход имеет смысл, учитывая индийскую среду и может предоставить стартовую площадку для более обширного регулирования, связанного с конфиденциальностью в будущем, в будущем. Очевидно, есть пробелы и ошибки составления, но это следует ожидать в более простом законодательстве, которое также достигает нового пути и составлено людьми, которые не являются экспертами по конфиденциальности. Следует надеяться, что правительство будет работать с сообществом конфиденциальности, чтобы сгладить эти проблемы и взять этот документ вступить в действие.

Содержание этой статьи предназначено для предоставления общего руководства по предмету. Следует обратиться за советом к специалистам о ваших конкретных обстоятельствах.

Есть ли в Индии законы о конфиденциальности?

23 ноября 2022 года

Индия’S Новый счет данных – это смешанная сумка для конфиденциальности

Джастин Шерман

Предложения по поиску

Общие результаты>/>

Недавний актуальный

Результаты фильтра

Индия’Парламент S выпустил свой законопроект о защите личных данных цифрового лица, второй проход в комплексном законе о конфиденциальности данных после того, как правительство отозвало свой законопроект о защите личных данных в начале этого года. Текущий черновик короче другого законопроекта, хотя в нем есть много одинаковых компонентов.

Индийские политики также распространяли комментарии к законопроекту, который не был общедоступным, но который я здесь обсуждаю. Важно отметить, что новый законопроект предлагает смешанную сумку для конфиденциальности – с некоторыми требованиями для компаний для получения физических лиц “согласие,” Правильные неточные личные данные и защиту прав данных наряду с положениями о доступе к государственным данным. Этот анализ не является всеобъемлющим, но подчеркивает некоторые ключевые моменты, которые примечают в законодательстве, которые станут основной разработкой в ​​глобальном регулировании данных.

Идея ‘согласие’

Как и в случае старого законопроекта, цифровой законопроект о защите личных данных требует, чтобы организации обрабатывали данные (которые он вызывает “Данные фидуции”) чтобы получить “согласие” от людей, о которых они обрабатывают данные. Когда человек дает свой “согласие,” В законопроекте говорится, что организация должна предоставить этому человеку “подробное уведомление на ясном и простом языке” это описывает собранные данные и цель, для которой они обрабатываются, “Как только это будет практически возможно.” Законопроект также предлагает, чтобы люди могли снять свои “согласие” Для организаций обрабатывать свои данные, после чего рассматриваемая организация должна перестать это делать.

Это понятие согласия сломано, и оно не специфично для Индии, либо. США и европейские компании и политики выдвигают ту же идею. Люди не читают условия соглашений о обслуживании, и компании, которые пропускают длинный документ с недоступным Legalese – ожидая, чтобы отдельные лица могли просто щелкнуть “принимать”- Знайте, что пользователи не читают и не понимают документ.

Это бросает вызов самому понятию согласия.

Аналогичным образом, люди не читают политики конфиденциальности, однако многие веб -сайты и приложения буквально утверждают, что просмотр веб -сайта или открытие приложения сама по себе является согласием с его политикой конфиденциальности. Кроме того, согласие не полностью и свободно дается в мире, в котором граждане, включая граждан Индии, получают доступ к базовым услугам, не подвергаясь сбору данных. Тем не менее, новый законопроект’S Язык в согласии ставит Индию относительно в том же направлении, что и “согласие” положения в законах штата США штата и общее регулирование защиты данных в Европейском Союзе.

Государственный сбор данных вырезал вычеркивание

Законопроект ослабляет это понятие согласия еще больше, указав многочисленные исключения, в том числе многие исключения для правительства Индии. Хотя некоторые из них, возможно, более разумно, другие создают риски конфиденциальности для граждан Индии и создают сложные юридические вопросы для компаний и организаций, работающих в Индии.

Считается, что лица, в последнем проекте общественного законопроекта, дали согласие, если обработка данных “необходимо” для “производительность любой функции в соответствии с законом,” “За соответствие любому решению или распоряжению, изданному в соответствии с любым законом,” “Для реагирования на неотложную медицинскую помощь, связанную с угрозой жизни или непосредственной угрозой здоровью [человека] или любого другого человека,” и “Для принятия мер для обеспечения безопасности или предоставления помощи или услуг любому человеку во время любой катастрофы или любого разрыва общественного порядка,” среди других. Это также освободит ситуации, в которых это “разумно ожидается” что кто -то добровольно предоставит свои личные данные организации, обработка “общедоступные личные данные,” и кредитный счет.

Несмотря на то, что некоторые из этих исключений могут показаться разумными на их лице (например, оценка кредита), многие из них в значительной степени связаны с точки зрения конфиденциальности и гражданских прав. Правительство премьер -министра Индии Нарендра Моди часто делало поддельные заявления об угрозах общественной безопасности и приказу расколоть протест и несогласие. Власти также нарисованы на одинаково сомнительные, но общедоступные, претендующие на юридическую и риторически оправдывающее закрытие Интернета, чем любая другая страна на земле. В аналогичной форме законопроект’S Текущий язык позволит собирать данные на основе “общественный интерес,” Определено чрезвычайно широко, чтобы включить интерес Индии’S -суверенитет и честность, государственная безопасность, дружественные отношения с иностранными государствами, поддержание общественного порядка, предотвращение подстрекательства к любой из вышеупомянутых действий (например, подрыв общественного порядка) и предотвращение распространения “ложные заявления факта.”

Правительство Моди вряд ли является единственным правительством в номинально демократической стране, занимающейся прямой недвиедованной практикой. Тем не менее, предложение о невероятно широких правительственных данных вырезает в законопроекте’ Конфиденциальность и гражданские права. Это также заставит компании и организации, работающие в Индии, постоянно справляться с еще более сложным набором юридических вопросов, связанных с расширенным доступом правительства к данным.

Относительно, это только один компонент правительства Моди’S более широкий толчок к подорвам шифрования и увеличению его способности принуждать технологические компании.

Локализация данных

Наиболее спорным элементом старого законопроекта о защите личных данных был, вероятно, его требования к локализации данных. Эти условия потребовали бы, чтобы организации с личными данными о гражданах Индии сохранили эту информацию, хранящуюся в стране, в некоторых случаях просто копия и в других случаях предотвращение исходящего перевода полностью. Различные индийские политики хотели, чтобы эти требования были выполнены по ряду причин, в том числе для того, чтобы наложить расходы на иностранные компании, повысить Индию’Индустрия хранения данных, повышение контроля правительства Индии по поводу хранения данных, связанных с гражданами Индии, и, как некоторые видели, обеспечивают лучший доступ к индийским правоохранительным органам к данным, связанным с преступностью, принадлежащими американским компаниям, что в настоящее время не доступно в рамках разбитого договора об взаимной юридической помощи.

Новый счет выходит от этого акцента на локализацию. Вместо того, чтобы требовать местного хранения данных как таковых, он предлагает позволить правительству Индии оценить зарубежные страны’ Режимы защиты данных, а затем сертифицируют тех, кто достаточно для предоставления направлений для граждан Индии’ данные. В частности, он гласит, “Центральное правительство может, после оценки таких факторов, которые оно может считать необходимыми, уведомить такие страны или территории за пределами Индии, на которые фидуциаргии данных может передавать личные данные в соответствии с такими условиями, которые могут быть указаны.”

Иностранные предприятия, безусловно, будут довольны этим изменением. Чаще всего их жалобы на локализацию данных возвращались к затратам, не желая оплатить технические изменения и техническую инфраструктуру для хранения данных на местном уровне в Индии, а также других юридических и организационных расходов. Но есть также и другие проблемы, вызванные локализацией данных, включая затраты на выбросы климата для дубликата инфраструктуры хранения данных и рисков кибербезопасности хранения другой копии информации, когда раньше было на один меньше.

Они предоставляют по крайней мере несколько причин для правительства Индии, чтобы отказаться от высококонтролируемого режима локализации данных.

Другие идеи, проходящие дебаты

Текущая версия законопроекта на веб -сайте для Министерства электроники и информационных технологий Индии не применяется к “Неавтоматированная обработка персональных данных,” “Офлайн личные данные,” “Персональные данные, обработанные человеком для любых личных или внутренних целей,” и “Персональные данные о человеке, который содержится в записи, которая существует не менее 100 лет.”

Интересно, что одна отмеченная версия законопроекта, которую я рассмотрел-чьи изменения не отражаются в текущем проекте онлайн-обеспечила предложение также освободить “анонимные личные данные” то есть “принадлежащий центральному правительству или правительству штата, в зависимости от предмета, к которому относятся данные” от законопроекта. Он также содержал редактирование для явного использования фразы “Без данных поток с доверием” Описать положения индийского правительства’S одобрение для переводов и хранения иностранных данных.

А Экономические времена В этом ключе сообщает, что в следующей итерации законопроекта будет определено правительство Индии “доверенный” Географии, в которые фидуциар данных может передавать и хранить данные, связанные с гражданами Индии.

Первый (здесь, был) плохое предложение. В Соединенных Штатах федеральные и законодатели штата продолжают освобождаться “анонимный” или “деидентифицированный” Данные из законов о конфиденциальности и законопроектах под ложным убеждением, что такие термины являются технически значимыми. Многочисленные исследования показали, как легко связать предположительно “деидентифицированный” или “анонимный” Данные реальным людям с учетом достижений в статистическом анализе данных, огромном объеме данных в современном мире и компаний’ Доступ к точкам данных, которые удивительно уникальны для людей, такие как история геолокации или устройство’S Wi-Fi-шаблоны соединения.

Тем не менее, законодатели продолжают включать в себя эти вырезки в законы, в том числе потому, что компании проталкивают поддельную линию, которая “анонимизация” реально. Надеюсь, Индия’S Парламент не попадает в ту же ловушку. Новые методы для лучшей защиты конфиденциальности данных, в то же время позволяя организациям обрабатывать их, такие как дифференциальная конфиденциальность, являются ценными. Лучший путь – это признать, что существует спектр возможностей для связи данных с людьми по имени или другим ясным индивидуальным идентификатором – и что общее “анонимизация” это миф.

Второе предложение в неопубликованной наценке законопроекта, которую я рассмотрел – фраза “Без данных поток с доверием”—-это ссылка на бесплатный поток данных с инициативой доверительного доверия, возглавляемой правительством Японии на G-20 2019 года в Осаке. В то время это описало общее убеждение, что страны заинтересованы в разрешении свободного потока данных между друг другу, но с некоторыми гарантиями на месте. Нью -Дели отказался подписаться на первоначальный бесплатный поток данных с доверительным соглашением в 2020 году – смутное провозглашение для продолжения сотрудничества для “Без данных поток с доверием” Структура-потому что он увидел, что усилия были слишком движимыми странами с высоким разрешением. Индия’Министр торговли и промышленности тогда сказал, что “Ввиду огромного цифрового разрыва между странами, существует необходимость в политическом пространстве для развивающихся стран, которые все еще должны завершить законы о цифровой торговле и данных. Данные являются мощным инструментом для разработки, а справедливый доступ к данным является для нас критическим аспектом.”

Поскольку правительства расширяют свои правила потока данных, Индия’S переход от такого акцента на локализацию и к акценту на надежных географиях выравнивает Индию с некоторыми из этих усилий, в то время как политики все еще оставляют место для выявления так называемого четвертого способа управления данными, направленным на глобальные страны Южного Юга. Примечательно, что Индия также берет на себя президентство G-20, что означает, что свободный поток данных с подходом типа доверия может поставить страну в влиятельное положение для ведения глобальных разговоров данных в следующем году.

Заключение

Были интенсивные дебаты о последней попытке комплексного регулирования данных в Индии, в том числе среди индийских политиков, политиков США, американских технологических компаний и заинтересованных сторон гражданского общества в Индии. Несомненно, эти виды дебатов будут продолжать происходить вокруг нового законодательства.

Существует также множество других вопросов и вопросов, поднятых по предложению, что заслуживает более глубокого анализа и обсуждения – больше, чем рассматривается в этой статье. На данный момент, однако, это’Ясно, что Индия намерена посадить свой флаг на регулирование данных и где “Доверенные географии” обеспокоены, у правительства США есть много места для продуктивности.

Джастин Шерман (@JshermCyber) является членом Атлантического совета’S Cyber ​​Statecraft Инициатива. Он также был членом центра AC South Asia’S US-India Целевая группа по цифровой экономике и возглавляла ее рабочая группа На политике данных США-и Индии.

А Центр Южной Азии служит Атлантическим советом’Скажу для работы по региону, а также отношения между этими странами, соседними регионами, Европой и Соединенными Штатами.

Индия – новая попытка принять всеобъемлющий закон о защите данных

В ноябре 2022 года правительство Индии опубликовало проект законопроекта о защите личных данных в цифровой личной защите в 2022 году (“Счет”), в новой попытке создать комплексный режим защиты данных.

Законопроект предлагается представлен перед парламентом Индии в первой половине 2023 года. Мы обсуждаем ключевые положения законопроекта.

Путь к реформе

Индия еще не приняла комплексное законодательство по защите данных. Текущая нормативная структура получена из раздела 43A Закона о информационных технологиях 2000 года (“Это действует”) и информационные технологии (разумные методы и процедуры безопасности и правила конфиденциальных личных данных или информации), 2011 (2011 г“Правила SPDI”), которые применяют конкретные и ограниченные обязательства. Секторные законы также могут быть применимы к организациям в регулируемых секторах, таких как финансовые услуги и телекоммуникации . Пожалуйста, смотрите здесь для подробного резюме режима защиты данных в Индии.

Правительство Индии предприняло ряд попыток ввести комплексный закон о защите данных. Например, он ранее предлагал законопроект о защите данных, 2021 год (“2021 Проект законопроекта”), которые имели некоторое сходство с общим регулированием защиты данных (“GDPR”).

Этот законопроект о проекте 2021 года теперь был снят и был заменен новым законопроектом. Этот законопроект был составлен как совершенно новый закон и, по -видимому, является как правительством, так и для бизнеса; Это не итерация законопроекта о проекте 2021 года. Законопроект заменит раздел 43A Закона о ИТ и правилах SPDI.

Схема законопроекта

Законопроект начинается с ряда концепций, которые в целом похожи на то, что в GDPR. Он регулирует коврики данных (я.эн., контроллеры данных), процессоры данных и принципы данных (i.эн., субъекты данных).

Это применимо к обработке цифровых личных данных, я.эн., Информация, относящаяся к человеку, которое может идентифицировать такого человека, где данные либо собираются онлайн, либо оцифруются после того, как он собирается в автономном режиме.

Проектный законопроект 2021 года содержал сложное разграничение личных данных в конфиденциальные или критические личные данные, а также иерархизация фидуциарного данных’S обязательства на основе типа обработанных персональных данных. Это было покончено с. Кроме того, ‘Неличностные данные’ был удален из Ambit of the All, который является долгожданным изменением.

Основания для обработки – законная цель и согласие

Обработка персональных данных должна соответствовать законопроекту для законной цели, я.эн., цель, не запрещенная законом.

Согласие остается ключевым основанием для обработки личных данных, но, как указано ниже, является совершенно другой концепцией для согласия в рамках GDPR. Ковейки данных должны предоставить четкое и детализированное уведомление (с описанием запрошенных личных данных и целью сбора таких данных) для заинтересованных принципалов данных для получения их согласия.

Законопроект имеет широкую концепцию согласия. В дополнение к явному/ позитивному согласию, он признает ‘ считается согласием’, Амбит, который кажется очень широким. Хотя утвердительное согласие должно быть свободным, конкретным, информированным и однозначным и может быть отозвано, ‘считается согласием’ не требует людей’ позитивные действия и не привлекают никаких обязательств. Также неясно, как вывод ‘считается согласием’ должно сработать.

В законопроекте перечислены ситуации, где ‘считается согласием’ На можно полагаться на:

• где данные предоставляются добровольно с разумным ожиданием, что данные должны быть предоставлены для указанной цели;
• данные, представленные в отношении юридических или судебных целей;
• данные, представленные в отношении неотложных медицинских услуг и медицинских услуг;
• данные, представленные в отношении разбивки общественного порядка;
• данные, представленные в отношении занятости, которая включает в себя предотвращение корпоративного шпионажа, поддержание конфиденциальности, набор и увольнение, а также посещаемость и оценка эффективности; и
• Когда данные обрабатываются в общественном интересе. Это включает в себя данные, обрабатываемые в связи с операциями с M & A и корпоративной реструктуризацией, кредитной оценкой, предотвращением мошенничества и т. Д. или для любой справедливой и разумной цели ‘как можно назначить’.

Обязательства доверенности данных

Ключевые обязательства по достоверности данных включают:

• используя меры для соблюдения законопроекта;
• обеспечение точности и полноты персональных данных;
• использование разумных мер безопасности для предотвращения нарушений данных;
• Удаление личных данных из записей после выполнения цели, если не требуется удержание по закону; и
• Использование механизма возмещения жалоб.

Законопроект определяет детей как любого в возрасте до 18 лет и требует проверки родителей для обработки личных данных детей.

Компании могут быть обозначены как ‘Значительные коврики данных’, Основываясь на таких факторах, как объем и чувствительность обработанных персональных данных, риск причинения вреда для принципалов данных и потенциального воздействия на Индию’S Безопасность и общественный порядок. Эти ‘Значительные коврики данных’ подлежат дополнительным обязательствам, таким как проведение периодических аудитов и оценки воздействия на защиту данных и назначение независимого аудитора данных и сотрудника по защите данных.

Организации, которые регулярно имеют дело с большими объемами личных данных (банки, телекоммуникационные компании, страховые компании, больницы), вероятно, подпадают под эту категорию, хотя, в отличие от проекта законопроекта 2021 года, платформы социальных сетей конкретно не идентифицируются как ‘Значительные коврики данных’ .

Права и обязанности директоров данных

• право на информацию, такую ​​как статус обработки персональных данных, сводка обработанных данных и имена компаний, с которыми их личные данные были переданы;
• право на выдвижение любого другого человека, в случае смерти или неспособности;
• право исправления и стирания, которое включает в себя фидуциарные данные’Обязанность исправлять неточные/ вводящие в заблуждение данные, заполнять неполные данные, обновлять личные данные и стирание данных после выполнения цели; и
• Право на возмещение жалоб перед Советом по защите данных Индии или ковриками данных.

Необычно, законопроект также налагает обязанности по принципам данных (отдельные лица). Они могут подвергаться наказаниям до 10 000 рупий за несоблюдение, уникальное положение, которое, по-видимому, было введено для предотвращения легкомысленных жалоб .

Локализация данных и трансграничные передачи данных

Хотя законопроект конкретно не требует хранения цифровых личных данных в Индии, требования к локализации данных в соответствии с другими законами (e.г., Навязан Резервным банком Индии на банки и другие поставщики платежных услуг) будет продолжать подавать заявку.

Кроме того, в соответствии с законопроектом трансграничные передачи данных разрешены юрисдикциям, что правительство Индии ‘может назначить’. Следовательно, представляется, что передача данных будет разрешена только странам, которые попадают в правительственный белый список.

А ‘цифровой по дизайну’ и независимый, хотя и назначенный правительством Совет по защите данных Индии, состоящий из председателя, исполнительного директора, членов, членов и других должностных лиц и сотрудников, будет создано правительственным уведомлением, чтобы обеспечить соблюдение и наказание несоблюдения.

Правление имеет право проводить расследование, в частности, Suo Moto жалобы или жалобы со стороны пострадавших лиц/ ссылки от правительства и вынести заказы. Такие приказы могут быть дополнительно рассмотрены Советом или апелляция в соответствии с соответствующими высшими судами. Правление также может рекомендовать процессы альтернативного разрешения споров и может остановить свое разбирательство, принимая добровольные обязательства от нарушения организаций.

В то время как квант штрафов за B-достижения и несоблюдение законопроекта высокое (ограничено 500 крор рупий, что составляет приблизительно 60 млн. Евро), штрафы не связаны с мировым оборотом организации, как в случае GDPR и законопроекта о 4021. Еще одним приветственным изменением было удаление уголовных санкций. Способность затронутых принципалов данных претендовать на компенсацию также была удалена.

Государственные организации освобождаются от обязательства не сохранять данные даже после того, как цель будет выполнена, а также может быть освобождена от положений законопроекта правительством Индии в интересах государства’S безопасность, суверенитет и честность или для поддержания общественного порядка .

Некоторые компании также могут быть освобождены правительством Индии от определенных указанных обязательств. Кроме того, многие обязательства по достоверности данных не применяются при необходимости обработки (i) для судебных/ квазисудебных целей судами или трибуналами, (ii) для обеспечения законного права/ претензии или (iii) в отношении профилактики преступления.

Что дальше

Предполагается, что законопроект будет представлен в Парламент Индии на его бюджетной сессии на 2023 год, и это должно быть принято обеими палатами индийского парламента и уведомит в официальной газете до того, как он станет законом. Даже после принятия законопроект, вероятно, будет реализован поэтапно в течение определенного периода времени. Правительство Индии также впоследствии будет составлять правила для выполнения положений законопроекта.

Пожалуйста, смотрите здесь для подробной статьи о сводке ключевых поправок, предложенных в законопроекте.

Дипа Кристофер, партнер, и Аниндита Датта, сотрудник, в Talwar Thakore & Associates, ведущей индийской юридической фирме.