文章分类
《今日印度》的OSINT团队在欧盟和美国数据隐私法的背景下,通过好奇的女孩Geet的生动解释,审查了新的《数据保护法案》。
随着2023年《数字个人数据保护法案》获得议会两院的批准,围绕其实用性展开了辩论。人们经常将期待已久的法案与欧盟的《通用数据保护条例》(GDPR)进行比较。尽管它让那些利用人们的数据来推进议程或盈利的私人实体承担责任,但它也为政府提供了在大规模监控的情况下解决问题的余地。
然而,不熟悉法律细节的人,即使仅限于非政府实体,也不会注意到这一框架背后的实质。
由于这项法案声称是印度有史以来第一个在文件中使用“她”而不是“他”的法案,我们创建了一个名叫Geet的虚构人物来问所有的问题。
场景一:个人数据的定义
出于好奇,Geet仔细研究了《数据保护法案》中对个人数据的定义,发现这可能会导致多种解释。然而,正如该法案的名字所示,它仅限于所有以数字形式呈现的个人数据。
Geet打电话给住在爱尔兰的表姐Jasnoor,询问欧盟的数据隐私法,以及他们是否将纸质记录视为个人数据的一种形式。Jasnoor提到了被誉为世界上最强有力的数据保护法的GDPR,并告知Geet,欧盟对个人数据的定义也包括硬拷贝,只要它们在物理上可搜索的文件系统中(或以结构化格式)。
然后,Geet决定给她在加州的大学同学Mandeep打电话。他向她介绍了《加州消费者隐私法》,该法被认为是美国最复杂的数据隐私法。在那里,个人数据的定义包括物理文件和数字身份。
场景二:政府处理个人数据
Geet访问了印度数据保护委员会,了解她的个人数据是如何存储的,存储了多长时间,以及负责数据安全和存储的政府授权实体是如何使用这些数据的。
数据保护委员会向她展示了政府批准的法律条款,该条款豁免其向数据主体(数据所有者)透露其数据库中存储的个人数据的原因、类型和保留期。
场景III:工作场所的个人健康数据
吉退出了她工作的组织,去追求更令人兴奋的事业。她保存了一份与该组织共享的数据清单,包括她的健康数据(总体健康信息、医疗处方和医院账单)。但现在她已经退出了该组织,她想删除公司数据库中存储的个人信息。尽管有数据擦除的标准规则,但个人数据的定义并没有详细说明擦除的更广泛类别。令人惊讶的是,之前草案中列出的个人数据的子类别(敏感和关键)在新法律中没有出现。
该公司同意从其数据库中删除她的基本个人数据和生物特征痕迹。然而,当被问及她的个人健康信息的状态时,该公司表示,如果她决定重新加入公司,这些信息会被存储起来以供未来参考,以加快入职过程。
一位与Geet同时离开公司的同事打电话给她聊天。Geet问她是否询问过删除个人数据的问题。这位朋友说,她不知道宪法赋予她的这项权利。
Geet随后询问人力资源部门,他们是否通知每一位辞职的员工,根据数据保护法,有数据擦除选项。她被告知,根据规定,通知程序不是强制性的。
通过Jasnoor,Geet了解了欧盟GDPR的细节,根据法律,通知员工以及通过内部网不断共享其数据以进行个人评估是强制性的。即使是与健康相关的文件,如医疗处方或收据,通常被认为是微不足道的,在法律上也由个人管辖。在欧盟,人力资源部门只有在签署保密义务后才能访问健康数据的财务或行政方面,而敏感的医疗报告只能由受医疗保密法约束的医疗专业人员访问。事实上,他们的合规政策的很大一部分要求数据存储实体定期进行安全评估,并对敏感的个人数据(如健康)进行加密,以阻止可能的数据泄露。
美国的《健康保险便携性和责任法案》(HIPAA)仅将个人健康数据保护限制在医疗保健提供者或健康计划范围内,与印度的《数字信息安全医疗保健法案》(DISHA)草案非常相似。因此,将雇主排除在责任条款之外。
场景四:同意定向广告
Geet在社交媒体应用程序上玩末日游戏时,看到一则广告,上面写着“以实惠的价格买一把尤克里里琴”。她对这个不请自来的提议感到惊讶,并意识到她最近在一些网站上搜索了“尤克里里”作为关键词,因为她想学习如何演奏这种乐器。
Geet发现,每次无害的互联网搜索都会被不断跟踪,这很奇怪。因此,她查阅了印度的消费者法,看看是否有提到针对性广告的个人同意。她偶然发现了一项最近出台的消费者保护指南,即“2022年防止误导性广告和误导性广告背书”,令她沮丧的是,该指南没有提到“同意”一词。
对于脸书这样的公司来说,将数据从欧盟转移到美国等其他国家仍然难以捉摸,原因之一是由于美国的规定相对不那么严格,这引发了隐私问题。
- 登录 发表评论