印度的数据保护监管最近遇到了几次挫折。2019年12月11日,印度众议院提交了《个人数据保护法案》。但在印度议会联合委员会提出81项修正案和12项建议后,政府撤回了该法案。一项框架更全面的新法案,包括现代数字隐私法,将很快公布。
在新法律生效之前,印度政府需要考虑一些挑战和机遇。第一个挑战是改革早期法案中提出的严格但模糊的数据本地化法规,该法规限制印度居民使用位于国内的服务器进行跨境数据流动。
印度政府声称,数据本地化保护了消费者隐私,改善了政府对敏感数据的访问,以保护国家安全,并确保执法机构能够访问数据,以发现金融欺诈。但对跨境数据流动的全面限制,影响了向消费者提供数字服务。
严格的数据本地化监管可能会阻碍印度服务提供商为消费者提供最佳实践和技术的能力,从而降低其国际竞争力。印度的信息技术产业受益于跨境数据的自由流动。数据本地化可以创造一个“数据蜜罐”——将信息集中在一个地理位置,增加了数据泄露和网络攻击的风险。对政府过度跟踪和数据监控的担忧也不是没有根据的。数据本地化对信息和通信技术服务出口的负面影响已经得到了充分的研究。
印度政府应该修订数据本地化法规,使其不会阻碍数字贸易。解决这一问题的一个方法是创建一个由国家组成的“可信网络”,印度可以与之进行跨境数据传输,包括与欧盟、美国和Quad国家签署双边或多边协议。
旧立法中的豁免条款为国家提供了以国家安全的名义获取个人信息的权利,但须获得适当授权。但更多情况下,这些豁免条款往往被过度使用。除了司法上诉,数据主体通常没有办法解决数据滥用的问题,2012年Puttaswamy诉印度联盟案就证明了这一点。
原始法案中的豁免条款需要更加精确。2000年《信息技术法案》第66A条中“严重冒犯”和“威胁性”的定义含糊不清,导致孟买两名女孩被捕。2015年,印度最高法院撤销了Shreya Singhal诉印度联盟案中的第66A条。定义明确的隐私原则应该意味着,国家被视为任何其他数据受托人,以保护数据主体的隐私。
印度还缺乏数据法律法规的执行。尽管该法案规定了对滥用数据的惩罚,就像欧盟的《通用数据保护条例》(GDPR)一样,但印度监管机构往往缺乏能力和资源,对数据受托人的合规情况进行审计,并对偏离执行处罚。
《个人数据保护法案》草案也因其提出的数据保护局(DPA)而受到批评。DPA将完全由政府代表组成,由内阁秘书担任主席。这将使民政部与政府的行政部门不可分割。
现在是印度政府建立足够的隐私审计能力的时候了,无论是自己还是通过公私伙伴关系,以确保数据主体的保护。DPA必须是一个自主的实体,由来自政府、学术界和工业界的各种隐私专家组成。GDPR要求其监管机构在财政和行政上独立于政府,成员在该机构的运作中不存在利益冲突。
印度的非个人数据(NPD)治理框架也很重要。NPD被宽泛地定义为不识别特定个人的数据。许多国家承认NPD是一种数字公共产品,可以向公众和私营部门提供。2020年,印度是为数不多的为确立新产品开发权利提供法律基础的国家之一,定义了为创造社会和经济价值而共享新产品开发的可能模式,以及相关的监管机制。
印度联合议会委员会建议在一部法案中对个人和非个人数据进行监管。尽管数据受托人在信息共享和使用NPD的权利方面一直存在阻力,但政府应该包括一个适当的NPD治理框架,以释放NPD对社会安全和福利的价值。
作为世界上最大的互联网用户群体之一,印度在制定综合性隐私和数据保护法方面浪费了宝贵的时间。这也是印度不在符合欧盟数据保护充分性规范的国家名单上的原因之一。为了数据贸易的繁荣,新德里必须加快拟议中的隐私和数据保护法——让印度更接近于满足欧盟GDPR的数据保护要求。
本文:
- 登录 发表评论