跳转到主要内容

2017年,印度最高法院宣布了一项里程碑式的判决,宣布隐私权是生命权框架下的一项基本权利(第21条),符合我国宪法。然而,印度没有独立和全面的隐私法。目前,2000年《信息技术法》及其补充规则是确保个人信息保护的法律基石。

立法者和监管者逐渐认识到数据对经济和技术增长的重要性。因此,2021见证了各行业数据隐私和个人数据保护领域的关键发展。

在立法方面,联合议会委员会关于拟议数据保护法的报告为2021的数据保护法案赋予了新的基调和任期。印度储备银行(Reserve Bank of India)对支付聚合器和贷款应用程序制定了限制,而印度指导方针局(Bureau of Indian Guidelines)制定了数据隐私标准,作为企业的保障框架。中央政府还推出了尽职调查规则,让互联网中介机构进行监管。

从隐私和个人数据保护的角度来看,2021是什么?

这些发展源于技术的迅速采用,由私人和公共实体创建的巨大数据共享网络提供了动力。这些网络依赖于个人的个人数据。如果没有充分的隐私保护,个人数据可能会受到未经授权的访问。

2021数据保护法案

JPC的报告为印度的数据隐私和保护法律制度铺平了道路。该法案尚未提交议会。然而,讨论的一个关键点是,当前形式的法案与前两个法案(2018年和2019年草案)有所不同。

一个值得注意的变化是在数据处理方面向政府机构提供豁免。这一豁免可能会根据最高法院最近对Pegasus间谍软件案的判决进行审查,该案涉及对中央政府监视印度公民的指控。汉布尔法院成立了一个委员会,评估侵犯隐私权的行为,并就当前的监控法提出建议,以促进数据保护实践。因此,审慎的做法是考虑将政府机构纳入DPB的保护范围,以确保个人隐私并加强网络安全。

在最新的草案中,DPB试图规范个人数据的收集、存储、传输和使用。此外,它还将这项规定扩大到外国实体,以防印度人受到其数据处理活动的影响。

该法案的主要原则包括:个人同意、数据泄露通知、透明度(描述数据处理实践的事先通知和隐私政策)、基于目的的处理、技术安全以及放弃个人数据(如姓名和电子邮件ID)或敏感个人数据(例如社会安全号码)的个人权利。个人可以通过这些权利对其数据的处理进行更多的控制,因为他们可以轻松地删除、更正和访问其数据。

2021 8月,制定了隐私权管理的判例。马德拉斯高等法院驳回了一名请愿人被遗忘的权利,要求在他被宣判无罪后将其犯罪记录和法庭记录删除。法院发出解雇令是因为为了公共利益而完成的任务超过了个人的隐私权。法院进一步表示,在印度通过数据隐私法后,这些权利将得到更有效的落实。

JPC报告和修订的DPB提出的若干要求值得深思。例如,适用于敏感个人数据和关键个人数据的数据本地化规范(尚未由中央政府定义)。从印度到国外国家的数据流动将受到限制。

这些规范可能体现了印度对经济、国家安全和数据保护的担忧。印度人的数据主要存储在印度,如果个人提供同意、DPA正式批准的合同到位或接收实体能够证明遵守适用的数据保护法律,则可以进行传输。接收实体还可以实施适当的技术(例如加密和访问控制)和行政(例如隐私政策和违规管理流程)保障措施,以验证此类数据传输。

本地化规范的突出问题是隔离数据和造成单点故障所需的成本和技术能力,因为数据只能存储在印度的服务器中,而不是在不同司法管辖区使用分布式服务器的传统做法。

该法案在很大程度上依赖于同意作为处理数据的参数,要求组织允许个人建立一个同意管理器平台,以可访问、透明和可互操作的方式获取、撤销、审查和管理同意。虽然这个想法看起来很新奇,但却陷入了未知的境地。

在我们等待议会通过该法案时,我们可以推断,该法案要求各组织修改其与数据相关流程相关的运营实践,并将隐私嵌入其业务流程中。

银行和金融

基于数据最小化的隐私原则,其中仅收集和存储对齐以供处理的那些数据元素;RBI发布了“支付聚合器和支付网关监管指南”。这些指南旨在限制使用电子/在线支付模式促进用户和商户之间支付的支付聚合器存储卡和相关数据(如卡号和CVV)。

RBI还认识到,数字借贷行业的数据安全和隐私日益匮乏。由于数字借贷应用的普及率呈指数级增长,印度储备银行成立了一个工作组来评估所实施的隐私做法的成熟度,并建议数据只能存储在印度服务器上。

评估的范围将包括数据处理活动的透明度、隐私通知或政策是否到位、同意机制以及帮助用户修改或删除其数据的权限管理。工作组还将研究违反目的限制要求的情况,因为客户的数据经常被用来骚扰他们。

印度数据隐私标准局

IS 17428是BIS发布的最新标准,用于管理组织的数据隐私保证实践。本标准将提供建立、实施、维护和更新数据隐私管理实践的框架。该标准由两部分组成。第一条规定了在设计涉及收集个人数据的产品或服务时保护个人隐私权和敏感数据权的技术和行政要求第二部分列举了一些准则,以加强标准第一部分中要求的实施。

虽然第一部分是强制性的,以确保符合标准,但第二部分只是一个建议。由于印度没有全面的数据隐私法,值得注意的是,阅读本标准时应结合2011年《信息技术(合理的安全实践和程序以及敏感的个人数据或信息)规则》下的合规要求,以根据IS0 27001等标准制定安全的数据隐私实践。

这里的灰色地带是缺乏关于实施最新标准是否足以遵守SPDI规则的指导。因此,各组织有义务实施IS 17428,并将其视为遵守SPDI规则和即将出台的数据保护法的参考点。

通讯

为了在国家安全和公共秩序的天平上平衡隐私权,电子和信息技术部编纂了《2021信息技术(中介指南和数字媒体道德规范)规则》。这些规则规定了尽职调查要求,其想法是确定通过社交媒体和消息传递平台传输的任何信息的第一发起者。然而,这项要求不适用于电子电文的内容。目前,德里高等法院正在审查这一可追溯性要求,以判定其与隐私权的合宪性。尽管政府已明确表示无意侵犯隐私权,但由于追踪的基础是国家主权和安全,强制披露的程度是否会影响所传达信息的实际内容仍有待观察。

科技和金融作家伯恩·霍巴特(Byrne Hobart)有句名言:“通讯的全部目的是以可控的方式侵犯你自己的隐私。”也许这些话启发了WhatsApp,WhatsPP目前正在接受修改隐私政策条款的法律审查。根据该政策,用户可以“选择加入”与Facebook共享数据,以继续使用WhatsApp服务。印度竞争委员会开始调查WhatsApp新规则对印度市场的潜在影响。主要的担忧是,选择加入违反了合法同意的基本特征(透明、可撤销且没有拒绝服务等后果)。

前面的路

监管者、立法者、司法机构和行业预计2022年将是繁忙的一年。欧盟通用数据保护条例生效已经三年多了,尽管有报道称该法案可能会重新起草,但印度即将效仿欧盟,精简其数据保护条例。特定部门的法规和关于数据保护的一般法律之间的相互作用可能会引发对一系列隐私问题的审议和行动。此外,随着区块链和人工智能等尖端技术的迅速采用,追踪和研究当前的一系列法规如何应用于基于去中心化和匿名化的框架将是一项有价值的努力。与此同时,各组织应考虑对其隐私程序进行定期审计和评估,以更好地了解其收集的数据类型、数据在公司内的流动、存储时间表和位置,并启动补救措施以弥补其发现的任何漏洞。

本文: