【印度隐私保护】印度的个人数据隐私法案：对个人和企业意味着什么？

新的立法旨在使印度与国际最佳实践接轨，但在实际行动中会是什么样子？

分析：今年，印度应该成为最新出台全面数据隐私法的大型经济体。

到目前为止，印度14亿人口的个人数据受到2000年《信息技术法》的保护。

尽管此后该法案已多次修订，但公共和私营部门一致认为，印度现在需要具体的个人数据隐私立法。

此外，印度当局希望使该国的数据保护法符合国际最佳实践，而欧盟的通用数据保护条例（GDPR）是首选模式。

印度议会的一个联合委员会目前正在审议这项新法律，完整的立法将在未来两年内实施。

什么是个人数据隐私法案？

《IT法》和印度的合理安全实践和程序以及2011年敏感个人数据或信息规则（PDF）现在都相对过时，尤其是与GDPR等“金标准”数据保护立法相比。

印度的立法者认为，现行法律使该国在国际上处于不利地位，无法跟上商业和服务数字化以及社交媒体增长等发展。

“印度个人数据保护法案（PDPB）是斯利克希纳委员会提出的一项提案，旨在使印度个人数据管理法律现代化，”研究公司高德纳（Gartner）的副分析师纳德·海宁（Nader Henein）告诉《每日Swig》。

“尽管印度在其宪法中承认隐私权，并对《信息技术法》（2000年）进行了一些修正，为错误处理个人信息提供了保护，但目前还没有统一的隐私法。”

改革进程始于2017年，当时印度最高法院的一项裁决宣布隐私权是宪法规定的一项基本权利。

2018年，法院要求政府制定更为严格的数据保护规则，2019年，印度议会首次通过了PDP。

“行业和政府都认为，缺乏专门提供隐私保护的法律在国际舞台上和印度国内都是有害的，”印度多才多艺咨询公司（Versatilist Consulting India）董事、ISACA新兴趋势工作组成员RV Raghu说。

“公共和私营部门都同意，有必要制定处理个人数据保护的法律，如PDP。”

新的立法旨在使印度与国际最佳实践接轨，但在实际行动中会是什么样子？

印度的数据隐私法案何时实施？

目前，这一点还不完全清楚。一个联合议会委员会正在审查2019年的立法，并提出了修改建议，包括为个人和非个人数据设立一个数据保护机构（DPA），违规披露期限为72小时，潜在处罚金额为公司全球营业额的4%。

联合议会委员会还规定了实施期限：数据保护局应在六个月内发挥作用，在九个月内登记“数据受托人”，法案的所有规定应在24个月内实施。

背景：印度当局将于2022年收紧数据泄露法律

然而，即便如此，这也不是固定不变的——拉古指出，只有在议会投票通过联合委员会的建议后，时间表才会明确。

拟议法律的发展也很复杂。Gartner的Henein指出：“2018年推出了一份初稿，[和]2019年出现了一份新的修订草案，随后委员会对其进行了重大修订。

“我们还没有看到最新的版本，但有一些非常强烈的迹象表明，它可能会在目前正在举行的议会冬季会议期间付诸表决。”

新法律将如何运作？

立法者希望人民民主党将印度法律置于与发达市场类似的基础上，特别是欧盟、英国和美国。PDP明确将GDPR作为起点，其特点类似于其数据保护授权实施、违规披露规则和惩罚制度。

“这将确保印度在数据保护和治理方面有一套标准的规则和条例，”网络安全公司Qualys的副总裁迪帕克·奈克（Deepak Naik）告诉《每日Swig》。他说，这是故意的。

“与GDPR等全球标准有着协同作用，这将有助于全球IT和社交媒体公司在不必担心任何监管行动的情况下实现提升和转变。

“中国、俄罗斯或巴西等其他更大的市场将不会出现同样沉重的本地定制负担。”

不过，印度的组织或与印度进行贸易的组织需要考虑到一些差异。

例如，DPA不是独立的，因为数据保护办公室位于一些相互竞争的经济体——相反，其成员将由印度政府选择。

被视为“重要”数据受托人的组织必须每年对其数据处理流程进行审计——这些审计人员将从政府批准的名单中选出。

从公民的角度来看，个人有权访问其数据，并有权删除记录。根据GDPR或英国数据保护法，他们目前无权不被介绍。

根据RV Raghu的说法，不同寻常的是，法律将要求DPA为使用人工智能、机器学习和其他新兴技术的公司创建一个（隐私）沙盒。

PDP将如何影响业务？

PDP法案对已经遵守GDPR等法规的国际组织的影响应最小。印度当局有意避免过度本地化。

对于总部位于印度的公司，遵守PDP的要求将使其符合国际数据保护最佳实践。

即便如此，所有组织都需要了解立法中的一些国家属性。

• 首先，也是最重要的是要求DPA批准独立审计。目前还不清楚哪些组织需要这样做，尽管大型组织和处理大量数据的组织可能需要遵守。
• 其次，数据本地化要求规定，要么在印度持有数据副本，要么关键数据根本不离开印度。随着PDP法案的实施越来越接近，这些规则应该变得更加清晰。

社交媒体公司还必须遵守一项条款，要求其用户验证其身份。同样，这一条款的确切运作方式尚不清楚。

Qualys的Deepak Naik指出：“从积极的方面来看，IT和社交媒体巨头现在将有信心在印度而不是国外提供全球服务。”。“他们将能够部署一个与所服务国家相似或等效的合规框架。”

公司如何确保合规性？

法规遵从性将取决于组织是否了解其应用程序和IT系统、在何处收集和处理数据以及原因。

Qualys的迪帕克·奈克（Deepak Naik）说：“为了实现这一点，公司必须了解其所有基础设施，能够定义其安全部署，并随着时间的推移保持基础设施的最新和安全。”。

ISACA专家RV Raghu对此表示同意。他说：“企业需要从基础入手，比如明确哪些数据正在被收集，为什么，数据如何被处理，以及谁可以访问这些数据。”。

本文：https://cioctocdo.com/indias-personal-data-privacy-bill-what-does-it-me…