在我们的博客中,我们已经写过
GDPR ,其“
受害者 ”以及整个IT部门严格监管的
情况 。 在本文中,我们将讨论印度对PD的保护。
特别是,我们将讨论今年7月底提交的新法案。
考虑其要点并谈论社区中的批评。
/照片鲁本·亚历山大· CC重点
司法委员会成员起草了将近一年的《
个人数据保护法案》 (2018年)。 Shrikrishna(司法Srikrishna委员会)。 该文档是在考虑印度IT法规的特殊性的前提下编写的,但也引入了国外经验。 因此,阅读该文件的人立即注意到,该文件在很大程度上使人联想到GDPR。
请考虑文档中阐明的关键条款:
公民将获得对PD的更多控制
文档中的个人所有者称为数据主体(而不是GDPR中的数据主体)。 他们具有以下权利(
第14页,第6章 ):
- 知道运营商是否在处理某些PD的权利;
- 如果数据不正确或已过期,则有权更改数据;
- 要求以电子格式提供其数据的权利;
- 忘记/限制宣传或停止使用PD的权利。
值得注意的是,委员会还照顾了孩子:单独的一章专门保护孩子的数据,阐明了PD操作员的职责(
第13页,第5章 )。 例如,它规定运营商必须组织检查年龄的机制,并限制行为的跟踪和在网站上定向广告的显示。
PD运营商的新要求
在文档的文本中,每个收集和处理印度居民个人数据的人都称为“数据受信人”(受信人(律师
称其为“受信人”或“受信人”:他对另一人的财产负责),在这种情况下,该财产就是受保护人的数据)
在处理PD时,对它们有许多要求(
第17页,第7章 )。 例如,要求他们遵守“隐私保护设计”概念。 这意味着应“强化”所有适用的技术,安全策略和业务管理,以维护PD的完整性并防止对其所有者造成可能的不愉快后果(例如,数据泄漏)。
此外,受托人必须在其公司中任命一名数据保护官(
DPO ),以存储有关与PD进行的所有交易的信息,并接受审核并在特殊监管机构规定的期限内通知数据泄漏。
顺便关于主管
为了监控法律的遵守情况,将在印度建立印度数据保护局(DPA)。 不遵守法律规定
的罚款
额大约等于欧洲立法规定
的罚款
额 。 例如,PD运营商因允许数据库被黑客入侵而面临高达200万美元(或年营业额的4%)的追偿。
同时,第10条(
文档的第29页 )指出,DPA成员必须是在数据保护和相关领域具有十多年经验的人员。 因此,我们可以假设具有深厚的技术知识和对技术工作原理的理解的人将担任职位。
PD的副本将需要存储在印度的服务器上
这在第8条(
第23页 )中进行了说明。 这完全是当局
决定遵循的“网络主权”政策。 该法案禁止公司将数据移出国外,除非获得了PD实体,DPA或州的许可,并且不尊重其他细微之处。 潜在地,此要求可能会给本地公司和外国云提供商带来额外的困难。
仅在紧急情况下(PD所有者的健康状况,对他的生命的威胁等,当您需要立即采取行动时),PD才能无条件地存放在国外。
您如何通过帐单的?
司法委员会连同法律草案一起以 Shrikrishny
提供了所有条款
的理由以及他在该国保护PD的建议。 作者解释说,在编写文档时,他们
使用了三角形的概念 ,其最高峰是印度公民的利益,而其基础是企业和国家的利益。 通过这一点,他们可能想强调该法案考虑到了其所涉及的所有人的权利。
但是,并非所有的“三角形顶点”都与它们一致。 该法案的许多规定遭到批评。
Mozilla基金会主席Mitchell Baker对文件(
第9章 )中提到的州的例外表示担忧-政府机构处理PD的原因和任务(例如存档或统计分析)尚不清楚。
当其所有者的身份由匿名数据确定时,对进行“重新识别”研究的禁令
遭到严重批评。 这些研究
有助于改进PD保护技术,并提供有关公司泄漏或数据安全级别的统计信息。
根据新法案的案文,这种测试现在只能在PD运营商的同意下进行(否则,将处以3 000美元的罚款)。 这应该有助于避免可能的“转储”带有印度居民PD的数据库。 另一方面,信息安全专家
强调禁止重新识别并不能解决问题。
所有这些都可能导致这样一个事实,即处理个人数据的公司如果不确定其去匿名的“质量”,将拒绝进行测试。 当黑客(显然不需要黑客许可)入侵这类公司的系统时,后果可能很严重。
例如,2017年在英国,他们还
提议禁止重新识别研究,但出于安全原因三思而后行。
接下来是什么
新法案需要经历许多实例:从IT和通信部到印度国会
上议院拉贾娅·萨卜哈(Rajaya Sabha),并获得他们的批准。 由于当前形式的批评,它很可能不会被接受,因为生效的时间仍是一个问题。
PS:我们在IaaS博客中还拥有关于该主题的其他信息:
我们活动的主要方向是提供云服务:
虚拟基础架构(IaaS) | PCI DSS托管 | 云FZ-152 | SAP托管 | 虚拟存储 | 云中的数据加密 | 云存储