Facebook创始人兼首席执行官马克•扎克伯格(Mark Zuckerberg)在《华盛顿邮报》(Washington Post)最近发表的一篇文章中表示,有必要在监管互联网的同时保留其优点。他指出,需要新规则的领域之一是隐私和数据可移植性。他以被认为是世界上最严格的《欧盟一般数据保护条例》(GDPR)为基础,提出了全球协调框架。

在印度,确实有必要制定一部强有力的隐私法来重点保护个人权利。根据印度宪法第21条,印度最高法院承认隐私权是一项基本权利。《2018年个人资料保障条例草案》(以下简称为“条例草案”)设定两个目标,一是为保障个人信息安全按建立法律架构,二是为推动以个人信息为本的创新及创业活动发展创造有利环境。

然而,该法案第40条规定了数据本地化授权,这并不完全符合隐私目标。在印度存储数据实际上可能存在负面影响,使个人容易受到“老大哥”监控。该法案要求个人数据存储在位于印度的服务器上,并通知只在印度处理关键的个人数据。该法案第41条第 (1)款第(a)项允许跨境个人数据传输(除了通知敏感的个人数据)服从标准合同条款或集团内的计划,已经批准的数据保护机构或中央政府允许转移到一个国家、部门或一个国际组织。此外,如欲转让个人资料/敏感的个人资料,必须取得资料当事人的同意/明确同意。这些要求禁止或严格限制需要繁重的网关管理和批准的常规跨境数据传输。

印度已经对电信行业的客户账户信息提出了数据本地化要求。2018年4月6日,印度储备银行发布《印度支付系统数据存储通知》,要求所有系统供应商在印度存储支付数据,以确保更好的监控。遵守的最后期限已于2018年10月15日到期,最高法院正在审理的案件中,有人指控WhatsApp等一些平台没有遵守。此外,国家电子商务政策草案发表2019提供的物联网(物联网),其中数据分散Citizen-owned生态系统(解码)将开发一个以数据为中心的数字经济数据生成和聚集的公民、物联网、传感器网络和在印度由用户生成的数据来源等电子商务平台、社交媒体活动,在三年之内必须存储在本地的搜索引擎。

大多数国家没有数据本地化的要求。欧盟允许跨境转移个人资料至拥有足够/类似管制水平的司法管辖区。如果充分性测试失败,GDPR将通过适当的保障措施、使用标准合同条款、有约束力的公司规则以及在缺乏充分性决定或适当保障措施的特定情况下减损的条件,不需要事先通知或批准。

中国拥有最全面的数据本地化授权。《网络安全法》以及相关实施条例要求,由中国关键信息基础设施(CII)运营商收集和生成的中国公民个人信息必须存储在中国服务器上。此外,“关键信息基础设施”和“重要”信息仍未定义,并且要求操作人员向政府提供加密密钥。

其他国家对特定行业实施了具体限制,如俄罗斯、越南、印度尼西亚(公共服务运营商)、澳大利亚(健康记录)、尼日利亚(科技和电信公司的用户数据和政府数据)以及德国(电信和互联网服务提供商)

印度的目标似乎是通过向当地公司提供竞争优势,对10亿多人口的宝贵资源和经济利益来维护数据主权。然而,按照Srikrishna委员会建议,在颁布法律之前,必须进行成本效益分析。印度是全球临床试验、研究设施、IT服务中心以及全球制药和医疗企业分析中心的首选目的地。印度错过了制造业繁荣的机会,但有能力也有机会跨入新的增值数字服务领域,包括预测/处方医疗、人工智能应用等。数据本地化要求/限制将阻碍这种前景。该法案必须确保主要目的得到满足,即通过充分的数据安全和适当的隐私保护来保护数据主体的权利,而不是一味要求全面本地化或繁琐的繁文缛节。

(供稿者:袁 媛 编辑:袁 媛)

原文地址:

https://www.cnbctv18.com/views/why-india-needs-to-do-much-more-on-data-privacy-3038081.htm

声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。