印度政府发布了《2025 年数字个人数据保护规则》草案以供公众咨询,距离实施印度首部数据保护法又近了一步。
这些规则认真地尝试使一些组成部分的程序变得清晰,例如寻求同意的通知、同意管理者、某些企业的保留期限、某些数据主体权利和违规通知,但并非没有引起人们对可验证的父母同意、义务的担忧。重要的数据受托人、豁免和实施时间表,并恢复了一些我们希望得到解决的问题,例如跨境数据传输和算法的使用。
经过多次讨论和部际磋商后发布的期待已久的规则将开放至少 45 天的公众意见。一旦最终确定,规则的某些部分(主要涉及数据保护委员会或 DPB)以及 DPA 的相应部分将在发布后生效。其余规则将在稍后生效,并在最终规则中具体规定。
规则要求同意通知应通过易于理解的明确文件用于特定目的。该通知必须至少提供个人数据的描述、处理的具体目的、列出通过处理启用的商品或服务和用例,并提供行使数据主体权利的明确方式。
虽然对逐项细节的强调可能有助于透明度和问责制,但这意味着企业必须满足苛刻、严格且昂贵的同意制度。鉴于这种背景,最好建议各实体检查其现有的通知、申诉补救和数据主体权利机制,以满足实施时间表。
规则中提供了有关同意管理者的资格、职能和义务的实质性细节,同意管理者将成为印度新数据生态系统的非常重要的一部分。实体必须在印度注册成立、拥有最低净资产和合适的技术平台才能申请注册为同意管理者。获得注册后,他们将充当“数据盲中介”,使数据委托人能够授予(或拒绝)由同意管理者加入的数据受托人寻求的同意。他们必须代表个人行事并帮助行使数据保护权利,同时避免任何利益冲突。同意管理者的违约行为除了根据 DPA 规定处以罚款外,还可能导致取消或暂停注册。提供的详细信息是及时的,但启动同意活动将继续取决于即将到来的互操作性标准。
该规则强调了实施合理安全措施以防止数据泄露的重要性,规定了一系列“最低”保障措施,包括访问控制、日志报告、加密工具部署、标记化、屏蔽,以及要求受托人以合同方式要求处理者确保数据安全。
这些规则规定了向 DPB 和数据主体报告数据泄露的严格、“一刀切”的要求,而不考虑泄露造成的危害。报告必须及时完成,并在 72 小时内补充一份非常详细的报告。鉴于这种背景,企业可能需要重新审视其现有报告措施的充分性,看看是否能够满足苛刻的新要求。
实体需要担心的另一个主题是父母处理儿童数据的“可验证同意”。在处理儿童数据之前,实体必须根据现有数据或自愿提供的数据,或通过维护虚拟代币(包括 DigiLocker 服务提供商)的政府授权机构的服务,可靠地验证父母的年龄和身份。这似乎还伴随着额外的尽职调查义务,以审查出于验证目的而提供的数据的真实性,这可能会造成财务负担,特别是对于小型实体而言。
由为此目的任命的官员确定的重要数据受托人需要满足更高的要求。其中包括年度影响评估和审计,并将主要调查结果提交给 DPB。
更令人担忧的是,这些规则似乎有可能再次引发许多人认为已经平息的两个关键问题。对于重要的受托人,政府可能要求将确定的数据保存在印度。这些规则还规定了为所有实体制定的与跨境数据传输相关的附加规则。这些(目前是开放式的)要求可能会对多个平台的运营产生巨大影响。也许更令人担忧的是,这些规则还规定了重要数据受托人对“算法软件”的使用进行开放式“额外尽职调查”。
在规则磋商过程中,进一步明确上述各项将非常有帮助。
该规则草案的发布标志着印度在承认、执行和加强数据保护规范方面迈出了重要一步。如果按原样保留,它们可能会带来实施障碍,要求企业进行昂贵的调整,还可能导致数据主体的同意疲劳。在此背景下,有效的公众咨询和对话至关重要,企业应明智地利用规则实施前的时期,既提出意见,又为最终规则的实施做好准备。
作者 Arun Prabhu 和 Arya Tripathy 分别是 Cyril Amarchand Mangaldas 的首席合伙人、技术部和合伙人。
免责声明:所表达的观点仅代表个人观点,并不反映 FinancialExpress.com 的官方立场或政策。未经许可禁止转载本内容。
