上周,印度电子和信息技术部(Ministry of Electronics and Information Technology)公布了印度第三次尝试的《数字个人数据保护法案》(Digital Personal Data Protection Bill)草案,该草案精简后的版本继续提出了一些问题,比如长期监控,以及可能稀释《信息权利法》(Right to Information Act)。不过,就初创公司而言,还是有谨慎乐观的空间的。

Ikigai law的合伙人Sreenidhi Srinivasan表示:“这是一部精简得多的法律。”事实上,法案草案现在不到25页,之前草案的一些部分被删除了。Srinivasan说,新草案“以原则为基础,重点关注数据处理的最关键方面”。“因此,创业公司的合规成本可能更低。例如,法律引入了‘被视为同意’的概念,或被视为已给予同意的情况。”

Srinivasan说:“对企业来说,反复征求同意会很麻烦,尤其是初创公司,可能会给客户的旅程增加阻力。”他指出,只要数据受托人(收集数据的实体)使用数据的目的可以“合理”预期,法律就不需要再次征求数据收集的同意。

不过,下级立法仍有很多悬而未决的问题。Srinivasan举了一个例子:“d-tech平台收集儿童数据必须得到父母的同意。”“如何接受这种同意,将在规则中(在法案通过后通知)作出规定。因此,初创企业必须留意政府提出的规则/通知。”

印度信息技术国务部长Rajeev Chandrasekhar表示,政府可能还会通知一些实体,如早期创业公司,这些实体将免于罚款条款(每次违规罚款可达50亿卢比)。不过,他补充说,这些豁免将附带一个“日落”条款,这意味着它们最终将被逐步取消。

Ankura咨询集团(印度)高级董事总经理Amit Jaju在一份电子邮件声明中表示:“对初创企业处以50亿卢比的罚款是不切实际的。”“记住,每个人都会在某个时候被黑。”

TMT律师事务所管理合伙人Abhishek Malhotra在一份声明中说:“草案淡化了数据隐私和保护框架的目标。”“它似乎提供了一个更简单的框架,让人们能够无缝地采用它。然而,不幸的是,范围和适用性的规定也被缩减了,仅限于在线或数字化收集的地方,以及印度人是分析目标的地方。”

然而,Malhotra说,个人数据主体(即收集数据的人)提供准确信息的职责减轻了数据受托人的负担。

一个有趣的难题可能是“重要数据受托人”的指定,或处理大量数据的实体。由于这些实体可能被要求具有一定的财务实力(罚款最高可达50亿卢比),这可能会迫使亏损的初创公司进一步放弃自己存储任何数据。

版权声明| 所有原创内容,未经授权,

禁止下载、转载使用

版权联系|www.draphant.com

· 竺道

关注印度商业和投资动态

微信号:zd_review