Содержание
509 Превышен предел пропускной способности
509 Превышен предел пропускной способности
Сервер временно не может обслуживать ваши
запрос из-за того, что владелец сайта достиг своего
ограничение пропускной способности.
Пожалуйста, попробуйте позже.
Эксперты отмечают многочисленные проблемы с законопроектом о защите цифровых персональных данных, 2022 г.
Несколько экспертов заявили, что законопроект проблематичен в контексте защиты личной жизни и в некоторых отношениях он хуже, чем отозванный законопроект о защите персональных данных от 2019 г. by the Center
Эшлин Мэтью
Взаимодействие: 0
Через три месяца после того, как правительство Союза отозвало Закон о защите персональных данных 2019 г.от парламента, в пятницу был опубликован значительно переработанный и сокращенный законопроект о защите цифровых персональных данных 2022 года. Эта краткая 24-страничная версия фокусируется только на цифровых личных данных, удаляет неличные данные и по-прежнему дает правительству широкие полномочия.
Несколько экспертов заявили, что законопроект остается проблематичным с точки зрения защиты частной жизни и в некоторых отношениях хуже, чем отмененный законопроект.
Законопроект содержит около 30 статей по сравнению с 90 плюс пункты в предыдущих проектах предложений по защите данных.
В этом законопроекте менее четко сформулирован ущерб, причиняемый нарушением конфиденциальности данных, и не проводится различие между личными данными и конфиденциальными личными данными. Это избавляет от локализации данных, против которой выступали многие технологические компании.
Четвертая версия законопроекта о защите данных открыта для общественного обсуждения до 17 декабря.
Положительным аспектом законопроекта является то, что в отличие от предыдущей версии поставщики услуг должны уведомлять пользователей в случае нарушения, а затем Совет по защите данных издаст указания по смягчению причиненного вреда.
Конфиденциальность и защита данных
Хотя в 2017 году Верховный суд признал неприкосновенность частной жизни основным правом, законопроект ослабил конфиденциальность данных и необходимые рамки защиты.
Юридический директор Центра права на свободу программного обеспечения (SFLC) Прасант Сугатан отметил, что любые данные, которые не представлены в цифровой форме, не подпадают под действие этого законопроекта. «Таким образом, даже если кто-то собирает личные данные у человека, этот законопроект не будет распространяться на это. Предыдущие законопроекты касались персональных данных как таковых. Об этом говорится даже в отчете Комитета Шри Кришны», — сказал он.
Он подчеркнул, что законопроект предлагает удалить раздел 43 Закона об ИТ, в котором говорится о неправомерном использовании данных. «В более ранних версиях законопроекта не было таких положений об удалении раздела», — сказал он.
В случае утечки данных предлагаемый механизм уведомления об утечке личных данных не отличается от механизма, изложенного в законопроекте 2019 года, говорится в подробном примечании SFLC. Что вызывает озабоченность в законопроекте, так это то, что жертва утечки данных не может требовать денежной компенсации.
Ранее пользователи могли требовать возмещения убытков или компенсации в случае неправомерного использования их данных.
«Предусмотрено наложение штрафа на компанию, но физическое лицо не получит никакой компенсации, даже если его данные были использованы не по назначению. Таким образом, даже если у меня есть возможность обратиться в суд, процессы могут быть ресурсоемкими», — объяснил Намрата Махешвари из организации Access Now, которая занимается защитой гражданских прав в цифровой среде.
Государственный надзор
Законопроект не считает надзор вредным. В законопроекте 2019 г. слежка прямо определяется как вред в соответствии с разделом 3(20): «(ix) любое ограничение, прямо или косвенно налагаемое или от которого страдают речь, движение или любое другое действие, возникающее из-за боязни наблюдения или слежки; (x) любое наблюдение или наблюдение, которое не ожидается со стороны принципала данных».
Пункт 18 DPDPB от 2022 г. распространяет широкие и расплывчатые исключения, которые были предоставлены правительству Союза в статьях 35, 36, 37, 38 и 39 Закона о защите данных от 2021 г.
, заявил Фонд свободы Интернета (IFF). ), организация цифровых свобод.
Статья 18(2)(a) DPDPB, 2022 г. повторяет Статью 35 DPDP, 2021 г. и позволяет правительству Союза освобождать любые «инструментальные средства» государства от применения DPDPB, 2022 г. в интересах «суверенитета и целостность Индии, безопасность государства, дружественные отношения с иностранными государствами, поддержание общественного порядка или предотвращение подстрекательства к любому признанному правонарушению, связанному с любым из них».
Это приведет к серьезным нарушениям неприкосновенности частной жизни гражданина, а также к расширению иммунитета правительственных войск от применения закона.
«Если закон не применяется к правительственным инструментам, сбор и обработка данных в отсутствие каких-либо стандартов защиты данных может привести к массовой слежке», — говорится в сообщении IFF.
Что беспокоит, подчеркнул Пратек Вагре из IFF, так это идея предполагаемого согласия. «Существует потенциал для того, чтобы правительство могло предположить согласие по большому количеству вопросов.
В пунктах 8(6), (7) и (8) говорится, что согласие Принципала данных на обработку данных будет рассматриваться в определенных ситуациях, в том числе для поддержания общественного порядка, в целях, связанных с трудоустройством, и в общественных интересах соответственно. Эти категории допускают широкое и расплывчатое толкование, допуская при этом чрезмерный сбор персональных данных при отсутствии конкретного и информированного согласия», — сказал он.
«Раньше правительство могло освободить любое государственное учреждение от обязанности соблюдать Закон, но теперь оно может освободить любое лицо, любое доверенное лицо данных. Не просто государственное агентство», — добавил Махешвари. Это может означать любую частную компанию или поставщика услуг.
Совет по защите данных
Этот законопроект заменяет Управление по защите данных Советом по защите данных Индии, но он по-прежнему не является независимым органом. В главе 5 законопроекта говорится, что на более позднем этапе правительство Союза определит численность и состав Совета, процесс отбора, условия назначения и службы, а также отстранение от должности его председателя и других членов.
«Это ставит под вопрос независимость Совета. Возможность назначать главу правления — это право, которое правительство Индии дало себе», — сказал Вагре.
Обращая внимание на эту аномалию, Махешвари сказал, что одним из краеугольных камней режима защиты данных во всем мире является то, что они должны быть независимыми. И одна из очевидных причин заключается в том, что государство, как сборщик данных, является его стороной.
Еще одна проблема заключается в том, что если в Совете по защите данных возникает спор, и перед ним стоит частная компания по поводу утечки данных, они могут подать добровольное обязательство перед советом, указав, что они могут сделать. «Если Совет по защите данных согласится, это позволит им уйти без каких-либо последствий за нарушение основных прав. Они могут договориться об исходе спора. Пользователь может проиграть», — сказал Махешвари.
Обязанности пользователя
Впервые законопроект включает обязанности пользователя или принципала данных и поставщика услуг или хранителя данных.
В нем говорится, что доверенное лицо данных должно прилагать разумные усилия для обеспечения точности и полноты персональных данных, обрабатываемых Доверенным лицом данных или от его имени.
В нем также говорится, что «Директор данных ни при каких обстоятельствах, в том числе при подаче заявки на получение любого документа, услуги, уникального идентификатора, удостоверения личности или подтверждения адреса, не должен предоставлять какие-либо ложные сведения или скрывать любую существенную информацию или выдавать себя за другое лицо. Несоблюдение этого пункта влечет за собой штраф в размере до 10 000 рупий, который может быть наложен на принципала данных».
Вагре спросил, означает ли это, что пользователь вообще не может использовать псевдоним. «Это сбивает с толку и беспокоит. Если это не финансовая транзакция, следует ли запретить вам предоставлять псевдоним, если вы захотите это сделать? Люди могут захотеть сохранить свою конфиденциальность и не сообщать свои данные всем поставщикам услуг, с которыми они взаимодействуют», — сказал он.
В рамках обязанностей пользователя в законопроекте говорится, что «владелец данных не должен регистрировать ложную или необоснованную жалобу или жалобу в доверительном управлении данных или в Совете». Это послужит сдерживающим фактором для тех, кто хочет подать жалобу, потому что никто не знает, будет ли результат жалобы считаться необоснованным. Предусмотрено наказание, если жалоба будет признана ложной или необоснованной.
Локализация данных
Законопроект, как отметили в SFLC, отменяет требование о локализации данных, которое требуется в законопроекте 2019 года и последующем отчете Объединенного парламентского комитета, опубликованном в декабре 2021 года.
В разделе 17 законопроекта упоминается, что он опубликует список стран и территорий, в которые могут быть переданы личные данные, после оценки определенных факторов.
Однако не было указано никаких критериев того, как правительство будет определять, в какие страны разрешать передачу данных.
«Это противоречит статьям с 44 по 50 Общего режима защиты данных, который разрешает передачу персональных данных европейцев только в те страны, которые обеспечивают минимальный уровень защиты таких данных», — заявил IFF.
Штрафы
В законопроекте наложен штраф в размере до 500 крор рупий, из ранее предложенных 15 крор рупий. Он также предлагает штраф в размере до 250 крор рупий, если служба не сможет защитить данные от утечек. Минимального порога штрафов нет.
«С акцентом на высокие штрафы создается впечатление, что правительство настаивает на подотчетности, что так и есть, но это в большей степени предназначено для частного сектора, чем для правительства и государственного сектора», — сказал Махешвари.
Прочие вопросы
Пункт 30(2) законопроекта предлагает внести поправки в раздел 8(j) Закона о праве на информацию 2005 года. Это означает освобождение от раскрытия личной информации.
Раздел 8(j) Закона о праве на информацию гласит, что информация, относящаяся к личной информации, освобождается от действия Закона о праве на информацию, если ее раскрытие не имеет отношения к какой-либо общественной деятельности или интересу или если это приведет к необоснованному вторжению в частную жизнь индивидуальный.
Текущая версия законопроекта не предоставляет пользователю возможность переноса данных. Если человек использовал определенного поставщика услуг электронной почты, пользователь имел право попросить поставщика услуг предоставить все данные, необходимые для перехода к другому поставщику. Положение существовало в законопроекте о защите персональных данных от 2019 года.
Махешвари подчеркнул, что большая часть основных частей законопроекта оставлена для нормотворчества и делегированного законодательства, а это означает, что правительство издаст правила позже. В нескольких положениях используется формулировка «как может быть предписано». Это не помогает ни пользователям, ни компаниям.
Многие хорошие рекомендации ПКД не были учтены. У JPC был такой язык, как «справедливый, справедливый и разумный», чтобы ограничить возможности сбора данных. Хотя это было не идеально, и язык, такой как данные, должен собираться только тогда, когда это необходимо и пропорционально, это все же было лучше, чем то, что мы имеем сейчас.