IT公司或BPO公司担心,如果他们为了合法目的将外国数据主体的数据提供给印度政府,可能会违反欧盟的一般数据保护条例(GDPR)。这些议题及其他问题在电子和信息技术部(MeitY)于班加罗尔举行的第三次关于《数字个人数据保护(DPDP)条例》草案的咨询会上被提出。此次会议吸引了包括Infosys、LTI Mindtree、塔塔咨询服务公司和Persistent Systems在内的主要IT公司的参与。
《DPDP条例》草案于1月3日发布,最后提交建议的日期为2月18日。此前,该草案曾在德里和孟买进行了两次咨询。
会议主要讨论了个人数据泄露通知、可验证的父母同意等问题。IT公司还表示,如果未定义数据泄露的标准,那么向DPDP下的数据保护委员会报告每一个数据泄露事件将会变得毫无意义。
“我们很多人认为,在DPDP下报告所有类型的数据泄露是过度的。全球的做法是只报告那些高风险或高危害的数据泄露。”Infosys的高级副总裁兼集团首席隐私官Srinivas Poosarla说,“数据泄露经常发生,很容易被控制。如果我们不定义标准,太多的无意义报告将涌入委员会。全球都有相应的指南。”
Rahul Matthan律师表示:“很难判断这是否是个人数据泄露,还是系统出现了故障。”“如果过早地报告数据泄露,会引起恐慌。如果过晚才报告,则会引发警报,因为个人凭证可能会被滥用。”
MeitY秘书S Krishnan表示,《条例》要求“在意识到任何个人数据泄露时”,数据托管方必须通知受影响的数据主体。
关于父母同意的问题
Narayana Health医院连锁代表询问,在紧急情况下如何建立患者及其监护人之间的关系以获得同意。他问道:“在身份验证和确认与儿童的关系方面,这既繁琐又实际吗?”通常情况下,在紧急情况下会豁免处理儿童的数据。
根据《DPDP法》,在处理儿童的数据前需要获得父母或监护人的可验证同意。
Krishnan回应称,在医疗领域获取可验证的父母同意是最容易的,因为通常是在面对面的情况下进行的。
BPO行业的问题
Poosarla表示,在安全和问责目的之外,海外数据不受《DPDP条例》管辖。“我们担心的是,因为我们承诺按照印度法律不会访问他们的数据。如果这种情况被禁止,BPO行业将无法获取数据。我们是否会被告知提供外国数据主体或数据主体的数据?”
Matthan表示,在跨境数据传输时,IT公司需要进行转移影响评估。“评估的一个要求是,在外包交易协议中是否允许执法机构访问这些外国数据。目前对于律师事务所来说很难提供这种评估。”
总结:本文讨论了IT公司和BPO公司在《数字个人数据保护(DPDP)条例》草案咨询会上提出的问题和担忧。主要议题包括个人数据泄露的通知、可验证的父母同意以及跨境数据传输的影响评估等。文章强调了定义标准的重要性,并指出在医疗领域获取可验证父母同意相对容易的情况。此外还提到了BPO公司在遵守印度法律方面可能面临的挑战。
