同意管理框架是大型科技公司关注的一个关键问题

包括谷歌、亚马逊、Meta 和苹果在内的主要科技公司计划与电子和信息技术部 (MeitY) 就同意管理框架和拟议的政府指定委员会监督跨境数据传输的担忧进行接触。消息人士称,这些讨论将成为《数字个人数据保护法》规则草案公众咨询的一部分。

上周发布的规则草案为同意管理者(帮助个人管理其数字同意的实体)建立了一个框架。然而,不愿透露姓名的行业高管强调了与该框架相关的运营和监管挑战。

“注册同意管理者面临严格的义务,如果不合规,可能会暂停或取消注册。这可能会带来运营不确定性并扼杀该行业的创新。”一家领先科技公司的高管表示。

根据 DPDP 法案,同意管理器是在数据保护委员会注册的实体,作为用户以透明、可访问和可互操作的方式提供、管理、审查和撤回同意的单一平台。

规则草案授权数据保护委员会在认为保护用户利益有必要时暂停或撤销同意管理器的注册。同意管理者必须满足严格的注册标准,包括总部位于印度、净资产至少达到 2 千万卢比,并实施强有力的安全措施以防止数据泄露。

大型科技公司也对针对重要数据受托人(收集和处理数据的实体)拟议的指南持谨慎态度。如果政府根据新成立的委员会的建议确定,规则草案禁止将特定个人或交通数据传输到印度境外。

“这种基于委员会的方法与《DPDP 法案》相冲突,该法案没有提及这样一个机构。它引入了不必要的官僚主义和监管过度,”一位高管指出。

但政府辩称,DPDP 法案第 16 条允许中心通过通知限制数据传输到特定国家或地区。然而,高管们认为,规则草案强加了额外的条件,超出了这一规定。

另一位高管表示:“如此广泛的自由裁量权造成了不可预测性,使企业的合规性面临挑战。”他指出,模糊的规则可能会导致执行不一致。

作为回应,政府为委员会框架辩护,强调其有必要解决特定部门的数据本地化需求。

电子和信息技术部长 Ashwini Vaishnaw 告诉 FE,“其目的不是破坏跨境数据流,而是为了满足特定部门的要求,其中本地化对于公民安全至关重要。”

他补充说:“选择性限制是全球最佳实践。委员会框架确保平衡监管,防止干扰,同时保障公民权利。”

DPDP 法案第 16 条规定,对数据传输的任何限制都必须符合提供更高级别数据保护的现有法律。政府保证这些规则是对该法案的补充,必须结合起来阅读才能获得全面的理解。

该委员会被设想为一个咨询机构,将评估各部门提出的本地化要求,并在发布建议之前与行业利益相关者进行接触。

尽管政府强调平衡和明确,但大型科技公司仍保持谨慎态度,寻求进一步对话,以确保规则草案促进创新,同时又不会造成过度的合规负担。