总部位于美国的技术和金融服务公司,包括OpenAI,Microsoft,MasterCard,Visa,Netflix,Adobe,Zoom和IBM,敦促政府重新考虑其在某些情况下在某些情况下在实施数字个人数据保护(DPDP)法规中对数据定位的可能性。
这些公司通过其行业协会 – 业务软件联盟(BSA)和全球数据联盟(GDA)呼吁制定更清晰的数据传输指南,特别敦促政府指定哪些国家受到数据传输的限制,而不是实施广泛的本地化措施。
提交有关DPDP规则草案的评论的截止日期于周三结束。这些公司在提交给电子和信息技术部(MEITH)的意见书中强调,拟议的本地化授权可能会破坏全球数据流,阻碍创新并增加不必要的合规成本,这与DPDP ACT促进跨境协作的目标相矛盾。
两家公司表示,这些规则使政府有权对某些类别的个人数据进行分类,这些数据重要数据受托人(SDF)无法在印度以外转移。他们说,这将导致全球数据流,更高的成本和监管不确定性,而无需增强数据保护。
“规则使政府有权指定SDF不能在印度以外转移的个人数据类别。这种选择性数据定位衡量碎片全球数据传输,扼杀创新,并对企业施加不必要的成本,而不会增强数据保护或安全目标。
全球数据联盟执行董事约瑟夫·惠特洛克(Joseph P Whitlock)指出,确定此类个人数据类别的标准尚不清楚。
根据规则草案的规则14,公司必须遵守中央政府对向外国或其实体提供个人数据的任何要求。两家公司强烈建议对第14条进行删除或至少修改以引入“黑名单方法” – 除非明确限于提出安全风险的特定国家,否则将数据传输推定为允许。
这些公司表示:“我们强烈建议删除规则14。该规则似乎与DPDP法案不一致,该法案假定可以在印度以外传输个人数据,除非政府将转让给特定的国家或地区。”他们补充说,如果该规则保留,则应对其进行修改,以允许根据定义明确的合同和法律数据保护要求进行转移。
政策咨询公司印度治理和政策项目(IGAP)还说,规则14应明确区分“转让条件”和“限制转移”,以确保在不产生不适当负担的情况下可执行。
这些公司还敦促政府对将实体归类为重要的数据受托人(SDF)的标准和过程清楚。他们说,缺乏明确的准则可能会导致任意分类和合规性挑战。
此外,他们呼吁提出报告数据泄露的门槛。目前,规则草案要求公司立即通知数据保护委员会,并在72小时内提交详细报告。两家公司提议对此进行修改,以确保只需要向个人带来重大风险的违规行为。
“我们建议设置一个仅需要通知违规行为的门槛,这些违规行为可能会对数据主管造成重大损害。当个人数据无法使用,无法理解或由于加密或其他安全措施而难以理解时,无需通知。” BSA说。
两家公司还反对对18岁以下个人的父母同意要求,认为它与其他国际数据保护框架发生了冲突。他们建议将父母同意限制在13岁以下的儿童中,并仅适用于处理青少年高风险数据的数据信托机构的更严格的同意规则。
此外,他们还寻求为期两年的时间表来遵守《 DPDP法》,从而使企业有足够的时间来实施必要的措施。
另一条有争议的规定是规则22,该规则授予政府权力在某些情况下(例如国家安全)访问数据受托人或中介机构的用户信息。两家公司已敦促政府删除该规则,或者至少修改它,以澄清应将此类数据请求定向到数据受托人,而不是代表其处理数据的中介机构或处理器处理数据。
政府坚持认为,其数据本地化方法将是特定于部门的,只有在必要时施加限制。电子和IT部长Ashwini Vaishnaw在较早的互动中告诉FE,意图不是破坏跨境数据流,而是要确保在公民安全需要的地方进行本地化。
