考虑到将行业过渡到新法律框架的复杂性,政府实施《数字个人数据保护(DPDP)法案》的方法广泛反映了务实和平衡的战略。最值得称赞的措施之一是提供 45 天的公众咨询窗口。这一时间框架,加上圣诞节和新年假期后发布规则草案的决定,使主要利益相关者,特别是在此期间经常产能减少的全球科技公司,有足够的机会有意义地参与反馈过程。
政府对数据本地化的微妙立场是另一项明智的措施。政府指定的委员会不会实施全面限制,而是会按部门评估本地化要求,确保仅在绝对必要时才将关键个人数据保留在该国境内。这种选择性方法平衡了保护敏感信息的需求与全球企业的运营现实。例如,如果卫生部认为公民的健康记录不应该出境,那么该建议将在实施前经过磋商,以降低跨境数据流动中断的风险。
同样谨慎的是,该法案规定在处理儿童数据时须征得父母同意。通过要求数据受托人通过数字代币验证 18 岁以下未成年人的父母同意,政府解决了儿童在数字世界中面临的脆弱性。这种模式在保护儿童隐私和允许访问数字平台之间取得了平衡。这是澳大利亚限制性做法的更实际的替代方案,澳大利亚禁止达到一定年龄的儿童访问社交媒体。 DPDP 法案还纳入了确保透明度和问责制的机制。自愿披露数据泄露的规定可以激励组织主动报告事件,从而增强对数据保护生态系统的信任。同时,对违规行为的严厉处罚凸显了保护个人数据的严肃性。此外,应该给予企业两年的过渡期以遵守该法案,这反映了政府对确保顺利过渡到新框架的承诺。
电子和信息技术(IT)部长阿什维尼·维什纳夫(Ashwini Vaishnaw)过去曾澄清,DPDP法案遵循普塔斯瓦米判决所确立的原则,维护隐私和透明度之间的平衡。强制披露公务员信息的现行法律将不受影响,从而消除了人们对问责制减弱的担忧。事实上,通过促进与利益相关者的合作、优先考虑部门需求以及采取家长同意机制等实际措施,电子和信息技术部 (MeitY) 在确保强大的数据保护同时最大限度地减少对行业的干扰方面迈出了重要一步。
但也有另一面。指导方针保留广泛的自由裁量权会导致政策的不可预测性,为政府根据具体情况采取行动留下太多空间。这可能会阻碍合规工作,因为利益相关者会因规则不明确和执行不一致而苦苦挣扎。模糊性和潜在的法律挑战可能会使律师事务所受益,而企业和利益相关者则面临更高的合规成本和监管的不可预测性。此外,整个过程可能非常耗时,而数据保护已成为公民的迫切需求。总体而言,此类争论是不可避免且健康的,政府最好在与利益相关者进行广泛讨论后进一步微调新规则。毕竟,新规则将给印度看待和使用互联网的方式带来巨大变化,因此关系重大。