2025 年数字个人数据保护 (DPDP) 规则草案标志着印度建立强大的数据隐私和保护框架进程中的一个里程碑。然而,该草案未能理解它所针对的环境或利益相关者。因此,它将无法实现保护公民和数字实体或其隐私的基本目标。 DPDP 法案针对的实体是复杂的自适应平台,几乎所有流程都嵌入了人工智能 (AI)。期望这些实体遵守监管机构的静态法规或官僚标准是错误的。
这并不是政策制定者第一次犯这样的错误。深色图案指南也出现了类似的问题。公共政策创新中心(CIPP)警告说,这些指导方针在公布之日就会失败,因为它们没有考虑到数字平台绕过它们的能力。 DPDP 法案也遵循了同样的监管方法,该法案假定该政策将受到监管机构的监督,当我们发现该系统不起作用时,将进行罚款和处罚。违规行为是快速且适应性强的,并且除了违规行为之外很难检测和报告,因为报告的责任主要在于平台本身。
因此,方法本身必须改变。此外,必须在法规中定义保护。监管框架试图保护什么、免受谁的侵害以及为什么?对保护的解释仅限于外部滥用或数据泄露,不包括因囤积和垄断数据而产生的滥用。这种对数据滥用的有限定义似乎是由大型科技公司精心策划的,因为它们不想承认数据(例如公民数据)在维持滥用垄断方面的作用。例如,由于数据所有权与个人无关,公民的手机、电子邮件和网上会受到垃圾邮件、服务和轰炸,受到真实和欺诈信息的轰炸。发生这种情况是因为平台窃取了公民的个人数据并将其据为己有。例如,搜索引擎将您的搜索记录作为其数据,并使用它来创建您的心理概况,然后将其用于为您提供搜索广告服务。如果公民使用公共电子邮件引擎,也会对电子邮件执行此操作;每条消息都会被读取和存储,如果想要转移,则不容易携带。这是严重侵犯隐私的行为,但 DPDP 法案并未涵盖,因为数据所有权没有从个人角度明确定义。
对于在法律上是个人的公司来说,这个定义变得更加重要。现在,电子商务引擎上的卖家无法访问其买家。因此,它永远无法完全定义其买家的概况。电子商务实体拥有完美的消费者档案,并利用它推出与卖家定价相匹配的白标品牌,以更好地瞄准相同的消费者,从而利用其数据破坏卖家的业务。草案中没有对平台的这种数据滥用行为进行定义。
这个重要的定义是工商部多次指出的。政府甚至创建了数字商务开放网络(ONDC),以确保卖家对数据和可移植性有一定的控制权。但 DPDP 法案忽视了 ONDC 作为一个平台或其在保护电子商务平台上消费者和卖家数据隐私方面的作用。
同样,DPDP 草案忽视了中央消费者保护局 (CCPA) 为遏制平台不当销售和滥用以强制购买决定而做出的努力。这些做法被称为“暗模式”,政府已发布指导方针,要求平台避免此类行为。但由于 CCPA 没有明确规定处罚或罚款,这些平台忽视了这些准则。而且,暗模式的根源在于消费者产生的数据。 CCPA 无法触及数据,因为 DPDP 法正在定义数据。但 DPDP 法案甚至没有提及滥用数据来创建暗图案;草案也没有提及公民的数据主权。
非企业算法在数据的使用和滥用中扮演什么角色是 DPDP 法案未涵盖的另一个方面。最大的人工智能引擎位于一个外国平台,该平台通过互联网抓取数据,现在正在全球范围内滥用这些数据。有许多这样的人工智能平台正在从互联网、用户数据和创意输出中获取数据。 DPDP法案会忽视这一点吗?
还必须定义个人和私人数据的可移植性——没有它,就没有隐私,也没有选择。作为一个概念,它已在多项政策中得到解决,包括将号码可携性定义为消费者选择的电信政策。 DPDP 法案没有定义或解决数据可移植性,因此忽略了数据受托人的关键作用——以可移植的格式和过程存储数据。
除了同意和安全之外,草案还需要定义个人对其数据的权利。用户如何将数据从一个电子商务平台转移到另一个电子商务平台?平台会允许这种行为还是会囤积这种行为,从而阻止新玩家的进入?这是最关键的问题,在DPDP法案草案中也没有得到解答。 CIPP 一直倡导个人数据主权,而该法案是对其进行定义的完美场所。
作者是公共政策创新中心创始人。
