Chính phủ Ấn Độ hôm thứ Sáu đã công bố một phiên bản dự thảo của quy định bảo vệ dữ liệu được chờ đợi nhiều, đây là nỗ lực thứ tư kể từ lần đầu tiên được đề xuất vào tháng 7 năm 2018.
Dự luật bảo vệ dữ liệu cá nhân kỹ thuật số, năm 2022, như tên gọi của nó, nhằm mục đích bảo mật dữ liệu cá nhân, đồng thời tìm kiếm sự đồng ý của người dùng theo những gì dự thảo tuyên bố là “ngôn ngữ rõ ràng và dễ hiểu” mô tả các loại thông tin chính xác sẽ được thu thập và để làm gì mục đích.
Dự thảo được mở để lấy ý kiến cộng đồng cho đến ngày 17 tháng 12 năm 2022.
Ấn Độ có hơn 760 triệu người dùng internet đang hoạt động, đòi hỏi dữ liệu được tạo và sử dụng bởi các nền tảng trực tuyến phải tuân theo các quy tắc về quyền riêng tư để ngăn chặn lạm dụng cũng như tăng cường trách nhiệm giải trình và lòng tin.
Chính phủ cho biết: “Dự luật sẽ thiết lập khung pháp lý toàn diện quản lý việc bảo vệ dữ liệu cá nhân kỹ thuật số ở Ấn Độ”. “Dự luật quy định việc xử lý dữ liệu cá nhân kỹ thuật số theo cách công nhận quyền của các cá nhân trong việc bảo vệ dữ liệu cá nhân của họ, quyền xã hội và nhu cầu xử lý dữ liệu cá nhân cho các mục đích hợp pháp.”
Luật pháp, ở dạng hiện tại, yêu cầu các công ty (ví dụ: bộ xử lý dữ liệu) tuân theo các biện pháp bảo vệ an ninh đầy đủ để bảo vệ thông tin người dùng, cảnh báo người dùng trong trường hợp vi phạm dữ liệu và ngừng lưu giữ dữ liệu của người dùng nếu các cá nhân chọn xóa tài khoản của họ.
“Việc lưu trữ nên được giới hạn trong khoảng thời gian cần thiết cho
đã nêu rõ mục đích mà dữ liệu cá nhân được thu thập,” một ghi chú giải thích do Bộ Điện tử và công nghệ Thông tin Ấn Độ (MeitY) đưa ra.
Việc không thực hiện các bước để ngăn chặn vi phạm dữ liệu có thể khiến các công ty phải chịu hình phạt tài chính lên tới 250 lõi rupee (30,6 triệu đô la). Việc các thực thể không thông báo cho người dùng về hành vi vi phạm cũng vậy, khiến tổng số tiền phạt lên tới ₹500 crores (61,3 triệu USD).
Về phần mình, người dùng dịch vụ internet có thể yêu cầu các công ty chia sẻ các loại dữ liệu cá nhân đã được cung cấp cho các bên thứ ba khác, chưa kể yêu cầu xóa hoặc cập nhật dữ liệu của họ trong trường hợp thông tin đó được coi là “không chính xác”. hoặc lừa dối.”
Hơn nữa, dự thảo áp đặt các yêu cầu giảm thiểu dữ liệu cũng như các công ty bảo vệ bổ sung phải áp dụng để ngăn chặn việc thu thập hoặc xử lý trái phép dữ liệu cá nhân.
Điều đáng chú ý là luật không còn bắt buộc nội địa hóa dữ liệu, cho phép các đại gia công nghệ chuyển dữ liệu cá nhân ra ngoài biên giới địa lý Ấn Độ đến các quốc gia và vùng lãnh thổ cụ thể.
Cuối cùng, biện pháp mới tìm cách thành lập Ban Bảo vệ Dữ liệu, một cơ quan do chính phủ chỉ định sẽ giám sát cốt lõi của các nỗ lực tuân thủ.
Điều đó nói rằng, chính phủ trung ương (còn gọi là liên bang) được miễn trừ khỏi các điều khoản của đạo luật “vì lợi ích chủ quyền và toàn vẹn của Ấn Độ, an ninh của Nhà nước, quan hệ hữu nghị với các quốc gia nước ngoài, duy trì trật tự công cộng hoặc ngăn chặn sự kích động đối với bất kỳ điều gì có thể nhận thức được”. vi phạm liên quan đến bất kỳ trong số này.”
Những điều khoản mơ hồ này, trong trường hợp không có bất kỳ cơ chế bảo vệ dữ liệu nào, có thể trao cho chính phủ quyền hạn rộng rãi và tạo điều kiện hiệu quả cho việc giám sát hàng loạt.
Tổ chức Tự do Internet (IFF) cho biết: “Điều này sẽ cung cấp cho các công cụ của chính phủ được thông báo quyền miễn trừ khỏi việc áp dụng luật, điều này có thể dẫn đến vi phạm nghiêm trọng quyền riêng tư của công dân”. “Điều này là do các tiêu chuẩn này quá mơ hồ và rộng, do đó dễ bị hiểu sai và sử dụng sai.”
Diễn biến mới nhất được đưa ra sau khi phiên bản trước của luật, được đưa ra vào tháng 12 năm 2021, đã bị hủy bỏ vào tháng 8 năm 2022 sau hàng chục sửa đổi và khuyến nghị.
Luật bảo vệ dữ liệu đã được thực hiện từ năm 2017, khi Tòa án Tối cao nhất trí tái khẳng định quyền riêng tư là quyền cơ bản theo Hiến pháp Ấn Độ, một phán quyết mang tính bước ngoặt đã được thông qua sau đơn thỉnh cầu của Thẩm phán Tòa án Tối cao đã nghỉ hưu KS Puttaswamy vào năm 2012 .
