印度已经披露了其数据保护法律草案的更新版本,该草案如果获得通过,将使印度政府能够强迫公司向其提供匿名的个人数据。
一年多以前公布的法律草案最终将在周三早上由印度电子和信息技术部(MeitY)部长Shri Ravi Shankar Prasad提交印度议会。
最新版本的 《 2019年个人数据保护法案》 将允许政府指示公司交出匿名的公民个人数据和非个人数据。只要它符合公共利益,它还将赋予政府权力,无需同意即直接收集公民数据,并赋予其酌情权使实体或部门免于法律的任何部分。
Mozilla的国际公共政策负责人Jochai Ben-Avie在博客中说:“关键的是,最新的法案在授予政府处理和监视的例外方面是巨大的倒退。”
虽然法律草案设想使印度政府更容易访问公民数据,但它还试图对公司如何处理公民数据承担更多责任。
与欧洲的《通用数据保护条例》不同,该法案将要求公司获得收集印度公民个人数据的同意,同时还赋予公民要求删除,更正或更新其数据的权力。
它还将对收集儿童的个人数据设置限制,要求公司验证儿童的年龄并获得儿童父母或监护人的同意才能收集儿童的个人数据。
法案提出的另一条规则是,它希望“社交媒体中介人”实施一种机制,允许公民自愿提供其身份。根据该法案,任何自愿验证其社交媒体帐户的人都将获得可见的验证标记。如果要生效,社交媒体公司将需要在其平台的印度版本上添加新的验证功能。
该法案还进行了更新,以便重要的个人数据可以继续在印度存储,只要它继续存储在印度即可,这将使像亚马逊和谷歌这样的外国公司更容易访问印度的数据。
法案的原始草案[PDF]建议将所有数据的副本本地存储在印度服务器上,而关键数据本身只能在印度存储。发生这种立场变化的原因是,据报道,MeitY被许多美国公司的高级管理人员游说,例如Google和Facebook,以试图对该法案进行调整。
印度还提议建立一个新的实体,称为数据保护局(DPA),它将“促进数据保护的良好做法并促进合规性”。但是,与草案的原始草案相比,当前的草案认为任命DPA成员的人员范围有限。在最初的草案中,任命委员会由执行,司法和外部专业人士组成,而在当前版本中,任命委员会仅由执行人员选择。
该法案将在未来几周内在国会进行讨论。