8月11日获得总统批准的《数字个人数据保护(DPDP)法案》提议,未经明确同意,收集和存储用户数据的公司和企业(被称为数据受托人)不得处理任何用户的个人数据。它要求他们明确说明收集数据的“目的”,并在撤销用户同意时删除信息。
提供学院 课程 网站高级数据科学经理访问印度商学院ISB专业 IIML金融科技,银行和应用风险管理执行计划访问
上述专家表示,通常情况下,提供多种服务的公司利用存储的数据交叉销售他们的其他产品和服务,现在他们非常担心,并寻求法律意见。
印度最大的连锁医院之一Narayana Health表示,目前的规定不允许医院删除患者记录。Narayana health的副主席维伦·谢蒂(Viren Shetty)表示,在新的隐私法中,有必要“分割健康数据”,并补充说,“治疗患者”需要这些信息。
这家总部位于班加罗尔的公司在印度拥有47家医疗中心。他告诉《经济时报》:“作为数据受托人,我们可以为健康数据做一个划分。”
他补充说:“就定义目的而言,这是不言自明的,我们征得患者的同意,我们将使用患者的数据来更好地治疗他们。”
不愿透露姓名的银行家表示,新法律可能会影响他们的业务,因为它限制了交叉销售的机会。根据2024年的DPDP法案,不允许使用这种类型的数据进行交叉推广。他们补充说,银行正在通过印度银行协会向政府提交反馈意见。“银行根据他们掌握的数据向客户进行了大量的交叉销售和追加销售,而这项新法律可能会限制这些机会。我们根本不可能在每次使用他们的数据时都征得客户的同意,”一家公共部门银行的一位执行董事表示。
它还可能阻碍银行向客户提供最合适的产品。他补充说:“制定这项法律的初衷应该是防止滥用和铺天盖地的促销活动,但事实可能证明这是有害的。”
联邦银行(Federal Bank)执行董事沙利尼?沃利尔(Shalini Warrier)表示,银行业需要评估并应对此次危机的影响。她说:“账户聚合器框架确实为我们这样的银行提供了以有效方式使用客户同意数据的能力,我们必须观察对该框架的影响,如果有的话。”
帐户聚合器允许在个人和金融机构之间共享数据。贷款人可以在向个人或实体提供贷款之前无缝地审查这些信息,而无需从各种来源获取大量文件。
法律专家认为,2024年DPDP法案在定义基于同意的数据处理方式方面存在空白。
律师事务所Panag & Babu的合伙人阿卡什?卡玛卡(Akash Karmakar)指出,只要没有明确的禁令,就允许使用个人数据。
他表示:“这自然会导致企业以广泛的方式起草条款,以避免不得不以扰乱商业的方式反复寻求同意。”
8月3日,民进党法案在国会提交。该法案于8月9日在联邦院获得通过,并于8月11日获得总统的批准。《2024年DPDP法》于同日在公报上公布。
△数字企业受到冲击:以应用程序为基础的企业,只有在用户注销账户之前,才能存储数据。或者,如果用户和平台之间没有后续交易或持续的商业关系。
Saraf & Partners合伙人阿克沙伊?S?南达(Akshayy S Nanda)表示:“但问题仍然是,受托人是否会被要求删除应用程序上特定交易/购买的数据,或者个人的所有个人数据,这实际上意味着关闭账户。”
一种合理的做法是,在注册时保留用户提供的基本个人数据,直到个人关闭账户。
这也可能因行业而异。例如,银行将要求用户同意在银行账户对账单或其他记录必须保存的法定期限内保持有效。
技术和数据隐私律师Falaq Patel表示,尽管行业正在等待有关数据保留期限的进一步指导,但值得注意的是,“DPDP法案的意图及其目的限制和知情、明确的同意条款是为了解决获得广泛同意的普遍做法。”
像NoBroker这样提供一系列服务的公司告诉《经济时报》,“因为我们是一个房地产平台,所以我们的目的将是出租、购买、清洁、粉刷以及所有这些服务。”
这个数字平台直接将业主与租客和买家联系起来,还有助于获得住房贷款和法律援助。
“如果一个金融科技应用程序将目的定义为一次UPI支付,它将如何运作?NoBroker的联合创始人阿希尔?古普塔(Akhil Gupta)表示:“目的应该是应用程序或业务所支持的任何内容。我们的律师正在研究需要做些什么。”
大多数数字公司都在等待DPDP法案出台的具体规定。古普塔说:“我们将遵守这些规定的指导。”
律师们还指出,如果用户不断被询问数据,他们会感到疲劳。
Desai & Diwanji律师事务所的高级合伙人Sumant Nayak表示:“为了防止数据主体(用户)在反复提供个人信息时感到疲劳,公司必须重新评估他们的产品和服务,他们应该考虑扩大个人数据处理的目的范围,以适应未来可能寻求额外服务的数据主体。”
社区管理应用程序MyGate在三年前获得了欧盟《通用数据保护条例》(GDPR)的认证。它的用户已经拥有被遗忘的权利,数据的收集只会有一个明确的目的,存储的时间只要满足目的,并定期删除。
“我们正在评估DPDP法案的影响。当法律生效时,我们非常有信心做好充分准备。”
电信公司等其他公司担心,新法律将限制数据的交叉使用,以推广相关实体的产品。电信高管们承认,需要对运营产生一些影响,并在申请许可的过程中进行一些微调。
律师事务所Bharucha and Partners的合伙人Kaushik Moitra告诉《经济时报》,一直强调明确数据收集的目的,而DPDPA已经巩固了这一立场。客户现在可以选择在撤回同意后要求删除数据,从而被遗忘。
“对于电信公司来说,这将限制数据的交叉使用,以推广相关实体的产品。如果他们打算这样做,他们需要特别告知用户。”
电信公司将不得不在人力和软件方面进行投资,尤其是在达到目的或撤销同意后删除个人数据的要求上,以确保合规。
“这也将使他们面临激怒客户的风险,因为每次使用收集的数据都可能导致新的弹出(免责声明),这可能导致用户离开页面/应用程序。”如果发生这种情况,收购成本可能会增加。