Индии Data Privacy Революция и что она значит для вас

Об этом эпизоде

Какой момент стал самым значимым? data privacy Входит ли это в национальную повестку дня Индии?

Поворотным моментом стало решение Верховного суда 2017 года по делу «Судья Путтасвами против Союза Индии», в котором право на неприкосновенность частной жизни было признано основополагающим правом. Хотя индийская технологическая индустрия еще с 2005 года стремилась соответствовать европейской директиве о защите данных, решение 2017 года заложило конституционную основу для дальнейшего развития сообщества защитников конфиденциальности, положив начало многолетним обсуждениям, которые в конечном итоге привели к принятию Закона о защите конфиденциальности и защите персональных данных (DPDP Act).

Как искусственный интеллект изменил дискуссии в залах заседаний совета директоров по вопросам... data privacy?

Вопросы защиты конфиденциальности уже постепенно поднимались по корпоративной лестнице, но сочетание искусственного интеллекта с системой подотчетности Закона о защите данных значительно ускорило этот процесс. Ключевые обязательства, такие как назначение сотрудника по защите данных, проведение оценок воздействия на защиту данных (DPIA) и прохождение независимых аудитов, сделали защиту конфиденциальности темой обсуждения на уровне совета директоров. Теперь советы директоров смотрят не только на соблюдение нормативных требований: защита конфиденциальности все чаще рассматривается как мера по укреплению доверия, сигнал клиентам о том, что организация серьезно относится к их правам.

Должна ли защита конфиденциальности быть частью функций обеспечения безопасности, или ей необходимо собственное место за столом переговоров?

Ожидается, что сфера защиты конфиденциальности будет развиваться по аналогичной траектории, как и сфера безопасности, которая прошла путь от подчинения директору по информационным технологиям до превращения в независимую функцию директора по информационной безопасности с представительством в совете директоров. В краткосрочной перспективе многие организации будут размещать функции защиты конфиденциальности в рамках службы безопасности. В среднесрочной и долгосрочной перспективе оптимальным направлением станет создание специализированной функции защиты конфиденциальности со своим собственным комитетом при совете директоров. Ключевой принцип, заимствованный из GDPR, заключается в отсутствии конфликта интересов; сотрудник, ответственный за защиту данных, должен быть независимым.

Когда начнет работу Совет по защите данных?

Объявление может прозвучать в любой момент — подготовка уже ведётся, включая создание цифровой платформы, через которую жители будут подавать жалобы, а предприятия — отвечать. Совет будет функционировать как в качестве органа, контролирующего соблюдение закона (обеспечивая его строгое исполнение), так и в качестве посредника (выпуская руководящие принципы, шаблоны и форумы). Цель — внедрение и укрепление доверия, а не просто наказание за несоблюдение.

Управление согласием звучит сложно — что это на самом деле означает для бизнеса и пользователей?

В отличие от GDPR, который предлагает несколько законных оснований для обработки персональных данных, индийский закон о защите персональных данных в значительной степени основан на согласии. Существует четыре ключевые проблемы:
(1) Строгое определение действительного согласия: оно должно быть свободным, конкретным, недвусмысленным и безусловным.
(2) Риск усталости от согласия, когда пользователи привычно нажимают «да», не читая.
(3) Обязанность соблюдать отзыв согласия, что требует существенной реорганизации процесса.
(4) Архитектурные изменения — предприятиям необходимо интегрировать менеджер согласия в свои существующие системы, а не просто добавить флажок. Быстрая демократизация UPI является полезной аналогией для того, как платформы управления согласием могут масштабироваться по всей Индии.

Как индийским организациям следует согласовывать разработку искусственного интеллекта и программы магистратуры в области права с... data privacy обязательства?

Большая часть данных, используемых для обучения крупных моделей, добровольно размещалась на общедоступных платформах: в социальных сетях, на форумах и т.д., что затрудняет их повторное использование. Инициатива ЕС «Цифровой омнибус» является примером попыток сбалансировать инновации с защитой личности. Чрезмерное регулирование ИИ на раннем этапе чрезмеренно и рискует упустить инновационный импульс, особенно учитывая, что технология развивается еженедельно. Существуют защитные механизмы и механизмы управления на уровне предприятий, но для отдельного человека наиболее практичной первой линией защиты является внимательное отношение к тому, чем он делится в открытом доступе.

Какова позиция Индии в отношении локализации данных и как она взаимодействует с Законом о защите данных и локализации (DPDP Act)?

Индия придерживается прагматичного подхода, основанного на включении данных в «негативный список», а не модели всеобщей оценки адекватности, как в ЕС. Контекст имеет значение: Индия является одним из крупнейших в мире предприятий по обработке данных, поэтому чрезмерно ограничительные правила трансграничной передачи данных будут иметь серьезные экономические последствия. Тем не менее, критически важные данные — финансовые, медицинские, данные важнейшей национальной инфраструктуры — скорее всего, потребуют локального хранения в соответствии с существующим мандатом Резервного банка Индии. Там, где другой отраслевой закон требует более высокой защиты, Закон о защите данных и защите информации (DPDP Act) предоставляет такую ​​защиту.

Какой из рисков для конфиденциальности, который организации сейчас упускают из виду, недооценивается?

Три вида усталости угрожают подорвать всю экосистему: усталость от согласия (пользователи автоматически одобряют уведомления), усталость от уведомлений и усталость от уведомлений о нарушениях. Поскольку Закон о защите данных в настоящее время не классифицирует нарушения по уровню риска, каждый инцидент — независимо от его незначительности — должен быть сообщен в Совет по защите данных и пострадавшим лицам, при этом за несоблюдение этого требования предусмотрены штрафы в размере до 200 крор рупий. Это может привести к тому, что пользователи будут завалены уведомлениями, из-за чего они пропустят те, которые действительно требуют действий, таких как изменение учетных данных или удаление файла.

Почему обнаружение и классификация данных имеют решающее значение в первую очередь?

Невозможно защитить то, о чем вы не знаете. Тщательный анализ данных является обязательным условием — еще до создания реестра операций обработки данных (ROPA). Это означает сканирование конечных точек, коммерческих готовых платформ (SAP, Oracle), пользовательских баз данных и периферийных устройств. Современные инструменты на основе искусственного интеллекта могут идентифицировать конфиденциальные данные, такие как номера Aadhaar и PAN, с помощью распознавания образов. Крайне важно периодически повторять эту процедуру: теневые проекты и незарегистрированные серверы могут незаметно накапливать персональные данные без ведома сотрудника по защите данных.

Как на самом деле выглядит отличный специалист по защите данных (DPO) и как организациям следует создавать команду по обеспечению конфиденциальности?

Роль специалиста по защите данных находится на стыке права, технологий, бизнес-процессов и взаимодействия с заинтересованными сторонами. Она включает в себя взаимодействие с Советом по защите данных, рассмотрение жалоб клиентов, консультирование совета директоров и тщательный анализ каждого собранного поля данных. Для начинающих специалистов по защите конфиденциальности: если у вас техническое образование, инвестируйте в понимание законодательства и бизнес-процессов; если у вас юридическое образование, развивайте подлинную технологическую грамотность, понимайте, что делает искусственный интеллект и что подразумевает квантовые вычисления. Чемпионов в области защиты конфиденциальности можно выявлять внутри бизнес-подразделений и развивать со временем.

Как будет выглядеть успех на пути Индии к реализации Программы развития сельских районов к 2030 году?

Настоящий успех означает привлечение к участию неорганизованных, менее регулируемых секторов, местных сетей предприятий общественного питания, небольших клиник и региональных переработчиков, а не только крупных, глобально ориентированных организаций, которые уже хорошо подготовлены. Это также означает сокращение цифрового разрыва, чтобы права на неприкосновенность частной жизни были доступны каждому жителю, а не только тем, кто владеет цифровыми технологиями. Инициативы на низовом уровне, такие как создание групп по защите конфиденциальности, объединяющих больницы из отдаленных регионов, за которыми следуют постоянно действующие клиники по защите конфиденциальности, являются ранними показателями того, как выглядит успешная реализация DPDP в масштабах всего мира.

Что должен сказать каждый человек, смотрящий это? Data Privacy Занятия по программе DPDPA начнутся на следующей неделе?

Четыре пункта плана действий:
(1) Ознакомьтесь с законом, как профессионал предприятия, понимая свои обязанности, и как резидент, зная свои права.
(2) Оцените, на каком этапе внедрения находится ваша организация в настоящее время.
(3) Обратитесь за помощью, чтобы Seqrite если вы застряли или начинаете с нуля.
(4) Если вы столкнетесь с реальной проблемой внедрения, сообщите об этом в DSCI, чтобы ее можно было передать на рассмотрение и решить на отраслевом уровне, а не только в вашей организации.