印度政府11月18日发布了《2022年个人数据保护法案》草案,自2018年7月首次提出以来,这是印度政府第四次修改该草案。

《2022年个人数据保护法案》草案旨在确保个人数据的安全,在用户同意的情况下,表明收集信息的目的并确切分类。该草案将在2022年12月17日之前公开征求公众意见。

印度有超过7.6亿活跃的互联网用户,这就要求在线平台产生和使用的数据必须遵守隐私规则,以防止滥用,同时要加强问责,提高用户信任度。

印政府表示:"该法案会是全面管理印度个人数据保护的法律框架。"该法案规定了个人数据的处理方式,承认用户保护其个人数据及合法处理个人数据的权力。目前的立法要求公司(即数据处理者)遵循足够的安全保障措施来保护用户信息,在发生数据泄露时提醒用户,并在个人选择删除账户时停止保留用户数据。

在印度电子和信息技术部(MeitY)发布的一份解释性说明中提到:"存储时间仅限于收集个人数据所必需的时间"。因没有采取措施导致数据泄露,公司将被处以高达250亿英镑(3060万美元)的罚款。未能即时通知用户数据泄露情况的,也将总罚款额提高到500亿英镑(6130万美元)。

此外,该草案还规定了数据最小化的要求,以及公司必须采取的额外防护措施,以防止未经授权收集或处理个人数据。同样值得注意的是,该立法不再强制要求数据本地化,允许科技巨头将个人数据从印度转移到特定国家和地区

最后,通过该法案将建立一个数据保护委员会,这是一个政府任命的机构,将监督合规工作的核心。也就是说,为了印度的主权和完整、国家安全、与外国的友好关系、维护公共秩序或防止煽动任何可识别的行为,中央(又名联邦政府)政府不受该法案的规定约束。

在缺乏任何数据保护机制的情况下,这些模糊的条款可能赋予政府广泛的权力,并有效地促进大规模监控。互联网自由基金会 (IFF) 表示:在政府机构不受该法案规定的情况下,可能会导致对公民隐私的巨大侵犯。因为这些标准过

于模糊和宽泛,因此很容易被误解和滥用。

参考来源:

https://thehackernews.com/2022/11/indian-government-publishes-draft-of.html

声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。