В Индии представлен новый законопроект о защите ПД ― еще один аналог GDPR?

В нашем блоге мы уже писали про GDPR, его «жертвах» и о ситуации с ужесточением регулирования ИТ-сектора в целом. В этом материале поговорим о защите ПД в Индии.

В частности, речь пойдет о новом законопроекте, представленном в конце июля этого года.

Рассмотрим его основные положения и расскажем о критике в сообществе.

w3xakdibgxhp9gkwoacgszmuzkk.jpeg
/ фото ruben alexander CC

Ключевые положения


Разработка законопроекта о защите ПД (Personal Data Protection Bill, 2018) велась почти год членами Комитета юстиции им. Шрикришны (Justice Srikrishna Committee). Документ составлялся с учетом особенностей регулирования ИТ в Индии, но был привнесен и зарубежный опыт. Потому те, кто ознакомился с документом, сразу же отметили, что он во многом напоминает GDPR.

Рассмотрим ключевые положения, прописанные в документе:

Граждане получат больший контроль над ПД


Владельцев персональных в документе называют Data Principal (а не Data Subject как в GDPR). И они обладают следующими правами (страница 14, глава 6):

  • право знать, обрабатывает ли оператор те или иные ПД;
  • право на изменение данных, если они некорректны или устарели;
  • право требовать предоставить свои данные в электронном формате;
  • право на забвение/ограничение публичности или прекращение использования ПД.


Стоит отметить, что в Комитете позаботились и о детях: защите их данных посвящена отдельная глава, где прописаны обязанности операторов ПД (страница 13, глава 5). Например, там указано, что оператор обязан организовать механизмы проверки возраста, а также ограничить отслеживание поведения и показ таргетированной рекламы на сайте.

Новые требования для операторов ПД


Всех, кто собирает и обрабатывает персональные данные жителей Индии, в тексте документа называют Data Fiduciary ― лицо, которому доверили данные (юристы называют его «фидуциар» или «фидуциарий»: он несет ответственность за имущество другого лица ― в этом случае имуществом выступают данные субъекта).

И к ним предъявляется ряд требований при обработке ПД (страница 17, глава 7). Например, они обязаны соблюдать концепцию Privacy by Design. Это значит, что все применяемые технологии, политики безопасности и управления бизнесом должны быть «заточены» под сохранение неприкосновенности ПД и предотвращение возможных неприятных последствий для их владельцев (к примеру, утечек данных).

Кроме того, фидуциары обязаны назначить должностное лицо по защите данных (DPO) в своей компании, хранить сведения обо всех операциях с ПД, а также проходить аудит и уведомлять об утечках данных в сроки, установленные специальным надзорным органом.

К слову, о надзорных органах


Для контроля за соблюдением закона в стране будет создан орган ― Data Protection Authority of India (DPA). Размеры штрафов за несоблюдение требований закона примерно равны тем, что предусматривает европейское законодательство. Например, операторам ПД грозит взыскание до 2 млн долларов (или 4% от годового оборота) за допущение взлома БД.

При этом в статье 10 (страница 29 документа) сказано, что членами DPA должны быть люди со стажем более десять лет в области защиты данных и смежных сферах. Поэтому можно предположить, что должности займут люди с глубокими техническими знаниями и пониманием принципов работы технологий.

Копии ПД нужно будет хранить на серверах в Индии


Об этом говорится в статье 8 (страница 23). Всё дело в политике «киберсуверенитета», которой решили следовать власти. Законопроект запрещает компаниям перемещать данные за пределы страны, если не получены разрешения от субъекта ПД, DPA или государства и не соблюдены другие тонкости. Потенциально это требование может создать дополнительные сложности как для местных компаний, так и для иностранных облачных провайдеров.

ПД можно безоговорочно хранить за границей только при возникновении чрезвычайных ситуаций (состояние здоровья владельца ПД, угроза его жизни и др., когда действовать нужно оперативно).

Как приняли законопроект


Вместе с проектом закона Комитет юстиции им. Шрикришны предоставил обоснование всех положений и свои рекомендации по защите ПД в стране. Авторы поясняют, что при разработке документа использовали концепцию треугольника, вершина которого ― интересы граждан Индии, а основания ― интересы бизнеса и государства. Этим они, вероятно, хотят подчеркнуть, что в законопроекте учитываются права всех, кого он коснется.

Однако не все «вершины треугольника» с ними согласны. Ряд положений законопроекта подверглись критике.

Председатель Mozilla Foundation Митчелл Бейкер (Mitchell Baker) выразила свои опасения по поводу исключений для государства, упомянутых в документе (глава 9) — причины и задачи обработки ПД силами государственных структур (например, архивирование или статистический анализ) прописаны нечетко.

Серьезной критике подвергся запрет на проведение исследований по «реидентификации», когда по обезличенным данным определяют личность их владельца. Такие исследования помогают совершенствовать технологии защиты ПД и предоставляют статистику по утечкам или уровню безопасности данных в той или иной компании.

По тексту нового законопроекта, проводить такие тесты теперь можно только с согласия оператора ПД (в противном случае положен штраф в 3 тыс. долларов). Это должно помочь избежать возможных «сливов» баз данных с ПД жителей Индии. С другой стороны, ИБ-специалисты подчеркивают, что запрет на проведение реидентификации не решает проблемы.

Все это может привести к тому, что компании, обрабатывающие персональные данные, будут отказаться от проведения тестов, если не уверены в «качестве» выполняемой ими деанонимизации. При взломе систем таких компаний хакерами (которым, очевидно, не требуется разрешения на взлом), последствия могут быть серьезными.

Например, 2017 году в Великобритании тоже предлагали запретить исследования по реидентификации, но вовремя одумались из соображений безопасности.

Что дальше


Новому законопроекту нужно пройти ряд инстанций: от Министерства ИТ и связи до верхней палаты Парламента Индии Раджья сабха и получить их одобрение. Есть вероятность, что из-за критики в текущем виде он не будет принят, потому сроки вступления в силу пока остаются под вопросом.
P.S. Что еще у нас есть по теме в IaaS-блоге:

© Habrahabr.ru