TRAI建议: 隐私规则应适用于 “数字生态系统中的所有实体”

印度电信监管局 (Trai) 周一建议，适用于电信服务提供商的当前隐私规则也应适用于 “数字生态系统中的所有实体”，直到即将颁布的通用数据保护法。

监管机构表示，现有的数据保护法规对政府对数据的使用进行了充分的监管，并且在同意，隐私，访问和更正的基础上对个人信息进行了充分的保护。

报告说: “因此，对数字生态系统中所有参与者的数据保护框架的需求是紧迫和不可避免的…… (T) 数据保护框架应同样适用于政府和私人实体。”

一位了解起草过程的人士告诉《印度快报》，该文件可以看作是对电子与信息技术部 (MEITY) 委员会的投入，该委员会计划在不久的将来发布数据保护法草案。

根据报告，实体包括电信服务提供商 (tsp); 移动手机、平板电脑和计算机等设备; 浏览器; 操作系统; 通信网络; 机器对机器 (M2M) 设备; 顶部 (OTT) 服务提供商; 和应用程序。

该报告指出，数据主体应拥有自己的数据，而该数据的控制者和处理者仅是 “对该数据的主要权利 (没有) 保管人”。用户应保留选择权 (选择退出)，通知 (有关数据收集目的和分发的信息)，同意，数据可移植性 (在服务之间传输数据) 以及被遗忘的权利 (删除有关自己的信息)。

在今年早些时候的一次想法交流互动中，Trai主席R S Sharma曾表示: “对我来说，数据隐私意味着一个人可以控制自己的数据…… 我认为，如果我们能够清楚“ 所有权 ”的概念，并清楚数据的隐私和安全标准，我们将解决问题。报告称，数据控制器和处理器应禁止使用元数据 (有关数据的更高级别的信息) 来识别用户，允许用户删除预先安装的应用程序，应用 “设计隐私”，最大限度地减少数据收集，并且不使用 “预先勾选” 同意框。

关于数据本地化，Trai表示，政府应仅将数据传输给与印度有司法互助条约 (MLAT) 协议且有适当隐私和安全法规的国家。

Trai表示，政府还应根据具体情况区分应存储在印度数据服务器中的关键和敏感数据 (分别与国家安全和医疗保健有关)。“与其限制跨境数据流动，政府应该对其进行监管。”

Trai还提议发展印度的数据分析部门，以促进本地数据处理。

该报告还提到了MEITY的电子同意框架，该框架涉及一种称为 “数据授权保护体系结构” 的数据共享体系结构。报告建议为电信行业开发类似的架构。

对于审计机制，该报告提出了一种人力和技术混合方法，如欧洲联盟的《一般数据保护条例》所示，但没有提出进一步的具体审计建议。

监管机构建议使用一个通用平台，该平台汇总数字生态系统中所有实体的所有数据安全漏洞。它还建议引入消费者意识方案。

报告建议保留 “个人数据” 的当前定义 (如2011年 “敏感个人数据和信息” (SpDI) 规则所描述的)，因为它们符合国际规范。