美国公司敦促跨境数据流动 敦促政府公布受限制国家的名称

快速阅读: 据《财经快报》最新报道，多家美国科技和金融服务公司，包括OpenAI、微软、万事达卡等，通过BSA和GDA呼吁印度政府重新评估《数字个人数据保护法》草案中的数据本地化规定。这些公司认为，拟议规定会扰乱数据流动、阻碍创新并增加合规成本。他们要求政府提供更清晰的数据传输指南，删除或修改第14条规则，并给予两年的合规期限。

美国科技和金融服务公司，包括开放人工智能（OpenAI）、微软（Microsoft）、万事达卡（Mastercard）、维萨卡（Visa）、奈飞（Netflix）、奥多比（Adobe）、Zoom和IBM，已敦促政府重新评估其在实施《数字个人数据保护法》(DPDP)草案规则中关于某些情况下数据本地化的立场。这些公司通过其行业协会——商业软件联盟（BSA）和全球数据联盟（GDA）——呼吁提供更清晰的数据传输指南，特别敦促政府明确哪些国家禁止数据传输，而不是采取广泛的数据本地化措施。提交对DPDP法规草案意见的截止日期已结束。在向电子信息技术部（MeitY）提交的意见中，这些公司强调，拟议的数据本地化规定可能会扰乱全球数据流动，阻碍创新，并增加不必要的合规成本，这与DPDP法案促进跨境合作的目标相悖。这些公司表示，该规则赋予政府将某些类别的个人数据分类为重要数据受托人（SDF）不能转移到印度境外的权利。他们认为，这将导致全球数据流动碎片化、成本增加和监管不确定性，而不一定能提升数据保护。“该规则赋予政府指定重要数据受托人必须不在印度境外转移的个人数据类别的权力。这种选择性的数据本地化措施会分割全球数据流动，抑制创新，并对企业施加不必要的成本，而不会增强数据保护或安全目标。”商业软件联盟印度区经理文卡特什·克里斯塔穆尔蒂（Venkatesh Krishnamoorthy）在提交给MeitY的反馈中表示。全球数据联盟执行董事约瑟夫·P·惠特洛克（Joseph P Whitlock）指出，确定此类个人数据类别的标准仍然不明确。根据草案第14条规则，公司必须遵守中央政府设定的任何要求，使个人数据可供外国政府及其实体使用。公司强烈建议删除或至少修改第14条规则，引入“黑名单方法”——即除非明确规定禁止向存在安全风险的特定国家转移数据，否则数据转移视为允许。“我们强烈建议删除第14条规则。该规则似乎与DPDP法案不符，后者假设个人数据可以转移到印度境外，除非政府限制向特定国家或地区转移。”公司表示。他们补充说，如果该规则保留，应修订以允许在明确界定的合同和法律数据保护要求下进行转移。印度治理与政策项目（IGAP），一家政策咨询机构也表示，第14条规则应明确区分“数据转移条件”和“限制数据转移”，以确保可执行性而不造成不必要的负担。公司还敦促政府提供明确的准则和流程来确定一个实体是否属于重要数据受托人（SDF）。缺乏明确指导可能导致任意分类和合规挑战。此外，他们呼吁设定数据泄露报告的门槛。目前，草案要求公司在72小时内立即通知数据保护委员会并提交详细报告。公司提议修订此规定，确保仅报告可能对个人造成重大风险的泄露事件。“我们建议设定一个门槛，只有合理可能造成重大损害的泄露事件才需要通知。当个人数据因加密或其他安全措施而无法被使用、阅读或解读时，无需通知。”BSA表示。公司还反对18岁以下个人的父母同意要求，认为这与其他国际数据保护框架冲突。他们建议将父母同意限制在13岁以下儿童，并对处理高风险数据的青少年数据受托人实施更严格的同意规则。此外，他们寻求两年的合规时间表，以便企业有足够的时间实施必要的措施。另一项争议条款是第22条规则，该规则授予政府在特定情况（如国家安全）下从数据受托人或中介获取用户信息的权力。公司敦促政府删除此规则或至少修改它，明确此类数据请求应直接针对数据受托人而非代表其处理数据的中介或处理器。政府坚持其数据本地化的做法将是行业特定的，在必要时才会实施限制。电子和IT部长阿什温·瓦什瑙（Ashwini Vaishnaw）曾告诉Fe，在之前的互动中表示，其意图不是破坏跨境数据流动，而是确保在公民安全所需的情况下实现本地化。

(以上内容均由Ai生成)