Sau khi Tòa án Tối cao Ấn Độ tuyên bố quyền riêng tư là quyền cơ bản vào năm 2017, Ấn Độ đã xem xét hai dự thảo Dự luật PDP — dự thảo đầu tiên vào năm 2018 và một dự thảo khác vào năm 2019. Dự thảo Dự luật năm 2018 đã ủy quyền cho 10 cơ quan quốc gia chặn, giám sát hoặc giải mã bất kỳ thông tin kỹ thuật số nào. Dự thảo Dự luật PDP năm 2019 đã trao cho các cơ quan chính phủ trung ương quyền hạn tương tự đối với dữ liệu cá nhân và phi cá nhân.

Dự thảo Luật năm 2019 đã làm dấy lên sự chỉ trích về việc trao quá nhiều quyền hạn cho các cơ quan chính phủ trung ương để truy cập dữ liệu cá nhân mà không có sự đồng ý. Cựu thẩm phán của Tòa án tối cao Ấn Độ, Bellur Narayanaswamy Srikrishna, người đứng đầu ủy ban soạn thảo Dự luật bảo vệ dữ liệu cá nhân, đã cảnh báo vào cuối năm 2019 rằng, dự luật này có thể dẫn đến việc chính phủ sử dụng dữ liệu cá nhân sai mục đích.

Nền kinh tế dữ liệu và internet của Ấn Độ bắt đầu nở rộ vào cuối những năm 2000. Việc bảo vệ dữ liệu sau đó dựa trên Đạo luật Công nghệ thông tin (CNTT) năm 2000, trong đó chỉ có các điều khoản về hình phạt đối với việc xử lý dữ liệu bất cẩn. Trong những năm tiếp theo, các quy định liên quan đến quyền riêng tư dữ liệu ở Ấn Độ phần lớn là theo ngành, dẫn đến những cách hiểu khác nhau về quyền riêng tư và bảo vệ dữ liệu.

Hệ thống nhận dạng kỹ thuật số duy nhất của Ấn Độ, Aadhaar, dựa trên dữ liệu sinh trắc học được đăng ký tự nguyện (quét vân tay và mống mắt), hiện bao gồm hơn 1 tỷ người, khiến nó không thể thiếu trong việc tổng hợp và cung cấp các dịch vụ của chính phủ. Khi số người dùng internet di động đạt gần 500 triệu vào năm 2018, việc chính phủ, các đại gia công nghệ và viễn thông ngày càng tăng cường sử dụng và lưu trữ dữ liệu cá nhân đã cho thấy sự bất cập của các luật hiện hành trong việc ngăn chặn lỗ hổng dữ liệu và vi phạm quyền riêng tư.

Với nhu cầu ngày càng tăng về một chế độ quản lý chặt chẽ hơn, Dự luật PDP 2019 đã đề xuất một khung pháp lý tương tự như Quy định chung về bảo vệ dữ liệu (GDPR) năm 2016 của Liên minh châu Âu. Dự luật bao gồm dữ liệu cá nhân, thông tin thuộc tính (tên, tuổi, giới tính, khuynh hướng tình dục, sinh trắc học) và các chi tiết di truyền khác nhưng có quy định hạn chế đối với dữ liệu phi cá nhân ở dạng ẩn danh. Sau đó, Dự luật đã trải qua 81 lần sửa đổi ở một Ủy ban Liên hợp Nghị viện trước khi được rút khỏi Lok Sabha (hạ viện của quốc hội Ấn Độ). Các điều khoản của Dự luật bảo mật dữ liệu dự kiến ​​sẽ giải quyết ba mối quan tâm chính.

Đầu tiên là, việc sử dụng và bảo vệ dữ liệu cá nhân cũng như tính dễ bị tổn thương của nó đối với các vi phạm dữ liệu của các công ty công nghệ. Ấn Độ đã báo cáo 313.000 sự cố an ninh mạng vào năm 2019, khiến nước này trở thành điểm đến lớn thứ ba của các vụ vi phạm dữ liệu trên toàn thế giới. Những người phải đối mặt với vi phạm dữ liệu bao gồm cả công ty tư nhân như Domino's Pizza và các doanh nghiệp công như Ngân hàng quốc gia Ấn Độ.

Dự luật mới đề xuất giải quyết vấn đề này thông qua các quy định nghiêm ngặt về luồng dữ liệu xuyên biên giới và các quy định chặt chẽ hơn đối với các đại gia công nghệ. Những thay đổi này liên quan đến các công ty công nghệ có máy chủ ở nước ngoài. Họ sẽ phải đối mặt với gánh nặng tuân thủ và gặp khó khăn khi truy cập dữ liệu từ Ấn Độ, một trong những thị trường đang phát triển nhanh chóng.

Mối quan tâm thứ hai là chính phủ, nơi nắm giữ lượng dữ liệu cá nhân lớn nhất liên quan đến cư dân, bao gồm cả sinh trắc học, sẽ sử dụng dữ liệu để giám sát hoặc xâm phạm quyền riêng tư. Dữ liệu sức khỏe của Aadhaar dễ bị tấn công mạng, do vô tình rò rỉ dữ liệu và bị nhân viên chính phủ truy cập trái phép. Tuy nhiên, Chương VIII, khoản 35 của Dự luật được đề xuất đã miễn cho chính phủ tuân thủ tất cả các điều khoản để bảo vệ ‘chủ quyền và toàn vẹn của Ấn Độ, an ninh quốc gia, quan hệ hữu nghị với các quốc gia nước ngoài và trật tự công’.

Vấn đề cuối cùng là các điều khoản nội địa hóa dữ liệu nghiêm ngặt nhằm tìm kiếm tất cả các công ty ủy thác dữ liệu để lưu trữ một bản sao dữ liệu cá nhân được thu thập ở Ấn Độ. 'Dữ liệu cá nhân quan trọng' - một danh mục chưa được xác định vào thời điểm đó - chỉ có thể được lưu giữ ở Ấn Độ. Điều đó đã vấp phải sự phản đối từ những gã khổng lồ công nghệ, trong khi hoạt động ở Ấn Độ, lưu trữ dữ liệu người dùng ở các khu vực tài phán nước ngoài có lợi cho quyền riêng tư cá nhân. Bản địa hóa dữ liệu là một vấn đề nhạy cảm đối với chính phủ vì có những lo ngại về việc không có sẵn dữ liệu ngăn cản việc điều tra các tội phạm nghiêm trọng liên quan đến công dân nước ngoài.

Một mặt, những công dân bình thường hoặc người dùng các trang truyền thông xã hội và những người dùng internet khác lo lắng về quyền riêng tư và bảo mật dữ liệu của họ. Mặt khác, các chính phủ lo ngại về an ninh quốc gia và bảo vệ các quyền cơ bản của công dân khi những gã khổng lồ công nghệ nắm giữ hàng đống dữ liệu cá nhân. Các tập đoàn và gã khổng lồ công nghệ lo lắng về việc các quy định dữ liệu quá mức và sự giám sát của chính phủ có thể dẫn đến việc mất niềm tin vào dịch vụ của họ nếu dữ liệu cá nhân mà họ nắm giữ bị xâm phạm.

Ấn Độ có một vấn đề đặc biệt về an ninh quốc gia — hầu hết công dân của họ sử dụng các trang mạng xã hội do nước ngoài sở hữu như Facebook, Instagram, Whatsapp và Google. Nhưng phần cứng internet, cơ sở hạ tầng mạng và điện thoại di động của họ đều do các công ty Trung Quốc thống trị.

Mặc dù Dự luật PDP sửa đổi sẽ được đưa ra để lấy ý kiến vào cuối năm 2022, nhưng các nhà lập pháp dự kiến sẽ giảm bớt thành phần bản địa hóa dữ liệu để làm cho nó dễ chấp nhận hơn đối với các tập đoàn đa quốc gia. Họ cũng dự kiến ​​sẽ cho phép chính phủ truy cập vào dữ liệu cá nhân vì lý do an ninh quốc gia và kiểm tra các nền tảng truyền thông xã hội thông qua các ủy ban phúc thẩm khiếu nại.

Trung tâm Nghiên cứu Ấn Độ