'定期安全措施必须防止数据破坏'

在ietsinc活动中关于 “数据保护和隐私” 的对话中: 我们在印度的哪里 & 未来是什么？专家们讨论了一些问题，如根据最高法院的隐私判决，Aadhaar的立场、数据保护对互联网经济的影响以及印度需要的法律框架。该小组由法律研究员Usha Ramanathan，MediaNama编辑Nikhil pahwa，电信部G N Nath的副总干事和Dvara Research Malavika Raghavan的项目负责人 (金融计划的未来) 组成，详细讨论了这些问题。讨论由《印度快报》助理编辑Shruti Dhapola主持。编辑摘录:

在Aadhaar的背景下，人们担心它会成为一种监视工具，尤其是在强制执行的情况下。公民在哪里和解？而且，在保护公民数据免受国家和企业侵害方面，政府的计划是什么？

纳特: 当您看Aadhaar时，这只是一个人的身份。你有许多部门可以提供服务，无论是银行还是电信。你会发现你在那里做的第一件事就是填写一份申请表，在那里你写下你的名字、地址、父亲的名字、电话号码。这些是您到处提供的细节。所以，你告诉你我是想要利用这项服务的人。然后是为您创建的筒仓。Aadhaar所做的一件事是，这是一个包含有关您的信息的数字。一个人应该出示这个Aadhaar号码; 你正在做的是你说信息在你的数据库里，我不会重新填写所有的信息。因此，自从我们开始使用服务以来，就一直在提供您的身份。问题是，当我们有不同的孤岛时，我们不知道如何将一个人联系起来。例如，我可能有四个或五个银行帐户; 一个说G N Nath，另一个说Narendra，或者其他什么，我可能有四个不同的帐户，没人会知道。我可以做四种不同的土地交易，也没人知道。所以，Aadhaar所做的就是把这个人和他所做的一切联系起来。我们是否对此感到满意，这是我们必须处理的问题。

保护Aadhaar数据库是其中的一部分。数据不会传播，但会经过验证。翻译基本信息 (例如名称) 以填充存在的应用程序。如何保护Aadhaar数据库是重要的部分，并且正在使用最新的最新技术来保护它。关于保护所收集的公民数据，我们拥有如何在电信许可证中保护所收集的数据的许可。例如，无论服务提供商获取的客户数据或到达提供商的客户数据，都应该保留在国内，而不是出去。我们有条款，如果数据被泄露或不进行尽职调查，刑事条款可以付诸行动，他们应对所有这些负责。因此，不同的部门有自己的理解如何保护客户数据。如何保护在提供服务时存在的客户数据。已经存在，并且正在不断采取措施，以确保控制措施足以确保数据安全。话虽如此，我们看到某些国家/地区的客户数据遭到破坏，但必须采取定期的安全措施进行保护。

印度需要什么样的法律框架来保护数据？理想的方法是什么？我们应该遵循相当严格的欧洲模式，还是我们需要更多的东西？

拉马纳坦: UID (唯一标识) 不能跳过一个并传递下去，它必须通过我。在UID中发生的事情是，政府在这种情况下向法院提起诉讼，并说该国人民没有隐私权。这就是提醒我们的原因。我们一直在假设这一点，但我们不知道牺牲隐私不是计划。这告诉我们意图是什么。此外，法庭上还有其他案件告诉我们。同时，政府已向最高法院提出要求，并表示隐私是公民的基本权利 (FR)，我们必须保护它，因此，不要废除诽谤的规定。国家承认UID项目无法幸免于隐私。有一种方法可以让我们穿上垫子并询问: 为什么你需要隐私，你是罪犯吗，等等，但是想要剥夺隐私的人必须回答这个问题。最高法院回答我们是否有隐私的问题的方式很重要，他们从数据时代的紧急情况中提出了ADM Jabalpur案，尽管这不再是一部好法律，但肯定会推翻它。但是，他们说他们不想对此有任何疑问。因此，隐私是关于我们的FRs在过去70年中的发展。

帕瓦: 我们今天必须意识到，我们正处于一个数据保护和隐私市场失灵的时代。我们的隐私正在被交易，所以来自行业 (技术) 的话题是让我们自我监管 (我们)。我们 (公民) 在谁收集数据、如何存储数据、如何传输数据以及所有这些都是由于这个国家缺乏隐私法的结果，无论有什么具体的隐私法规，没有人会对他们采取行动来保护人们的隐私。到处都有一种宿命论，作为公民，我们到处都在提供数据，我们别无选择，同意机制有问题。我们看到的是，没有知情同意，也没有真正的同意，无论是在Aadhaar的情况下，还是有一个操作员被教导点击下一步，下一步接受你的同意，即使他们没有在很多事情上要求你的同意。

如果我们采取更严格的数据保护法，它会对互联网经济产生负面影响吗？公司提出的论点是，您不能拥有严格的法律，也不能拥有充满活力的互联网经济，因为这些公司中的许多都是围绕数据而建立的，而服务确实依赖数据。那么，有没有可能在不放弃隐私的情况下拥有一个可持续的互联网，以确保公民的权利得以保留？

拉格万语: 我认为答案是肯定的。在许多讨论中，关于这场辩论存在某种例外主义，但不一定如此。我们身处一个拥有70年历史的民主国家，但我们可以从全球国家那里学到很多东西，数据辩论当然不是什么新鲜事。对于这种管辖权，我们是第二代或第三代。我在一个政策研究项目工作。因此，我们出去与一大堆公司进行了交谈，以了解情况。我们和BankBazaar.com的人在一起。他是首席数据官，他谈论的数据不仅仅是石油，而且数据需要被视为公司视角的风险。因此，从这个意义上说，这是一个有趣的空间，因为这一次，消费者和提供者的激励并不总是不一致。从这个意义上讲，这是完全不同的，从他们的角度来看，他们拥有的数据集越大，如果他们正在研究数据安全性，对他们来说就越困难。

Mozilla是一个有趣的例子。他们运行浏览器和他们收集的每一条信息，他们还检查用户利益，除了查看公司利益。完成工作需要这些信息。因此，您需要查看好处和危害，以了解相关性。

数据绝对是力量，鉴于Aadhaar和其他重要事物，现在存在不信任。最高法院还在审理WhatsApp案件。

帕瓦: 当我们查看技术和数据时，要记住的一件事是，筒仓是好的，它们是有用的。这意味着当事情妥协时，人们不会整体妥协。现在正在发生的事情，令人担忧的是，合并的数据库正在按照政府的方式建立。这似乎不安全。有一个案例: 班加罗尔的一名工程师发现NIC (国家信息学中心) 正在http上运行对CIDR (中央身份数据存储库) 的访问，而不是https，这是在运行任何应用程序或站点时犯的新手错误，因为连接不安全。能够插入的人可以允许人们检查其数据的状态或从CIDR获取其数据的副本。但是，这纯粹是无能或在根本上损害人们。孤岛是很好的，因为Aadhaar与事物链接在一起，而将其链接到多个数据库，漏洞会增加，因为识别的一个因素在所有这些方面都是相等的。如果您有联邦ID有时使用驾驶执照，或者有时使用Aadhaar，则意味着如果任何标识符受到损害，则只有一部分受到损害，这意味着您可以进行更改。它的另一个问题是它是一个永久的单一数字。这就像你的指纹有一个永久的电子邮件地址和一个永久的密码，当我触摸这个杯子时，你的指纹就会被泄露，任何人都可以复制它，现在你的情况是政府部门已经公布了人们的Aadhaar号码，当1.3亿的时候，这是四个服务，大约210个网站，这些数据永远消失了。我能够通过Google搜索找到这些数据，这只是排名无能。所以，如果你不能保护人们的数据，不要拿走它。自去年以来，我们一直在听到的一句话是它是安全的。不是。生物识别技术是最容易被破坏的，因为你到处都留下指纹。使用高分辨率照片，甚至可以克隆虹膜。此外，电子KYC机制增加了公民的漏洞，因为一旦数据离开UID并进入Jio之类的地方，你就会看到他们无法像magicapk.com网站那样保持安全。

拥有一个中央数据库存在漏洞。你的反应是什么？

纳特: 你已经接受了magicapk.com的案子。我已经看到了这个案子的内容。并不是说它可以访问与公司有关的数据。只是在销售点，提供充值的人必须获得此人的姓名、电话号码。所以，这个人得到信息，这样它就可以让这个人充电。该代理将信息泄露给其他人，而该人已从其他位置访问了该信息。他为此准备了一个脚本，以便每当我输入电话号码时，姓名和地址就会出现。因此，人们会去那里输入任何电话号码，并会出现相应的姓名和地址。这就是magicapk.com发生的事情。在泄露给它的人的证书方面存在妥协。它与Aadhaar数据库无关。

我知道，关于将UID链接到多个服务的担忧将在隐私方面存在问题。有关银行的数据库由银行维护，有关pAN的数据库由所得税部门维护，有关电话公司的电话连接的数据库。它们早些时候与我的名字联系在一起，我可以对其进行修改，因此没有共同的联系。现在，我有一个唯一的ID，银行正在维护的数据库是根据与我的名字相对应的唯一ID。所有这些数据库都没有链接在一起。这是唯一的ID，我可以用它来识别那里的信息。并不是说有银行和航空等的通用数据库。还有另一个唯一ID的数据库，它说它具有以下功能名称，地址和生物特征。以前，身份验证是照片和名称，而现在有生物识别技术。我们有签名和照片的身份验证机制，它们有自己的空白。我有一个带有签名的文档，我不知道文档是否真实，具有生物特征，我知道它是真实的。所有数据库都是一个通用数据库的概念是不正确的。各自的数据库由不同的实体维护。以前，它链接到一个名称，现在它链接到一个数字，并且该数字属性存储在单独的数据库中。这就是我们的建筑。漏洞的产生是因为我们所处的数字时代。数字服务的使用有灵活性，也有漏洞。

拉马纳坦: 如果你在创新之前有法律和规则，我们可能会失去创新。我想起了20世纪90年代进行自由化时的一次讨论，经济学家告诉我们，经济学与印度宪法无关。技术人员现在或多或少地告诉我们同样的事情。上次我们进行讨论时，他们说欧盟对隐私有严格的规定。如果有这种严格性，创新将非常困难。做美国的方式要好得多。我们作为回报的问题是: 在过去的20-30年里发生的事情是，这些公司在我们的数据和垄断方面变得强大起来，他们已经改变了数据和财富的集中度。我不确定这就是我们要走的路线。

我们需要制定一部法律，从公民的角度看待数据保护。技术将每两年发生一次变化。那么，我们每隔几年需要什么样的法律来跟上它呢？当我们谈论数据保护时，我们应该看什么？我们需要强有力的法规吗？还是我们随它走？

纳特: 数据收集已经进行了多年。做生意需要收集信息，我如何做转售，交叉销售，这些都是需要数据的概念。所以，它已经在那里很久了。通过internet和处理，可能发生的扩展正在引起人们的关注。需要隐私，需要数据处理。这是全世界都在努力解决的问题。收集数据的公司，他们使用数据的方式是一个令人担忧的问题。而且，收集大量数据的公司发生在更早的时候。有了人工智能 (AI)，就很容易大海捞针。

拉格万语: 不过，我不一定同意。我认为数据保护不仅仅是监视。在美国国土安全部，有一篇很棒的论文，他们谈论了被人类和人工智能追踪的恐怖分子的数量。

纳特: 人工智能的发展速度，你去年所说的今天是不相关的。早些时候收集的随机数据没有意义，但现在，它们有意义了。

拉格万语: 我们有很多数学关联，这些关联已经发布了声明，我们的算法不知道如何使用这些数据是不正确的。

纳特: 早些时候，你并不关心你对收集的随机数据做了什么，但是现在，令人担忧的是我们应该知道为什么要收集数据。我们应该看到这样一个事实，即我们正在收集的数据与收集数据的目的相关。应在框架内研究收集的数据比例。

拉格万语: 我们将回到基于列表的方法。在我们国家，目前我们有一个收集敏感个人信息的列表。大数据的挑战是您不再需要列表。我们已经到了说遗传是否敏感的地步。但是暂时停车，我认为为什么我们有这项法律，监管的目标是什么？如果你说这是为了给人们提供代理，保护他们免受伤害，那么现在是进行全国对话的好时机，但我们想要防止的伤害是什么，因为我确实认为纸质文件和我认为在文学中被称为 “默默无闻的安全” 之间的区别。当您将其数字化时，晦涩难懂的安全性有限。同样，我认为拥有大型数据资产有很大的好处。我每天都在使用Google地图，每天都在使用Uber。所以，如果我说我不想要基于技术的服务，那就太荒谬了。但是，我们知道我们可以以不收集相关信息的方式构建这些技术的硬件和软件，而人们现在正在这样做。

纳特: 应用是一个不受监管的市场。现在，我有一个应用程序，不需要访问我的麦克风等。这是一个报警应用程序。所以，这些都是被关注的东西，而不是它们没有被关注。

帕瓦: 我同意你的观点。我对算法块的基点只是因为在这个时间点上，我们不一定知道算法将要做什么，这是一场关于算法伦理和有效调节算法如何运行的全球对话。因此，我们现在需要进行对话，因为我提出的第一点是数据收集方面的市场失败，其次是市场中存在的宿命论。因此，我是说，我们不应该对此宿命论，而应该研究通过数据隐私咨询来确保公民权利得到保护的方式方法。

拉马纳坦: 欧洲联盟采取立场是有原因的。我认为这是因为他们尊重自己的公民。国家必须决定是否必须保护公民，还是仅出于公司利益。这是必须做出的决定。第二件事，监视不是数据的唯一内容，但我也认为监视是数据的重要组成部分，但它不仅是监视，它的标记跟踪，分析。