נשיא הודו נרנדרה מודי. צפוי לחתום על החוק בקרוב | צילום: EPA
ניתוח
בניגוד לאירופה, חוק הפרטיות ההודי נוטה לטובת גוגל ואמזון
החוק ההודי החדש להגנה על נתונים אישיים דיגיטליים מתעדף אינטרסים של הממשלה ושל חברות פרטיות על פני הגנת הגולשים. ועדיין הוא ייאלץ חברות ישראליות הפועלות בהודו לבצע התאמות, פשוט משום שבארץ אין כמעט הגנות דיגיטליות
הודו מצטרפת לקומץ מדינות שהעבירו חקיקה מתקדמת להגנת הפרטיות. בשבוע שעבר העביר הבית העליון של הפרלמנט את "הצעת החוק להגנה על נתונים אישיים דיגיטליים, 2023" (DPDP), הטיוטה החמישית, שתיכנס לתוקף לאחר חתימת נשיא הודו נרנדרה מודי, הצפויה כבר בימים הקרובים. בין השאר, החוק קובע חובות עבור מי שמחזיקים בנתונים, מספק אמצעי הגנה לנתוני ילדים וזכויות ליחידים, מאפשר העברת נתונים בין גבולות, קובע קנסות כספיים ומבסס מערכת לניהול תלונות.
"אנחנו חיים בעידן שבו אנו מוצאים את עצמנו בעולם הדיגיטלי יותר מאי פעם", אמר החודש השר לאלקטרוניקה וטכנולוגיית מידע, ראג'יב צ'נדראסקהאר. "קיימת סביבה של חברות גדולות, חברות קטנות וחברות טכנולוגיה שיוצרות מודלים עסקיים על ידי שימוש לרעה וניצול נתונים אישיים דיגיטליים של אזרחים. זה משהו שהצעת החוק הזו מתכוונת לתת לו מענה", הדגיש.
במובנים מסוימים החקיקה אכן מטפלת בשורת נושאים דחופים, במיוחד במדינה שמעולם לא היתה לה חקיקה ספציפית בנושא. הוא מגדיר ומגביל חברות שפועלות בהודו או המעבדות נתונים על תושבי הודו, לגבי האופן והעיתוי שבהם ניתן לאסוף ולעשות שימוש בנתונים. כמו כן, החוק מחייב את החברות להשיג הסכמה לשם כך ולחדול מעיבוד הנתונים האישיים הדיגיטליים במסגרת זמן סבירה, אם ההסכמה תבוטל.
החוק מגדיר מהי אותה "הסכמה" הנדרשת לאיסוף נתונים ומנחה להשיגה בשפה פשוטה. כמו כן מוגדרות בו חובותיו של האוסף, לרבות מחיקת מידע במסגרת "הזכות להישכח". חברות שלא יצייתו יהיו חשופות לקנסות כבדים של עד 2.5 מיליארד רופי (כ־30 מיליון דולר). עוד נקבע כי הממשלה תקים מועצת הגנת מידע שאמורה לוודא ציות, להשית עונשים ולשמש מוצא לתלונות הציבור. על החלטות המועצה יהיה ניתן לערער לביהמ"ש בתוך 60 יום.
העבודה על החוק החלה כשבית המשפט העליון בהודו קבע ב־2017 כי קיימת זכות בסיסית לפרטיות. ב־2019 נבנתה מסגרת ראשונה שעברה בפרלמנט, ובשלב הערות הציבור קיבלה יותר מ־20 אלף הערות בעלי עניין, בהן מענקיות הטכנולוגיה אמזון, גוגל ומטא, שטענו כי היא תטיל עומסים גדולים מדי. בעקבות הלחץ משכה ממשלת הודו את הצעת החוק והחלה לעבוד על גרסה מוכוונת עסקים. בשנה שעברה הציגה את DPDP 2022, ובנובמבר נפתחה הטיוטה להערות הציבור. החודש הונחה הצעה להצבעה בבתי הפרלמנט, אך של גרסה חדשה. זו היתה הפעם הראשונה שחברי הפרלמנט ראו את ההצעה, ששונתה מהותית לעומת גרסת 2022 ולא עברה את שלב הערות הציבור. למרות זאת, הממשלה פעלה במהירות, הבית התחתון העביר את ההצעה בתוך 51 דקות, והעליון בתוך 68 דקות נוספות, ללא התנגדויות או תיקונים — זאת משום שהאופוזיציה יצאה מאולם המליאה במחאה ולא הצביעה.
החקיקה היתה אמורה להיות בשורה לכ־900 מיליון משתמשי האינטרנט ההודים — בסיס לקידום משטר הגנת מידע מקיף. אך נוסח החוק, כמו גם האופן שבו עבר, גררו ביקורת עזה מצד האופוזיציה וארגונים חברתיים. הביקורת נוגעת לכך שההצעה אינה נוטה להגנת המידע לטובת האזרח, אלא תכליתה לאזן בין הזכות הבסיסית לפרטיות והרצון לנצל ככל הניתן נתונים לשימושים שונים של חברות פרטיות והממשלה. ההטיה הזו נוכחת במשפט הראשון: "הצעת החוק קובעת עיבוד של נתונים אישיים דיגיטליים באופן שיכיר בזכויות הפרטים להגן על הנתונים האישיים שלהם ובצורך לעבד מידע אישי למטרות חוקיות ולעניינים הקשורים אליהם או נלווים אליהם". מכאן עולה, שמטרתו הראשונה אינה להגן על מידע פרטי, אלא להסביר באילו תנאים חברות יכולות לעבד את הנתונים.
הגישה הזו שונה בתכלית מזו הקיימת באיחוד האירופי במסגרת חקיקת הפרטיות GDPR. לפי ה־GDPR, חברות יכולות לייצא נתונים של תושבי האיחוד רק אם וכאשר הצד שאליו מעבירים את הנתונים עומד בכללים המחייבים. בחקיקה ההודית, לעומת זאת, ניתן להעביר נתונים לכל מדינה, אלא אם הודו תקבע אחרת. כלומר, החקיקה מקלה משמעותית את הציות הנדרש מחברות כמו גוגל, אמזון או פייסבוק, הפועלות באופן נרחב במדינה. לא רק זאת, החקיקה מאפשרת להעניק "פטור" מציות לחברות מסוימות, לבחירת הממשלה, לרבות החופש לאסוף נתונים ללא הסכמת משתמש עבור "שימושים לגיטימיים מסוימים" והחרגתן מאיסוף נתונים על ילדים. החקיקה מעניקה כר נרחב לממשלה לקבוע לאילו מדינות מותר להעביר נתונים, ואף מעניקה הגנה משפטית לשלטון המרכזי ולמועצה להגנת המידע.
הממשלה גם שמרה לעצמה את הסמכות לפטור כל גורם ממשלתי מיישום החוק והסירה את חובתה של המדינה לחשוף מידע אם יש בכך "אינטרס ציבורי" (בהתבסס על חקיקה מ־2005). הקלות אלו, באופן מיוחד, עוררו ביקורת, שכן היום המדינה מפעילה מערכת זיהוי ביומטרי מתקדמת (Aadhaar) שהכרחי לשם קבלת שירותי רווחה ושירותים ממשלתיים אחרים ומשמש גם אמצעי הרשמה לשירות בבנקים, בתי ספר או חברות ביטוח.
הגנת הנתונים בנוסח החוק שעבר גם לא תקפה לגבי מידע אישי זמין לציבור, כך שחברות חיצוניות יכולות לכאורה, לגרד את הנתונים מרשתות חברתיות ולעבדם. כך עשתה, למשל, חברת Clearview AI, שגירדה, לפי הערכות, 30 מיליון תמונות מפייסבוק עבור מערכת זיהוי הפנים שלה, שאותה מכרה אחר כך לרשויות אכיפת החוק בארצות הברית.
"אין מספיק הגנה"
קבוצת ההגנה על זכויות דיגיטליות, Internet Freedom Foundation (IFF), שבניו דלהי, ציינה כי החוק לא כולל "כמה מההמלצות המשמעותיות" שהתקבלו במהלך תהליך הייעוץ של הטיוטה האחרונה, "איננו מגן מספיק על הזכות לפרטיות", ואין להעביר אותו.
במדינת ישראל, לשם השוואה, לא קיימת היום חקיקה ראויה מתקדמת הנוגעת לפרטיות האזרחים בעידן הדיגיטלי. החוק הנוכחי שנכתב ב־1981 ולא תוקן ועודכן מאז המצאת הטלפון החכם, לא באמת מתייחס לאתגרים הקיימים כיום. ועדיין, חברות ישראליות רבות הפועלות בהודו, למשל בהפעלת מרכזי שירות גדולים, ייאלצו לעבור הליך מהיר של התאמה כדי לציית לכללים. עבור חלקן מדובר בהמשך להליך שעברו בעקבות חקיקת הפרטיות באירופה ב־2017. כך, ישראל שמבקשת להוביל במהפכת הבינה המלאכותית מבוססת הנתונים, לא מציעה הגנה ראויה עבור תושביה, אך חברות ישראליות נאלצות להציע הגנה מתקדמת לתושבי האיחוד האירופי, וכעת גם להודו.