DISHA是否受到欧洲通用数据保护法案的启发?
严苛的Walia和Shobhit Chandra
卫生和家庭福利部(MoHFW)最近发布了《医疗保健数字信息安全法》(DISHA)草案,以征询公众意见。DISHA的目的是为电子健康数据提供隐私,机密性,安全性和标准化。它还设想建立国家和州级数字健康管理机构以及健康信息交流中心。
为什么现在?该草案发布的时间提出了许多问题,因为有关印度全面数据保护框架的讨论已经进入后期。由大法官(Retd。)领导的专家委员会B.N.Srikrishna(专家委员会)去年发布了一份白皮书,阐述了他们对各种数据保护原则的初步看法,这些原则包括目的限制,数据最小化,存储限制和数据准确性,以及将其合并到数据保护中的形状。即将颁布的法律。DISHA也赞同这些原则。由于不可避免地要与涵盖性的数据保护法规相重叠,因此DISHA的草案可能证明为时过早。
EUGDPR的密切影响DISHA似乎受到了欧盟通用数据保护法规(EUGDPR)的极大启发,该法规被一致认为是全球最全面的数据保护法规之一。在EUGDPR于2018年5月25日生效之前,世界各地的多家公司正在尽力满足合规性要求。尽管多年的研究最终导致了EUGDPR的颁布和为期两年的生效期的延长,但该行业仍在质疑它所考虑的多项合规性。另一方面,以当前形式制定的DISHA并没有规定任何过渡期,以使组织能够为此做好准备。换句话说,从DISHA生效之日起,组织很可能会被标记为不合规。
相关新闻SpiceJet将从737 MAX接地中获得“可观的”利润:美国官员阿杰·辛格(Ajay Singh)看到欧盟,英国在2020年达成贸易协议,而不是印度CG Power案:NCLT保留MCA竞标任命审计员的命令在许多方面,DISHA比EUGDPR更为严格,但这并不一定意味着它是一项强大而授权的立法。EUGDPR的某些严格规定仅适用于特定规模的组织。例如,保留记录的义务不适用于雇员少于250人的企业和组织。相反,根据DISHA,“临床机构”和“实体”的广泛定义通过使所有规定适用于所有临床机构(包括由单一医生拥有,控制和管理的疗养院,诊所或药房)来扩大其适用性,并且“实体,无论其大小如何。DISHA的某些合规性要求个人和较小的组织花费大量资源来实现这些目标。DISHA的不加区分的普遍应用也可能导致从长远来看它变得无用。
根据EUGDPR,要求数据控制者在发生数据泄露的情况下通知监管机构(而不是数据主体)。但是,只有在这种人的权利和自由存在很高风险的情况下,才有义务通知数据当事人。值得注意的是,即使在这种情况下,EUGDPR仍未规定定义的时间范围。相比之下,根据DISHA,如果发生任何安全漏洞,临床机构必须立即(无论如何不得迟于3天)通知数字健康数据(DHD)的所有者。不仅预期会导致一系列违规行为,而且在商业上似乎是不可行的。
另一个重要的区别是,根据EUGDPR,实施假名化技术的组织可以享受各种好处。但是,作为一项前所未有的步骤,在DISHA中,全面禁止将匿名数据用于商业目的。大数据分析向我们表明,匿名数据集构成了发展和创新的储存库,因此,在目前的情况下,全面的限制似乎是不合理的。
域外申请?除临床机构和健康信息交流外,DISHA还对其他“实体”施加了各种义务。有趣的是,“实体”一词的定义尤其包括那些根据印度以外任何国家/地区的法律注册成立的法人团体。因此,预计DISHA将具有域外适用性,根据其在特定交易中的角色,印度境外注册成立的实体有责任遵守该规则。
强迫提供保健服务DISHA的另一个方面是,即使患者可能不同意DHD的产生,收集,存储,传播和披露,临床机构拒绝提供医疗服务的权利也已被撤销。这与2000年《信息技术法案》制定的普遍规则背道而驰,该规则规定,法人团体可以选择拒绝在数据主体拒绝或撤回处理敏感个人数据的同意时不提供服务。此外,在缺乏关键健康信息的情况下,当临床机构进行卫生保健时,需要考虑其机构的责任。
接下来是什么不可否认,妇女,家庭和社会福利部在起草一项全面的立法草案方面所做的努力值得赞扬。但是,由于上述原因,该草案未能考虑到可能阻碍其成功实施的普遍问题,行业趋势和实际困难。MoHFW发起的协商过程为行业提供了表达他们所关注问题的机会,如果考虑这些问题,可能会导致制定既务实又严格的法律。
(Harsh Walia是Khaitan&Co的高级合伙人,合伙人合伙人,Shobhit Chandra是Khaitan&Co.的高级合伙人。个人观点)