DISCOM som dataansvarlig

Smartmålerdata er personopplysninger. DISCOM-er bør sikre personvernet og sikkerheten og være klare til å overholde den kommende databeskyttelsesloven

discom, smartmåler, strømmålere, kraftdepartementet, indisk ekspressOmtrent 2,1 millioner smartmålere er allerede installert og er operative over hele landet, mens ytterligere 9,1 millioner er under utplassering, noe som skaper et presserende behov for å dokumentere og grundig analysere opplevelsen av å distribuere et så stort antall smartmålere. (Fil bilde)

Skrevet av Narendra Pai, Aditya Chunekar

Energidepartementet (MoP) planlegger å erstatte 250 millioner konvensjonelle strømmålere i indiske hjem med smarte målere innen 2022 under Smart Meter National Programme. Smarte målere kan potensielt forbedre distribusjonsselskapers (DISCOM) økonomi ved å generere regninger automatisk og sikre rettidig betaling ved å gi avskrekking gjennom fjernfrakoblinger av misligholdere. Dette er et av mange initiativ fra MoP for å ta opp de mange langvarige problemene i sektoren, forsterket av den pågående pandemien.

Omtrent 2,1 millioner smartmålere er allerede installert og er operative over hele landet, mens ytterligere 9,1 millioner er under utplassering, noe som skaper et presserende behov for å dokumentere og grundig analysere opplevelsen av å distribuere et så stort antall smartmålere. Denne artikkelen fremhever et slikt aspekt - spørsmålet om personvern. Utover automatisert fakturering og fjernfrakoblinger, kan smarte målere også samle detaljerte data om strømforbruket til forbrukere hver halvtime, eller enda mindre. Disse dataene, hvis de brukes effektivt, kan hjelpe DISCOM-er med å planlegge distribusjonsinfrastruktur, kraftkjøp og tilby verdiøkende tjenester til forbrukerne, og forbedre DISCOM-økonomien ytterligere.

Imidlertid har slike høyfrekvente forbruksdata samlet inn av smarte målere også potensial til å avsløre private detaljer om forbrukere som husholdningsbruksmønstre, apparateierskap og bruksmønstre, og til og med underholdningsvaner og -preferanser gjennom analyser og slutninger.

Høyesterett har allerede opprettholdt retten til privatliv som en grunnleggende rettighet, og derfor vil bruk og deling av slike personlige forbruksdata uten tilstrekkelige sikkerhetstiltak og passende samtykke være ensbetydende med brudd på det samme. Dessuten kan mindre sikre databehandlings- og delingssystemer også utsette disse dataene for ulovlige aktiviteter som blant annet innbrudd, forfølgelse, overvåking. I andre deler av verden blir disse personvern- og sikkerhetsproblemene adressert gjennom et spesifikt databeskyttelsesrammeverk for smartmålere som utfyller det generelle rammeverket for databeskyttelse.

Dette reiser to spørsmål i indisk kontekst: Hvor effektive er dagens mekanismer for å sikre datasikkerhet og personvern for eksisterende målere; og hvor forberedt er DISCOM-ene til å overholde reglene og forskriftene i den kommende personopplysningsloven. Svarene på disse spørsmålene er stort sett negative.

Informasjonsteknologiloven 2000 (IT-loven) sammen med 2011-reglene om rimelig sikkerhetspraksis og -prosedyrer og sensitive personopplysninger eller informasjon per definisjon, gjelder både for smartmålerdata og forbrukerfaktureringsdata fra vanlige målere. Men det er ingen offentlig informasjon om DISCOMs overholdelse av IT-loven. For eksempel krever en bestemmelse publisering av personvernreglene angående håndtering av alle elektronisk lagrede data, men de fleste av DISCOM-ene har snevert tolket den til å gjelde bare for de som samles inn via deres nettsider.

Videre har Central Electricity Authority (CEA), et lovpålagt organ som gir råd til regjeringen om tekniske og politiske spørsmål knyttet til elektrisitet, utstedt detaljerte funksjonskrav til en avansert målerinfrastruktur (AMI). Disse retningslinjene, som er vedtatt ordrett i noen av kontraktene om implementering av smartmålere av DISCOM-ene, har ingen krav knyttet til forbrukerpersonvern.

På den positive siden inkluderer standard buddokumenter utgitt av MoP, for å ansette AMI-tjenesteleverandører, personvernrelaterte bestemmelser. Imidlertid har vi ennå ikke funnet dens adopsjon av DISCOMs. Til slutt, selv om de nåværende databeskyttelsesmekanismene for smarte målere kan være slappe, kan de endre seg betydelig når lovforslaget om beskyttelse av personopplysninger (PDP) 2019 er vedtatt.

For å finne en balanse mellom å utnytte den økonomiske verdien av personopplysninger og å opprettholde en persons rett til personvern, la regjeringen frem PDP-lovforslaget 2019. Dette avgjørende lovforslaget er for tiden til behandling i Den blandede parlamentariske komité og bare noen få skritt unna å bli loven. . Faktisk har bestemmelser som ligner de i PDP-lovforslaget allerede begynt å gjelde for andre sektorer som folkehelse gjennom National Health Data Management Policy.

PDP-lovforslaget, når det er vedtatt, vil erstatte de nevnte bestemmelsene i IT-loven og bringe alle forbrukerdata med DISCOM-ene, inkludert månedlig fakturering og høyfrekvente smartmålerdata, under sitt virkeområde. DISCOM-er, med eller uten smarte målere, vil da ha den tyngende oppgaven å sikre at intern håndtering av slike data så vel som alle tredjeparts engasjementer ikke krenker individets personvern. I henhold til den nye loven vil dessuten en databeskyttelsesmyndighet (DPA) bli utnevnt som dataregulator, og DISCOM-er vil være bundet av dens regelverk. Straffene i henhold til loven ved manglende overholdelse er betydelig høye, og kan nå opptil 4 prosent av den årlige globale omsetningen. Den foreslåtte DPA vil også muligens utvikle sektorspesifikke forskrifter i samråd med sektorregulatorene.

De spesifikke forskriftene for elektrisitetssektoren må være basert på et omfattende databeskyttelsesrammeverk, utviklet spesielt for smarte målerdata. Et slikt rammeverk bør tydelig identifisere typen data som kan samles inn gjennom smarte målere, varighet av lagring og spesifikk bruk av dataene som pålagt eller tillatt i henhold til Electricity Act 2003. Det bør avgrense et passende rammeverk for forbrukersamtykke i samsvar med typen av data som samles inn og den spesifikke bruken. Rammeverket skal gi forbrukere full tilgang til dataene og sammendragsinnsikt, endre samtykkepreferanser og også ha tilgang til personvernreglene i klare og enkle ordelag. I tillegg bør datadelingsprotokoller og ansvarlighetsmekanismer som revisjonskrav og offentlige rapporter være en del av dette rammeverket.

Gitt det raske tempoet i installasjonen av smartmålere, bør MoP snarest utvikle et slikt rammeverk i samråd med CEA, sentrale og statlige regulatorer, DISCOMs, smartmålerprodusenter, sivilsamfunnsorganisasjoner og andre interessenter og publisere det i form av en hvitbok. MoP bør også be om bredere offentlige kommentarer om det samme. Dette rammeverket kan være et godt utgangspunkt for den foreslåtte DPA for å diskutere med elektrisitetsregulatorer for å utvikle spesifikke forskrifter. I mellomtiden vil det være klokt fra DISCOMs side å forstå deres rolle som dataforvaltere og begynne å bygge den interne kapasiteten for å ivareta forbrukernes personvern i både forbrukernes og DISCOMs felles interesse.

Forfatterne er med Prayas (Energy Group), Pune