关键词:DPDPA、数据受托人、重要数据受托人、DPIA、数据泄露通知

印度的个人数据保护体系目前正处于从旧法向新法全面过渡的关键期:核心法律《数字个人数据保护法》(DPDPA))已于2023年8月11日颁布,而决定其实际落地的配套细则《数字个人数据保护规则》已于2025年11月13日正式公布,并确立了分阶段实施的时间表。自2025年11月13日起,涉及监管机构设立及权力行使的部分条款已率先生效;法案的核心合规义务(如处理规则、数据主体权利等)则设有18个月的过渡期,预计将于2027年5月13日全面执行。在此全面执行期限届满后,现行的2000年《信息技术法》第43A条及2011年《SPDI规则》将被正式废止。印度数据保护主要立法框架如下:

本文将概述印度DPDPA及其配套细则在个人数据保护领域的关键合规要求,为出海印度的企业提供数据保护框架,帮助企业明确在印经营的合规红线。

一、管辖范围

(一)地域范围

  • 境内适用:处理印度境内个人数据的所有实体,涵盖公私部门。

  • 域外适用:印度境外处理个人数据,但目的是向印度数据主体提供商品或服务的实体。

(二)数据类型范围

  • 适用范围:数字个人数据,包括以数字形式收集的数据,以及非数字形式收集后被数字化的数据。

  • 排除范围:不可逆匿名化且无重新识别风险的数据;由数据主体或法律要求公开的个人数据。

(三)豁免:

(1)为个人或家庭目的处理个人数据的个人;

(2)在特定条件下,为研究、存档或统计目的处理个人数据可获豁免,特别是当此类处理不用于做出影响数据主体的决定,且是按照规定的保障措施进行时;

(3)为某些符合法律要求的监管目的而进行的处理:合法权利或索赔的执行;行使司法或监管职能;预防或侦查犯罪;涉及外国数据主体的处理,且合同是在外国实体与印度实体之间签订的;企业重组(例如合并、收购);贷款违约评估。

二、核心规定

(一)关键术语定义

  • 数据受托人:相当于欧盟 GDPR 中的 “数据控制者”,指单独或与他人共同决定数据处理目的与方式的个人 / 实体,是 DPDPA 的核心合规义务承担方。

  • 数据处理者:受数据受托人委托处理个人数据的实体。

  • 数据主体(数据委托人?):个人数据所指向的自然人。儿童(18 岁以下)、残障人士的相关权利由其监护人行使。数据委托人死亡或丧失行为能力时,可由其提名的个人行使相关权利。

  • 处理:对个人数据进行的全部或部分自动化操作或一系列操作,包括收集、记录、组织、结构化、存储、改编、检索、使用、比对或组合、索引、共享、通过传输披露、传播或以其他方式提供、限制、删除或销毁等操作。

(二)个人数据合法处理依据

DPDPA并未明确规定数据保护原则。然而,其规定的义务体现了多项公认的数据保护原则。例如:

  • 合法性:数据受托人仅可出于合法目的并基于有效的法律依据处理个人数据;

  • 目的限制:在基于同意处理个人数据的情况下,或者当个人自愿提供其数据时,数据受托人必须将处理行为限制在已向数据主体告知的特定目的范围内;

  • 数据最小化:当数据受托人依赖同意时,他们只能处理为实现向数据主体告知的特定目的所必需的个人数据;

  • 准确性:数据受托人负有一般义务,确保个人数据准确、完整且一致,前提是该数据用于做出影响数据主体的决定或向其他数据受托人披露;

  • 存储限制:数据受托人需在数据主体撤回同意时,或在收集数据的特定目的达成后,删除个人数据。

  • 在上述基础上,DPDPA 采用以同意为核心的合规逻辑,同时明确其他合法处理情形:

2.1 核心依据:明示同意

(1)同意需满足:自由、具体、知情、无条件、通过 “选择加入”(opt-in)的明确肯定行为作出。

(2)同意有效期:至数据主体撤回同意,或数据处理目的达成时终止。

2.2 其他合法依据

(1)数据主体自愿提供数据且未拒绝处理;

(2)政府履行法定职能(如发放补贴、执照);

(3)医疗应急、公共卫生保障、灾害救援等紧急场景;

(4)履行司法判决、预防 / 调查犯罪;

(5)与就业相关的处理(如保护商业秘密、防范企业损失)。

(三)未成年人数据特殊保护规则

  • 未成年人定义:未满 18 周岁的自然人。

  • 处理要求:必须获取可验证的父母 / 法定监护人同意。

  • 禁止性规定:不得进行有损未成年人福祉的数据处理。

(四)重要数据受托人专项义务

印度政府可根据数据处理的规模、敏感度、对国家主权及公共秩序的影响,将数据受托人归类为重要数据受托人,重要数据受托人需额外履行以下义务:

(1)必须任命数据保护官(DPO),且 DPO 必须常驻印度;

(2)定期开展数据保护影响评估(DPIA),该评估流程应包括对数据主体权利的说明、处理其个人数据的目的、对数据主体权利风险的评估与管理,以及印度政府可能规定的与该流程相关的其他事项。

(五)数据安全与泄露通知义务

5.1 数据安全措施:所有数据受托人需实施合理安全保障,包括加密、访问控制、日志维护等。

5.2 数据泄露通知

(1)通知对象:数据受托人必须向印度数据保护委员会报告并通知受影响的数据主体;数据处理者无需通知数据受托人。

(2)通知时限:在配套细则中,详细规定了数据受托人必须在知悉泄露事件后的 72 小时内,向委员会提交详细报告并通知受影响数据主体,这与欧盟 GDPR 的 72 小时要求保持了一致。

(3)通知内容:2025年细则要求通知中至少应包含以下信息:

  • 泄露性质:发生泄露的数据类型(如财务、身份信息等)及受影响的人数。

  • 潜在后果:泄露可能给数据主体带来的风险。

  • 补救措施:数据受托人已采取或建议采取的减轻损害的措施。

  • 联系方式:供用户查询详细信息的联系人。

(六)数据主体权利

DPDPA 赋予数据主体以下核心权利:

  • 知情权:DPDPA并未规定明确的知情权。然而,当处理基于同意时,数据受托人必须向数据主体发出通知,告知数据主体⸺个人数据及其将被处理的目的、数据主体可以撤回其同意的方式、数据受托人的申诉补救机制、数据主体可向委员会投诉的方式。

  • 访问权:获取个人数据处理摘要、共享对象等信息;

  • 更正 / 删除权:要求修正不准确数据、删除已达成目的的数据;

  • 撤回同意权:可随时撤回数据处理同意;

  • 投诉权:数据主体有权通过数据受托人 / 同意管理人提供的便捷申诉渠道申诉,未解决可向监管机构申诉。

此外,数据主体有权指定任何其他个人,在数据主体死亡或丧失行为能力的情况下,行使数据主体在DPDPA项下的权利;

注意:DPDPA未规定数据主体的数据可携带、限制处理,或反对自动化决策等权利。

(七)跨境数据传输规则

  • 基本要求:DPDPA 未直接限制跨境传输,但授权印度政府制定负面清单,明确禁止数据传输的国家 / 地区。

  • 数据本地化:无数据本地化存储的强制规定。

三、违规处罚与生效时间

1. 对于违规处罚,DPDPA规定了极其高昂的罚款:

  • 违反防止数据泄露的安全义务:最高25亿卢布(约1.92亿人民币)。

  • 未履行泄露报告义务:最高20亿卢布(约1.54亿人民币)。

  • 违反儿童相关义务:最高20亿卢布(约1.54亿人民币)。

  • 违反重要数据受托人额外义务的:最高15亿印度卢布(约1.15亿人民币)。

  • 违反数据主体义务:最高1万印度卢布(约768元人民币);

  • 对于该法案规定的任何其他违规行为:最高5亿印度卢比(约3800万人民币)

此外,印度政府有权将规定的罚款金额提高一倍。

2. 生效时间

  • 2025年11月13日:监管相关核心条款生效。

  • 2027年5月13日:18个月过渡期结束,法案全面执行,现行的2000年《信息技术法》第43A条及2011年《SPDI规则》将被正式废止。

四、出海印度企业合规安排

印度的数据保护已经日趋严格,DPDPA对儿童隐私保护、数据泄漏报告、重要数据处理等规定了严格的合规要求和高额罚款。建议出海企业在2026年底前完成合规改造,以应对2027年的新法的全面生效。

原文链接:

https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf

https://dpdpa.com/DPDP_Rules_2025_English_only.pdf

https://www.dataguidance.com/sites/default/files/information_technology_act_2000_as_amended_in_2008.pdf

https://www.dataguidance.com/sites/default/files/in098en.pdf

魏冬冬

汇业律师事务所 合伙人

声明:本文来自网络与数据法实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。