Loading…
DPDPA大量借鉴了GDPR——目的限制、数据主体权利、泄露通知,乃至数据保护官这一概念本身。但印度的框架更为精简、更以同意为核心,摒弃了“合法利益”这一合法依据,并采用按每次违规计算的克罗尔上限罚款,而非按营业额百分比计算的罚款。如果您从全球任何地方为印度数据主体提供服务,则需要兼顾两种视角。
| 维度 | 🇮🇳 DPDPA | 🇪🇺 GDPR |
|---|---|---|
| 法律文书 | 2023年《数字个人数据保护法》+ 2025年DPDP规则(G.S.R. 846(E)) | 条例(欧盟)2016/679 |
| 生效日期 | 法案:2023年8月11日;规则:在2025至2026年间分阶段实施 | 2018年5月25日 |
| 地域适用范围 | 对印度数据主体的数字个人数据的处理——无论在全球任何地方(第3条) | 欧盟/欧洲经济区+依据第3条的域外适用 |
| 合法依据 | 同意,或“某些合法用途”(第7条)——范围有限 | 六项依据(第6条);合法利益可广泛适用 |
| 同意要求 | 自由、具体、知情、无条件、明确——并附有清晰通知(第6条) | 自由作出、具体、知情、明确——可撤回(第7条) |
| 数据保护官 | 重要数据受托方(SDF)——必须在印度指定DPO(第10条) | 在特定情形下为强制要求(第37条) |
| 当地代表 | 法律未作要求(但在与董事会互动方面具有运营关键性) | 非欧盟控制者必须设立第27条欧盟代表 |
| 最高罚款(每次) | 2.5亿卢比(约3000万美元)——安全保障措施(规则6) | 2000万欧元或全球营业额的4%(第83条第5款) |
| 分级罚款结构 | 安全保障2.5亿卢比 · 泄露通知2亿卢比 · 儿童数据1.5亿卢比 · 其他5000万卢比 | 两个级别:1000万欧元/2%(较低)和2000万欧元/4%(较高) |
| 泄露通知 | 72小时内通知印度数据保护委员会及受影响的数据主体(规则7) | 72小时内通知监管机构(第33条),高风险时通知数据主体(第34条) |
| 监管机构 | 印度数据保护委员会(DPBI) | 27个欧盟成员国数据保护机构+EDPB |
| 儿童数据 | 18岁以下需经可验证的父母同意(第9条)。禁止行为追踪,禁止定向广告。 | 默认同意年龄为16岁(成员国可下调至13岁) |
| 数据主体权利 | 访问、更正、删除、申诉救济、提名、撤回同意(第11至14条) | 8项权利(第15至22条),包括可携权、反对自动化决策 |
| 可携权 | DPDPA未予授予 | 是——第20条 |
| 反对自动化决策的权利 | DPDPA未予授予 | 是——第22条 |
| 跨境传输 | 除非中央政府限制特定目的地,否则允许(第16条) | 受限——需SCC/BCR/充分性认定(第五章) |
| 数据本地化 | 法案中无全面本地化要求;RBI规则要求支付数据本地化 | GDPR无本地化要求;部分成员国施加行业规则 |
| 敏感数据类别 | 未明确分类(个人数据为单一层级) | 特殊类别数据(第9条),需明确同意 |
| DPIA对应要求 | 对SDF为强制要求(第10条第2款) | 对高风险处理为强制要求(第35条) |
| 独立监管机构上诉 | 电信争议解决与上诉法庭(TDSAT) | 直接司法救济+向数据保护机构投诉的权利(第77至79条) |
不是——尽管它借用了GDPR的词汇。DPDPA以同意为先,“合法用途”的范围更窄,省略了数据可携权和反对自动化决策的权利,并采用按每次违规计算的克罗尔上限罚款,而非按营业额百分比计算的罚款。对于系统性违规,罚款敞口仍可高达5亿卢比。
不需要——运行一个经映射的统一项目。以GDPR更严格的要求(DPIA、撤回同意、72小时泄露通知)为基准,再叠加DPDPA特有的内容(委员会通报、为SDF在印度设立DPO、儿童数据限制)。
是的,只要您向印度的数据主体提供商品或服务(第3条第b款)。无论您的服务器或实体位于何处,该法律均具有域外适用性。
该法案已经生效,但规则正在2025至2026年间分阶段实施。数据保护委员会已开始运作。预计执法将在2026年间逐步加强——请立即做好准备。
印度更为严格:18岁以下需经可验证的父母同意,并禁止行为追踪或定向广告。GDPR的默认同意年龄为16岁,可下调至13岁,且在获得同意并完成DPIA的情况下允许行为追踪。
法案中没有,但在实践中,印度数据保护委员会期望重要数据受托方指定一名常驻印度的联络人。这正是我们的印度代表服务所承担的角色。
控制措施映射一次,合规两次。RegulatoryBridge为您提供单一的DSAR流程、单一的DPO、单一的泄露应急手册——同时涵盖两种框架。