Loading…
《2023 年数字个人数据保护法》是印度首部综合性隐私法。它与《2025 年 DPDP 规则》(G.S.R. 846(E))共同规范印度数据主体的个人数据在全球任何地方的收集、处理、存储和共享方式。
执法工作由印度数据保护委员会(DPBI)负责,最高可处以每次 2.5 亿卢比的财务处罚,并对重要数据受托人施加更严格的义务。
从同意获取到委员会通知,每项义务都映射到一项控制、一名责任人和一项 SLA。
仅在获得有效同意或符合 DPDP 法第 7 条所规定的某些合法用途之一的情况下处理个人数据。
仅为特定、明确和合法的目的收集数据;未经重新同意,绝不改作他用。
将收集限制在所述目的所必需的范围内——不进行机会主义式的数据采集。
保持数据准确;在目的已达成或同意被撤回时予以删除。
按照规则6的要求实施加密、访问控制、日志记录和韧性措施——每次违规最高可处₹2.5亿(250 crore)罚款。
在72小时内通知印度数据保护委员会,并在不无故拖延的情况下通知受影响的数据主体(规则7)。
向印度用户提供服务——DPDPA具有域外适用效力。
DPDPA叠加于RBI / SEBI / IRDAI及数字健康框架之上。
消费者个人数据量大——通常属于重要数据受托人候选对象。
涉及儿童数据的违规须承担更高义务,并设₹1.5亿(150 crore)的罚款上限。
对照本法及2025年规则进行差距分析,并提供按优先级排序的整改路线图与预算。
在印度任命数据保护官,代表您与数据保护委员会(DPBI)进行对接。
符合DPDPA要求的告知文件,以英语及22种列明语言提供,并配备细粒度、可撤回的同意管理。
自助门户,在法定时限内处理访问、更正、删除和申诉请求。
操作手册、分类、向委员会备案及数据主体沟通——在事件期间提供端到端处理。
为被指定为SDF的组织提供DPIA周期、独立审计及额外的治理义务。