印度 DPDP 法案 2023：数字个人数据保护合规性

印度于 2023 年 8 月 11 日颁布的《2023 年数字个人数据保护法》（DPDP 法）代表了印度隐私监管方式的里程碑式转变。经过近十年的立法审议——包括斯里克里希纳法官委员会报告（2017 年）、多份个人数据保护法案草案以及最高法院确认隐私为一项基本权利的判决（法官 K.S. Puttaswamy 诉印度联盟，2017 年）——印度现在拥有一个全面、可执行的数据保护框架。

DPDP 法案引入了“数据受托人”、“数据主体”和“同意管理者”等概念，设立印度数据保护委员会 (DPBI) 作为执行机构，并对每次违规行为设定最高 25 亿卢比（约合 3000 万美元）的经济处罚。该法案现已生效，其实施细则预计将于 2025-2026 年最终确定并通报。

要点

• 2023 年 DPDP 法案适用于印度境内的数字个人数据处理以及域外向印度个人提供的服务
• 同意是主要法律依据，辅之以特定目的（就业、法律诉讼、公共利益）的“合法使用”
• “重要数据受托人”面临更高的义务，包括 DPIA 要求和任命独立数据审计师
• 印度数据保护委员会 (DPBI) 是执法机构，有权调查、裁决和实施处罚
• 每次违规最高处罚为 25 亿卢比（约合 3000 万美元）；多次违规的处罚可累加
• 允许向所有国家/地区进行跨境数据传输，中央政府通知明确限制的国家/地区除外
• 数据主体（个人）有权访问、更正、删除、提名和申诉纠正
• 实施规则（尚未最终确定）将规定关键操作要求，包括同意通知格式、保留期限和重要数据信托标准

---

2023 年 DPDP 法案：框架概述

关键术语

DPDP 法案引入了自己的术语，与受 GDPR 影响的框架不同：

• 个人数据：有关可通过此类数据识别或与此类数据相关的个人的任何数据
• 数字个人数据：数字形式的个人数据，或随后数字化的非数字个人数据
• 数据主体：个人数据相关的个人（相当于 GDPR 的“数据主体”）
• 数据受托人：单独或与他人共同确定处理目的和方式的任何人（相当于GDPR的“数据控制者”）
• 数据处理者：代表数据受托人处理个人数据的人
• 重要数据受托人 (SDF)：中央政府根据数据量/敏感性、数据主体风险、国家安全考虑和其他标准指定的数据受托人

范围

DPDP 法案适用于：

1. 印度境内数字个人数据的处理
2. 在印度境外处理数字个人数据——如果是为了向印度的数据主体提供商品或服务

豁免：出于个人或家庭目的进行处理；由数据主体本身公开提供或法律要求数据主体公开的个人数据。

---

基金会同意

与大多数具有多个平等法律基础的全球数据保护法不同，DPDP 法案将同意作为主要法律基础，并辅以特定列举类别的“合法使用”。这是具有重大实际意义的基本设计选择。

同意要求

DPDP 法案规定的同意必须是：

• 免费：无强迫或条件
• 具体：针对每个描述的目的
• 知情：基于明确的同意通知
• 无条件：不依赖于提供不必要的更多数据
• 明确：明确的平权行动

同意通知要求（第 5 条和第 7 条）：在寻求同意之前，数据受托人必须提供包含以下内容的通知：

• 要处理的个人数据的描述
• 处理目的
• 数据主体行使权利的方式
• 向数据受托人提出申诉的方式
• 向 DPBI 提出投诉的方式

通知必须使用英语和《宪法》第八附表中指定的语言（22 种官方语言）——这是面向消费者的企业的一项重要运营要求。

同意管理者：DPDP 法案引入了同意管理者——作为代表数据主体管理同意的中介机构的注册实体。数据主体可以通过单个同意管理器管理多个数据受托人的同意。这是印度框架特有的创新机制。

合法使用（第 7 节）

未经同意的处理允许用于特定的“合法用途”：

1. 国家职能：国家机关提供补贴、福利、服务、证书、许可证的处理
2. 医疗紧急情况：治疗威胁生命或直接健康风险的医疗紧急情况
3. 流行病/灾难：应对流行病、流行病或灾难
4. 雇佣目的：根据法律履行与雇佣相关的义务或行使权利的处理（包括雇佣前审查）
5. 法院命令：法院命令要求的处理
6. 研究和统计：在规定标准内预防/检测欺诈、信用评分、法律研究、统计目的的处理
7. 公平合理的目的：为中央政府指定的公平合理的目的进行处理

---

数据主体权利

DPDP 法案授予数据主体以下权利（第 11-14 节）：

值得注意的缺失：DPDP 法案不包括与 GDPR 相同形式的明确的可移植性、限制或反对自动化决策的权利。中央政府的实施细则可能会通过规定的标准来解决其中的一些问题。

响应时间表：该法案没有规定时间表——预计这些时间表将在实施规则中规定。数据受托人必须在规定期限内确认投诉并在另一个规定期限内解决这些投诉。

---

数据信托义务

一般义务（第 8 节）

所有数据受托人必须：

• 保持数据准确性（完整性、准确性、与目的的一致性）
• 实施数据安全保障措施，包括加密、访问控制和事件响应
• 目的达成或撤回同意时删除个人数据（除非法律义务要求保留）
• 有一名申诉官（或官员/机制）负责数据主体投诉
• 未经可证实的父母同意，不得处理儿童数据（适用于 18 岁以下的儿童）
• 不跟踪或监控儿童的行为或针对儿童投放广告

儿童数据保护

DPDP 法案对儿童数据（18 岁以下的个人）有严格的规定：

• 处理需要可验证的父母同意
• 禁止针对儿童的跟踪、行为监控和定向广告
• 处理儿童数据不会对其健康造成损害

实施规则将指定可验证家长同意的技术机制——这对消费者应用程序来说是一个重大的用户体验和技术挑战。

重要数据受托人 (SDF)

中央政府将根据以下因素指定某些数据受托人为重要数据受托人：

• 处理的个人数据的数量和敏感性
• 数据主体权利风险
• 对印度主权和完整的潜在影响
• 选举民主面临的风险
• 国家安全
• 公共秩序

SDF 面临额外义务（第 10 条）：

• 数据保护影响评估 (DPIA)：针对高风险处理活动进行并记录 DPIA
• 数据审核：由独立数据审核员定期审核
• 数据保护官 (DPO)：任命驻印度的 DPO 作为关键管理人员
• 其他措施：按照中央政府规定

自卫队的指定标准尚未最终确定——实施规则将指定阈值。根据国际先例，拥有数百万印度用户的科技公司、社交媒体平台和大型电子商务企业可能是候选者。

---

跨境数据传输

DPDP 法案第 16 条采取了值得注意的做法：个人数据可以转移到印度以外的任何国家，中央政府通知明确限制的国家除外。

这是正面清单/负面限制的方式——默认是允许转移，但政府可以出于国家安全、战略或其他原因限制向特定国家转移。

实际影响：

• 企业可以在国际范围内传输数据，无需每次传输评估（受国家/地区限制）
• 中央政府将公布受限制国家名单——企业必须监督并实施限制
• 特定部门的本地化要求（RBI 下的财务数据、NMC/卫生部下的健康数据）继续与 DPDP 法案一起适用

现状：截至 2026 年初，尚未发布任何国家/地区限制通知。实施细则将建立限制清单的发布和更新框架。

---

印度数据保护委员会 (DPBI)

第 18 条规定 DPBI 作为一个独立的裁决机构，有权：

• 接收并调查数据主体的投诉
• 对涉嫌违规行为进行调查
• 通过命令，包括经济处罚
• 向数据受托人和处理者发出指示
• 将事项提交中央政府采取政策行动

DPBI 结构：由中央政府任命的主席担任主席；成员包括技术、法律和公共政策方面的专家。 DPBI 尚未成立——其运作准备情况将取决于实施规则和政府任命。

调查流程：在用尽数据受托人的内部申诉机制后，数据委托人可以向 DPBI 投诉。 DPBI 可以进行调查、寻求文件、传唤证人以及发出说明原因的通知。实体有权在处罚令之前听取意见。

处罚

DPDP 法案制定了处罚表（DPBI 时间表）：

每次违规都会受到处罚，并且可以累积——理论上，涉及安全故障和通知故障的单一数据泄露可能会导致总计 45 亿卢比的损失。

---

违规通知

第 8 条要求数据受托人将任何个人数据泄露通知 DPBI（以及通过规定方式的数据委托人）。与 GDPR 基于风险的阈值（仅“可能导致高风险”）不同，DPDP 法案似乎要求通知影响数字个人数据的所有违规行为。实施细则将明确：

• 通知时间表
• 通知的形式和内容
• 通知受影响数据主体的方式

在没有指定时间表的情况下，最佳实践是遵守 GDPR 的 DPBI 通知 72 小时标准，并就高风险违规行为立即通知数据主体，不得无故拖延。

---

DPDP 法案实施时间表

2023 年 8 月：DPDP 法案颁布并获得总统批准

2024：关于实施规则的政府磋商；利益相关者反馈期

2025–2026：实施预计将被通知的规则，具体说明：

• 同意书格式和语言要求
• 数据保留期限
• SDF指定标准和阈值
• 可验证的家长同意机制
• 同意管理器注册要求
• DPBI的章程和运作程序
• 数据审核员资格要求

现状：该法案已经生效，但许多操作要求取决于实施规则。企业在设计合规计划时应考虑 GDPR 级别的严格性，同时监控规则的制定。

---

DPDP 法案合规检查清单

• 已完成适用性分析（印度运营、印度客户）
• 完成所有处理活动的个人数据清单
• 同意通知符合第 5 条和第 7 条的要求
• 实施同意机制（肯定的、具体的、无条件的）
• 计划将同意通知翻译成适用的印度语言
• 未经同意完成处理的合法用途分析
• 儿童数据识别完成——拟定家长同意机制
• 记录数据主体权利程序（访问、更正、删除、提名）
• 指定申诉官员并公布联系信息
• 实施安全保障措施（加密、访问控制、事件响应）
• 记录违规通知程序（符合 DPBI 报告要求）
• 数据保留和删除程序记录并自动化
• 跨境转移评估——计划进行限制国家名单监测
• SDF 指定评估 — 如果可能符合资格，则准备承担额外义务
• 为高风险处理建立 DPIA 流程
• 已完成 DPDP 法案义务的员工培训

---

常见问题

2023 年 DPDP 法案是否完全生效？

《DPDP 法案》于 2023 年 8 月颁布并获得总统批准。然而，许多条款取决于规定操作要求的实施规则（在该法案下称为规则）。截至2026年初，实施细则尚未完全通报。该法案本身已经生效——这意味着其原则和一些义务适用——但详细的合规要求（同意通知格式、SDF 标准、DPBI 程序）有待制定。企业现在应该准备合规框架，并在规则发布时更新它们。

DPDP 法案与 GDPR 有何不同？

几个显着差异：（1）DPDP 法案以同意为主要依据，“合法用途”有限——GDPR 有六个平等的法律依据； (2) DPDP 法案默认允许跨境传输（政府限制国家除外）——GDPR 限制传输，除非存在足够的保护； (3) DPDP 法案没有明确规定数据可移植性或处理限制的权利； (4) DPDP 法案引入了同意管理器——一项独特的创新； (5) DPDP 法案的处罚结构（最高 25 亿卢比）低于 GDPR 对大型跨国公司的潜在最高限额； (6) DPDP 法案仅适用于数字个人数据——GDPR 适用于所有个人数据，无论格式如何。

谁可能被指定为重要数据受托人？

第 10 节中的标准建议 SDF 将包括：在印度运营的主要社交媒体平台、拥有大量印度用户群的大型电子商务公司、大规模处理敏感数据（健康、金融）的公司、拥有大量处理量的科技公司。根据 GDPR 类似的“大规模系统监控”门槛和印度的规模（14 亿人口），拥有数百万印度用户的公司，特别是消费互联网、金融科技和健康科技领域的公司，应该评估 SDF 的可能性，并为承担更高的义务做好准备。

同意管理器的规定是什么？

同意管理者是在 DPBI 注册的实体，负责维护可互操作的平台，数据委托人可以通过该平台跨多个数据受托人提供、管理、审查和撤回同意。数据受托人负责根据通过同意管理者获得的同意进行处理。其目的是让个人在整个数字生态系统中集中查看和控制他们的同意。同意管理人的注册要求和技术标准将在实施细则中明确。

DPDP 法案如何适用于员工数据？

就业数据通过“合法使用”条款（第 7(f) 条）进行处理——为了履行与就业相关的法律规定的义务或行使权利（包括就业前验证、背景调查、工资、福利）而进行的处理属于合法使用，无需征得同意。然而，超出就业目的的员工数据需要征得同意。实施细则预计将明确与就业相关的合法用途的范围。

特定行业的数据本地化要求是否仍然适用？

是的。 DPDP 法案的跨境转移规定不会取代特定部门的本地化要求。印度储备银行 (RBI) 要求在印度境内存储金融数据（支付系统数据存储方向，2018 年）。国家医委和卫生部有健康数据本地化要求。 IRDAI（保险）对保险公司有数据本地化要求。受监管行业的企业必须满足 DPDP 法案和行业特定要求。

---

后续步骤

印度的 DPDP 法案代表了对在印度开展业务、客户或员工的任何企业的重大监管发展。虽然实施规则仍在最终确定中，但现在构建您的合规计划（特别是围绕同意机制、数据主体权利和安全保障措施）使您能够在通知规则时有效地实现合规性。

ECOSIRE 的技术实施团队帮助企业设计适合印度市场的符合 DPDP 的数据架构、同意管理系统和隐私操作工作流程。

开始使用：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。 DPDP 法案的实施细则正在等待制定；要求将随着规则的通知而变化。请咨询合格的印度法律顾问，获取针对您的组织的具体建议。