印度数据保护制度下的合规路线图

引言

印度电子和信息技术部于2025年11月14日通过公告发布了《2025年数字个人数据保护规则》（"DPDP规则"）。这些规则使印度的《2023年数字个人数据保护法》（"DPDP法案"）得以实施，建立了一个以公民为中心的个人数据负责任使用框架。

DPDP法案及其配套规则构成了该国保护数字个人数据的主要法律框架。它规定了合法处理个人数据的明确义务，并提供了防止滥用和未经授权访问的保障措施。

DPDP法案及其规则适用于处理与商品或服务相关的数字个人数据的实体，包括最初以非数字形式收集而后数字化的个人数据。

法案

该法案引入了三个关键主体：数据主体、数据受托人和数据处理者。

数据主体是指个人数据所关联的个人，并被授予对此类数据的权利，包括访问、更正和删除该等数据的权利。

数据受托人指任何决定个人数据处理目的和方式的组织、公司或政府机构，主要负责确保此类数据得到合法且安全的处理。

数据处理者则是代表数据受托人处理个人数据的第三方。

DPDP法案确立了法定框架，而DPDP规则则规定了操作细节——随着该法案的执行，该制度从政策框架转变为完全可执行的合规结构。它进一步阐述了适用于数据受托人、数据处理者和同意管理人的角色、职责和具体义务。

规则的主要特点：

A. 通知与同意：

数据受托人需要在收集个人数据之前提供清晰且独立的通知，明确所收集数据的性质及其使用的确切目的。通知还必须包含用于撤回同意、行使权利以及向数据保护委员会申诉的简单机制，规则强调撤回同意应如同给予同意一样容易。对于儿童数据，在处理前必须获得父母或法定监护人的可验证同意。

规则允许在满足政府规定条件的前提下进行跨境数据传输，并要求组织实施合理的安全保障措施，包括加密、访问控制和定期审计。

B. 同意管理人的义务：

DPDP规则还引入了同意管理人，这些实体使数据主体能够给予、管理、审查和撤回对其个人数据处理的同意。规则规定同意管理人有义务运营一个安全且可访问的数字平台，允许个人查看、管理和撤回同意。他们必须公布所需的公司信息，避免利益冲突，并且不能外包其义务。他们必须将记录保存七年，并维护一个强大的审计机制，在需要时向数据保护委员会报告结果。只有在印度注册成立且净资产达到2000万卢比及以上的公司才能成为同意管理人。

C. 安全保障措施

根据此项措施，数据受托人和数据处理者都有义务实施充分的安全保障措施，通过合同安排正式确定，这些安排涉及数据保护措施，如加密、掩码、访问控制和事件检测。必须维护充分的备份和连续性计划，日志、流量数据及相关信息应至少保留一年。

此外，数据受托人有义务向数据保护委员会报告任何数据泄露事件。必须在72小时内提交详细报告，概述事实、原因、影响、缓解措施以及向受影响个人发出的通知。受托人还必须尽早提醒受影响的个人。同样，如果泄露发生在数据处理者端，处理者必须立即通知数据受托人。

D. 数据主体的权利

根据规则，个人有权访问、更正、更新或删除其个人数据。他们还可以授权他人代表自己行使这些权利。数据受托人必须在90天内对这些请求做出回应，确保公民得到及时的补救。

E. 数据保留与删除

数据受托人和数据处理者有义务在目的达成后删除个人数据，除非法律要求保留更长时间。某些大型平台（用户超过两千万的电子商务平台、社交媒体中介或游戏平台）的数据处理者必须将数据保留三年，并在删除前48小时通知个人。所有处理日志必须至少保存一年。

F. 重要数据受托人

最后，某些实体可能根据处理数据的数量和敏感性等因素被指定为重要数据受托人。这些实体需承担更强的合规义务，包括进行定期的数据保护影响评估、接受独立审计、任命数据保护官，并遵守额外的监管要求，包括与跨境数据传输相关的要求。

实施

政府公告的DPDP规则实施将分阶段进行，以确保平稳过渡到合规状态。在初始阶段，即2025年11月13日，将建立数据保护委员会等机构机制，并正式确立DPDP法案和规则下的法律框架。

在第二阶段，即12个月内生效，将建立针对同意管理人的监管制度，要求其向数据保护委员会注册并遵守规定的技术和操作标准，并提供过渡期以便调整。

在第三阶段，即18个月内生效，DPDP框架将完全可执行，所有义务对数据受托人、数据处理者和重要数据受托人成为强制性要求，不合规将受到监管处罚。

处罚

根据DPDP法案，处罚并非统一标准，而是根据具体情况进行审查。该法案规定了适用于不同类型不合规行为的最高处罚金额。

这种方法确保根据违规的严重程度进行公平处罚。

结论

《2023年数字个人数据保护法》及《2025年DPDP规则》为印度的数据受托人建立了一个结构化的框架，要求组织将其数据处理实践与法律要求保持一致。该路线图概述了分阶段实施的方法，适用于刚开始合规之旅和已经在进行合规工作的组织，分为即时、短期和长期行动，以实现并维持合规。