随着政府发布《数字个人数据保护规则》,广泛、无法解释的数据收集的时代即将结束。早期采取行动的公司将意识到,良好的隐私实践不是成本,而是竞争优势。 Probir Roy Chowdhury 写道,这是印度的 GDPR 时刻
通报规则的意义
两年来,《2023 年数字个人数据保护法案》(DPDP 法案)一直处于监管不确定状态,问题多于答案。电子和信息技术部 (MeitY) 现已通报 DPDP 规则 2025,将法律的操作框架付诸实施。现在,规则提供了我们一直在等待的明确性。他们具体规定了什么是允许的,什么是不允许的,以及监管机构敲门时的期望。这不是一个小的合规性更新。这标志着印度公司收集、使用、存储个人数据和将其货币化的方式发生了转变。这是印度的 GDPR 时刻——广泛、无法解释的数据收集时代即将结束。
同意至关重要
这些规则为同意收集、目的限制和透明度提供了严格的标准。你不能再要求“一切,以防万一”。公司现在必须披露为什么他们需要每一类数据,并确保个人有真正的选择不提供他们的数据。撤销同意必须像给予同意一样容易,这意味着产品团队需要将这些途径构建到他们的界面中。儿童数据和残疾人数据现在具有更高的标准,称为“可验证的父母或监护人同意”,并辅以年龄和身份检查。
负责保护数据的公司
安全义务也不再是普遍的期望。企业应该保留其声称拥有的控制措施的证据。现在,违规通知带有明确的时间表。企业需要及时、实质性地通知事件。跨境数据传输、保留和删除要求以及处理者义务也得到了更明确的解决。
这些变化对印度各行业企业意味着什么?
同意:对于许多企业,特别是快速消费品、广告科技、零售、教育和医疗保健行业,它们有大量的数据收集接触点,DPDP 规则要求明确的问责制。同意通知将需要不止一轮的编辑。公司将需要重新审视他们的数据实践、他们寻求同意的内容,以及他们当前的 UX(用户体验)是否真正为个人提供了选择。应用程序和网站上的同意层(其中许多是为了方便而不是为了清晰而构建的)需要通过有效的撤回机制来重建。
数据最小化:高级管理层需要就哪些数据实际上是必要的以及应保留多长时间做出具体的内部决策。那些快速扩张、广泛收集、没有将隐私融入设计的企业可能会感受到压力。一些公司将不得不重新检查数据流并简化他们收集和存储的内容。
实际上,这需要跨职能的协调。产品和工程团队必须与法律团队坐在一起来验证目的、保留时间表和删除流程。营销团队需要重新调整他们的营销活动模型并完善他们真正需要的内容。供应商合同也需要更新。
企业应立即采取哪些准备措施?
公司需要从数据地图开始,其中包括他们收集的所有内容、谁接触所有这些信息、公司保留这些信息的时间以及这些数据的存储位置。如果一家公司不能自信地回答这些问题,那么它可能不符合该法案。随后应对公司的同意和通知机制进行彻底审查。公司还应该重新审查所有供应商合同。最后,有必要重新审视公司的事件响应计划。
企业领导者应该如何看待这一转变?
企业应将数据保护视为客户信任、市场信誉和品牌价值的一部分。印度公司对DPDP法案等待已久。这些规则带来了明确性,但也带来了紧迫性。合规性不再是可选的,而且也不是表面的。早期采取行动的公司将意识到,良好的隐私实践不是成本,而是竞争优势。
作者是 JSA Advocates & Solicitors 合伙人
