中央政府已正式通报《2025 年数字个人数据保护(DPDP)规则》,为实施《2023 年数字个人数据保护法》制定了操作框架。
该通知由电子和信息技术部发布并在《印度公报》上发布,标志着今年 1 月发布的规则草案的公众咨询过程达到了高潮。
通知称,该规则是在考虑了利益相关者的反对意见和建议后制定的。政府还制定了分阶段推出时间表。
这些规则首先给出了详细的定义,包括“用户帐户”、“可验证的同意”和“技术法律措施”等术语,这些术语用于管理数据保护委员会和上诉法庭采用的数字流程。
它们还规定了必须向数据主体发出的通知的形式和内容,要求使用清晰明了的语言、正在处理的个人数据的详细信息,以及能够撤回同意和行使权利的通信链接。
该通知的关键组成部分之一详细说明了处理儿童个人数据所需的可验证同意。数据受托人必须采取技术和组织措施,确保获得可识别的成年父母或监护人的同意,并通过受托人持有的可靠身份详细信息或通过授权令牌或数字储物柜系统进行验证。
多个插图概述了涉及未成年人的帐户创建过程,包括检查以确认年龄、身份和父母身份。
该规则还规定了重要数据受托人的额外义务,要求他们进行年度数据保护影响评估和审计,验证算法工具的安全性,并遵守政府规定的某些个人数据跨境流动的限制。
为了维护数据主体的权利,每个数据受托人都必须发布提交请求、申诉补救和身份验证所需的标识符的机制。他们必须在不超过 90 天的合理期限内做出回应,并允许指定个人代表数据主体行使权利。
这些规则还详细说明了数据保护委员会的结构、权力和职能,包括法定人数、决策流程、利益冲突保障、命令认证以及作为数字办公室运营的要求,从而实现远程程序。
针对委员会命令的上诉可以以数字方式向上诉法庭提出。
该法案列出了授权政府官员,他们有权出于与主权、执法或监管职能相关的特定目的向数据受托人寻求信息。
随着规则的正式通知,印度的数据保护生态系统现已进入结构化实施阶段。
