政府于周五通报了《2025 年数字个人数据保护 (DPDP) 规则》,从而启动了《2023 年数字个人数据保护法》的分阶段推出。影响消费者和公司的大多数合规义务仅在通知之日起 18 个月内生效,这为从社交媒体和电子商务到金融科技和电信等数字行业的公司提供了一个过渡时间,使其平台、同意系统和数据保留做法与法律保持一致。
一旦 18 个月的窗口期结束,公司和政府部门将需要在处理个人数据之前寻求特定的、与目的相关的同意;向用户提供所收集的个人数据的详细描述;提供简单的机制来撤回同意;实现申诉补救;当所述目的不再需要个人数据时,将其删除,除非为了遵守任何现行法律而需要保留这些数据。
公司还必须在发现个人数据泄露事件后 72 小时内向受影响的用户和数据保护委员会报告,披露泄露的性质、程度和时间、泄露的后果、采取的缓解措施以及用户应采取的预防措施。儿童数据受到加强保护,公司必须通过确认同意成年人的身份和年龄的措施,获得可验证的父母同意才能处理任何 18 岁以下人士的数据。然而,仅出于安全目的,平台才被允许实时跟踪未成年用户的位置。
重要数据受托人是政府根据处理的数据量和敏感性进行通知的类别,将面临额外的义务,包括年度数据保护影响评估和审计,以及验证其算法和软件不会危及用户的权利。
这些规则还明确了印度境外个人数据的传输。一般来说,数字个人数据的跨境传输是允许的,但中央政府可以通过单独的通知,限制向特定司法管辖区或此类司法管辖区内的个人或组织的传输。因此,默认规则允许海外数据流动,但中心有权在未来实施特定国家或特定实体的禁令。
尽管数据隐私法最明显的影响要在 18 个月的合规期到期后才会开始显现,但该框架的部分内容已经立即生效。这些规则不会对企业施加义务,而是启动随后对企业进行监管的执行机构。根据通知,政府需要成立一个搜寻兼选举委员会来推荐数据保护委员会主席和成员的人选。该委员会的总部将设在首都,将完全作为一个数字办公室运作,以电子方式进行备案、听证会、证据认证和命令。经联邦政府同意,委员会将能够任命自己的官员和工作人员。
DPDP 架构的另一个主要元素——同意管理器机制——已被放置在一个单独的实现桶中。一旦相关规则生效,同意管理者将有 12 个月的时间向数据保护委员会注册,注册框架本身将在稍后激活,并另行通知。要作为同意管理人运营,公司必须在印度注册成立并满足董事会规定的条件。同意管理者需要运行可互操作的平台,允许用户跨数字服务给予、管理和撤回同意。不履行义务可能会导致暂停注册。排序表明,政府打算首先建立监管机构,然后建立同意管理者的注册渠道,然后才激活处理个人数据的公司的合规责任。
该规则还规定了平台必须在处理目的完成后删除用户个人数据的时间表。如果用户帐户被删除或保持不活动状态并且处理目的不再存在,则必须删除数据,除非为了遵守任何现行法律而有必要保留数据。预计这将推动平台彻底改革数据保留架构,而到目前为止,这些架构基本上是自主决定的,很少受时间限制。
简而言之,规则将分三步实施。首先,监管机构开始运作。其次,同意管理基础设施被插入到系统中。三是履约义务和执行权力充分发挥作用。
分析师称,这 18 个月的期限将允许公司重新设计其内部系统、审查数据共享协议、重新设计用户同意流程并部署法律规定的技术保障措施。
分析师普遍欢迎明确的实施时间表、更宽松的合规要求以及增加的儿童数据保护措施。然而,一些人认为,这些规则缺乏对政府数据使用的明确检查,可能会让行业承担比国家更多的义务。然而,政府官员表示,该法案第 7 条明确提到了中心可以访问个人数据的豁免,除此之外,任何政府机构都没有范围处理与公司实体不同的个人数据。
