انطباق۸ مه ۲۰۲۶ | FlexyConsent

قانون DPDP هند در ۲۰۲۶: راهنمای ناشران و تبلیغ‌کنندگان درباره مدیران رضایت، انتقال‌های فرامرزی و هیئت حفاظت از داده‌ها

قانون حفاظت از داده‌های شخصی دیجیتال هند (DPDPA، ۲۰۲۳) در آگوست ۲۰۲۳ تصویب شد و بیشتر سال‌های ۲۰۲۴ و ۲۰۲۵ را در یک اجرای تدریجی و کند سپری کرد که بسیاری از ناشران خارجی را در حالت انتظار نگه داشت. آن دوره به پایان رسیده است. قوانین DPDP در طول سال ۲۰۲۵ به‌طور کامل اعلام شدند، هیئت حفاظت از داده‌های هند (DPBI) اکنون عملیاتی است و به شکایات رسیدگی می‌کند، و چارچوب مدیر رضایت — مشارکت معماری متمایز هند در قانون حریم خصوصی جهانی — در محیط تولید فعال است. برای هر ناشر، تبلیغ‌کننده یا پلتفرمی که در سال ۲۰۲۶ داده‌های شخصی کاربران هندی را پردازش می‌کند، DPDPA دیگر یک نگرانی آینده نیست. این خط پایه انطباق فعلی است و از GDPR به روش‌هایی که برای طراحی CMP، جریان‌های فرامرزی و حقوق موضوعات داده مهم است متفاوت است. این راهنما DPDPA را در شکل اجرایی‌شده‌اش بررسی می‌کند، آنچه رضایت هندی واقعاً نیاز دارد، چگونه اکوسیستم مدیر رضایت چشم‌انداز CMP را تغییر می‌دهد، و وضعیت اجرایی DPBI در سال ۲۰۲۶ در عمل چگونه است.

ساختار DPDPA در سال ۲۰۲۶

DPDPA یک قانون مستقل حفاظت از داده است که از قوانین خاص بخشی هند در بانکداری، مخابرات و بهداشت متمایز است. اجرای آن عمداً مرحله‌بندی شده بود تا اکوسیستم مدیر رضایت، DPBI و رژیم انتقال فرامرزی هر کدام به ترتیب آنلاین شوند.

تصویب ۲۰۲۳ و اجرای ۲۰۲۴-۲۰۲۵

DPDPA در آگوست ۲۰۲۳ از پارلمان گذشت و به زودی تأیید ریاست‌جمهوری را دریافت کرد. وزارت الکترونیک و فناوری اطلاعات (MeitY) در سال ۲۰۲۴ درباره قوانین اجرایی مشورت کرد و قوانین نهایی در طول سال ۲۰۲۵ در چند مرحله اعلام شدند: ابتدا چارچوب ثبت مدیر رضایت، سپس رویه‌های حقوق موضوعات داده، سپس اعلامیه‌های انتقال فرامرزی، و سپس آستانه‌های امین داده مهم. تا ابتدای سال ۲۰۲۶ چارچوب کامل لازم‌الاجرا بود.

چه کسانی تحت نظارت هستند

DPDPA برای پردازش داده‌های شخصی دیجیتال افراد در هند اعمال می‌شود. همچنین به صورت فراسرزمینی اعمال می‌شود وقتی پردازش در ارتباط با ارائه کالا یا خدمات به موضوعات داده در هند باشد. ناشر مستقر در آمریکا که از طریق سایت بومی‌سازی‌شده، نسخه زبان هندی، یا موجودی برنامه‌ای خریداری‌شده در برابر آدرس‌های IP هندی به کاربران هندی سرویس می‌دهد در محدوده قانون است. این دامنه فراسرزمینی در قانون صریح است و در راهنمای اولیه DPBI تقویت شده است.

شکاف اصطلاحاتی

DPDPA از واژگان خاص خود استفاده می‌کند که از GDPR و بیشتر چارچوب‌های جدید آسیایی متفاوت است. یک امین داده همان چیزی است که GDPR کنترل‌کننده می‌نامد. یک پردازشگر داده کاملاً با پردازشگر GDPR مطابقت دارد. یک موضوع داده همان سوژه داده است. یک امین داده مهم یک کنترل‌کننده بالاتر از آستانه‌های حجم یا حساسیت اعلام‌شده توسط دولت مرکزی است. ناشران خارجی که برای اولین بار با DPDPA روبرو می‌شوند اغلب این اصطلاحات را اشتباه نگاشت می‌کنند؛ درست نگاشت کردن آنها در اوایل از سردرگمی بعداً جلوگیری می‌کند.

آنچه به عنوان داده شخصی محسوب می‌شود

تعریف داده شخصی DPDPA گسترده است و با عملکرد بین‌المللی همخوانی نزدیکی دارد. داده شخصی هر داده‌ای درباره فردی است که با یا در ارتباط با چنین داده‌ای قابل شناسایی است. DPBI از طریق راهنمای اولیه نشان داده است که شناسه‌های آنلاین — کوکی‌ها، شناسه‌های تبلیغاتی، آدرس‌های IP، اثر انگشت دستگاه و پروفایل‌های رفتاری — داده شخصی هستند وقتی بتوان آنها را مستقیماً یا از طریق وسایل معقول به فرد قابل شناسایی مرتبط کرد.

بدون دسته حساس، اما قوانین امین داده مهم

برخلاف GDPR، LGPD و PIPA، DPDPA به رسمیت یک دسته از داده‌های شخصی حساس را تعریف نمی‌کند. در عوض، قانون به تعیین امین داده مهم متکی است که تعهدات اضافی را برای کنترل‌کنندگانی که داده‌ها را در مقیاس پردازش می‌کنند، داده‌های کودکان را پردازش می‌کنند، داده‌هایی را پردازش می‌کنند که می‌توانند بر صحت انتخابات تأثیر بگذارند، یا داده‌هایی را پردازش می‌کنند که می‌توانند بر امنیت ملی تأثیر بگذارند اعمال می‌کند. نتیجه خالص شبیه به قوانین دسته حساس GDPR برای بزرگترین و حساس‌ترین پردازشگرها است، اما معماری متفاوت است.

چرا این برای کوکی‌ها مهم است

کوکی که یک شناسه تبلیغاتی معمولی جمع‌آوری می‌کند داده شخصی است اما فقط به این دلیل که یک بخش مخاطب حساس‌مانند را تغذیه می‌کند مشمول تعهدات بالاتری نمی‌شود. اما ناشری که به آستانه امین داده مهم می‌رسد — برای مثال یک پلتفرم بزرگ با ده‌ها میلیون کاربر هندی — تعهدات اضافی از جمله مسئول حفاظت از داده اجباری، حسابرسی‌های دوره‌ای و ارزیابی‌های تأثیر حفاظت از داده را به عهده می‌گیرد. آستانه‌های حجم در سال ۲۰۲۵ اعلام شدند؛ بیشتر پلتفرم‌های جهانی اکنون در محدوده هستند.

رضایت در چارچوب DPDPA

DPDPA رضایت را در مرکز چارچوب خود قرار می‌دهد اما آن را با مجموعه متمایزی از الزامات که یک به یک با رضایت GDPR منطبق نیستند تعریف می‌کند.

استاندارد رضایت معتبر

رضایت در چارچوب DPDPA باید:

آزاد — مشروط به ارائه خدماتی که کاربر به آن حق دارد نباشد، و اجباری نباشد
مشخص — به یک هدف مشخص گره خورده باشد، نه یک رضایت کلی
آگاهانه — موضوع داده درک می‌کند که چه داده‌ای پردازش می‌شود و برای چه هدفی
بدون شرط — رضایت به شرایط نامربوط گره نخورده باشد
بدون ابهام — از طریق یک اقدام مثبت صریح ابراز شود، نه از سکوت یا عدم فعالیت استنباط شود

الزام اطلاعیه اقلامی

DPDPA اطلاعیه‌ای را در زمان یا قبل از نقطه رضایت نیاز دارد که داده‌های شخصی مورد پردازش، هدف پردازش، روشی که موضوع داده می‌تواند حقوق را اعمال کند، و روشی که موضوع داده می‌تواند به هیئت شکایت کند را توصیف کند. اطلاعیه باید به زبان انگلیسی و به هر یک از ۲۲ زبان برنامه‌ریزی‌شده هند که موضوع داده درخواست می‌کند در دسترس باشد.

معماری مدیر رضایت

اینجاست که DPDPA تیزترین واگرایی از چارچوب‌های دیگر را دارد. قانون یک نقش دارای مجوز به نام مدیر رضایت ایجاد می‌کند — یک موجودیت شخص ثالث ثبت‌شده با DPBI که یک داشبورد رضایت قابل همکاری ارائه می‌دهد که به موضوعات داده اجازه می‌دهد رضایت‌ها را در چندین امین داده از یک رابط واحد بدهند، بررسی کنند، مدیریت کنند و پس بگیرند. مدیران رضایت باید با هیئت ثبت شوند و مشخصات قابلیت همکاری فنی را رعایت کنند. در عمل، امانداران داده می‌توانند رضایت را مستقیماً از طریق CMP خودشان یا از طریق یک مدیر رضایت ثبت‌شده کسب کنند، و در بسیاری از موارد موضوعات داده ترجیح می‌دهند رضایت خود را از طریق یک مدیر رضایت متمرکز کنند تا اینکه بنر هر سایت را جداگانه مدیریت کنند.

یک CMP سازگار چگونه به نظر می‌رسد

یک CMP پیکربندی‌شده برای ترافیک هندی در ۲۰۲۶ باید ارائه دهد:

یک بنر قابل مشاهده قبل از اینکه هر کوکی یا ردیاب غیرضروری فعال شود، با اقدامات قبول، رد و سفارشی‌سازی با برجستگی بصری یکسان
در دسترس بودن به زبان انگلیسی و زبان برنامه‌ریزی‌شده ترجیحی کاربر در صورت درخواست
کلیدهای رضایت دانه‌بندی‌شده به ازای هر هدف، از جمله تحلیل، تبلیغات، شخصی‌سازی و انتقال فرامرزی
یک لینک واضح به اطلاعیه اقلامی کامل از جمله حقوق و کانال شکایت DPBI
یک مکانیزم مداوم و آسان‌یاب برای پس گرفتن رضایت که به همان آسانی دادن رضایت باشد
قابلیت همکاری فنی با مدیران رضایت ثبت‌شده تا وضعیت رضایت بتواند با مدیر رضایت انتخابی موضوع داده همگام‌سازی شود

سوابق رضایت

امانداران داده باید سوابق رضایت از جمله اینکه چه کسی رضایت داده، چه زمانی، از طریق کدام رابط، برای کدام هدف، و هر تغییر بعدی را نگهداری کنند. DPBI در چندین مورد از اجرای اولیه خود سوابق ناکافی رضایت را ذکر کرده است و سوابق رضایت قابل صادر کردن با مهر زمانی انتظار پایه است.

انتقال فرامرزی داده‌ها

چارچوب انتقال فرامرزی DPDPA یکی از متمایزترین عناصر رژیم هندی است و به طور معناداری از الگوی کفایت-به-علاوه-تضمینات استفاده‌شده توسط GDPR، PIPA و KVKK اصلاح‌شده متفاوت است.

چارچوب اعلان

DPDPA با رویکرد فهرست منفی عمل می‌کند: انتقال‌های فرامرزی به طور کلی مجاز هستند مگر اینکه کشور مقصد در فهرست حوزه‌های قضایی محدودشده اعلام‌شده توسط دولت مرکزی ظاهر شود. این برعکس مدل کفایت GDPR است که انتقال‌ها را در غیاب تصمیم کفایت مثبت یا تضمینات ممنوع می‌داند. رویکرد DPDPA در ظاهر مجازتر است، اما فهرست منفی می‌تواند به صلاحدید دولت گسترش یابد و چندین حوزه قضایی در طول سال ۲۰۲۵ برای دسته‌های داده خاص به فهرست اضافه شده‌اند.

معنای عملیاتی آن

برای بیشتر جریان‌های تبلیغات برنامه‌ای در سال ۲۰۲۶، پاسخ این است که انتقال‌های فرامرزی به مقاصد اصلی فناوری تبلیغات مجاز است به شرطی که کشور مقصد در فهرست محدودشده نباشد. ناشران باید فهرست اعلان‌شده فعلی را بررسی کنند، مستندات انتقال و هدف آن را نگهداری کنند، و آماده باشند که جریان‌ها را تغییر مسیر دهند یا متوقف کنند اگر مقصدی اضافه شود. این برای بیشتر جریان‌ها به طور معناداری ساده‌تر از مکانیک انتقال GDPR است، اما الزام هوشیاری واقعی است.

بومی‌سازی خاص بخشی

جدای از DPDPA، چندین نهاد نظارتی بخشی هند — از جمله بانک مرکزی هند برای داده‌های مالی و وزارت بهداشت برای داده‌های سلامتی — الزامات بومی‌سازی خاص خود را دارند که بر DPDPA اعمال می‌شوند. ناشری که در یکی از این بخش‌های تنظیم‌شده به کاربران هندی سرویس می‌دهد باید هم با DPDPA و هم با قوانین بخشی قابل اعمال سازگار باشد.

حقوق موضوعات داده

DPDPA به موضوعات داده یک خوشه آشنا اما کمی محدودتر از حقوق نسبت به GDPR می‌دهد:

حق دسترسی به داده‌های شخصی در حال پردازش، از جمله دسته‌ها و پردازشگرها
حق تصحیح، تکمیل و به‌روزرسانی داده‌های شخصی
حق پاک کردن داده‌های شخصی که دیگر برای هدف بیان‌شده لازم نیستند
حق نامزد کردن فرد دیگری برای اعمال حقوق از طرف موضوع داده در صورت فوت یا ناتوانی
حق رسیدگی به شکایت از طریق امین داده
حق شکایت به هیئت حفاظت از داده اگر رسیدگی به شکایت ناکافی باشد

آنچه در فهرست حقوق نیست

به طور قابل توجه، DPDPA شامل حق مستقل انتقال‌پذیری، یک حق کلی اعتراض به پردازش، یا یک حق صریح در برابر تصمیم‌گیری خودکار نمی‌شود — اگرچه رژیم امین داده مهم و مکانیزم پس گرفتن رضایت به طور غیرمستقیم بخش زیادی از همان زمینه را پوشش می‌دهند.

جداول زمانی پاسخ

امانداران داده باید در بازه‌های زمانی مشخص‌شده در قوانین اعلان‌شده به درخواست‌های موضوعات داده پاسخ دهند — که در بیشتر موارد در یک دوره معقول که از پنجره مشخص‌شده تجاوز نمی‌کند است، با اینکه DPBI تأخیر معنادار را یک شکست انطباق می‌داند. سیستم رسیدگی به شکایت اولین مرحله است؛ فقط شکایات حل‌نشده به هیئت تصعید می‌یابند.

امانداران داده مهم

تعیین امین داده مهم (SDF) تعهدات اضافی فراتر از الزامات پایه DPDPA را فعال می‌کند.

تعهدات اضافی

انتصاب یک مسئول حفاظت از داده مستقر در هند
ارزیابی‌های دوره‌ای تأثیر حفاظت از داده برای فعالیت‌های پردازش مشخص‌شده
حسابرسی‌های مستقل دوره‌ای
تعهدات شفافیت اضافی درباره پردازش الگوریتمی
اعلان و نگهداری سوابق نقض داده‌های سخت‌گیرانه‌تر

چه کسانی واجد شرایط هستند

حجم، حجم داده‌های شخصی پردازش‌شده، حساسیت داده‌ها، خطر برای موضوعات داده، تأثیر بالقوه بر دموکراسی انتخاباتی، امنیت و حاکمیت، و تأثیر بالقوه بر نظم عمومی همه از عوامل هستند. دولت مرکزی SDF‌ها را به صورت انفرادی یا به عنوان یک طبقه اعلام می‌کند. بیشتر پلتفرم‌های جهانی بزرگی که هند را سرویس می‌دهند در سال ۲۰۲۶ در طبقات اعلام‌شده قرار می‌گیرند.

داده‌های کودکان

DPDPA کودک را به عنوان هر فردی زیر ۱۸ سال تعریف می‌کند — آستانه بالاتر از پیش‌فرض ۱۶ سال GDPR و آستانه‌های پایین‌تر ملی مختلف. پردازش داده‌های شخصی کودکان نیاز به رضایت قابل تأیید والدین دارد، و ردیابی، تبلیغات هدفمند و نظارت رفتاری کودکان صرف نظر از وضعیت رضایت محدود است. ناشرانی که مخاطبان آنها شامل ترافیک قابل توجه زیر ۱۸ سال است نیاز به سنجش سن، جریان‌های رضایت والدین و پردازش محدود برای بخش نوجوانان دارند — همه که نیاز به کار واقعی مهندسی دارند که بیشتر ناشران خارجی به طور پیش‌فرض کامل نکرده‌اند.

جریمه‌ها و اجرا

DPDPA یک رژیم جریمه معرفی کرد که بالاتر از جریمه‌های اداری تاریخی هند و به طور معناداری با شدت نقض مقیاس‌بندی شده بود.

جریمه‌های اداری

DPDPA اجازه می‌دهد جریمه‌هایی تا ۲۵۰ کرور روپیه (تقریباً ۳۰ میلیون دلار آمریکا) برای هر نقض برای جدی‌ترین نقض‌ها. جریمه‌های سطح پایین‌تر برای شکست در رضایت، اعلان، امنیت، اعلان نقض و رسیدگی به شکایت اعمال می‌شوند. DPBI در سال ۲۰۲۵ و اوایل ۲۰۲۶ چندین بار از وسط محدوده استفاده کرده است و ساختار جریمه طراحی شده تا با شکست سیستماتیک افزایش یابد.

موضوعات اجرایی DPBI

تصمیمات اولیه DPBI حول مجموعه کوچکی از مسائل تکراری متمرکز می‌شوند: بنرهای رضایت بدون گزینه واقعی رد، اعلان‌هایی که کانال‌های شکایت DPBI را توصیف نمی‌کنند، جریان‌های فرامرزی به مقاصد موجود در فهرست محدودشده، سیستم‌های رسیدگی به شکایت که در واقع پاسخ نمی‌دهند، و خرابی‌های قابلیت همکاری مدیر رضایت. ناشران خارجی در تقریباً تمام این دسته‌ها ذکر شده‌اند.

بُعد اعتباری

DPBI تصمیمات خود را به صورت عمومی منتشر می‌کند، از جمله نام امین و خلاصه‌ای از شکست. در بازار هندی که اصطکاک نظارتی به سرعت به پوشش رسانه‌ای و توجه سیاسی تبدیل می‌شود، هزینه اعتباری یک تصمیم DPBI منتشرشده علاوه بر جریمه مالی قابل توجه است.

چک‌لیست حسابرسی برای ترافیک هندی در ۲۰۲۶

بنر CMP با قبول، رد و سفارشی‌سازی با برجستگی بصری یکسان ارائه می‌شود
اعلان به زبان انگلیسی و در صورت لزوم در زبان برنامه‌ریزی‌شده درخواستی موضوع داده در دسترس است
اعلان به صراحت کانال شکایت DPBI و حقوق موضوع داده را توصیف می‌کند
اهداف رضایت دانه‌بندی‌شده هستند، با انتقال فرامرزی به عنوان یک هدف جداگانه
قابلیت همکاری فنی با حداقل یک مدیر رضایت ثبت‌شده برقرار است
پس گرفتن رضایت به همان آسانی دادن رضایت است، و حذف پایین‌دستی و فیلتر فعال‌سازی را فعال می‌کند
جریان کار حقوق موضوع داده — دسترسی، تصحیح، پاک کردن، نامزدی — مجهز و مستند است
کانال رسیدگی به شکایت با جداول زمانی پاسخ ردیابی‌شده مجهز است
مقاصد انتقال فرامرزی در برابر فهرست محدودشده فعلی بررسی و مستند شده‌اند
تعهدات امین داده مهم — DPO، DPIA، حسابرسی — در صورت عبور از آستانه برقرار است
جریان آگاه از سن برای کاربران زیر ۱۸ سال، با رضایت قابل تأیید والدین در صورت لزوم
قوانین بومی‌سازی و پردازش خاص بخشی در صورتی که ناشر در یک بخش تنظیم‌شده فعالیت می‌کند مستند و رعایت می‌شوند

چشم‌انداز ۲۰۲۶

رژیم حریم خصوصی هند در کمی بیشتر از دو سال از انتزاع قانونی به واقعیت عملیاتی تبدیل شده است. معماری DPDPA متمایز است — اکوسیستم مدیر رضایت برجسته‌ترین آزمایش جهانی در رضایت قابل انتقال و قابل همکاری است، و رویکرد انتقال فهرست منفی به طور معناداری از الگوی کفایت-به-علاوه-تضمینات که بر سایر چارچوب‌ها غالب است متفاوت است. برای ناشرانی که از قبل یک پشته رضایت در سطح GDPR اجرا می‌کنند، شکاف تا انطباق با DPDPA عملیاتی است نه معماری: قابلیت همکاری مدیر رضایت، اعلان‌های زبان برنامه‌ریزی‌شده، افشای شکایت DPBI، آستانه زیر ۱۸ سال، و بررسی انتقال فهرست منفی. شکاف می‌تواند در چند هفته بسته شود اگر اولویت‌بندی شود. ناشرانی که آن را قبل از رسیدن DPBI به درشان می‌بندند انتقال را متوجه نخواهند شد. آنهایی که منتظر می‌مانند ۲۰۲۶ و ۲۰۲۷ را به طور معناداری گران‌تر از سال‌های قبل خواهند یافت.