Kepada Siapa DPDP Act Terpakai

DPDP Act mengawal pemprosesan data peribadi digital dalam India, serta pemprosesan di luar India yang berkaitan dengan penawaran barangan atau perkhidmatan kepada individu di India. Dalam praktiknya, jika laman web anda boleh diakses oleh pengguna India dan anda mengumpul data peribadi melaluinya — termasuk melalui kuki, SDK, piksel atau kaedah penjejak cap jari — Akta ini hampir pasti terpakai kepada anda.

Akta ini menggunakan dua peranan utama: Data Fiduciary (setara dengan pengawal di bawah GDPR) dan Data Processor. Sebilangan kecil pengendali terbesar boleh ditetapkan sebagai Significant Data Fiduciaries, yang mencetuskan kewajipan tambahan seperti Penilaian Kesan Perlindungan Data dan pelantikan Pegawai Perlindungan Data yang bermastautin di India.

Bagaimana DPDP Act Menangani Kuki dan Penjejak

Tidak seperti Arahan ePrivacy, DPDP Act tidak mengasingkan kuki sebagai kategori berasingan. Sebaliknya, ia mengawal apa-apa pemprosesan data peribadi digital. Ini bermakna kuki, pengecam peranti, alamat IP, ID pengiklanan dan emel yang dihash semuanya termasuk dalam skop apabila ia dipautkan — secara langsung atau tidak langsung — kepada seseorang yang boleh dikenal pasti.

Implikasinya untuk penerbit adalah jelas: jika kuki atau tag pada laman anda menyebabkan data peribadi dikumpul atau dikongsi, anda memerlukan asas pemprosesan yang sah. Di bawah DPDP Act, asas tersebut hampir selalu ialah kebenaran, dengan set kecil pengecualian untuk "legitimate uses" yang ditakrifkan oleh Akta.

Bagaimana Rupa Kebenaran yang Sah

DPDP Act menetapkan piawaian tinggi untuk kebenaran. Ia mesti bebas, khusus, dimaklumkan, tanpa syarat, dan jelas, serta dinyatakan melalui tindakan afirmatif yang nyata. Kotak yang ditanda prasar, kebenaran tersirat melalui terus melayari, dan reka bentuk "cookie wall" yang mensyaratkan akses berdasarkan penerimaan tidak serasi dengan keperluan ini.

Dua peraturan khusus DPDP tambahan yang penting untuk reka bentuk UX kebenaran:

• Notis terperinci mengikut butiran: Sebelum atau pada masa kebenaran diberikan, anda mesti memberikan notis yang jelas kepada pengguna yang mengenal pasti data yang dikumpul, tujuan pemprosesan, dan cara pengguna boleh menarik balik kebenaran atau memfailkan aduan kepada Data Protection Board of India.
• Bahasa mudah dan sokongan berbilang bahasa: Notis mesti tersedia dalam bahasa Inggeris dan dalam mana-mana daripada 22 bahasa rasmi India yang dipilih pengguna. CMP yang tidak boleh memaparkan kandungan kebenaran dalam bahasa Hindi, Tamil, Bengali, Marathi dan bahasa-bahasa utama lain akan sukar untuk mematuhi kehendak Akta.

Data Kanak-kanak dan Kebenaran Ibu Bapa

DPDP Act menganggap sesiapa di bawah umur 18 tahun sebagai kanak-kanak dan memerlukan kebenaran ibu bapa yang boleh disahkan sebelum memproses data peribadi mereka. Ia juga melarang pemantauan tingkah laku dan pengiklanan disasar yang ditujukan kepada kanak-kanak. Mana-mana laman web yang boleh diakses oleh golongan bawah umur di India — yang dalam praktiknya bermaksud hampir semua laman — memerlukan strategi pengesanan umur atau berasaskan risiko, dan mesti boleh menyekat skrip penjejakan apabila kebenaran ibu bapa tiada.

Hak Pengguna yang Mesti Disokong oleh CMP Anda

Data Principal (pengguna) di India mempunyai satu set hak yang mesti boleh dilaksanakan melalui lapisan kebenaran dan keutamaan anda:

• Hak untuk mengakses ringkasan data peribadi mereka yang sedang diproses.
• Hak untuk pembetulan dan pemadaman data mereka.
• Hak untuk menarik balik kebenaran pada bila-bila masa, dengan tahap kemudahan yang sama seperti ketika memberikannya.
• Hak untuk menamakan individu lain untuk melaksanakan hak bagi pihak mereka sekiranya berlaku kematian atau ketidakupayaan.
• Hak kepada penyelesaian aduan, terlebih dahulu dengan Data Fiduciary dan kemudian dengan Data Protection Board of India.

CMP yang patuh hendaklah memaparkan pautan keutamaan yang kekal, menyokong penarikan balik kebenaran dengan satu klik, dan merekodkan peristiwa kebenaran dengan cara yang boleh dikemukakan atas permintaan semasa siasatan.

Penghantaran Data Rentas Sempadan

DPDP Act menggunakan pendekatan "senarai negatif" untuk pemindahan antarabangsa: data peribadi boleh dipindahkan ke luar India kecuali negara destinasi telah disekat secara khusus oleh Kerajaan Pusat. Ini lebih longgar berbanding rejim kesetaraan GDPR, namun anda masih perlu mendokumenkan negara ketiga mana yang menerima data daripada pengguna India dan memantau senarai sekatan yang diterbitkan.

Penalti dan Penguatkuasaan

Penalti kewangan di bawah DPDP Act adalah besar. Data Protection Board boleh mengenakan denda sehingga ₹250 crore (lebih kurang $30 million USD) kerana kegagalan mengambil langkah keselamatan yang munasabah, dan sehingga ₹200 crore kerana kegagalan memenuhi kewajipan berkaitan kanak-kanak. Kegagalan berkaitan kebenaran — termasuk mengumpul kebenaran melalui banner yang tidak patuh — tertakluk kepada denda sehingga ₹50 crore bagi setiap pelanggaran.

Melaksanakan Kebenaran Patuh DPDP dalam CMP Anda

1. Kesan geolokasi pengguna India dan gunakan templat kebenaran khusus DPDP dan bukannya mengitar semula banner GDPR. Kandungan notis dan pilihan bahasa yang diperlukan adalah berbeza.
2. Paparkan notis dalam pelbagai bahasa India. Sekurang-kurangnya, sokong bahasa Hindi dan Inggeris, dan tambah bahasa serantau berdasarkan taburan trafik anda.
3. Sekat semua penjejak bukan penting secara lalai. Muatkan SDK pihak ketiga, pengiklanan dan analitik hanya selepas kebenaran afirmatif diperoleh.
4. Asingkan tujuan dengan jelas. Jangan gabungkan pengiklanan, analitik dan pemperibadian dalam satu tindakan "terima" jika pengguna secara munasabah mungkin mahu memberikan kebenaran kepada sebahagian tetapi bukan yang lain.
5. Rekod peristiwa kebenaran dan penarikannya dengan cap masa, versi notis tepat yang dipaparkan, dan pilihan bahasa pengguna, supaya anda boleh membuktikan pematuhan semasa siasatan pengawal selia.
6. Sediakan pautan keutamaan yang jelas kelihatan pada setiap halaman yang membolehkan pengguna menyemak, mengemas kini atau menarik balik kebenaran pada bila-bila masa.

DPDP vs. GDPR: Perbezaan Praktikal

• Tiada asas "legitimate interests". DPDP Act tidak mengiktiraf legitimate interests sebagai asas sah umum seperti di bawah GDPR. Kebenaran memegang peranan yang lebih besar, jadi reka bentuk UX menjadi lebih penting.
• Peraturan lebih ketat berkaitan kanak-kanak. Umur kebenaran digital ialah 18 tahun, bukan 13 atau 16, dan pengiklanan disasar kepada golongan bawah umur dinyatakan secara jelas sebagai dilarang.
• Keperluan notis berbilang bahasa adalah unik kepada DPDP Act dan tidak boleh dipenuhi dengan banner dalam bahasa Inggeris sahaja.
• Kewajipan Significant Data Fiduciary mewujudkan satu lagi lapisan pematuhan bagi pengendali berisiko tinggi yang tidak mempunyai anologi langsung di bawah GDPR.

Kesimpulan

DPDP Act membawa India ke dalam landskap perlindungan data global moden dengan acuannya tersendiri — berasaskan kebenaran, direka bentuk secara berbilang bahasa, dan melindungi golongan bawah umur pada tahap yang luar biasa tinggi. Penerbit dan platform yang sudah mengendalikan CMP bertaraf GDPR mempunyai kelebihan permulaan, tetapi mereka masih perlu melaraskan kandungan banner, sokongan bahasa, pengendalian umur, dan pelogaan untuk memenuhi keperluan DPDP. Menganggap India sebagai "hanya satu lagi bidang kuasa GDPR" ialah cara terpantas untuk berdepan dengan Data Protection Board.