Akta DPDP India 2026: Panduan Penerbit dan Pengiklan tentang Pengurus Persetujuan, Pemindahan Rentas Sempadan, dan Lembaga Perlindungan Data
India Akta Perlindungan Data Peribadi Digital (DPDPA, 2023) telah digubal pada Ogos 2023 dan kemudiannya menghabiskan sebahagian besar 2024 dan 2025 dalam pelancaran yang perlahan dan berperingkat yang menyebabkan ramai penerbit asing dalam mod menunggu. Tempoh itu telah berakhir. Peraturan DPDP telah dimaklumkan sepenuhnya semasa 2025, Lembaga Perlindungan Data India (DPBI) kini beroperasi dan mendengar aduan, dan rangka kerja Pengurus Persetujuan — sumbangan arkitektur India yang tersendiri kepada undang-undang privasi global — sudah beroperasi dalam pengeluaran. Bagi mana-mana penerbit, pengiklan, atau platform yang memproses data peribadi pengguna India pada 2026, DPDPA bukan lagi kebimbangan masa depan. Ia adalah garis dasar pematuhan semasa, dan ia berbeza daripada GDPR dalam cara-cara yang penting untuk bagaimana CMP, aliran rentas sempadan, dan hak subjek data direkabentuk. Panduan ini menelusuri DPDPA dalam bentuk yang telah dilaksanakan, apa yang persetujuan India sebenarnya memerlukan, bagaimana ekosistem Pengurus Persetujuan mengubah landskap CMP, dan seperti apa postur penguatkuasaan DPBI pada 2026 dalam amalan.
Struktur DPDPA pada 2026
DPDPA adalah statut perlindungan data yang tersendiri, berbeza daripada undang-undang khusus sektor India tentang perbankan, telekomunikasi, dan kesihatan. Pelancaran nya sengaja berperingkat supaya ekosistem Pengurus Persetujuan, DPBI, dan rejim pemindahan rentas sempadan masing-masing boleh beroperasi secara berurutan.
Penggubalan 2023 dan Pelancaran 2024-2025
DPDPA melepasi Parlimen pada Ogos 2023 dan menerima perkenan presiden tidak lama kemudian. Kementerian Elektronik dan Teknologi Maklumat (MeitY) menghabiskan 2024 berbincang tentang Peraturan pelaksanaan, dan Peraturan akhir dimaklumkan sepanjang 2025 dalam beberapa peringkat: rangka kerja pendaftaran Pengurus Persetujuan dahulu, kemudian prosedur hak subjek data, kemudian pemberitahuan pemindahan rentas sempadan, kemudian ambang fiduiari data penting. Menjelang awal 2026, rangka kerja penuh telah berkuat kuasa.
Siapa yang Dikawal Selia
DPDPA terpakai kepada pemprosesan data peribadi digital individu di India. Ia juga terpakai secara ekstrateritorial apabila pemprosesan berkaitan dengan menawarkan barangan atau perkhidmatan kepada prinsipal data di India. Penerbit berpangkalan di AS yang melayani pengguna India melalui laman web yang dilokalkan, versi bahasa India, atau inventori program yang dibeli terhadap alamat IP India adalah dalam skop. Jangkauan ekstrateritorial ini tidak samar dalam statut dan telah diperkukuh dalam panduan awal DPBI.
Jurang Terminologi
DPDPA menggunakan perbendaharaan katanya sendiri, yang berbeza daripada GDPR dan daripada kebanyakan rangka kerja Asia yang lebih baru. Fiduiari data adalah apa yang GDPR panggil pengawal. Pemproses data memetakan dengan jelas kepada pemproses GDPR. Prinsipal data adalah subjek data. Fiduiari data penting adalah pengawal di atas ambang saiz atau sensitiviti yang dimaklumkan oleh kerajaan pusat. Penerbit asing yang menemui DPDPA buat pertama kali sering salah memetakan istilah-istilah ini; mendapatkan pemetaan yang betul lebih awal menjimatkan kekeliruan kemudian.
Apa yang Dikira sebagai Data Peribadi
Definisi data peribadi DPDPA adalah luas dan mengikuti amalan antarabangsa dengan rapat. Data peribadi adalah mana-mana data tentang individu yang boleh dikenal pasti oleh atau berkaitan dengan data tersebut. DPBI telah menunjukkan melalui panduan awal bahawa pengecam dalam talian — kuki, ID pengiklanan, alamat IP, cap jari peranti, dan profil tingkah laku — adalah data peribadi apabila ia boleh dikaitkan dengan individu yang boleh dikenal pasti secara langsung atau melalui cara yang munasabah.
Tiada Kategori Sensitif, Tetapi Peraturan Fiduiari Data Penting
Tidak seperti GDPR, LGPD, dan PIPA, DPDPA tidak mentakrifkan secara formal kategori data peribadi sensitif. Sebaliknya, Akta bergantung pada penetapan fiduiari data penting, yang mengenakan kewajipan tambahan kepada pengawal yang memproses data dalam skala, memproses data kanak-kanak, memproses data yang boleh menjejaskan integriti pilihan raya, atau memproses data yang boleh menjejaskan keselamatan negara. Keputusan bersihnya adalah serupa dengan peraturan kategori sensitif GDPR untuk pemproses terbesar dan paling sensitif, tetapi arkitekturnya berbeza.
Mengapa Ini Penting untuk Kuki
Kuki yang mengumpul pengecam pengiklanan rutin adalah data peribadi tetapi tidak tertakluk kepada kewajipan yang dipertingkatkan hanya kerana ia memberi makan segmen audiens yang kelihatan sensitif. Tetapi penerbit yang mencapai ambang fiduiari-data-penting — contohnya platform besar dengan puluhan juta pengguna India — mengambil kewajipan tambahan termasuk Pegawai Perlindungan Data wajib, audit berkala, dan Penilaian Impak Perlindungan Data. Ambang saiz dimaklumkan pada 2025; kebanyakan platform global kini berada dalam skop.
Persetujuan di Bawah DPDPA
DPDPA meletakkan persetujuan di tengah-tengah rangka kerjanya tetapi mentakrifkannya dengan set keperluan yang berbeza yang tidak memetakan satu-ke-satu kepada persetujuan GDPR.
Piawaian Persetujuan yang Sah
Persetujuan di bawah DPDPA mestilah:
- Bebas — tidak bersyarat kepada penyediaan perkhidmatan yang pengguna sebaliknya berhak, dan tidak dipaksa
- Spesifik — terikat kepada tujuan yang jelas dikenal pasti, bukan persetujuan payung umum
- Termaklum — prinsipal data memahami data apa yang diproses dan untuk tujuan apa
- Tanpa syarat — persetujuan tidak terikat kepada syarat yang tidak relevan
- Tidak samar — dinyatakan melalui tindakan afirmatif yang jelas, tidak disimpulkan daripada senyap atau tidak aktif
Keperluan Notis Terperinci
DPDPA memerlukan notis pada atau sebelum titik persetujuan yang menerangkan data peribadi yang akan diproses, tujuan pemprosesan, cara prinsipal data boleh menggunakan hak, dan cara prinsipal data boleh mengadu kepada Lembaga. Notis mestilah tersedia dalam bahasa Inggeris dan dalam mana-mana daripada 22 bahasa berjadual India yang diminta oleh prinsipal data.
Arkitektur Pengurus Persetujuan
Di sinilah DPDPA paling ketara menyimpang daripada rangka kerja lain. Akta mewujudkan peranan berlesen yang dipanggil Pengurus Persetujuan — entiti pihak ketiga yang berdaftar dengan DPBI yang menyediakan papan pemuka persetujuan yang saling beroperasi yang membolehkan prinsipal data memberikan, menyemak, mengurus, dan menarik balik persetujuan merentas berbilang fiduiari data daripada satu antara muka. Pengurus Persetujuan mestilah berdaftar dengan Lembaga dan mestilah memenuhi spesifikasi kebolehoperasian teknikal. Dalam amalan, fiduiari data boleh mendapatkan persetujuan sama ada secara langsung melalui CMP mereka sendiri atau melalui Pengurus Persetujuan yang berdaftar, dan dalam banyak kes prinsipal data memilih untuk memusatkan persetujuan mereka melalui Pengurus Persetujuan daripada mengurus banner setiap laman web secara berasingan.
Seperti Apa CMP yang Patuh
CMP yang dikonfigurasikan untuk trafik India pada 2026 sepatutnya memaparkan:
- Banner yang kelihatan sebelum mana-mana kuki atau penjejak tidak penting diaktifkan, dengan tindakan Terima, Tolak, dan Sesuaikan pada keutamaan visual yang sama
- Ketersediaan dalam bahasa Inggeris dan dalam bahasa berjadual pilihan pengguna apabila diminta
- Togol persetujuan terperinci setiap tujuan, termasuk analitik, pengiklanan, pemperibadian, dan pemindahan rentas sempadan
- Pautan yang jelas kepada notis terperinci penuh termasuk hak dan saluran aduan DPBI
- Mekanisme yang kekal dan mudah ditemui untuk menarik balik persetujuan yang semudah memberikan persetujuan
- Kebolehoperasian teknikal dengan Pengurus Persetujuan yang berdaftar supaya keadaan persetujuan boleh disegerakkan dengan Pengurus Persetujuan yang dipilih oleh prinsipal data
Rekod Persetujuan
Fiduiari data mesti mengekalkan rekod persetujuan, termasuk siapa yang bersetuju, bila, melalui antara muka mana, untuk tujuan mana, dan sebarang perubahan seterusnya. DPBI telah memetik log persetujuan yang tidak mencukupi dalam beberapa prosidingnya yang awal, dan rekod persetujuan yang boleh dieksport dan bermasa adalah jangkaan garis dasar.
Pemindahan Data Rentas Sempadan
Rangka kerja pemindahan rentas sempadan DPDPA adalah salah satu elemen paling tersendiri rejim India dan berbeza dengan bermakna daripada corak kecukupan-tambah-perlindungan yang digunakan oleh GDPR, PIPA, dan KVKK yang dipinda.
Rangka Kerja Pemberitahuan
DPDPA beroperasi berdasarkan pendekatan senarai negatif: pemindahan rentas sempadan secara amnya dibenarkan melainkan negara destinasi muncul dalam senarai bidang kuasa terhad yang dimaklumkan oleh kerajaan pusat. Ini adalah songsangan model kecukupan GDPR, yang menganggap pemindahan dilarang tanpa keputusan kecukupan positif atau perlindungan. Pendekatan DPDPA lebih permisif pada permukaannya, tetapi senarai negatif boleh diperluaskan atas budi bicara kerajaan, dan beberapa bidang kuasa telah dimasukkan dalam senarai semasa 2025 untuk kategori data tertentu.
Apa Ini Bermakna Secara Operasional
Bagi kebanyakan aliran pengiklanan program pada 2026, jawapannya ialah pemindahan rentas sempadan ke destinasi teknologi iklan utama dibenarkan dengan syarat negara destinasi tidak berada dalam senarai terhad. Penerbit perlu menyemak senarai yang dimaklumkan semasa, menyimpan dokumentasi pemindahan dan tujuannya, dan bersedia untuk menghala semula atau menjeda aliran jika destinasi ditambah. Ini lebih mudah berbanding mekanik pemindahan GDPR untuk kebanyakan aliran, tetapi keperluan kewaspadaan adalah nyata.
Pelokalan Khusus Sektor
Secara berasingan daripada DPDPA, beberapa pengawal selia sektoral India — termasuk Bank Negara India untuk data kewangan dan Kementerian Kesihatan untuk data kesihatan — mempunyai keperluan pelokalan mereka sendiri yang berada di atas DPDPA. Penerbit yang melayani pengguna India dalam salah satu sektor terkawal ini perlu mematuhi kedua-dua DPDPA dan peraturan sektoral yang berkenaan.
Hak Prinsipal Data
DPDPA memberikan prinsipal data kelompok hak yang biasa tetapi sedikit lebih sempit berbanding GDPR:
- Hak untuk mengakses data peribadi yang sedang diproses, termasuk kategori dan pemproses
- Hak untuk pembetulan, penyiapan, dan pengemaskinian data peribadi
- Hak untuk pemadaman data peribadi yang tidak lagi diperlukan untuk tujuan yang dinyatakan
- Hak untuk mencalonkan individu lain untuk menggunakan hak bagi pihak prinsipal data sekiranya berlaku kematian atau ketidakupayaan
- Hak penyelesaian aduan melalui fiduiari data
- Hak untuk mengadu kepada Lembaga Perlindungan Data jika penyelesaian aduan tidak memuaskan
Apa yang Tidak Ada dalam Senarai Hak
Perlu diperhatikan, DPDPA tidak termasuk hak portabiliti yang tersendiri, hak umum untuk membantah pemprosesan, atau hak eksplisit terhadap pembuatan keputusan automatik — walaupun rejim fiduiari-data-penting dan mekanisme penarikan balik persetujuan secara tidak langsung meliputi sebahagian besar kawasan yang sama.
Garis Masa Respons
Fiduiari data mesti bertindak balas kepada permintaan prinsipal data dalam garis masa yang dinyatakan dalam Peraturan yang dimaklumkan — yang dalam kebanyakan kes adalah dalam tempoh yang munasabah tidak melebihi tetingkap yang dinyatakan, dengan DPBI menganggap kelewatan yang bermakna sebagai kegagalan pematuhan. Sistem penyelesaian aduan adalah langkah pertama; hanya aduan yang tidak diselesaikan dinaik taraf kepada Lembaga.
Fiduiari Data Penting
Penetapan fiduiari data penting (SDF) mencetuskan kewajipan tambahan di luar keperluan garis dasar DPDPA.
Kewajipan Tambahan
- Pelantikan Pegawai Perlindungan Data yang berpangkalan di India
- Penilaian Impak Perlindungan Data berkala untuk aktiviti pemprosesan tertentu
- Audit bebas berkala
- Kewajipan ketelusan tambahan tentang pemprosesan algoritmik
- Pemberitahuan pelanggaran dan penyimpanan rekod yang lebih ketat
Siapa yang Layak
Saiz, jumlah data peribadi yang diproses, sensitiviti data, risiko kepada prinsipal data, potensi impak kepada demokrasi pilihan raya, keselamatan, dan kedaulatan, serta potensi impak kepada ketenteraman awam adalah semua faktor. Kerajaan pusat memaklumkan SDF sama ada secara individu atau mengikut kelas. Kebanyakan platform global besar yang melayani India berada dalam kelas yang dimaklumkan pada 2026.
Data Kanak-kanak
DPDPA mentakrifkan kanak-kanak sebagai mana-mana individu berumur di bawah 18 tahun — ambang yang lebih tinggi daripada lalai GDPR sebanyak 16 dan pelbagai ambang nasional yang lebih rendah. Memproses data peribadi kanak-kanak memerlukan persetujuan ibu bapa yang boleh disahkan, dan penjejakan, pengiklanan bertarget, dan pemantauan tingkah laku kanak-kanak adalah terhad tanpa mengira status persetujuan. Penerbit yang audiensnya merangkumi trafik bawah 18 tahun yang ketara memerlukan penghadang umur, aliran persetujuan ibu bapa, dan pemprosesan terhad untuk segmen kecil — semua ini memerlukan kerja kejuruteraan sebenar yang sedikit penerbit asing telah selesaikan secara lalai.
Penalti dan Penguatkuasaan
DPDPA memperkenalkan rejim penalti yang lebih tinggi daripada denda pentadbiran India yang bersejarah dan berskala bermakna kepada keterukan pelanggaran.
Penalti Pentadbiran
DPDPA membenarkan penalti sehingga INR 250 crore (lebih kurang USD 30 juta) setiap pelanggaran untuk pelanggaran paling serius. Penalti peringkat lebih rendah terpakai untuk kegagalan seputar persetujuan, notis, keselamatan, pemberitahuan pelanggaran, dan penyelesaian aduan. DPBI telah menggunakan pertengahan julat beberapa kali pada 2025 dan awal 2026, dan struktur penalti direka untuk meningkat dengan kegagalan yang sistematik.
Tema Penguatkuasaan DPBI
Keputusan awal DPBI berkumpul di sekitar set kecil isu berulang: banner persetujuan tanpa pilihan Tolak yang tulen, notis yang tidak menerangkan saluran aduan DPBI, aliran rentas sempadan ke destinasi dalam senarai terhad, sistem penyelesaian aduan yang tidak benar-benar bertindak balas, dan kegagalan kebolehoperasian Pengurus Persetujuan. Penerbit asing telah dipetik dalam hampir semua kategori ini.
Dimensi Reputasi
DPBI menerbitkan keputusannya secara terbuka, termasuk nama fiduiari dan ringkasan kegagalan. Dalam pasaran India di mana geseran kawal selia cepat diterjemahkan ke dalam liputan media dan perhatian politik, kos reputasi keputusan DPBI yang diterbitkan adalah bermakna di atas penalti kewangan.
Senarai Semak Audit untuk Trafik India pada 2026
- Banner CMP disajikan dengan Terima, Tolak, dan Sesuaikan pada keutamaan visual yang sama
- Notis tersedia dalam bahasa Inggeris dan dalam bahasa berjadual yang diminta oleh prinsipal data di mana berkenaan
- Notis menerangkan secara eksplisit saluran aduan DPBI dan hak prinsipal data
- Tujuan persetujuan adalah terperinci, dengan pemindahan rentas sempadan sebagai tujuan yang berasingan
- Kebolehoperasian teknikal dengan sekurang-kurangnya satu Pengurus Persetujuan yang berdaftar sudah ada
- Penarikan balik persetujuan semudah memberikan persetujuan, dan mencetuskan penapis pemadaman dan pengaktifan hilir
- Aliran kerja hak prinsipal data — akses, pembetulan, pemadaman, pencalonan — dikelola dan didokumenkan
- Saluran penyelesaian aduan dikelola dengan garis masa respons yang dikesan
- Destinasi pemindahan rentas sempadan disemak berbanding senarai terhad semasa dan didokumenkan
- Kewajipan fiduiari data penting — DPO, DPIA, audit — sudah ada jika ambang dicapai
- Aliran peka umur untuk pengguna di bawah 18 tahun, dengan persetujuan ibu bapa yang boleh disahkan di mana berkenaan
- Peraturan pelokalan dan pemprosesan khusus sektor didokumenkan dan dipatuhi jika penerbit beroperasi dalam sektor terkawal
Prospek 2026
Rejim privasi India telah beralih daripada abstraksi perundangan kepada realiti operasi dalam ruang lebih sedikit daripada dua tahun. Arkitektur DPDPA adalah tersendiri — ekosistem Pengurus Persetujuan adalah eksperimen global paling ketara dalam persetujuan mudah alih dan saling beroperasi, dan pendekatan pemindahan senarai negatif berbeza dengan bermakna daripada corak kecukupan-tambah-perlindungan yang mendominasi rangka kerja lain. Bagi penerbit yang sudah menjalankan tumpukan persetujuan gred GDPR, jurang kepada pematuhan DPDPA adalah operasional dan bukannya arkitektural: kebolehoperasian Pengurus Persetujuan, notis bahasa berjadual, pendedahan aduan DPBI, ambang bawah 18 tahun, dan semakan pemindahan senarai negatif. Jurang boleh ditutup dalam beberapa minggu jika diutamakan. Penerbit yang menutupnya sebelum DPBI tiba di pintu mereka tidak akan menyedari peralihan. Mereka yang menunggu akan mendapati 2026 dan 2027 jauh lebih mahal daripada tahun-tahun sebelumnya.