การปฏิบัติตามกฎระเบียบ8 พ.ค. 2026 | FlexyConsent

กฎหมาย DPDP ของอินเดียในปี 2026: คู่มือสำหรับผู้เผยแพร่และผู้ลงโฆษณาเกี่ยวกับผู้จัดการความยินยอม การโอนข้อมูลข้ามพรมแดน และคณะกรรมการคุ้มครองข้อมูล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลดิจิทัล (DPDPA, 2023) ของอินเดียได้รับการประกาศใช้ในเดือนสิงหาคม 2023 และใช้เวลาส่วนใหญ่ในปี 2024 และ 2025 ในการขยายตัวแบบค่อยเป็นค่อยไปที่ทำให้ผู้เผยแพร่ต่างชาติจำนวนมากอยู่ในสถานะรอดำเนินการ ช่วงเวลานั้นได้สิ้นสุดลงแล้ว กฎ DPDP ได้รับการแจ้งเต็มรูปแบบในปี 2025 คณะกรรมการคุ้มครองข้อมูลของอินเดีย (DPBI) ปัจจุบันเปิดดำเนินการและรับเรื่องร้องเรียน และกรอบผู้จัดการความยินยอม — ผลงานทางสถาปัตยกรรมที่โดดเด่นของอินเดียต่อกฎหมายความเป็นส่วนตัวระดับโลก — เปิดใช้งานในการผลิตแล้ว สำหรับผู้เผยแพร่ ผู้ลงโฆษณา หรือแพลตฟอร์มใดๆ ที่ประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ชาวอินเดียในปี 2026 DPDPA ไม่ใช่ความกังวลในอนาคตอีกต่อไป แต่เป็นฐานการปฏิบัติตามในปัจจุบัน และแตกต่างจาก GDPR ในแง่มุมที่สำคัญต่อวิธีที่ CMP การไหลข้ามพรมแดน และสิทธิของเจ้าของข้อมูลได้รับการออกแบบ คู่มือนี้จะผ่าน DPDPA ในรูปแบบที่เปิดใช้งานแล้ว สิ่งที่ความยินยอมของอินเดียต้องการอย่างแท้จริง วิธีที่ระบบนิเวศของผู้จัดการความยินยอมเปลี่ยนภูมิทัศน์ CMP และลักษณะของท่าทีการบังคับใช้ของ DPBI ในปี 2026 ในทางปฏิบัติ

โครงสร้างของ DPDPA ในปี 2026

DPDPA เป็นกฎหมายคุ้มครองข้อมูลที่เป็นอิสระ แตกต่างจากกฎหมายเฉพาะภาคของอินเดียเกี่ยวกับธนาคาร โทรคมนาคม และสุขภาพ การขยายตัวของกฎหมายนี้ถูกกำหนดให้เป็นแบบขั้นตอนโดยตั้งใจเพื่อให้ระบบนิเวศของผู้จัดการความยินยอม DPBI และระบอบการโอนข้ามพรมแดนสามารถออนไลน์ได้ตามลำดับ

การผ่านกฎหมายในปี 2023 และการขยายตัวในปี 2024-2025

DPDPA ผ่านรัฐสภาในเดือนสิงหาคม 2023 และได้รับความยินยอมจากประธานาธิบดีไม่นานหลังจากนั้น กระทรวงอิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศ (MeitY) ใช้เวลาปี 2024 ในการปรึกษาหารือเกี่ยวกับกฎการปฏิบัติ และกฎสุดท้ายได้รับการแจ้งตลอดปี 2025 ในหลายรอบ ได้แก่ กรอบการลงทะเบียนผู้จัดการความยินยอมก่อน จากนั้นขั้นตอนสิทธิของเจ้าของข้อมูล จากนั้นการแจ้งเตือนการโอนข้ามพรมแดน จากนั้นเกณฑ์ผู้ดูแลข้อมูลที่มีนัยสำคัญ ณ ต้นปี 2026 กรอบทั้งหมดมีผลบังคับใช้

ใครอยู่ภายใต้กฎหมาย

DPDPA ใช้กับการประมวลผลข้อมูลส่วนบุคคลดิจิทัลของบุคคลภายในอินเดีย นอกจากนี้ยังมีผลบังคับใช้นอกอาณาเขตเมื่อการประมวลผลเกี่ยวข้องกับการเสนอสินค้าหรือบริการแก่เจ้าของข้อมูลในอินเดีย ผู้เผยแพร่ที่ตั้งอยู่ในสหรัฐอเมริกาที่ให้บริการผู้ใช้ชาวอินเดียผ่านเว็บไซต์เฉพาะถิ่น เวอร์ชันภาษาอินเดีย หรือสินค้าคงคลังแบบโปรแกรมที่ซื้อตามที่อยู่ IP ของอินเดียอยู่ในขอบเขต การเข้าถึงนอกอาณาเขตนี้ชัดเจนในกฎหมายและได้รับการเสริมในแนวทางเบื้องต้นของ DPBI

ช่องว่างทางคำศัพท์

DPDPA ใช้คำศัพท์ของตัวเอง ซึ่งแตกต่างจาก GDPR และจากกรอบเอเชียใหม่ส่วนใหญ่ ผู้ดูแลข้อมูล คือสิ่งที่ GDPR เรียกว่าผู้ควบคุม ผู้ประมวลผลข้อมูล แมปได้อย่างชัดเจนกับผู้ประมวลผลของ GDPR เจ้าของข้อมูล คือเจ้าของข้อมูล ผู้ดูแลข้อมูลที่มีนัยสำคัญ คือผู้ควบคุมที่เกินเกณฑ์ขนาดหรือความไวที่รัฐบาลกลางแจ้ง ผู้เผยแพร่ต่างชาติที่พบกับ DPDPA เป็นครั้งแรกมักจะแมปคำเหล่านี้ผิดพลาด การแมปที่ถูกต้องตั้งแต่ต้นช่วยประหยัดความสับสนในภายหลัง

สิ่งที่นับว่าเป็นข้อมูลส่วนบุคคล

คำจำกัดความของข้อมูลส่วนบุคคลของ DPDPA กว้างและติดตามแนวปฏิบัติระดับนานาชาติอย่างใกล้ชิด ข้อมูลส่วนบุคคลคือข้อมูลใดๆ เกี่ยวกับบุคคลที่สามารถระบุตัวตนได้จากหรือในความสัมพันธ์กับข้อมูลดังกล่าว DPBI ได้ระบุผ่านแนวทางเบื้องต้นว่าตัวระบุออนไลน์ — คุกกี้ รหัสโฆษณา ที่อยู่ IP ลายนิ้วมือของอุปกรณ์ และโปรไฟล์พฤติกรรม — เป็นข้อมูลส่วนบุคคลเมื่อสามารถเชื่อมโยงกับบุคคลที่ระบุตัวตนได้โดยตรงหรือผ่านวิธีการที่สมเหตุสมผล

ไม่มีหมวดหมู่ที่ละเอียดอ่อน แต่มีกฎสำหรับผู้ดูแลข้อมูลที่มีนัยสำคัญ

ต่างจาก GDPR, LGPD และ PIPA, DPDPA ไม่ได้กำหนดหมวดหมู่ข้อมูลส่วนบุคคลที่ละเอียดอ่อนอย่างเป็นทางการ แต่กฎหมายพึ่งพาการกำหนดผู้ดูแลข้อมูลที่มีนัยสำคัญ ซึ่งใช้ภาระผูกพันเพิ่มเติมกับผู้ควบคุมที่ประมวลผลข้อมูลในระดับขนาดใหญ่ ประมวลผลข้อมูลของเด็ก ประมวลผลข้อมูลที่อาจส่งผลกระทบต่อความสมบูรณ์ของการเลือกตั้ง หรือประมวลผลข้อมูลที่อาจส่งผลกระทบต่อความมั่นคงแห่งชาติ ผลลัพธ์สุทธิคล้ายคลึงกับกฎหมวดหมู่ที่ละเอียดอ่อนของ GDPR สำหรับผู้ประมวลผลที่ใหญ่ที่สุดและละเอียดอ่อนที่สุด แต่สถาปัตยกรรมแตกต่างกัน

เหตุใดสิ่งนี้จึงสำคัญสำหรับคุกกี้

คุกกี้ที่รวบรวมตัวระบุโฆษณาทั่วไปเป็นข้อมูลส่วนบุคคลแต่ไม่อยู่ภายใต้ภาระผูกพันที่เพิ่มขึ้นเพียงเพราะมันป้อนกลุ่มผู้ชมที่ดูละเอียดอ่อน แต่ผู้เผยแพร่ที่ถึงเกณฑ์ผู้ดูแลข้อมูลที่มีนัยสำคัญ — ตัวอย่างเช่นแพลตฟอร์มขนาดใหญ่ที่มีผู้ใช้ชาวอินเดียหลายสิบล้านคน — รับภาระผูกพันเพิ่มเติมรวมถึงเจ้าหน้าที่คุ้มครองข้อมูลบังคับ การตรวจสอบเป็นระยะ และการประเมินผลกระทบด้านการคุ้มครองข้อมูล เกณฑ์ขนาดได้รับการแจ้งในปี 2025 แพลตฟอร์มระดับโลกส่วนใหญ่ปัจจุบันอยู่ในขอบเขต

ความยินยอมภายใต้ DPDPA

DPDPA วางความยินยอมไว้ที่ศูนย์กลางของกรอบแต่กำหนดด้วยชุดข้อกำหนดที่แตกต่างกันซึ่งไม่ได้แมปแบบหนึ่งต่อหนึ่งกับความยินยอมของ GDPR

มาตรฐานความยินยอมที่ถูกต้อง

ความยินยอมภายใต้ DPDPA ต้องเป็น:

ข้อกำหนดการแจ้งเตือนแบบระบุรายการ

DPDPA กำหนดให้มีการแจ้งเตือน ณ เวลาหรือก่อนความยินยอมที่อธิบายข้อมูลส่วนบุคคลที่จะประมวลผล วัตถุประสงค์ของการประมวลผล วิธีที่เจ้าของข้อมูลสามารถใช้สิทธิ์ และวิธีที่เจ้าของข้อมูลสามารถร้องเรียนต่อคณะกรรมการ การแจ้งเตือนต้องมีในภาษาอังกฤษและในภาษาที่กำหนดใดๆ จาก 22 ภาษาของอินเดียที่เจ้าของข้อมูลร้องขอ

สถาปัตยกรรมของผู้จัดการความยินยอม

นี่คือจุดที่ DPDPA แตกต่างจากกรอบอื่นๆ อย่างชัดเจนที่สุด กฎหมายกำหนดบทบาทที่ได้รับใบอนุญาตที่เรียกว่าผู้จัดการความยินยอม — นิติบุคคลบุคคลที่สามที่ลงทะเบียนกับ DPBI ที่ให้แดชบอร์ดความยินยอมที่สามารถทำงานร่วมกันได้ ช่วยให้เจ้าของข้อมูลสามารถให้ ตรวจสอบ จัดการ และถอนความยินยอมในผู้ดูแลข้อมูลหลายรายจากอินเทอร์เฟซเดียว ผู้จัดการความยินยอมต้องลงทะเบียนกับคณะกรรมการและต้องปฏิบัติตามข้อกำหนดทางเทคนิคของการทำงานร่วมกัน ในทางปฏิบัติ ผู้ดูแลข้อมูลสามารถได้รับความยินยอมโดยตรงผ่าน CMP ของตัวเองหรือผ่านผู้จัดการความยินยอมที่ลงทะเบียน และในหลายกรณีเจ้าของข้อมูลเลือกที่จะรวมศูนย์ความยินยอมของตนผ่านผู้จัดการความยินยอมแทนที่จะจัดการแบนเนอร์ของแต่ละเว็บไซต์แยกกัน

CMP ที่สอดคล้องมีลักษณะอย่างไร

CMP ที่กำหนดค่าสำหรับการรับส่งข้อมูลของอินเดียในปี 2026 ควรนำเสนอ:

บันทึกความยินยอม

ผู้ดูแลข้อมูลต้องเก็บบันทึกความยินยอม รวมถึงผู้ที่ยินยอม เมื่อใด ผ่านอินเทอร์เฟซใด เพื่อวัตถุประสงค์ใด และการเปลี่ยนแปลงในภายหลัง DPBI ได้อ้างบันทึกความยินยอมที่ไม่เพียงพอในการดำเนินการเบื้องต้นหลายครั้ง และบันทึกความยินยอมที่ส่งออกได้พร้อมการประทับเวลาเป็นความคาดหวังพื้นฐาน

การโอนข้อมูลข้ามพรมแดน

กรอบการโอนข้ามพรมแดนของ DPDPA เป็นหนึ่งในองค์ประกอบที่โดดเด่นที่สุดของระบอบอินเดียและแตกต่างอย่างมีนัยสำคัญจากรูปแบบความเพียงพอบวกมาตรการป้องกันที่ GDPR, PIPA และ KVKK ที่แก้ไขแล้วใช้

กรอบการแจ้งเตือน

DPDPA ดำเนินการตามแนวทางรายการลบ: การโอนข้ามพรมแดนโดยทั่วไปได้รับอนุญาตเว้นแต่ประเทศปลายทางจะปรากฏในรายการเขตอำนาจศาลที่จำกัดที่รัฐบาลกลางแจ้ง นี่คือสิ่งที่ตรงข้ามกับโมเดลความเพียงพอของ GDPR ซึ่งถือว่าการโอนถูกห้ามในกรณีที่ไม่มีการตัดสินใจด้านความเพียงพอเชิงบวกหรือมาตรการป้องกัน แนวทางของ DPDPA เปิดกว้างกว่าในหน้า แต่รายการลบสามารถขยายได้ตามดุลยพินิจของรัฐบาล และหลายเขตอำนาจศาลได้ถูกวางในรายการในปี 2025 สำหรับหมวดหมู่ข้อมูลเฉพาะ

สิ่งนี้หมายความว่าอย่างไรในเชิงปฏิบัติการ

สำหรับการไหลโฆษณาแบบโปรแกรมส่วนใหญ่ในปี 2026 คำตอบคือการโอนข้ามพรมแดนไปยังจุดหมายปลายทางเทคโนโลยีโฆษณาหลักได้รับอนุญาต โดยมีเงื่อนไขว่าประเทศปลายทางไม่ได้อยู่ในรายการที่จำกัด ผู้เผยแพร่ต้องตรวจสอบรายการที่แจ้งในปัจจุบัน เก็บเอกสารการโอนและวัตถุประสงค์ และพร้อมที่จะเปลี่ยนเส้นทางหรือหยุดการไหลหากมีการเพิ่มปลายทาง สิ่งนี้ง่ายกว่าอย่างมีนัยสำคัญกว่ากลไกการโอนของ GDPR สำหรับการไหลส่วนใหญ่ แต่ข้อกำหนดการเฝ้าระวังนั้นเป็นจริง

การแปลเฉพาะกลุ่มอุตสาหกรรม

แยกต่างหากจาก DPDPA หน่วยงานกำกับดูแลภาคส่วนของอินเดียหลายแห่ง รวมถึงธนาคารกลางอินเดียสำหรับข้อมูลทางการเงินและกระทรวงสาธารณสุขสำหรับข้อมูลสุขภาพ มีข้อกำหนดการแปลของตัวเองที่อยู่เหนือ DPDPA ผู้เผยแพร่ที่ให้บริการผู้ใช้ชาวอินเดียในภาคส่วนที่ควบคุมเหล่านี้ต้องปฏิบัติตามทั้ง DPDPA และกฎเฉพาะกลุ่มที่ใช้บังคับ

สิทธิ์ของเจ้าของข้อมูล

DPDPA มอบสิทธิ์กลุ่มที่คุ้นเคยแต่แคบกว่า GDPR เล็กน้อยแก่เจ้าของข้อมูล:

สิ่งที่ไม่อยู่ในรายการสิทธิ์

DPDPA ไม่รวมสิทธิ์การพกพาแบบอิสระ สิทธิ์ทั่วไปในการคัดค้านการประมวลผล หรือสิทธิ์ชัดเจนต่อการตัดสินใจอัตโนมัติ แม้ว่าระบอบผู้ดูแลข้อมูลที่มีนัยสำคัญและกลไกการถอนความยินยอมจะครอบคลุมพื้นที่เดียวกันส่วนใหญ่โดยอ้อม

ระยะเวลาตอบสนอง

ผู้ดูแลข้อมูลต้องตอบสนองต่อคำขอของเจ้าของข้อมูลภายในระยะเวลาที่ระบุในกฎที่แจ้ง ซึ่งในกรณีส่วนใหญ่คือภายในระยะเวลาที่สมเหตุสมผลที่ไม่เกินหน้าต่างที่ระบุ โดย DPBI ถือว่าการล่าช้าที่มีความหมายเป็นความล้มเหลวในการปฏิบัติตาม ระบบแก้ไขข้อร้องเรียนเป็นขั้นตอนแรก เฉพาะข้อร้องเรียนที่ยังไม่ได้รับการแก้ไขเท่านั้นที่ขยายไปยังคณะกรรมการ

ผู้ดูแลข้อมูลที่มีนัยสำคัญ

การกำหนดผู้ดูแลข้อมูลที่มีนัยสำคัญ (SDF) กระตุ้นภาระผูกพันเพิ่มเติมนอกเหนือจากข้อกำหนด DPDPA พื้นฐาน

ภาระผูกพันเพิ่มเติม

ใครมีคุณสมบัติ

ขนาด ปริมาณข้อมูลส่วนบุคคลที่ประมวลผล ความไวของข้อมูล ความเสี่ยงต่อเจ้าของข้อมูล ผลกระทบที่อาจเกิดขึ้นต่อประชาธิปไตยการเลือกตั้ง ความมั่นคง และอำนาจอธิปไตย และผลกระทบที่อาจเกิดขึ้นต่อความสงบเรียบร้อยสาธารณะล้วนเป็นปัจจัย รัฐบาลกลางแจ้ง SDF ทีละรายหรือตามประเภท แพลตฟอร์มระดับโลกขนาดใหญ่ส่วนใหญ่ที่ให้บริการอินเดียอยู่ในประเภทที่แจ้งในปี 2026

ข้อมูลของเด็ก

DPDPA กำหนดให้เด็กคือบุคคลใดๆ ที่อายุต่ำกว่า 18 ปี ซึ่งเป็นเกณฑ์ที่สูงกว่าค่าเริ่มต้น 16 ของ GDPR และเกณฑ์ระดับชาติที่ต่ำกว่าต่างๆ การประมวลผลข้อมูลส่วนบุคคลของเด็กต้องการความยินยอมของผู้ปกครองที่ตรวจสอบได้ และการติดตาม การโฆษณาแบบกำหนดเป้าหมาย และการตรวจสอบพฤติกรรมของเด็กถูกจำกัดโดยไม่คำนึงถึงสถานะความยินยอม ผู้เผยแพร่ที่ผู้ชมรวมถึงการรับส่งข้อมูลที่สำคัญของผู้ที่อายุต่ำกว่า 18 ปีต้องการการป้องกันอายุ กระแสความยินยอมของผู้ปกครอง และการประมวลผลที่จำกัดสำหรับกลุ่มผู้เยาว์ ซึ่งทั้งหมดต้องใช้งานวิศวกรรมจริงที่ผู้เผยแพร่ต่างชาติจำนวนน้อยได้ทำเสร็จโดยค่าเริ่มต้น

บทลงโทษและการบังคับใช้

DPDPA แนะนำระบอบการลงโทษที่สูงกว่าค่าปรับทางปกครองของอินเดียในอดีตและขยายตามความร้ายแรงของการละเมิดอย่างมีนัยสำคัญ

บทลงโทษทางปกครอง

DPDPA อนุญาตให้มีบทลงโทษสูงถึง INR 250 crore (ประมาณ USD 30 ล้าน) ต่อการละเมิดสำหรับการละเมิดที่ร้ายแรงที่สุด บทลงโทษระดับล่างใช้กับความล้มเหลวเกี่ยวกับความยินยอม การแจ้งเตือน ความปลอดภัย การแจ้งเตือนการละเมิด และการแก้ไขข้อร้องเรียน DPBI ได้ใช้กลางของช่วงหลายครั้งในปี 2025 และต้นปี 2026 และโครงสร้างการลงโทษได้รับการออกแบบให้เพิ่มขึ้นพร้อมกับความล้มเหลวอย่างเป็นระบบ

ธีมการบังคับใช้ของ DPBI

การตัดสินใจเบื้องต้นของ DPBI รวมตัวกันรอบชุดปัญหาที่เกิดขึ้นซ้ำๆ เล็กๆ น้อยๆ ได้แก่ แบนเนอร์ความยินยอมที่ไม่มีตัวเลือกปฏิเสธจริงๆ การแจ้งเตือนที่ไม่อธิบายช่องทางร้องเรียน DPBI การไหลข้ามพรมแดนไปยังปลายทางในรายการที่จำกัด ระบบแก้ไขข้อร้องเรียนที่ไม่ตอบสนองจริงๆ และความล้มเหลวในการทำงานร่วมกันของผู้จัดการความยินยอม ผู้เผยแพร่ต่างชาติได้รับการอ้างอิงในเกือบทุกหมวดหมู่เหล่านี้

มิติชื่อเสียง

DPBI เผยแพร่การตัดสินใจของตนต่อสาธารณะ รวมถึงชื่อของผู้ดูแลและสรุปความล้มเหลว ในตลาดอินเดียที่แรงเสียดทานด้านกฎระเบียบแปลงเป็นการรายงานข่าวสื่อและความสนใจทางการเมืองอย่างรวดเร็ว ค่าใช้จ่ายด้านชื่อเสียงของการตัดสินใจ DPBI ที่เผยแพร่มีความหมายสำคัญเหนือกว่าบทลงโทษทางการเงิน

รายการตรวจสอบการตรวจสอบสำหรับการรับส่งข้อมูลของอินเดียในปี 2026

แนวโน้มปี 2026

ระบอบความเป็นส่วนตัวของอินเดียได้เปลี่ยนจากนามธรรมทางกฎหมายไปสู่ความเป็นจริงในการดำเนินงานในช่วงเวลาเพียงกว่าสองปีเล็กน้อย สถาปัตยกรรมของ DPDPA โดดเด่น ระบบนิเวศของผู้จัดการความยินยอมเป็นการทดลองระดับโลกที่มองเห็นได้ชัดเจนที่สุดในความยินยอมแบบพกพาและทำงานร่วมกันได้ และแนวทางรายการลบการโอนแตกต่างอย่างมีนัยสำคัญจากรูปแบบความเพียงพอบวกมาตรการป้องกันที่ครอบงำกรอบอื่นๆ สำหรับผู้เผยแพร่ที่ดำเนินการสแต็คความยินยอมระดับ GDPR อยู่แล้ว ช่องว่างสู่การปฏิบัติตาม DPDPA เป็นด้านการดำเนินงานมากกว่าสถาปัตยกรรม: การทำงานร่วมกันของผู้จัดการความยินยอม การแจ้งเตือนภาษาที่กำหนด การเปิดเผยข้อร้องเรียน DPBI เกณฑ์ต่ำกว่า 18 ปี และการตรวจสอบการโอนรายการลบ ช่องว่างสามารถปิดได้ภายในสัปดาห์หากให้ความสำคัญ ผู้เผยแพร่ที่ปิดช่องว่างก่อนที่ DPBI จะมาถึงประตูบ้านของตนจะไม่สังเกตเห็นการเปลี่ยนผ่าน ผู้ที่รอจะพบว่าปี 2026 และ 2027 มีราคาแพงกว่าอย่างมีนัยสำคัญกว่าปีที่ผ่านมา

← บล็อก อ่านทั้งหมด →