Cấu trúc của DPDPA năm 2026

DPDPA là một đạo luật bảo vệ dữ liệu độc lập, khác biệt với các luật theo ngành cụ thể của Ấn Độ về ngân hàng, viễn thông và y tế. Việc triển khai của nó được cố ý phân giai đoạn để hệ sinh thái Quản lý Đồng ý, DPBI và chế độ chuyển dữ liệu xuyên biên giới có thể mỗi cái đi vào hoạt động theo thứ tự.

Thông qua năm 2023 và Triển khai 2024-2025

DPDPA được Quốc hội thông qua vào tháng 8 năm 2023 và nhận được sự chấp thuận của tổng thống ngay sau đó. Bộ Điện tử và Công nghệ Thông tin (MeitY) đã dành năm 2024 tham vấn về các Quy tắc triển khai, và các Quy tắc cuối cùng được thông báo trong suốt năm 2025 trong một vài đợt: khung đăng ký Quản lý Đồng ý trước tiên, sau đó là các thủ tục về quyền của chủ thể dữ liệu, rồi thông báo chuyển dữ liệu xuyên biên giới, rồi ngưỡng người được ủy thác dữ liệu quan trọng. Đến đầu năm 2026, khung đầy đủ đã có hiệu lực.

Ai bị Điều chỉnh

DPDPA áp dụng cho việc xử lý dữ liệu cá nhân kỹ thuật số của các cá nhân trong Ấn Độ. Nó cũng áp dụng ngoài lãnh thổ khi việc xử lý liên quan đến việc cung cấp hàng hóa hoặc dịch vụ cho các chủ thể dữ liệu ở Ấn Độ. Nhà xuất bản có trụ sở tại Mỹ phục vụ người dùng Ấn Độ thông qua trang web được bản địa hóa, phiên bản tiếng Ấn Độ hoặc hàng tồn kho lập trình được mua dựa trên địa chỉ IP của Ấn Độ đều thuộc phạm vi. Phạm vi ngoài lãnh thổ này rõ ràng trong đạo luật và được củng cố trong hướng dẫn sớm của DPBI.

Khoảng Cách Thuật ngữ

DPDPA sử dụng từ vựng riêng của nó, khác với GDPR và hầu hết các khung châu Á mới hơn. Người được ủy thác dữ liệu là điều mà GDPR gọi là người kiểm soát. Bộ xử lý dữ liệu ánh xạ rõ ràng tới bộ xử lý của GDPR. Người chủ dữ liệu là chủ thể dữ liệu. Người được ủy thác dữ liệu quan trọng là người kiểm soát vượt ngưỡng quy mô hoặc độ nhạy cảm được chính phủ trung ương thông báo. Các nhà xuất bản nước ngoài gặp DPDPA lần đầu thường ánh xạ sai các thuật ngữ này; lấy đúng ánh xạ sớm giúp tránh nhầm lẫn sau này.

Điều Gì Được Coi là Dữ liệu Cá nhân

Định nghĩa dữ liệu cá nhân của DPDPA rộng và theo sát thực tiễn quốc tế. Dữ liệu cá nhân là bất kỳ dữ liệu nào về một cá nhân có thể được nhận dạng từ hoặc liên quan đến dữ liệu đó. DPBI đã chỉ ra qua hướng dẫn sớm rằng các số nhận dạng trực tuyến — cookie, ID quảng cáo, địa chỉ IP, dấu vân tay thiết bị và hồ sơ hành vi — là dữ liệu cá nhân khi chúng có thể được kết nối với một cá nhân có thể nhận dạng trực tiếp hoặc qua các phương tiện hợp lý.

Không Có Danh mục Nhạy cảm, Nhưng Có Quy tắc cho Người được ủy thác Dữ liệu Quan trọng

Không giống như GDPR, LGPD và PIPA, DPDPA không chính thức định nghĩa một danh mục dữ liệu cá nhân nhạy cảm. Thay vào đó, Đạo luật dựa vào việc chỉ định người được ủy thác dữ liệu quan trọng, áp dụng các nghĩa vụ bổ sung cho các bên kiểm soát xử lý dữ liệu ở quy mô lớn, xử lý dữ liệu của trẻ em, xử lý dữ liệu có thể ảnh hưởng đến tính toàn vẹn của bầu cử hoặc xử lý dữ liệu có thể ảnh hưởng đến an ninh quốc gia. Kết quả thuần túy tương tự như các quy tắc danh mục nhạy cảm của GDPR đối với các bộ xử lý lớn nhất và nhạy cảm nhất, nhưng kiến trúc khác.

Tại sao Điều này Quan trọng đối với Cookie

Một cookie thu thập số nhận dạng quảng cáo thông thường là dữ liệu cá nhân nhưng không phải chịu nghĩa vụ tăng cao chỉ vì nó cung cấp cho một phân khúc đối tượng có vẻ nhạy cảm. Nhưng nhà xuất bản đạt đến ngưỡng người được ủy thác dữ liệu quan trọng — ví dụ một nền tảng lớn với hàng chục triệu người dùng Ấn Độ — nhận thêm nghĩa vụ bao gồm Cán bộ Bảo vệ Dữ liệu bắt buộc, kiểm toán định kỳ và Đánh giá Tác động Bảo vệ Dữ liệu. Ngưỡng quy mô đã được thông báo năm 2025; hầu hết các nền tảng toàn cầu hiện nằm trong phạm vi.

Đồng ý theo DPDPA

DPDPA đặt sự đồng ý vào trung tâm của khung nhưng định nghĩa nó với một bộ yêu cầu riêng biệt không ánh xạ một đến một với sự đồng ý GDPR.

Tiêu chuẩn Đồng ý Hợp lệ

Đồng ý theo DPDPA phải:

• Tự do — không có điều kiện dựa trên việc cung cấp dịch vụ mà người dùng được hưởng và không bị ép buộc
• Cụ thể — gắn với một mục đích được xác định rõ ràng, không phải đồng ý chung chung
• Được thông báo — người chủ dữ liệu hiểu dữ liệu nào được xử lý và cho mục đích gì
• Vô điều kiện — sự đồng ý không gắn với các điều kiện không liên quan
• Rõ ràng — được thể hiện qua hành động khẳng định rõ ràng, không suy ra từ im lặng hoặc không hoạt động

Yêu cầu Thông báo Chi tiết

DPDPA yêu cầu thông báo tại hoặc trước thời điểm đồng ý mô tả dữ liệu cá nhân sẽ được xử lý, mục đích xử lý, cách một người chủ dữ liệu có thể thực hiện quyền và cách người chủ dữ liệu có thể khiếu nại với Hội đồng. Thông báo phải có bằng tiếng Anh và bằng bất kỳ ngôn ngữ nào trong 22 ngôn ngữ đã lên lịch của Ấn Độ mà người chủ dữ liệu yêu cầu.

Kiến trúc Quản lý Đồng ý

Đây là nơi DPDPA phân kỳ rõ nét nhất so với các khung khác. Đạo luật thiết lập một vai trò được cấp phép gọi là Quản lý Đồng ý — một pháp nhân bên thứ ba được đăng ký với DPBI cung cấp bảng điều khiển đồng ý có thể tương tác cho phép người chủ dữ liệu cấp, xem xét, quản lý và rút lại sự đồng ý trên nhiều người được ủy thác dữ liệu từ một giao diện duy nhất. Quản lý Đồng ý phải được đăng ký với Hội đồng và phải đáp ứng các thông số kỹ thuật khả năng tương tác. Trong thực tế, người được ủy thác dữ liệu có thể nhận được sự đồng ý trực tiếp thông qua CMP của riêng họ hoặc thông qua Quản lý Đồng ý được đăng ký, và trong nhiều trường hợp người chủ dữ liệu chọn tập trung sự đồng ý của họ thông qua Quản lý Đồng ý thay vì quản lý banner của từng trang web riêng biệt.

CMP Tuân thủ Trông như Thế nào

CMP được cấu hình cho lưu lượng truy cập Ấn Độ năm 2026 nên trình bày:

• Banner hiển thị trước khi bất kỳ cookie không thiết yếu hoặc trình theo dõi nào kích hoạt, với các hành động Chấp nhận, Từ chối và Tùy chỉnh ở mức độ nổi bật hình ảnh như nhau
• Có sẵn bằng tiếng Anh và bằng ngôn ngữ đã lên lịch ưa thích của người dùng khi được yêu cầu
• Nút bật tắt đồng ý chi tiết theo từng mục đích, bao gồm phân tích, quảng cáo, cá nhân hóa và chuyển dữ liệu xuyên biên giới
• Liên kết rõ ràng đến thông báo chi tiết đầy đủ bao gồm quyền và kênh khiếu nại của DPBI
• Cơ chế rút lại đồng ý liên tục, dễ tìm, dễ thực hiện như khi cấp đồng ý
• Khả năng tương tác kỹ thuật với các Quản lý Đồng ý đã đăng ký để trạng thái đồng ý có thể được đồng bộ với Quản lý Đồng ý mà người chủ dữ liệu chọn

Hồ sơ Đồng ý

Người được ủy thác dữ liệu phải lưu giữ hồ sơ đồng ý, bao gồm ai đã đồng ý, khi nào, qua giao diện nào, cho mục đích nào và bất kỳ thay đổi tiếp theo nào. DPBI đã trích dẫn nhật ký đồng ý không đầy đủ trong một số phiên tòa sơ bộ của mình, và hồ sơ đồng ý có thể xuất được, có dấu thời gian là kỳ vọng cơ bản.

Chuyển Dữ liệu Xuyên Biên giới

Khung chuyển dữ liệu xuyên biên giới của DPDPA là một trong những yếu tố đặc trưng nhất của chế độ Ấn Độ và khác biệt đáng kể so với mô hình đầy đủ-cộng-biện pháp bảo vệ được GDPR, PIPA và KVKK sửa đổi sử dụng.

Khung Thông báo

DPDPA hoạt động theo phương pháp danh sách tiêu cực: chuyển dữ liệu xuyên biên giới nói chung được cho phép trừ khi quốc gia đích xuất hiện trong danh sách các khu vực pháp lý bị hạn chế do chính phủ trung ương thông báo. Đây là nghịch đảo của mô hình đầy đủ GDPR, coi các chuyển dữ liệu là bị cấm trừ khi có quyết định đầy đủ tích cực hoặc các biện pháp bảo vệ. Cách tiếp cận của DPDPA dễ dãi hơn trên bề mặt, nhưng danh sách tiêu cực có thể được mở rộng theo quyết định của chính phủ, và một số khu vực pháp lý đã được đưa vào danh sách trong năm 2025 cho các danh mục dữ liệu cụ thể.

Điều này Có nghĩa là Gì về Mặt Hoạt động

Đối với hầu hết các luồng quảng cáo lập trình năm 2026, câu trả lời là chuyển dữ liệu xuyên biên giới đến các đích công nghệ quảng cáo lớn được phép miễn là quốc gia đích không có trong danh sách bị hạn chế. Các nhà xuất bản cần kiểm tra danh sách được thông báo hiện tại, lưu giữ tài liệu về việc chuyển và mục đích của nó, và sẵn sàng định tuyến lại hoặc tạm dừng các luồng nếu một đích được thêm vào. Điều này đơn giản hơn đáng kể so với cơ học chuyển GDPR đối với hầu hết các luồng, nhưng yêu cầu cảnh giác là có thật.

Bản địa hóa Theo Ngành cụ thể

Tách biệt với DPDPA, một số cơ quan quản lý theo ngành của Ấn Độ — bao gồm Ngân hàng Dự trữ Ấn Độ đối với dữ liệu tài chính và Bộ Y tế đối với dữ liệu sức khỏe — có các yêu cầu bản địa hóa riêng của họ nằm trên DPDPA. Nhà xuất bản phục vụ người dùng Ấn Độ trong một trong các ngành được điều chỉnh này cần tuân thủ cả DPDPA và các quy tắc theo ngành áp dụng.

Quyền của Người chủ Dữ liệu

DPDPA cấp cho người chủ dữ liệu một nhóm quyền quen thuộc nhưng hơi hẹp hơn GDPR:

• Quyền truy cập dữ liệu cá nhân đang được xử lý, bao gồm danh mục và bộ xử lý
• Quyền chỉnh sửa, bổ sung và cập nhật dữ liệu cá nhân
• Quyền xóa dữ liệu cá nhân không còn cần thiết cho mục đích đã nêu
• Quyền chỉ định một cá nhân khác thực hiện quyền thay mặt người chủ dữ liệu trong trường hợp tử vong hoặc mất năng lực
• Quyền giải quyết khiếu nại thông qua người được ủy thác dữ liệu
• Quyền khiếu nại với Hội đồng Bảo vệ Dữ liệu nếu việc giải quyết khiếu nại không thỏa đáng

Điều gì Không Có trong Danh sách Quyền

DPDPA không bao gồm quyền di động độc lập, quyền chung để phản đối xử lý hoặc quyền rõ ràng chống lại việc ra quyết định tự động — mặc dù chế độ người được ủy thác dữ liệu quan trọng và cơ chế rút lại đồng ý gián tiếp bao gồm phần lớn cùng một khu vực.

Thời hạn Phản hồi

Người được ủy thác dữ liệu phải trả lời yêu cầu của người chủ dữ liệu trong thời hạn quy định trong các Quy tắc được thông báo — trong hầu hết các trường hợp là trong một khoảng thời gian hợp lý không vượt quá cửa sổ được chỉ định, với DPBI coi sự chậm trễ có ý nghĩa là vi phạm tuân thủ. Hệ thống giải quyết khiếu nại là bước đầu tiên; chỉ những khiếu nại chưa được giải quyết mới leo thang lên Hội đồng.

Người được Ủy thác Dữ liệu Quan trọng

Việc chỉ định người được ủy thác dữ liệu quan trọng (SDF) kích hoạt các nghĩa vụ bổ sung ngoài các yêu cầu cơ bản của DPDPA.

Các Nghĩa vụ Thêm

• Bổ nhiệm Cán bộ Bảo vệ Dữ liệu có trụ sở tại Ấn Độ
• Đánh giá Tác động Bảo vệ Dữ liệu định kỳ cho các hoạt động xử lý được chỉ định
• Kiểm toán độc lập định kỳ
• Nghĩa vụ minh bạch bổ sung về xử lý thuật toán
• Thông báo vi phạm và lưu giữ hồ sơ nghiêm ngặt hơn

Ai Đủ Điều kiện

Quy mô, khối lượng dữ liệu cá nhân được xử lý, độ nhạy cảm của dữ liệu, rủi ro đối với người chủ dữ liệu, tác động tiềm năng đến nền dân chủ bầu cử, an ninh và chủ quyền, và tác động tiềm năng đến trật tự công cộng đều là các yếu tố. Chính phủ trung ương thông báo SDF riêng lẻ hoặc theo lớp. Hầu hết các nền tảng toàn cầu lớn phục vụ Ấn Độ đều nằm trong các lớp được thông báo năm 2026.

Dữ liệu Trẻ em

DPDPA định nghĩa trẻ em là bất kỳ cá nhân nào dưới 18 tuổi — ngưỡng cao hơn mặc định 16 của GDPR và các ngưỡng quốc gia thấp hơn khác nhau. Xử lý dữ liệu cá nhân của trẻ em yêu cầu sự đồng ý có thể xác minh của cha mẹ, và việc theo dõi, quảng cáo có mục tiêu và giám sát hành vi của trẻ em bị hạn chế bất kể trạng thái đồng ý. Các nhà xuất bản có khán giả bao gồm lưu lượng truy cập đáng kể dưới 18 tuổi cần cổng tuổi, luồng đồng ý của cha mẹ và xử lý bị hạn chế cho phân khúc vị thành niên — tất cả những điều này đòi hỏi công việc kỹ thuật thực sự mà ít nhà xuất bản nước ngoài đã hoàn thành theo mặc định.

Hình phạt và Thực thi

DPDPA đã giới thiệu một chế độ hình phạt cao hơn các khoản phạt hành chính lịch sử của Ấn Độ và được điều chỉnh đáng kể theo mức độ nghiêm trọng của vi phạm.

Hình phạt Hành chính

DPDPA cho phép hình phạt lên đến INR 250 crore (khoảng USD 30 triệu) mỗi vi phạm đối với những vi phạm nghiêm trọng nhất. Hình phạt cấp thấp hơn áp dụng cho các thất bại xung quanh sự đồng ý, thông báo, bảo mật, thông báo vi phạm và giải quyết khiếu nại. DPBI đã sử dụng mức giữa của phạm vi một vài lần trong năm 2025 và đầu năm 2026, và cấu trúc hình phạt được thiết kế để leo thang với thất bại có hệ thống.

Chủ đề Thực thi của DPBI

Các quyết định đầu của DPBI tập trung xung quanh một tập hợp nhỏ các vấn đề lặp đi lặp lại: banner đồng ý không có tùy chọn Từ chối thực sự, thông báo không mô tả các kênh khiếu nại DPBI, luồng xuyên biên giới đến các đích trong danh sách bị hạn chế, hệ thống giải quyết khiếu nại thực sự không phản hồi và thất bại về khả năng tương tác của Quản lý Đồng ý. Các nhà xuất bản nước ngoài đã được trích dẫn trong hầu hết tất cả các danh mục này.

Chiều hướng Danh tiếng

DPBI công bố các quyết định của mình công khai, bao gồm tên của người được ủy thác và tóm tắt về thất bại. Trong thị trường Ấn Độ nơi ma sát quy định nhanh chóng chuyển thành phủ sóng truyền thông và sự chú ý chính trị, chi phí danh tiếng của quyết định DPBI được công bố là đáng kể trên đỉnh hình phạt tài chính.

Danh sách Kiểm tra Kiểm toán cho Lưu lượng truy cập Ấn Độ năm 2026

• Banner CMP được phục vụ với Chấp nhận, Từ chối và Tùy chỉnh ở mức độ nổi bật hình ảnh như nhau
• Thông báo có sẵn bằng tiếng Anh và bằng ngôn ngữ đã lên lịch được yêu cầu của người chủ dữ liệu khi áp dụng
• Thông báo mô tả rõ ràng kênh khiếu nại DPBI và quyền của người chủ dữ liệu
• Mục đích đồng ý được chi tiết, với chuyển dữ liệu xuyên biên giới là mục đích riêng biệt
• Khả năng tương tác kỹ thuật với ít nhất một Quản lý Đồng ý đã đăng ký đang được thực hiện
• Rút lại đồng ý dễ dàng như cấp đồng ý và kích hoạt bộ lọc xóa và kích hoạt hạ lưu
• Quy trình làm việc quyền của người chủ dữ liệu — truy cập, chỉnh sửa, xóa, chỉ định — được biên chế và ghi lại
• Kênh giải quyết khiếu nại được biên chế với thời hạn phản hồi được theo dõi
• Các đích chuyển dữ liệu xuyên biên giới được xem xét so với danh sách bị hạn chế hiện tại và được ghi lại
• Nghĩa vụ người được ủy thác dữ liệu quan trọng — DPO, DPIA, kiểm toán — được thực hiện nếu ngưỡng bị vượt qua
• Luồng có nhận thức về độ tuổi cho người dùng dưới 18 tuổi, với sự đồng ý có thể xác minh của cha mẹ khi áp dụng
• Các quy tắc bản địa hóa và xử lý theo ngành cụ thể được ghi lại và tuân thủ nếu nhà xuất bản hoạt động trong lĩnh vực được điều chỉnh

Triển vọng Năm 2026

Chế độ bảo mật của Ấn Độ đã chuyển từ trừu tượng pháp lý sang thực tế hoạt động trong khoảng hơn hai năm. Kiến trúc của DPDPA thật đặc biệt — hệ sinh thái Quản lý Đồng ý là thử nghiệm toàn cầu dễ thấy nhất về sự đồng ý di động, có thể tương tác, và cách tiếp cận danh sách tiêu cực về chuyển dữ liệu khác biệt đáng kể so với mô hình đầy đủ-cộng-biện pháp bảo vệ thống trị các khung khác. Đối với các nhà xuất bản đã chạy stack đồng ý cấp GDPR, khoảng cách đến tuân thủ DPDPA mang tính hoạt động hơn là kiến trúc: khả năng tương tác của Quản lý Đồng ý, thông báo ngôn ngữ theo lịch, công bố khiếu nại DPBI, ngưỡng dưới 18 và kiểm tra chuyển dữ liệu danh sách tiêu cực. Khoảng cách có thể được thu hẹp trong vài tuần nếu được ưu tiên. Các nhà xuất bản đóng khoảng cách trước khi DPBI xuất hiện tại cửa họ sẽ không chú ý đến quá trình chuyển đổi. Những người chờ đợi sẽ thấy năm 2026 và 2027 tốn kém hơn đáng kể so với những năm trước.