合规2026年4月13日 | FlexyConsent

印度DPDP法案:搭全球顶顶大个数字市场个Cookie同意机制

印度来里2023年通过仔《数字个人数据保护法》(DPDP Act),拿伊落实个细则现在亦已经生效哉。印度有8亿5千万以上个网民,随便啥个环球出版商、广告主搭SaaS运营商,是弗能够弄错个市场——搭DPDP Act带出来个同意义务,搭GDPR、CCPA搭阿拉可能已经支持个其他框架,有明明白白个区别。

搿本指南会讲清DPDP Act怎个处理Cookie搭追踪识别码、啥人要受伊管,搭之对印度用户来讲合规个同意体验应该长啥模样。

DPDP Act管个是啥人

DPDP Act管着印度境内个数字个人数据处理活动,亦管着印度境外搭向印度个人提供商品或服务有关个处理活动。实际上讲,假使侬个网站印度用户可以访问得到,而且侬通过伊——包括通过Cookie、SDK、像素或者指纹识别——收集个人数据,格末搿条法律差弗多肯定是适用搭侬个。

搿部法律用仔两只关键角色:数据受托人(相当于GDPR里向个控制者)搭数据处理者。少数几家规模最大个运营者可能会被指定做重要数据受托人,要担额外个义务,比方讲做数据保护影响评估、委派常驻印度个数据保护官。

DPDP Act怎个处理Cookie搭追踪器

搭ePrivacy指令弗一样,DPDP Act勿曾拿Cookie单独列做一类。相反,伊管个是任何数字个人数据个处理。搿就意味着Cookie、设备识别码、IP地址、广告ID搭经过哈希个电子邮件,只要搭一个可识别个人直接或者间接相联,统统侪来里伊个管辖范围之内。

对出版商来讲,搿条意义交关直接:假使侬网站高头一只Cookie或者标签导致个人数据被收集或者分享,侬就要有一个有效个合法依据。来DPDP Act之下,搿个依据差弗多总归是同意,只有搿部法律定义个狭个"合法用途"是例外。

有效同意要满足啥要求

DPDP Act对同意设个门槛老高。同意必须是自由、具体、知情、无条件、勿含糊,而且要通过清爽个肯定性动作来表达。预先打好勾个选择框、凭借继续浏览推定个同意,搭之拿访问搭接受挂钩个"Cookie墙"设计,侪搭搿眼要求弗对头。

对同意UX来讲,还有两条DPDP特有个规则要留意:

小囡数据搭家长同意

DPDP Act拿18岁以下个人统统当做小囡,并且要求处理渠等个个人数据之前必须拿到可核实个家长同意。搿部法律同时禁止对小囡做行为监测搭定向广告。任何来印度能够被小人访问到个网站——实际上差弗多所有网站侪是——侪要做年龄筛查或者基于风险个策略,而且来缺家长同意个辰光要能够阻断追踪脚本。

侬个CMP必须支持个用户权利

印度个数据当事人(用户)有一串权利,搿眼权利必须要能够通过侬个同意搭偏好层来行使:

合规个CMP应当提供一个一直看得见个偏好入口链接、支持一键撤回同意,并且用能够来调查辰光按要求拿得出个方式记录同意事件。

跨境数据传输

DPDP Act对跨境传输是"负面清单"个路数:除非目的地国家被中央政府特别限制,否则个人数据可以传输到印度境外。搿比GDPR个充分性认定机制要宽点,但侬仍旧要记录哪些第三国会收到印度用户个数据,并且关注已经公布个限制名单。

罚则搭执法

DPDP Act下个经济罚款老重。数据保护委员会对弗曾采取合理安全保障措施个行为,可以罚到2.5亿卢比(差弗多3千万美元);对弗曾履行对小囡义务个行为,可以罚到2亿卢比。搭同意有关个违规行为——包括通过弗合规个横幅收集同意——每次违规最高可以罚到5千万卢比。

拿侬个CMP做成符合DPDP个同意机制

  1. 对印度用户做地理探测,并套用专门个DPDP同意模板,弗要拿GDPR横幅重新用。要求个告知内容搭语言选项是弗一样个。
  2. 用多种印度语言呈现告知。最起码要支持印地语搭英语,再根据侬个流量分布加其他地区语言。
  3. 默认挡牢所有非必要个追踪器。只有拿到肯定性同意之后,再加载广告、分析搭第三方SDK。
  4. 拿每只目的分清爽。假使用户可能合理地只想对其中部分目的表示同意,就弗要拿广告、分析搭个性化捆勒一只"接受"按钮里向。
  5. 记录同意搭撤回事件,包括时间戳、当时展示个告知确切版本、搭用户个语言选择,以便来监管查问辰光证明合规。
  6. 来每一页提供看得见个偏好链接,让用户随时可以查看、更新或者撤回同意。

DPDP搭GDPR个实际区别

结语

DPDP Act拿印度带进仔现代全球数据保护个格局,而且带出自家独特个风格——以同意为先、天生多语言、对未成年人保护分外重。已经运作GDPR级别CMP个出版商搭平台是先行一步个,但渠等仍旧要调整横幅内容、语言支持、年龄处理搭日志记录,来满足DPDP个要求。拿印度只当是"又一个GDPR地区"来处理,是最快让自家立到印度数据保护委员会面前个路数。

← 博客 阅读全部 →