合規2026年4月13日 | FlexyConsent

印度DPDP法案:面向全球最大數碼市場嘅Cookie同意機制

印度喺2023年通過咗《數碼個人資料保護法》(DPDP Act),落實執行嘅細則而家已經生效。印度擁有超過8.5億網民,係任何環球出版商、廣告主或者SaaS營運商都唔可以搞錯嘅市場——而DPDP Act所引入嘅同意義務,同你可能已經支援嘅GDPR、CCPA同其他框架存在明顯差異。

呢份指南會解釋DPDP Act點樣處理Cookie同追蹤識別碼、邊啲對象受其管轄,以及針對印度用戶嘅合規同意體驗應該係點嘅樣。

DPDP Act嘅適用對象

DPDP Act管轄印度境內嘅數碼個人資料處理活動,以及印度境外與向印度個人提供商品或服務相關嘅處理活動。實際而言,如果你嘅網站可以畀印度用戶訪問,而你透過佢——包括透過Cookie、SDK、像素或者指紋識別——收集個人資料,呢條法律幾乎肯定適用於你。

條法律用咗兩個關鍵角色:資料受託人(相當於GDPR嘅控制者)同資料處理者。少數規模最大嘅營運者可能會被指定為重要資料受託人,要承擔額外義務,例如進行資料保護影響評估同埋委任常駐印度嘅資料保護主任。

DPDP Act點樣處理Cookie同追蹤器

同ePrivacy指令唔同,DPDP Act並冇將Cookie單獨列為一個類別。相反,佢規管任何數碼個人資料嘅處理活動。呢樣意味住Cookie、裝置識別碼、IP位址、廣告ID同經過雜湊處理嘅電郵,只要同一個可識別嘅人有直接或間接關聯,都會落入其範圍之內。

對出版商嚟講,影響好直接:如果你網站上嘅某個Cookie或者標籤導致個人資料被收集或者分享,你就需要一個有效嘅合法依據。喺DPDP Act之下,呢個依據幾乎永遠都係同意,只有條法律所定義嘅狹窄嘅"合法用途"例外。

有效同意嘅構成要件

DPDP Act對同意設定咗好高嘅門檻。同意必須係自由、具體、知情、無條件同埋明確嘅,而且要透過清晰嘅肯定性行為嚟表達。預先剔好嘅方格、由繼續瀏覽所推定嘅同意,以及將訪問權同接受掛鉤嘅"Cookie牆"設計,都同呢啲要求唔兼容。

喺同意UX方面,仲有兩條DPDP特有嘅規則值得留意:

兒童資料同家長同意

DPDP Act將任何18歲以下嘅人視為兒童,並且要求喺處理佢哋個人資料之前取得可核實嘅家長同意。條法律同時禁止對兒童進行行為監控同定向廣告投放。任何可畀印度未成年人訪問嘅網站——實際上差不多覆蓋晒所有網站——都需要制定年齡篩查或基於風險嘅策略,並且喺缺乏家長同意時要能夠阻止追蹤腳本執行。

你嘅CMP必須支援嘅用戶權利

印度嘅資料當事人(用戶)享有一系列權利,而呢啲權利必須可以透過你嘅同意同偏好層嚟行使:

合規嘅CMP應該要有一個持續可見嘅偏好入口連結、支援一鍵撤回同意,並且以可以喺調查時按要求出示嘅方式記錄同意事件。

跨境資料傳輸

DPDP Act對跨境傳輸採取"負面清單"方式:除非目的地國家被中央政府特別限制,否則個人資料可以傳輸出印度境外。呢個比GDPR嘅充分性認定機制更加寬鬆,但你仍然應該記錄邊啲第三國會收到印度用戶嘅資料,並且留意已公佈嘅限制名單。

罰則同執法

DPDP Act下嘅經濟罰款相當嚴重。資料保護委員會對於未能採取合理安全保障措施嘅行為,可以處以最高2.5億盧比(約3000萬美元)嘅罰款;對於未能履行對兒童義務嘅行為,可以處以最高2億盧比嘅罰款。同同意相關嘅違規行為——包括透過不合規橫額收集同意——每次違規最高可處以5000萬盧比罰款。

喺你嘅CMP實施符合DPDP嘅同意機制

  1. 對印度用戶進行地理偵測,並套用專門嘅DPDP同意範本,而唔係重用GDPR橫額。所要求嘅告知內容同語言選項唔一樣。
  2. 用多種印度語言呈現告知。最少要支援印地語同英語,再根據你嘅流量分佈加入其他地區語言。
  3. 預設阻擋所有非必要嘅追蹤器。只有喺獲得肯定性同意之後,先至加載廣告、分析同第三方SDK。
  4. 清楚地分開每個目的。如果用戶有可能合理地只想同意其中部分而非全部目的,就唔好將廣告、分析同個人化捆綁喺同一個"接受"按鈕裡面。
  5. 記錄同意同撤回事件,包括時間戳、當時所展示嘅告知確切版本同用戶嘅語言選擇,以便喺監管查詢時證明合規。
  6. 喺每一頁提供可見嘅偏好連結,容許用戶隨時檢視、更新或撤回同意。

DPDP同GDPR嘅實際差別

結語

DPDP Act將印度帶入咗現代全球資料保護格局,同時帶有佢獨特嘅風格——以同意為先、天然多語言、對未成年人有非一般嘅保護力度。已經運行GDPR級別CMP嘅出版商同平台雖然有先發優勢,但仍然需要調整橫額內容、語言支援、年齡處理同日誌記錄,先能滿足DPDP嘅要求。將印度當成"又一個GDPR地區"嚟處理,係最快令自己企喺資料保護委員會面前嘅方法。

← 博客 閱讀全部 →