合規2026年5月8日 | FlexyConsent

2026年印度DPDP法案:出版商同廣告商關於同意管理者、跨境傳輸及資料保護委員會嘅實操指南

印度《數位個人資料保護法》(DPDPA,2023年)係2023年8月頒布嘅,之後喺2024年至2025年經歷咗緩慢嘅分階段落地,令好多境外出版商長期處於觀望狀態。呢段時間已經結束。DPDP規則已喺2025年全面通知,印度資料保護委員會(DPBI)而家正式運營並受理投訴,同意管理者框架——印度對全球私隱法律嘅獨特架構貢獻——亦已喺生產環境中上線。對於2026年處理印度用戶個人資料嘅出版商、廣告商或平台嚟講,DPDPA唔再係未來嘅合規議題,而係當下嘅合規基準。佢同GDPR嘅差異對CMP工程、跨境資料流及資料當事人權利嘅實現方式均有重要影響。本指南梳理咗DPDPA喺全面落地後嘅運作方式、印度同意機制嘅實際要求、同意管理者生態系統點樣改變CMP格局,以及DPBI喺2026年嘅執法立場。

2026年DPDPA嘅框架結構

DPDPA係一部獨立嘅資料保護法規,有別於印度喺銀行、電訊同醫療領域嘅行業專項法律。佢嘅落地實施經過精心分階段安排,以使同意管理者生態系統、DPBI及跨境傳輸制度能夠依次上線。

2023年通過與2024-2025年落地

DPDPA喺2023年8月通過議會審議,隨即獲得總統批准。電子及資訊技術部(MeitY)喺2024年就實施細則進行廣泛磋商,最終規則喺2025年分批次通知:首先係同意管理者註冊框架,其次係資料當事人權利程序,再次係跨境傳輸通知,最後係重要資料受託人資格門檻。到2026年初,完整框架已全面生效。

受監管主體

DPDPA適用於對印度境內個人嘅數位個人資料進行處理嘅活動。當處理行為與向印度資料當事人提供商品或服務相關嘅時候,亦適用域外管轄。透過本地化網站、印度語版本或針對印度IP地址購買程序化廣告庫存為印度用戶提供服務嘅美國出版商均喺監管範圍內。該法嘅域外管轄條款喺法規中表述明確,並已喺DPBI早期指引中得到強化。

術語差異

DPDPA使用佢自己嘅術語體系,同GDPR及大多數亞洲新興框架均有所不同。資料受託人相當於GDPR中嘅控制者;資料處理者同GDPR嘅處理者對應關係清晰;資料當事人即資料主體;重要資料受託人則係超過中央政府規定規模或敏感度門檻嘅控制者。首次接觸DPDPA嘅境外出版商常常將呢啲術語同GDPR對應概念錯誤匹配;盡早建立正確嘅對應關係可避免日後混淆。

個人資料嘅界定範圍

DPDPA對個人資料嘅定義寬泛,同國際通行做法高度一致。個人資料係指任何有關可據此資料直接或間接識別嘅個人嘅資料。DPBI喺早期指引中已明確表示,在線標識符——Cookie、廣告ID、IP地址、設備指紋及行為畫像——若能透過直接方式或合理手段同可識別個人相關聯,則構成個人資料。

冇敏感類別,但設有重要資料受託人規則

同GDPR、LGPD同PIPA唔同,DPDPA未正式定義敏感個人資料類別。該法轉而依賴重要資料受託人資格認定,對大規模處理資料、處理兒童資料、處理可能影響選舉完整性或國家安全嘅資料嘅控制者施加額外義務。佢嘅最終效果同GDPR嘅敏感類別規則類似,但架構設計有所不同。

呢個對Cookie意味著咩

收集常規廣告標識符嘅Cookie屬於個人資料,但唔會僅因佢關聯某個敏感受眾細分群體而承擔加重義務。然而,達到重要資料受託人門檻嘅出版商——例如擁有數千萬印度用戶嘅大型平台——將承擔額外義務,包括強制設立資料保護官、定期審計以及資料保護影響評估。規模門檻已於2025年發布通知,大多數全球性平台而家已喺適用範圍內。

DPDPA下嘅同意機制

DPDPA將同意置於佢嘅框架核心,但以一套特定要求對佢進行界定,呢啲要求同GDPR嘅同意標準並唔完全對應。

有效同意標準

DPDPA下嘅有效同意須滿足以下條件:

逐項通知要求

DPDPA要求喺同意前或同意時提供一份通知,描述將被處理嘅個人資料、處理目的、資料當事人行使權利嘅方式,以及向委員會投訴嘅方式。該通知須以英文提供,並喺資料當事人要求時以印度22種附表語言中嘅任意一種提供。

同意管理者架構

呢個正係DPDPA同其他框架最顯著嘅分歧所在。該法確立咗一個名為同意管理者嘅授權角色——一個向DPBI註冊嘅第三方實體,提供可互操作嘅同意儀表板,使資料當事人能夠透過單一界面喺多個資料受託人之間授予、查閱、管理同撤銷同意。同意管理者須向委員會註冊並滿足技術互操作規範。喺實踐中,資料受託人可透過佢自有CMP直接獲取同意,亦可透過已註冊嘅同意管理者獲取;好多資料當事人選擇透過同意管理者集中管理佢哋嘅同意,而唔係分別處理每個網站嘅橫幅彈窗。

合規CMP嘅外觀要求

為印度流量配置嘅CMP喺2026年應呈現以下內容:

同意記錄

資料受託人須保存同意記錄,包括同意人、同意時間、透過邊個界面同意、同意嘅目的,以及後續任何變更。DPBI已喺數起早期程序中援引同意日誌唔完善嘅問題,可導出嘅、帶時間戳嘅同意記錄係基本預期。

跨境資料傳輸

DPDPA嘅跨境傳輸框架係印度監管制度中最具特色嘅要素之一,同GDPR、PIPA及修訂後嘅KVKK所採用嘅「充分性+保護措施」模式存在實質差異。

通知框架

DPDPA採用負面清單方式:跨境傳輸原則上被允許,除非目的地國家出現喺中央政府通知嘅受限司法管轄區名單上。呢個同GDPR充分性認定模式相反——GDPR將傳輸視為禁止行為,除非有充分性決定或保護措施。DPDPA嘅方式喺表面上更為寬鬆,但負面清單可由政府自由裁量擴充,2025年已有數個司法管轄區就特定資料類別被列入其中。

實操意義

對於2026年大多數程序化廣告流量嚟講,意味著向主要廣告技術目的地嘅跨境傳輸喺目的地國家未被列入受限清單嘅前提下係被允許嘅。出版商需核查當前通知嘅名單,保存傳輸及佢嘅目的嘅文檔,並喺某一目的地被添加時隨時準備重新路由或暫停資料流。呢個對大多數流量而言比GDPR嘅傳輸機制簡單得多,但保持警覺嘅要求係真實存在嘅。

行業專項本地化規定

喺DPDPA之外,多個印度行業監管機構——包括金融資料領域嘅RBI同醫療資料領域嘅衛生部——設有疊加於DPDPA之上嘅本地化要求。喺上述受監管行業為印度用戶提供服務嘅出版商須同時遵守DPDPA同適用嘅行業專項規則。

資料當事人權利

DPDPA賦予資料當事人嘅權利同GDPR類似,但範圍略窄:

權利清單中缺少嘅內容

值得注意嘅係,DPDPA未包含獨立嘅資料可攜帶權、一般反對處理嘅權利,以及針對自動化決策嘅明確權利——儘管重要資料受託人制度同同意撤回機制喺間接層面覆蓋咗大部分相同內容。

響應時限

資料受託人須喺通知規則規定嘅時限內響應資料當事人請求——喺大多數情況下,須喺唔超過規定期限嘅合理時間內作出響應,DPBI將實質性拖延視為合規失敗。申訴系統係第一步;只有未解決嘅申訴先會上報至委員會。

重要資料受託人

重要資料受託人(SDF)資格認定會觸發超出DPDPA基本要求嘅額外義務。

額外義務

適用標準

規模、處理個人資料嘅體量、資料敏感度、對資料當事人嘅風險、對選舉民主嘅潛在影響、安全同主權,以及對公共秩序嘅潛在影響均為考量因素。中央政府以個案或類別方式通知認定SDF。2026年,大多數喺印度運營嘅大型全球性平台均已納入已通知嘅類別範圍。

兒童資料

DPDPA將兒童定義為18歲以下嘅個人——呢個門檻高於GDPR嘅默認標準(16歲)及各國嘅唔同較低門檻。處理兒童個人資料需獲得可核實嘅父母同意,對兒童嘅追蹤、定向廣告及行為監控唔論同意狀態如何均受到限制。受眾中包含大量18歲以下用戶嘅出版商需要設置年齡驗證機制、父母同意流程以及針對未成年群體嘅受限處理措施——所有呢啲都需要真實嘅工程投入,大多數境外出版商默認尚未完成相關工作。

罰則與執法

DPDPA建立咗一套高於印度歷史行政罰款水平、並同違規嚴重程度切實掛鈎嘅罰則制度。

行政罰則

DPDPA允許對最嚴重違規行為處以每次違規最高2.5億INR(約合3000萬USD)嘅罰款。同意、通知、安全、違規通知及申訴處理方面嘅失誤適用較低檔次嘅罰則。DPBI喺2025年及2026年初已數次援引中等檔次罰則,罰則結構設計為隨系統性失誤而遞進。

DPBI執法主題

DPBI早期決定集中於少數反覆出現嘅問題:缺乏真實拒絕選項嘅同意橫幅、未描述DPBI投訴渠道嘅通知、向受限清單目的地傳輸資料、實際上唔予響應嘅申訴系統,以及同意管理者互操作失敗。境外出版商幾乎喺上述所有類別中均被援引罰則。

聲譽維度

DPBI公開發布佢嘅決定,包括資料受託人名稱及失誤摘要。喺一個監管摩擦能迅速轉化為媒體報道同政治關注嘅印度市場,一份公開DPBI決定所帶來嘅聲譽代價,喺經濟罰款之外同樣意義重大。

2026年印度流量審計清單

2026年展望

印度嘅私隱監管制度已喺兩年多嘅時間內從立法抽象走向運行現實。DPDPA嘅架構具有鮮明特色——同意管理者生態系統係全球最引人注目嘅可攜帶、可互操作同意實驗,負面清單傳輸方式同主導其他框架嘅「充分性+保護措施」模式有實質差異。對於已運行GDPR級別同意技術棧嘅出版商嚟講,從現狀到DPDPA合規嘅距離係操作層面而非架構層面嘅:同意管理者互操作、附表語言通知、DPBI投訴披露、18歲以下門檻,以及負面清單傳輸核查。如果優先推進,呢個差距可喺數週內填補。喺DPBI登門之前完成合規嘅出版商將唔會感知到呢個轉變。而選擇等待嘅出版商將發現,2026年同2027年將比此前嘅年份代價更為高昂。

← 博客 閱讀全部 →