合规2026年4月13日 | FlexyConsent

印度DPDP法案:面向全球最大数字市场的Cookie同意机制

印度于2023年通过了《数字个人数据保护法》(DPDP Act),将其付诸实施的细则现已正式生效。凭借超过8.5亿的互联网用户,印度是任何全球出版商、广告主或SaaS运营商都不能失之交臂的市场——而DPDP Act引入的同意义务与GDPR、CCPA及您可能已经支持的其他框架存在实质性差异。

本指南解释DPDP Act如何处理Cookie和追踪标识符、其适用对象,以及面向印度用户的合规同意体验应具备哪些要素。

DPDP Act的适用范围

DPDP Act管辖印度境内的数字个人数据处理活动,以及印度境外与向印度境内个人提供商品或服务相关的处理活动。在实践中,如果您的网站可被印度用户访问,并通过该网站——包括通过Cookie、SDK、像素或指纹识别——收集个人数据,那么该法几乎肯定适用于您。

该法使用两个关键角色:数据受托人(相当于GDPR中的控制者)和数据处理者。少数规模最大的运营者可能被指定为重要数据受托人,需承担额外义务,例如开展数据保护影响评估以及任命常驻印度的数据保护官。

DPDP Act如何处理Cookie和追踪器

与ePrivacy指令不同,DPDP Act并未将Cookie单列为一个独立类别。相反,它规制任何数字个人数据的处理活动。这意味着Cookie、设备标识符、IP地址、广告ID和经过哈希处理的电子邮件,只要与可识别的个人直接或间接关联,都属于其管辖范围。

对出版商而言,这一点意味着:如果您网站上的某个Cookie或代码导致了个人数据的收集或共享,您就需要有效的合法依据。在DPDP Act下,这个依据几乎总是同意,仅在该法定义的狭窄的"合法用途"范围内存在例外。

有效同意的构成要件

DPDP Act对同意设定了较高门槛。同意必须是自由的、具体的、知情的、无条件的和明确的,并通过清晰的肯定性行为表达。预先勾选的复选框、通过继续浏览推定的同意,以及将访问权限与接受挂钩的"Cookie墙"设计,都与这些要求不相容。

对同意的用户体验而言,还有两条DPDP Act特有的规则值得关注:

儿童数据与父母同意

DPDP Act将18岁以下的任何人视为儿童,并要求在处理其个人数据之前取得可验证的父母同意。该法同时禁止对儿童进行行为监测和定向广告投放。任何可被印度未成年人访问的网站——实际上几乎涵盖所有网站——都需要制定年龄准入或基于风险的策略,并须在缺乏父母同意时能够阻止追踪脚本的运行。

您的CMP必须支持的用户权利

印度的数据主体(用户)享有一系列权利,这些权利必须可通过您的同意和偏好层进行行使:

合规的CMP应当提供持久可见的偏好入口链接、支持一键撤回同意,并以能够在调查时按要求出示的方式记录同意事件。

跨境数据传输

DPDP Act对国际数据传输采取"负面清单"方式:除非中央政府明确限制目的地国家,否则个人数据可以传输到印度境外。这比GDPR的充分性认定机制更为宽松,但您仍应记录从印度用户接收数据的第三国,并持续关注公布的限制清单。

处罚与执法

DPDP Act规定的经济处罚相当严厉。数据保护委员会对于未能采取合理安全保障措施的行为,可处以高达2.5亿卢比(约合3000万美元)的罚款;对于未能履行对儿童所负义务的行为,可处以高达2亿卢比的罚款。与同意相关的违规行为——包括通过不合规横幅收集同意——每次违规最高可被处以5000万卢比的罚款。

在您的CMP中实施符合DPDP的同意机制

  1. 对印度用户进行地理检测,并应用专门的DPDP同意模板,而不是复用GDPR横幅。所要求的告知内容和语言选项是不同的。
  2. 以多种印度语言呈现告知。至少应支持印地语和英语,并根据您的流量分布增加其他地区语言。
  3. 默认阻止所有非必要追踪器。仅在获得肯定性同意后再加载广告、分析和第三方SDK。
  4. 清晰分离各目的。如果用户可能合理地希望同意其中部分而非全部目的,则不要将广告、分析和个性化捆绑在单一的"接受"操作中。
  5. 记录同意和撤回事件,包括时间戳、当时所展示的告知确切版本以及用户的语言选择,以便在监管调查中证明合规。
  6. 在每一页面提供可见的偏好链接,允许用户随时审查、更新或撤回同意。

DPDP与GDPR的实际差异

结语

DPDP Act将印度带入了现代全球数据保护格局,并带有其独特的风格——以同意为先、天然多语言、对未成年人有着异乎寻常的保护力度。已经运营达到GDPR水准的CMP的出版商和平台拥有先发优势,但他们仍需调整横幅内容、语言支持、年龄处理和日志记录,以满足DPDP的要求。把印度仅仅视作"又一个GDPR辖区",是把自己送到印度数据保护委员会面前的最快途径。

← 博客 阅读全部 →