合规2026年5月8日 | FlexyConsent

2026年印度DPDP法案:出版商与广告商关于同意管理方、跨境传输及数据保护委员会的实操指南

印度《数字个人数据保护法》(DPDPA,2023年)于2023年8月颁布,随后在2024年至2025年间经历了缓慢的分阶段落地,令众多境外出版商长期处于观望状态。这一阶段已经结束。DPDP规则已于2025年全面通知,印度数据保护委员会(DPBI)现已正式运营并受理投诉,同意管理方框架——印度对全球隐私法律的独特架构贡献——也已在生产环境中上线。对于2026年处理印度用户个人数据的出版商、广告商或平台而言,DPDPA不再是未来的合规议题,而是当下的合规基准。它与GDPR的差异对CMP工程、跨境数据流及数据主体权利的实现方式均有重要影响。本指南梳理了DPDPA在全面落地后的运作方式、印度同意机制的实际要求、同意管理方生态系统如何改变CMP格局,以及DPBI在2026年的执法立场。

2026年DPDPA的框架结构

DPDPA是一部独立的数据保护法规,有别于印度在银行、电信和医疗领域的行业专项法律。其落地实施经过精心分阶段安排,以使同意管理方生态系统、DPBI及跨境传输制度能够依次上线。

2023年通过与2024-2025年落地

DPDPA于2023年8月通过议会审议,随即获得总统批准。电子和信息技术部(MeitY)在2024年就实施细则进行广泛磋商,最终规则在2025年分批次通知:首先是同意管理方注册框架,其次是数据主体权利程序,再次是跨境传输通知,最后是重要数据受托人资质门槛。到2026年初,完整框架已全面生效。

受监管主体

DPDPA适用于对印度境内个人的数字个人数据进行处理的活动。当处理行为与向印度数据主体提供商品或服务相关时,亦适用域外管辖。通过本地化网站、印度语版本或针对印度IP地址购买程序化广告库存为印度用户提供服务的美国出版商均在监管范围内。该法的域外管辖条款在法规中表述明确,并已在DPBI早期指引中得到强化。

术语差异

DPDPA使用其专有术语体系,与GDPR及大多数亚洲新兴框架均有所不同。数据受托人相当于GDPR中的控制者;数据处理者与GDPR的处理者对应关系清晰;数据主体即数据当事人;重要数据受托人则是超过中央政府规定规模或敏感度门槛的控制者。首次接触DPDPA的境外出版商常常将这些术语与GDPR对应概念错误匹配;尽早建立正确的对应关系可避免日后混淆。

个人数据的界定范围

DPDPA对个人数据的定义宽泛,与国际通行做法高度一致。个人数据是指任何有关可据此数据直接或间接识别的个人的数据。DPBI在早期指引中已明确表示,在线标识符——Cookie、广告ID、IP地址、设备指纹及行为画像——若能通过直接方式或合理手段与可识别个人相关联,则构成个人数据。

无敏感类别,但设有重要数据受托人规则

与GDPR、LGPD和PIPA不同,DPDPA未正式定义敏感个人数据类别。该法转而依赖重要数据受托人资质认定,对大规模处理数据、处理儿童数据、处理可能影响选举完整性或国家安全的数据的控制者施加额外义务。其最终效果与GDPR的敏感类别规则类似,但架构设计有所不同。

这对Cookie意味着什么

收集常规广告标识符的Cookie属于个人数据,但不会仅因其关联某个敏感受众细分群体而承担加重义务。然而,达到重要数据受托人门槛的出版商——例如拥有数千万印度用户的大型平台——将承担额外义务,包括强制设立数据保护官、定期审计以及数据保护影响评估。规模门槛已于2025年发布通知,大多数全球性平台现已在适用范围内。

DPDPA下的同意机制

DPDPA将同意置于其框架核心,但以一套特定要求对其进行界定,这些要求与GDPR的同意标准并不完全对应。

有效同意标准

DPDPA下的有效同意须满足以下条件:

逐项通知要求

DPDPA要求在同意前或同意时提供一份通知,描述将被处理的个人数据、处理目的、数据主体行使权利的方式,以及向委员会投诉的方式。该通知须以英文提供,并在数据主体要求时以印度22种附表语言中的任意一种提供。

同意管理方架构

这正是DPDPA与其他框架最显著的分歧所在。该法确立了一个名为同意管理方的授权角色——一个向DPBI注册的第三方实体,提供可互操作的同意仪表板,使数据主体能够通过单一界面在多个数据受托人之间授予、查阅、管理和撤销同意。同意管理方须向委员会注册并满足技术互操作规范。在实践中,数据受托人可通过其自有CMP直接获取同意,也可通过已注册的同意管理方获取;许多数据主体选择通过同意管理方集中管理其同意,而非分别处理每个网站的横幅弹窗。

合规CMP的外观要求

为印度流量配置的CMP在2026年应呈现以下内容:

同意记录

数据受托人须保存同意记录,包括同意人、同意时间、通过哪个界面同意、同意的目的,以及后续任何变更。DPBI已在数起早期程序中援引同意日志不完善的问题,可导出的、带时间戳的同意记录是基本预期。

跨境数据传输

DPDPA的跨境传输框架是印度监管制度中最具特色的要素之一,与GDPR、PIPA及修订后的KVKK所采用的「充分性+保护措施」模式存在实质差异。

通知框架

DPDPA采用负面清单方式:跨境传输原则上被允许,除非目的地国家出现在中央政府通知的受限司法管辖区名单上。这与GDPR充分性认定模式相反——GDPR将传输视为禁止行为,除非有充分性决定或保护措施。DPDPA的方式在表面上更为宽松,但负面清单可由政府自由裁量扩充,2025年已有数个司法管辖区就特定数据类别被列入其中。

实操意义

对于2026年大多数程序化广告流量而言,意味着向主要广告技术目的地的跨境传输在目的地国家未被列入受限清单的前提下是被允许的。出版商需核查当前通知的名单,保存传输及其目的的文档,并在某一目的地被添加时随时准备重新路由或暂停数据流。这对大多数流量而言比GDPR的传输机制简单得多,但保持警觉的要求是真实存在的。

行业专项本地化规定

在DPDPA之外,多个印度行业监管机构——包括金融数据领域的印度储备银行(RBI)和医疗数据领域的卫生部——设有叠加于DPDPA之上的本地化要求。在上述受监管行业为印度用户提供服务的出版商须同时遵守DPDPA和适用的行业专项规则。

数据主体权利

DPDPA赋予数据主体的权利与GDPR类似,但范围略窄:

权利清单中缺少的内容

值得注意的是,DPDPA未包含独立的数据可携带权、一般反对处理的权利,以及针对自动化决策的明确权利——尽管重要数据受托人制度和同意撤回机制在间接层面覆盖了大部分相同内容。

响应时限

数据受托人须在通知规则规定的时限内响应数据主体请求——在大多数情况下,须在不超过规定期限的合理时间内作出响应,DPBI将实质性拖延视为合规失败。申诉系统是第一步;只有未解决的申诉才会上报至委员会。

重要数据受托人

重要数据受托人(SDF)资质认定会触发超出DPDPA基本要求的额外义务。

额外义务

适用标准

规模、处理个人数据的体量、数据敏感度、对数据主体的风险、对选举民主的潜在影响、安全和主权,以及对公共秩序的潜在影响均为考量因素。中央政府以个案或类别方式通知认定SDF。2026年,大多数在印度运营的大型全球性平台均已纳入已通知的类别范围。

儿童数据

DPDPA将儿童定义为18岁以下的个人——这一门槛高于GDPR的默认标准(16岁)及各国的不同较低门槛。处理儿童个人数据需获得可核实的父母同意,对儿童的追踪、定向广告及行为监控不论同意状态如何均受到限制。受众中包含大量18岁以下用户的出版商需要设置年龄验证机制、父母同意流程以及针对未成年群体的受限处理措施——所有这些都需要真实的工程投入,大多数境外出版商默认尚未完成相关工作。

处罚与执法

DPDPA建立了一套高于印度历史行政罚款水平、并与违规严重程度切实挂钩的处罚制度。

行政处罚

DPDPA允许对最严重违规行为处以每次违规最高2.5亿INR(约合3000万USD)的罚款。同意、通知、安全、违规通知及申诉处理方面的失误适用较低档次的处罚。DPBI在2025年及2026年初已数次援引中等档次处罚,处罚结构设计为随系统性失误而递进。

DPBI执法主题

DPBI早期决定集中于少数反复出现的问题:缺乏真实拒绝选项的同意横幅、未描述DPBI投诉渠道的通知、向受限清单目的地传输数据、实际上不予响应的申诉系统,以及同意管理方互操作失败。境外出版商几乎在上述所有类别中均被援引处罚。

声誉维度

DPBI公开发布其决定,包括数据受托人名称及失误摘要。在一个监管摩擦能迅速转化为媒体报道和政治关注的印度市场,一份公开DPBI决定所带来的声誉代价,在经济罚款之外同样意义重大。

2026年印度流量审计清单

2026年展望

印度的隐私监管制度已在两年多的时间内从立法抽象走向运行现实。DPDPA的架构具有鲜明特色——同意管理方生态系统是全球最引人注目的可携带、可互操作同意实验,负面清单传输方式与主导其他框架的「充分性+保护措施」模式有实质差异。对于已运行GDPR级别同意技术栈的出版商而言,从现状到DPDPA合规的距离是操作层面而非架构层面的:同意管理方互操作、附表语言通知、DPBI投诉披露、18岁以下门槛,以及负面清单传输核查。如果优先推进,这一差距可在数周内填补。在DPBI登门之前完成合规的出版商将不会感知到这一转变。而选择等待的出版商将发现,2026年和2027年将比此前的年份代价更为高昂。

← 博客 阅读全部 →