它是什么
印度的 Digital Personal Data Protection Act 2023 与 DPDP Rules(于 2025 年 11 月 13 日公告)共同构成该国关于个人数据的综合性法律。它们要求合法同意、违规通报、data principals 的权利、安全措施,以及对 Significant Data Fiduciaries 的强化义务。
谁须遵守
任何处理印度境内个人数字个人数据的 Data Fiduciary,以及某些面向印度的境外处理活动。Significant Data Fiduciaries 须面对 DPIA、年度审计、DPO 以及独立的数据审计师。
IntelligenceX 如何提供帮助
DPDP 就绪评估与差距分析
Significant Data Fiduciary 身份判定与 DPIA
同意架构与 Consent Manager 集成审查
违规响应剧本与独立数据审计(面向 SDF)
data principals 权利与申诉处理工作流设计
儿童数据保护与可验证同意措施
差距评估ISMS 设计内部审计阶段 1 与阶段 2 支持整改指导认证就绪
常见问题
核心义务(同意、安全、违规、权利、留存)约在 2027 年 5 月 13 日生效,即 2025 年 11 月 Rules 之后十八个月。Consent Manager 登记约在 2026 年 11 月 13 日开放。请即刻开始;构建这套机制需 12 至 18 个月。
DPDP 更为轻量、以同意为核心,没有正当利益依据、不默认数据本地化,以卢比计的固定罚款上限取代营业额百分比,且仅对 Significant Data Fiduciaries 要求 DPO。GDPR 合规有所帮助,但并不等同于 DPDP。
这是一个坚实的领先起点,但并不足够。DPDP 以同意为核心、没有正当利益依据,在违规与儿童数据上规则不同,且罚款以卢比计,因此我们会开展一次聚焦的差距评估,弥补印度特有的缺口。