印度政府于2025年1月3日发布了《数字个人数据保护法》的草案规则，并开放公众咨询至2025年2月18日。这些规则旨在为数据受托人（处理个人数据的实体）提供明确的指导，确保数据收集和使用的透明度。规则要求数据受托人在收集数据时向用户提供清晰的通知，说明数据用途，并获得用户的知情同意。此外，规则引入了“同意管理人”机制，以标准化用户的收集过程。数据受托人需在数据泄露后72小时内通知印度数据保护委员会，并采取加密、假名化等技术措施保护数据。对于未成年人数据的处理，规则要求获得父母或监护人的可验证同意。跨境数据传输将受到未来政府命令的约束。规则还要求重要数据受托人定期进行数据保护影响评估和审计。

背景

印度为加强数字隐私保护做出了重大努力，根据《2023年数字个人数据保护法》发布了数据保护规则草案，供公众咨询。这些规则将开放至2月18日，旨在为在该国运营的实体处理个人数据制定明确且可执行的指导方针。

这些草案的发布是印度十年来全面制定数据保护法的重要里程碑。2011年，由前德里高等法院首席大法官AP Shah担任主席的专家委员会建议制定隐私法，为这些法规奠定了基础。经过多年的修订和辩论，该立法最终定型为2023年《数字个人数据保护法》（DPDP），目前正在走向实际实施。

草案提议分阶段实施。管理数据保护委员会的规则（包括其组成和职责（规则 16-20））将立即生效。其他规定（例如详细说明通知要求、同意管理和政府数据访问的规定）计划稍后实施。

关键要点

自2023年8 月首次公布该法律以来，经过16个月的时间，电子和信息技术部 (MeITY) 于2025年1月3日晚间发布了《数字个人数据保护规则》草案。总体而言，数据保护规则草案中提到了22 点，但其中最重要的要求如下：

1、数据受托义务：数据受托人（处理个人数据的实体）必须确保数据收集和使用的透明度。通知必须清晰、简单且与其他内容分开，以便用户了解数据使用情况并给予知情同意。

2、撤回同意和权利管理：用户撤回同意的机制必须与给予同意的机制一样容易获得。数据受托人必须促进用户行使本法案赋予的权利，包括访问、更正和数据删除。

3、安全和保障：必须采取加密、假名化、屏蔽等充分的技术措施来保护个人数据。必须维护日志来追踪对个人数据的访问，确保迅速识别和处理未经授权的访问。

4、数据泄露通知：一旦发生数据泄露，受托人必须及时通知受影响的个人。必须在发现违规行为后72小时内通知当局。

5、未成年人数据处理：数据受托人必须验证父母是否同意处理18岁以下儿童的数据。机制必须确保父母身份和同意的有效且可验证。

6、研究和统计目的的豁免：如果按照规定的标准进行研究、存档或统计分析，某些规定不适用于个人数据处理。

7、跨境数据传输：跨境数据传输将需要遵守政府规定的条件，以保护印度公民的主权和安全。

8、设计数据保护：受托人必须在其系统和运营中纳入数据保护原则，确保从一开始就维护用户权利。

9、重要数据受托人：根据处理的数据量和敏感度，这些受托人面临更严格的要求，包括强制审计和影响评估。

可能的影响

电子和信息技术部 (MeitY) 通过MyGov平台邀请公民、行业利益相关者和民间社会提出反馈意见。此举表明政府致力于制定透明的规则，旨在确保新法规能够满足不同观点。草案承认在管理个人数据方面出现了新的挑战，特别是在全球关于人工智能驱动的数据处理、跨境数据流和监控问题的争论中。

随着数字服务的兴起和全球经济的相互联系，印度的数据保护制度预计将影响国际业务。处理印度居民数据的公司需要遵守当地框架，确保其做法符合印度的严格标准。这些规定也与全球趋势相吻合。世界各国都在加强数据隐私法规，这反映出人们越来越意识到不加控制的数据使用所带来的影响。

参考资源

1、https://thecyberexpress.com/india-releases-draft-data-protection-rules/

2、https://pib.gov.in/PressReleasePage.aspx?PRID=2090048

3、https://innovateindia.mygov.in/dpdp-rules-2025/

4、https://www.thehindu.com/news/national/it-ministry-notifies-draft-rules-under-data-protection-law/article69058838.ece

声明：本文来自网空闲话plus，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。