2025年11月14日，印度正式发布了《数字个人数据保护（DPDP）规则》，并成立了印度数据保护委员会，标志着该国新隐私保护体系全面投入运行。

这些新举措意味着，无论公司总部设在印度境内还是境外，所有处理印度公民个人数据的组织都必须遵守相关规定。

这一规定广泛适用于以下公司：

• 为印度客户或用户提供服务

• 在印度雇用员工或签订合同

• 在印度设立支持中心或离岸团队

• 通过全球系统传输或处理与印度相关的个人数据

主要合规要求

• 以清晰、通俗易懂的语言获取同意，并提供特定目的的通知

• 严格履行向受影响个人通报数据泄露情况的义务

• 针对儿童数据获取可核实的家长同意

• 保障数据主体可执行的数据访问、更正、删除和指定代理的权利

• 对重要数据受托人加强合规要求（审计、数据保护影响评估、技术尽职调查）

违规处罚

该法案引入了该地区最严格的执法模式之一。

根据违规行为的性质、严重程度、持续时间和影响，违规行为可能面临最高达250亿卢比（约合2800万美元）的罚款。

以下情况可能受到处罚：

• 未实施安全保障措施

• 未报告数据泄露事件

• 违反儿童数据要求

• 未履行数据主体权利

• 违反目的限制或同意义务

• 未遵守印度数据保护委员会的指示

初创企业和小型实体可享受分级处罚制度，但所有处理印度个人数据的全球企业均受印度数据保护委员会管辖。大部分条款已立即生效，其余措施将按照严格的时间表逐步推行，关键节点为12个月，18个月内全面完成。

本文原文为英文，中文为机器翻译，仅供参考，如有问题或建议，欢迎随时与我们联系。