发布时间：2023年10月

按主题导航

• 数据保护原则
• 法律依据
• 数据受托人的分类
• 权利范围
• 数据负责人的职责
• 国际数据传输
• 豁免
• 董事会的权力
• 执行和制裁
• 关键要点

印度即将实施的《数字个人数据保护法》旨在平衡个人隐私和该国新兴的数字经济。

与全球数据法不同，DPDPA仅适用于数字个人数据，除非随后数字化，否则不包括非数字个人数据。也许是受新加坡《个人数据保护法》的启发，DPDPA为个人或法律公开的个人数据创造了一个广泛的例外。与《欧盟通用数据保护条例》相反，该法案并不将根据新闻目的进行的处理排除在其范围之外。

DPDPA统一处理所有个人数据，而不对敏感个人数据施加更高的义务。决定处理个人数据的方式和目的的实体被称为“数据受托人”，而不是“数据控制者”。被任何数据识别或与任何数据相关的个人被称为”数据主体“，而不是”数据主体”，这意味着印度数字经济中的信托关系。值得注意的是，关于儿童和残疾人，该法案在数据主体的定义中包括父母或合法监护人，这引发了如何协调这些数据主体之间的重叠权利的问题。

该法案还允许数据主体通过同意管理器提供或撤回同意，同意管理器是促进可互操作数据共享的数据盲实体，以实现印度数字公共基础设施内的数据无缝共享。根据该法案，同意管理者将对数据主体负责，这一要求的存在可能是为了解决潜在的利益冲突，例如在货币依赖数据受托人的情况下。同意管理人可能会受到通过即将出台的规则通知的额外义务的约束。

与《通用数据保护条例》和《加州消费者隐私法》直接对数据处理者适用某些义务不同，DPDPA仅适用于数据受托人，要求他们与数据处理者签订有效合同。应传递给数据处理者的合同保护的性质没有具体说明。

印度DPDPA 2023——与GDPR的比较分析

范围和应用

Territorial scope

• GDPR
  • 适用于：
    • •在欧盟设有机构并“在”欧盟机构的背景下处理个人数据的组织。
    • •非在欧盟成立但处理与在欧盟提供商品或服务或监控欧盟个人行为有关的个人数据的组织。
• DPDPA
  • 适用于处理的数字个人数据：
    • 在印度境内。
    • 在印度境外，与在印度提供商品或服务有关。
    • 除数据安全要求外，印度境内的离岸实体在以下情况下不受DPDPA的约束：
    • 离岸实体代表外国数据受托人处理个人数据。
    • 个人数据仅与外国数据主体有关。

Subject-matter scope

GDPR

适用于：

• 个人数据。
• 个人数据构成归档系统一部分的自动处理或非自动处理。

不适用于：

• 匿名数据。
• 自然人纯粹出于个人或家庭目的处理的个人数据。
• 执法和国家安全机构的处理。

DPDPA

Applies to:

• 数字个人数据的自动化和非自动化处理。
• 对随后数字化的非数字化个人数据进行自动化和非自动化处理。

Does not apply to:

• 隐式匿名个人数据，因为适用性仅限于个人数据。
• 个人出于纯粹个人或国内目的处理的个人数据。
• 根据印度法律规定，由数据负责人或其他人公开的个人数据有义务公开此类数据。

除数据安全要求外，不适用于根据以下要求进行的处理：

• 强制执行法律权利或索赔。
• 履行司法、监管或监督职能。
• 预防、侦查或调查犯罪行为。
• 由印度数据处理者代表外国数据受托人进行处理，其中个人数据仅与外国数据主体有关。
• 主管当局批准的某些并购。
• 查明任何拖欠金融机构贷款或预付款的人的资产和负债。

还允许政府额外豁免其范围：

• 考虑到处理的个人数据的性质和数量，数据受托人的类别，包括初创公司。
• 为了国家安全、公共秩序、犯罪调查等利益的政府机构。

Definition of personal data

GDPR

将个人数据定义为与已识别或可识别的自然人（数据主体）相关的任何信息。可识别的自然人是指在考虑到“所有合理可能使用的手段”的情况下，可以直接或间接识别的人。

DPDPA

将个人数据定义为可通过此类数据识别或与之相关的自然人信息。

Definition of sensitive personal data

GDPR

将“特殊类别的个人数据”定义为个人数据披露：

• 种族或民族出身。
• 政治观点、宗教或哲学信仰。
• 工会会员资格。
• 遗传数据。
• 生物识别数据，用于唯一识别自然人。
• 健康。
• 性生活或性取向。
• 与刑事定罪和犯罪有关的个人数据，虽然不是特殊类别的数据，但受欧盟或成员国法律定义的不同规则的约束。

DPDPA

• 统一处理所有个人数据，不单独对特殊或敏感类别的个人数据进行分类。

相关方

GDPR

• 控制人：单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他机构。
• 处理者：代表控制者处理个人数据的自然人或法人、公共机构、机构或其他机构。
• 数据主体：已识别或可识别的自然人。

DPDPA

• 数据受托人：单独或与他人共同决定处理个人数据的方式和目的的任何个人、公司或法律实体。
• 数据处理者：代表数据受托人处理个人数据的任何州、公司、法律实体或个人。
• 数据主体：与个人数据相关的自然人。关于儿童和残疾人，定义包括父母或合法监护人。
• 同意管理者：DPDPA允许数据主体通过“同意管理者”给予、管理、审查或撤回同意。同意管理者对数据主体负责，并以规则规定的方式代表他们行事。
• 重要数据受托人：政府通知的考虑某些因素的数据受托人类别。其中包括处理的个人数据的性质和数量、数据主体处理活动对其构成的风险、对选举民主的风险、国家主权和完整的威胁以及国家安全。重要数据受托人须承担DPDPA项下的额外义务。

处理的合法性

General principles

GDPR

第5条规定了七项原则：

• •合法、公平和透明。
• •目的限制。
• •数据最小化。
• •准确性。
• •存储限制。
• •完整性和保密性。
• •问责制。

DPDPA

在其各种要求中反映了以下公认的数据保护原则：

• 合法性：个人数据只能根据合法目的进行处理。
• 公平：同意必须是自由、具体、知情、无条件和明确的。应通过数据主体的明确肯定行为提供同意，表示同意此类处理。
• 数据最小化：如果同意是处理的基础，则收集的个人数据应限于特定目的所需的数据。
• 存储限制：除非印度法律要求进一步保留，否则所收集的数据只能保留到特定目的所需为止。
• 目的限制：如果同意或自愿提供的个人数据是处理的基础，则个人数据只能根据特定目的进行处理。完整性：如果个人数据可能被披露给另一个数据受托人或用于对数据委托人做出决定，数据受托人必须确保对此类个人数据的处理确保其完整性、准确性和一致性。
• 保密：数据受托人必须保护其拥有的个人数据，或控制和实施合理的安全保障措施，以防止个人数据泄露。数据受托人还需要实施适当的技术和组织措施。
• 责任：数据受托人必须确保遵守DPDPA条款，无论协议是否相反。
• 重要数据受托人需要通过独立数据审计师进行定期审计，根据DPDPA和规定的规则进行数据保护影响评估等。

Legal basis for processing personal data

GDPR

包括处理个人数据的六个合法基础，可由成员国补充：

• •同意。
• •履行合同。
• •法律义务。
• •合法利益。
• •生命保护和重大利益。
• •公共利益。

DPDPA

规定了处理超出同意范围的个人数据的九个额外理由，定义为合法使用，包括以下内容：

• •数据主体出于特定目的使用自愿提供的数据，而数据主体并未反对此类使用。
• •状态函数的性能。
• •履行法律义务，或为了印度的主权和完整。
• •履行任何法律义务。
• •遵守司法命令。
• •应对涉及个人生命威胁的医疗紧急情况。
• •在公共健康受到威胁期间。
• •在灾难或公共秩序崩溃期间采取措施确保公共安全或提供援助。
• •出于雇佣目的，或保护雇主免受公司间谍活动等损失或责任，对专有信息保密，或提供员工寻求的任何服务或利益。

Consent

GDPR

对获得有效同意提出了一些要求：

• •同意必须是自由的、具体的和知情的。
• •必须通过明确的平权行动予以批准。
• •一般来说，提供服务不能以获得对服务不必要的处理的同意为条件。
• •同意请求必须与任何其他条款和条件不同。
• •必须单独提供用于单独处理目的的同意书。
• •个人有权在任何时候“不损害”撤回同意，撤回同意应该和给予同意一样容易。

DPDPA

要求获得同意：

• •自由、具体和知情。
• •无条件。这可能意味着提供服务不能以同意收集任何不必要的数据为条件。
• •毫不含糊。
• •能够以与给予同意类似的容易程度撤回。
• •语言清晰明了。
• •可使用英语以及《印度宪法》规定的所有官方语言。

 

Legitimate interests

GDPR

• 如果为了控制者或第三方的合法利益而有必要，则允许在未经同意的情况下进行处理，前提是这些利益不被数据主体的权利和利益所凌驾。
• 控制人有责任确定其在此基础上追求的利益是否合法和相称。管制员应记录这些评估。

 

Conditions for processing sensitive data

GDPR

包括10个处理敏感数据的合法基础，可由成员国补充：

• 明确同意。
• 在就业和社会保障方面遵守义务和行使权利。
• 生命保护和重大利益。
• 基金会、协会或其他非营利机构的合法活动，其政治、哲学、宗教或工会目的是处理会员数据。
• 法律索赔的确立、行使或辩护。
• 由个人公开。
• 法律规定的重大公共利益。
• 预防或职业医学、员工工作能力评估、医疗诊断以及提供健康或社会护理或治疗。
• 公众对健康的极大兴趣。
• 归档、科学或历史研究目的。

DPDPA

• 统一处理所有个人数据，不创建特殊类别的个人数据，因此处理所有个人信息的依据保持不变。

 

儿童保护

Children

GDPR

• 在征求16岁以下或成员国法律规定的13至16岁儿童的同意时，规定了额外的义务。
• 如果直接向儿童提供远距离的某些电子服务，即“信息社会服务”，并且处理是基于同意，则必须得到父母或监护人的同意。
• 处理儿童的个人数据与GDPR的其他要求相关，因此通知必须针对儿童量身定制。数据主体是儿童这一事实可能会打破合法兴趣测试的平衡，或引发DPIA。
• 其中一项陈述指出，不应就儿童问题作出重大的自动决定。

DPDPA

将儿童定义为18岁以下的个体。

获得儿童和残疾人的父母或合法监护人“可核实的同意”是一项普遍义务。政府可以通知规则，规定获得此类可核实的父母同意的方式。

禁止数据受托人进行以下处理：

• •可能会对儿童的健康产生不利影响。
• •涉及对儿童的跟踪、行为监控或针对儿童的定向广告。

这些限制不适用于某些类别的数据受托人，也不适用于政府规定的某些目的。

政府可以在确信其处理活动是可验证安全的情况下，通知不受这些限制的数据受托人类别。

个人权利

Transparency requirements

GDPR

• 要求以简洁、透明、易懂和易于获取的形式提供信息，使用清晰明了的语言。
• 如果直接从个人处收集个人数据，则必须在收集时或之前提供通知。
• 对于间接收集的个人数据（即从另一个来源收集的），必须在一个月内或首次与个人联系时（如果更早）提供通知，除非提供通知是不可能的或需要付出不成比例的努力。
• 必须包含在通知中的内容的详细要求。

DPDPA

要求使用清晰明了的语言获得同意。

要求在收集个人数据之前或之时提供通知，披露：

• •处理的个人数据及其处理目的。
• •数据主体行使DPDPA项下可用权利的方式。
• •数据负责人可以按照规定的方式向印度数据保护委员会提出投诉的方式。

要求同意语言为英语以及《印度宪法》规定的所有官方语言。

数据受托人需要公布联系人的业务联系信息，如果是重要的数据受托人，则需要公布数据保护官员，以回答数据负责人关于个人数据处理的问题。

Right of access

GDPR

赋予个人接收有关其个人数据处理方式的信息以及个人数据副本的权利。

必须提供个人数据：

• •免费，除非请求明显没有根据、数量过多或需要额外副本。
• •如有要求，采用电子形式。
• •一个月内，除非延期。

当提供信息会对他人的权利和自由，包括知识产权产生不利影响时，适用例外情况。

DPDPA

如果同意或自愿使用是处理个人数据的基础，则数据主体有权以规定的方式访问：

• 数据受托人处理的个人数据以及该数据受托人就此类个人数据进行的处理活动的摘要。
• 与之共享个人数据的所有其他数据受托人和数据处理人的身份，以及个人数据的描述。
• 可能规定的与他们的个人数据及其处理有关的任何其他信息。

 

Right to correct and update

GDPR

• 授予数据主体以下权利：更正不准确的个人数据。
• 填写不完整的个人资料。

当个人数据更新时，必须将其传达给每个被披露的接收者，除非这会涉及过度的努力。

在验证请求所需的时间内，控制器必须限制对数据准确性有争议的处理。

DPDPA

当同意或自愿使用是处理个人数据的基础时，授予数据主体以下权利：

• 更正不准确或误导性的个人数据。
• 填写不完整的个人资料。
• 更新过时的个人数据。

 

Right to be forgotten

GDPR

• 当不再需要数据进行处理时，当数据主体撤回同意或反对时，以及当处理是非法的或法律要求删除时，授予数据主体请求删除控制者处理的个人数据的权利。
• 如果控制方同意删除之前公开的数据的请求，则控制方需要“采取合理措施”，将数据主体的请求通知可能正在处理数据的任何第三方。
• 还有义务将请求直接传达给任何已知的数据接收方，除非这是不可能的或需要付出不成比例的努力。
• 控制人可能会依赖一些例外情况，包括确立、行使或捍卫法律主张，进行符合某些条件的研究，以及其他令人信服的合法利益来推翻请求。

DPDPA

• 没有明确承认被遗忘权。
• 然而，它允许数据主体撤回他们对个人数据处理的同意。
• 如果同意是处理个人数据的基础，并且该同意被撤回，则数据受托人将被要求在合理的时间内停止处理个人数据，包括其保留或公开披露，除非印度法律要求保留该数据。此外，数据主体可以行使删除其个人数据的权利，如果出于特定目的不需要进一步保留这些数据，法律也没有要求。

 

Rights related to Profiling

GDPR

• 赋予数据主体不受产生法律或重大影响的完全自动化决策（包括分析）约束的权利，除非满足某些条件。
• 在允许做出此类决定的情况下，数据主体有权获得人为干预并对该决定提出质疑。
• 控制者还必须提供有关决策逻辑的有意义的信息，并采取合理措施防止偏见、错误或歧视。

DPDPA

• 不包括不受剖析或重大决策影响的总体权利，但对行为监控、跟踪或向儿童提供定向广告的限制除外。

责任要求

Appointment of a data protection officer

GDPR

• 要求非在欧盟设立的受GDPR约束的控制者和处理者在欧盟任命一名代表，除非处理是偶然的，并且不涉及对敏感数据的大规模处理。
• 只有当控制者或处理者的“核心活动”涉及对数据主体的大规模定期系统监控或敏感数据的大规模处理时，才要求私人实体任命DPO。
• DPO必须具有足够的独立性和技能来履行其职能，并且必须能够向组织内的最高管理层报告。
• DPO可以外包。
• 欧盟监管机构的指导意见建议DPO应设在欧盟。

DPDPA

• 要求所有重要数据受托人任命印度境外的DPO。重要数据受托人是指政府根据处理的个人数据的性质和数量、对数据负责人权利构成的风险、对选举民主的风险以及对印度主权和完整、国家安全的潜在影响等因素通知的数据受托人类别。
• DPO必须代表重要数据受托人，并对重要数据受托的董事会或管理机构负责。
• DPO没有明确的技能要求。可以通过DPDPA下的规则提供关于任命DPO条款的指导。

Record of processing

GDPR

• 要求控制者和处理者保留其处理活动的详细记录，除非适用非常狭窄的例外情况。

DPDPA

• 不要求数据受托人保存处理活动的记录。然而，在证明符合DPDPA时，数据受托人实际上可能需要保留其处理活动的记录。
• 值得注意的是，在任何诉讼过程中，数据受托人应能够证明已向数据委托人发出通知，并根据DPDPA条款获得同意

Data protection impact assessment

GDPR

要求管制员对某些“高风险”活动进行DPIA，包括：

• 系统而广泛的分析。
• 大规模处理敏感数据。
• 大规模系统监控公共区域。

在无法减轻风险的情况下，控制者必须在进行处理之前咨询数据保护机构。

DPDPA

• 需要重要的数据受托人来执行DPIA。此类评估应考虑处理对数据主体权利的影响、处理目的、数据主体权利风险的评估和管理，以及其他规定事项。

 

Privacy by design

GDPR

• 包括在任何产品、服务或活动的整个生命周期中实施适当的法规遵从性流程的要求。
• 默认情况下，只应处理某一目的所需的个人数据，未经个人平权行动，不得公开披露个人数据。

DPDPA

• 值得注意的是，它不要求数据受托人通过设计实现隐私。
• 如果同意或自愿使用是处理个人数据的基础，则需要确保收集的个人数据仅限于特定目的所需。
• 与GDPR一样，DPDPA要求所有数据受托人实施适当的技术和组织措施。

 

Audit requirements

GDPR

• 不包括适用于控制器的审计要求。
• 处理者必须同意与控制者签订的合同中的审计条款。

DPDPA

• 要求重要的数据受托人任命一名独立的数据审计员并进行定期审计。

 

Appointment of Processors

GDPR

• 按照第28条规定的要求，由加工商处理详细合同。

DPDPA

• 要求数据受托人负责合规性，而没有任何规定直接适用于数据处理者。然而，数据受托人仅需根据有效合同聘请数据处理人员。

 

安全和违约通知

Information security

GDPR

• 要求控制者和处理者实施适当的技术和组织措施，以保护个人数据的安全。

DPDPA

• 要求数据受托人保护其控制或拥有的个人数据，包括由其或代表其进行的任何处理，并实施必要的安全保障措施，以防止个人数据泄露。这一要求很可能会传递给数据处理器。

Breach notification

GDPR

• 要求管制员在72小时内通知DPA违规行为，除非违规行为不太可能对个人造成风险。
• 信息可用时，可分阶段发出通知。
• 只有在可能对个人造成“高风险”的情况下，控制者才能及时通知个人违约行为。
• 处理者必须及时通知控制者违规行为。

DPDPA

• 要求数据受托人在发生个人数据泄露事件时，按照规则规定的方式通知董事会和受影响的数据负责人。
• 通知违规行为的期限可以由规则规定。

 

国际数据传输

Data localization requirements

GDPR

• 除非不满足国际数据传输要求，否则不需要本地化。

DPDPA

• 通常不需要数据本地化。然而，政府可能会通过通知对向特定国家转移个人数据施加限制。此外，任何更严格的法律，如特定行业的数据本地化要求，例如支付数据、保险数据或电信用户数据，都将继续适用。

 

International data transfers

GDPR

只有在以下情况下，才允许在欧洲经济区以外转移个人数据：

• 在对其隐私法和执法访问制度进行评估后，接收方所在的地区被欧盟委员会认为可以为个人数据提供足够的保护。
• 制定了适当的保障措施，如欧盟委员会批准的标准合同条款或DPA批准的具有约束力的公司规则。
• 减损适用，例如数据主体提供明确同意、转让是履行合同所必需的，或者存在欧盟或成员国法律规定的公共利益等。

DPDPA

• 通常允许国际数据传输。政府可以限制将个人数据转移到通过该法案规定通知的特定国家。规则还将具体说明此类限制的性质。

 

执行

Penalties

GDPR

• 没有规定刑事责任，但允许成员国对违反法规和适用的国家规则的行为进行刑事处罚。
• 最高2000万欧元或全球年收入4%的行政罚款。
• DPA还可能发布禁令性处罚，包括阻止处理、限制国际传输和要求删除个人数据的能力。
• 个人可以向法院提出赔偿要求，并且存在代表一类个人采取代表行动的机制。

DPDPA

不施加任何刑事处罚，但对“重大”违规行为施加金钱处罚。在计算罚款金额时，需要考虑的相关因素包括：

• •违约的性质、严重性和持续时间。
• •受违规影响的个人数据的类型和性质。
• •违约的重复性。
• •数据受托人是否因违约而实现了收益或避免了任何损失。
• •所施加的罚款是否相称且有效。
• •罚款对此类数据受托人可能产生的影响。

在遵守DPDPA程序的任何阶段，董事会都可以接受数据受托人的自愿承诺。这可能包括承诺在董事会确定的规定时间内采取适当行动。董事会的接受将禁止根据DPDPA对数据受托人提起的所有诉讼。

除了罚款外，中央政府还可以指示其任何机构或任何在线中介机构阻止访问任何使数据受托人能够在印度提供商品或服务的信息，这是基于董事会的书面参考，表明数据受托人在两种或多种情况下受到了罚款，并建议中央政府，阻止访问数据受托人的产品符合公众的总体利益。

杂项规定

Anonymized data

GDPR

• 没有定义匿名数据，即无法通过合理可能使用的方式识别个人，不属于法律范围（重新识别的合理步骤）。在实践中，匿名化是一个很高的标准。

DPDPA

• 不定义匿名个人数据。

 

Exemptions for research

GDPR

• 允许出于科学或历史研究、公共利益归档和统计目的的一些豁免，包括：
• 出于此类目的的进一步处理可能被视为“兼容”
• 欧盟或成员国法律可能允许控制者出于此类目的处理敏感数据。
• 欧盟或成员国法律可能规定对某些个人权利的减损。
• 为了适用研究豁免，控制者必须实施法律可能规定的适当保障措施，例如假名。

DPDPA

• 不适用于出于研究、归档或统计目的处理个人数据的规定，如果此类处理是：
• 不用于对数据主体进行决策。
• 按照政府规定的标准进行。

 

Rulemaking authority

GDPR

• 赋予国家DPA和欧盟数据保护委员会制定规则的权力，以发布非约束性指南，澄清其条款的应用。
• 一些有限的领域留给国家法律，例如澄清处理犯罪记录数据的条件或对某些条款采取额外的减损措施。

DPDPA

• 要么允许中央政府颁布额外的规则或条例，以澄清其要求和/或规定额外的要求。

Application to public authorities

GDPR

• 适用于公共实体，受限于狭义豁免：
• 执法部门和其他“主管当局”在为执法目的处理个人数据时，受单独但类似的框架约束。
• 欧盟机构受制于一个单独但相似的框架。
• 国家安全和情报服务等不属于欧盟法律范围的活动仅受国家法律管辖。

DPDPA

• 一般适用于公共机构和私人团体。
• 然而，中央政府有广泛的权力豁免任何政府机构遵守任何或所有符合主权、安全、公共秩序、国家完整和与外国友好关系的规定，或防止煽动可识别的罪行。

数据保护原则

DPDPA没有列出数据保护原则，而是通过其各种条款将合法性、目的限制、存储限制、完整性和保密性以及问责制等原则内化。

然而，只有在同意或自愿使用是处理个人数据的基础时，目的限制原则才适用。同样，数据最小化的要求——只收集特定目的所需的信息——只适用于以同意为基础处理个人数据的情况。

值得注意的是，DPDPA并没有按照GDPR的要求，规定在处理个人数据时遵守公平原则的一般义务。

法律依据

DPDPA排除了合同必要性和合法利益作为处理个人数据的理由。同意仍然是处理的主要依据，除非某些合法用途可能无法获得同意。这些情况包括遵守法律义务、履行国家职能、遵守司法命令、应对医疗紧急情况以及维护公共安全和秩序。

该法案承认为广义就业目的进行的处理是一个独立的基础。它还设想将数据主体自愿提供的个人数据用于特定目的，而数据主体不反对这种使用。自愿使用作为基础可能受到新加坡PDPA下被视为同意的理由的启发，在交易环境中，通知和同意机制可能不实用。

然而，自愿使用的基础比处理的合法利益基础要窄得多，合法利益基础是灵活的，可以在特定目的之外依赖，考虑到数据控制者更广泛的商业利益，只要个人能够合理地预期这种处理。

数据受托人的分类

GDPR要求所有实体在特定情况下（例如涉及高风险处理时）进行数据保护影响评估，与此不同，DPDPA只对被归类为“重要数据受托人”的特定数据受托人提出了这一要求。“考虑到处理的个人数据的数量和范围，以及对数据负责人、选举民主、国家安全和公共秩序构成的风险，政府可能会将数据受托人归类为重要受托人。

默认情况下，GDPR要求所有对敏感数据进行大规模处理和系统监控的公共机构和实体任命一名数据保护官员，作为其核心活动。与此同时，DPDPA要求仅对通过规则被归类为重要的数据受托人任命一名总部位于印度的DPO，这些数据受托人可能包括收集大量个人数据的全球企业。虽然GDPR要求DPO独立行事，但DPDPA要求DPO对重要数据受托人的董事会或类似管理机构负责。该法案允许政府通知重要数据受托人的额外义务，其性质尚不清楚。

权利范围

虽然GDPR和CCPA允许个人行使更广泛的权利，但根据DPDPA，数据主体可获得的权利仅限于访问、更正、完成、提名（如代表在死亡或无行为能力的情况下行使权利）、删除、撤回同意和申诉补救的权利。此外，只有在同意或自愿使用是处理个人数据的基础的情况下，才能行使访问、更正、完成和删除的权利。

虽然该法案没有明确规定被遗忘权，但在同意是处理的基础的情况下，撤回同意可能会要求数据受托人删除所收集的个人数据。只有在同意是处理个人数据的基础时，才适用向数据主体提供通知的要求。

至关重要的是，数据可移植性的权利和反对完全自动化决策的权利被排除在外。然而，该法案确实要求用于决定数据主体的个人数据准确、完整和一致，这可能会使数据受托人难以实施完全自动化的决策过程，从而导致不准确或歧视性的结果。

数据负责人(data principal)的职责

与大多数数据法不同，该法案对数据主体规定了义务，禁止提出无聊的投诉、冒充他人以及在身份验证中隐瞒重要信息，例如年龄验证措施。此外，该法案要求数据主体遵守适用法律。

国际数据传输

GDPR通常限制数据传输，除非一个国家被认为足够，与此不同，DPDPA通常允许数据传输，但政府限制将数据传输到特定国家的情况除外。虽然这些限制的性质尚不清楚，但它们可能意味着严格禁止向列入黑名单的国家转让，或意味着对特定国家承担类似于充分性安排的软义务，如有约束力的公司规则或标准合同条款。此外，对向受监管实体（银行、金融、保险等）传输数据的特定行业限制可能适用。

豁免

该法案允许政府考虑到处理的个人数据的性质和数量，包括初创公司，将各类数据受托人排除在其范围之外。这解决了长期以来对GDPR对小企业施加过高监管成本的批评。

该法案还豁免了根据政府规定的标准进行的研究、档案或统计处理。

此外，除数据安全要求外，该法案豁免了在特定条件下进行的数据处理，例如：确定可能因从金融机构获得贷款或预付款而拖欠到期付款的人的资产和负债（使金融机构和金融科技企业能够开展业务）；在某些情况下，在主管当局批准的合并和收购的情况下进行必要的处理；在外包的背景下，数据只与外国居民有关，由印度数据处理者代表外国数据受托人进行处理，使印度能够保持其作为外包中心的实力。

董事会的权力

值得注意的是，印度数据保护委员会是根据该法案成立的监管机构，其权力包括进行调查和指导紧急或补救措施的能力。

然而，与GDPR下的国家监管机构不同，董事会无权自行启动程序。同样，与欧盟监管机构不同，董事会不能发布建议或行为准则，这些规定性权力由政府保留。虽然董事会被要求独立行事，但与欧盟监管机构运作的结构和职能独立不同，政府对其组成、权力和职能行使相当大的控制权。这可能是印度进一步加强其在GDPR下的充分性地位的机会。

也许再次受到新加坡PDPA的启发，该法案允许董事会接受自愿承诺，以解决数据受托人的任何违规行为，并禁止对此类数据受托人提起相关法律诉讼。大多数全球数据法都没有关于自愿承担的规定。

值得注意的是，董事会可以建议政府对不遵守规定的数据受托人行使阻止权，限制对数据受托人的在线商品或服务的访问，这可能导致虚拟销售停止。

执行和制裁

虽然GDPR允许成员国对某些不遵守数据保护法的行为进行刑事处罚，但该法案没有实施任何刑事处罚。制裁是货币处罚，与GDPR规定的基于营业额的处罚不同，在某些情况下可能会扩大到2.5亿卢比，即3000万美元。

DPDPA仅规定对性质“重大”的不合规行为进行处罚。在确定重大违规情况下的罚款（而不是业务营业额）时，需要考虑的相关因素包括违规的性质、严重性和持续时间、受违规影响的个人数据的类型和性质、违规的重复性，以及数据受托人采取的缓解措施。

值得注意的是，根据该法案，可能会对不止一次的违规行为处以复合处罚。例如，对未能采取合理的安全保障措施防止个人数据泄露的处罚，可能加起来就是对不遵守儿童相关处理义务的处罚。

值得注意的是，该法案没有规定数据主体在不遵守该法案的情况下有权获得赔偿。

与全球数据法相反，该法案只在重大违规情况下适用罚款，但“重大”违规的门槛尚不清楚。

关键要点

结构共振

DPDPA的结构在定义、理由、例外情况、权利和义务方面与GDPR相当。然而，与全球法律相比，这些方面的范围是有限的，这可能是印度引入综合数据保护法的第一步。

易于遵守

作为一个持续的主题，该法案旨在简化印度新兴数字经济中企业的合规性，以保持其在全球首选离岸地点中的竞争优势。

应对新挑战的不断发展的法律

通过快速可行的规则制定权力引入监管要求的灵活性——对重要数据受托人施加额外义务的能力、报告数据泄露的方式、同意管理者的问责框架，提供通知的方式和对国际数据传输的限制使该法案具有不断演变的特点。它可以重塑自己，并通过针对具体情况和基于需求的监管，迅速适应印度快速转型的数字经济带来的前所未有的独特挑战。

比例调节

该法案的弹性赋予了印度监管灵活性，以确保从商业角度进行适度监管，与重要的数据受托人相比，初创企业的义务是分级的，这为印度的初创企业经济在全球科技领域提供了竞争优势。

IAPP资源中心还设有一个“印度”主题页面，定期更新IAPP的最新新闻和资源。

印度DPDPA的六大运营影响

The overview page for the full series can be accessed here.

• Part 1: Scope, key definitions and lawful data processing
• Part 2: Individual rights
• Part 3: Obligations of data processing entities
• Part 4: Enforcement and the Data Protection Board
• Part 5: Cross-border data transfers
• Part 6: Comparative analysis with the EU General Data Protection Regulation and other major data privacy laws