印度发布数据保护规则草案征求公众意见

印度为加强数字隐私保护做出了重大努力，根据《2023年数字个人数据保护法》发布了数据保护规则草案，供公众咨询。这些规则将开放至2月18日，旨在为在该国运营的实体处理个人数据制定明确且可执行的指导方针。

这些草案的发布是印度十年来全面制定数据保护法的重要里程碑。2011年，由前德里高等法院首席大法官AP Shah担任主席的专家委员会建议制定隐私法，为这些法规奠定了基础。经过多年的修订和辩论，该立法最终定型为2023年《数字个人数据保护法》（DPDP），目前正在走向实际实施。

草案提议分阶段实施。管理数据保护委员会的规则（包括其组成和职责（规则 16-20））将立即生效。其他规定（例如详细说明通知要求、同意管理和政府数据访问的规定）计划稍后实施。

关键要点

自2023年8 月首次公布该法律以来，经过16个月的时间，电子和信息技术部 (MeITY) 于2025年1月3日晚间发布了《数字个人数据保护规则》草案。总体而言，数据保护规则草案中提到了22 点，但其中最重要的要求如下：

1、数据受托义务 ：数据受托人（处理个人数据的实体）必须确保数据收集和使用的透明度。通知必须清晰、简单且与其他内容分开，以便用户了解数据使用情况并给予知情同意。

2、撤回同意和权利管理 ：用户撤回同意的机制必须与给予同意的机制一样容易获得。数据受托人必须促进用户行使本法案赋予的权利，包括访问、更正和数据删除。

3、安全和保障 ：必须采取加密、假名化、屏蔽等充分的技术措施来保护个人数据。必须维护日志来追踪对个人数据的访问，确保迅速识别和处理未经授权的访问。

4、数据泄露通知 ：一旦发生数据泄露，受托人必须及时通知受影响的个人。必须在发现违规行为后72小时内通知当局。

5、未成年人数据处理 ：数据受托人必须验证父母是否同意处理18岁以下儿童的数据。机制必须确保父母身份和同意的有效且可验证。

6、研究和统计目的的豁免 ：如果按照规定的标准进行研究、存档或统计分析，某些规定不适用于个人数据处理。

7、跨境数据传输 ：跨境数据传输将需要遵守政府规定的条件，以保护印度公民的主权和安全。

8、设计数据保 护：受托人必须在其系统和运营中纳入数据保护原则，确保从一开始就维护用户权利。

9、重要数据受托人 ：根据处理的数据量和敏感度，这些受托人面临更严格的要求，包括强制审计和影响评估。