印度发布《2025数字个人数据保护规则（草案）》，以征求公众意见

2025年1月3日，印度电子和信息技术部（MeitY）发布了《2025年数字个人数据保护规则草案》（the draft Digital Personal Data Protection Rules, 2025，以下简称“规则草案”）。该规则草案是根据2023年8月通过的《2023数字化个人数据保护法案》（Digital Personal Data Protection Act, 2023，以下简称“法案”）制定的，此次规则草案对法案的内容进行了具体化。¹ 根据印度电子和信息技术部发布的消息，该规则草案征求社会公众意见的时间将截止到2025年2月18日。此番我们通过印度当地合作律师，获取到了有关规则草案内容和进展的第一手讯息，特根据其提供的信息，整理了有关规则草案核心内容的九问九答，以期为拟出海或已经出海印度的中国企业提供参考。

一、规则草案将如何实施？

预计该规则草案将分阶段实施，其中与数据保护委员会有关的规定将自官方公报上发布之日起生效，其他实质性及操作性的规定将在稍后的日期通知后生效，具体的日期尚未确定。

二、数据受托人应当如何向数据委托人发出征得同意的通知？²

根据规则草案，数据受托人（相当于中国法下的“个人信息处理者”）在征得数据委托人（相当于中国法下的“个人信息主体”）关于处理个人数据的同意时，需要提供一份通知，该通知应当（1）单独成文且具有自解释性，使数据委托人能够自行理解；（2）使用清晰易懂的语言，以便数据委托人能够给予具体的知情同意。

此外，该通知至少应当包括以下内容：

a  正在处理的个人数据类别的逐项描述（或列表）；以及

b  与处理此类个人数据相关的商品、服务或用途，以及具体的目的。

c  一个连接到数据受托人网站或应用程序的链接，并提供数据委托人如何（i）撤回同意；（ii）行使其法律下的权利；以及（iv）向数据保护委员会提出投诉。

三、数据受托人应当如何保护个人数据？

数据受托人必须实施“合理的安全保障措施”，以防止个人数据泄露。这些保障措施至少应当包括以下内容：

• 数据安全措施：加密、混淆、掩码或使用与该个人数据相对应的虚拟令牌；

• 访问控制：限制对数据受托人或数据处理者³使用的计算机系统的访问；

• 日志记录和监控：保存和审查日志，以检测对个人数据的未经授权的访问，并支持调查；

• 连续性措施：通过维护数据备份等方式，确保在数据丢失的情况下数据处理能够继续进行；

• 日志保留：将日志存储1年（除非法律另有要求），以便检测未经授权的访问并协助调查；

• 合同措施：在与数据处理者签订的合同中纳入数据安全要求；

• 技术和组织措施：应用技术解决方案和组织政策，以确保安全保障措施得到有效实施。

四、数据受托人应当如何就个人数据泄露履行通知义务？

如果个人数据被泄露，数据受托人必须采取以下措施：

（1）向数据委托人通知：及时（且在发现数据泄露后72小时内）通知受影响的数据委托人，并提供以下信息：

• 数据泄露情况的描述，包括其性质、程度、时间、地点；

• 数据泄露的潜在后果；

• 为减轻风险而采取的措施（如有）；

• 数据委托人可以采取的保护自身个人数据的安全措施；以及

• 能够回答数据委托人询问的具体联系人的联系方式。

（2）向数据保护委员会通知：立即向数据保护委员会通知，并提供以下信息：

• 数据泄露情况的描述，包括其性质、程度、时间、地点；

• 数据泄露的潜在后果。

在发现数据泄露后72小时内，数据受托人还应向数据保护委员会提供以下信息：

• 对数据泄露的更新且详细的描述，包括导致数据泄露事件的原因和情况；

• 为降低风险而采取的措施；

• 关于泄露事件责任人的调查结果；

• 为防止今后发生类似数据泄露事件而采取的措施；以及

• 有关向受影响的数据委托人发送通知的报告。

五、数据受托人可以保留个人数据多长时间？

规则草案对特定的企业实体保留个人数据的最长时限作出了具体的要求，拥有2000万注册用户的电子商务实体或社交媒体中介，以及拥有500万注册用户的在线游戏中介，应在数据委托人最后一次登录其帐户后的3年内删除个人数据。同时，在删除个人数据之前，上述实体应在48小时内向数据委托人发出通知。

六、数据受托人应当如何处理儿童的个人数据？

规则草案要求数据受托人在处理儿童个人数据之前，必须获得父母的“可核实的同意”（verifiable consent）。为符合上述规定，数据受托人必须：

a  核实并确保声称自己是父母的个人，确实是儿童的父母；

b  核实并确保该个人是成年人；

c  获得该人的可靠身份和与年龄相关的证件，例如政府颁发的身份证。

规则草案同时在处理残疾人的个人数据方面也引入了类似的核实义务。

不过，某些实体被豁免于上述要求，包括：医疗保健专业人员、教育机构、儿童保育提供者和儿童交通设施提供者。但此豁免仅在特定条件下适用，并且仅当个人数据的处理限于规则草案中提到的极其必要活动时才适用。具体要求如下：

• 医疗保健专业人员：（1）处理仅限于此类机构或专业人员在保护儿童健康所需的范围内向儿童提供医疗服务；（2）处理仅限于支持实施此类专业人员为儿童推荐的任何医疗治疗和转诊计划，以保护其健康。

• 教育机构：处理仅限于跟踪和行为监测（1）此类机构的教育活动；或（2）为了在该机构内登记的儿童的安全。

• 儿童保育提供者：处理仅限于跟踪和行为监测以确保该机构内受托的儿童的安全。

• 儿童交通设施提供者：处理仅限于在儿童往返于保育机构的过程中跟踪他们的位置以确保该机构内登记的儿童的安全。

七、重要数据受托人（Significant Data Fiduciary）⁴有哪些额外义务？

根据印度中央政府的通知，重要数据受托人需要注意履行以下法定的额外义务：

• 必须每年进行一次数据保护影响评估和审计，并向数据保护委员会提交一份包含重大发现的报告；

• 必须确保算法软件不会对数据委托人的权利构成风险；

• 必须确保中央政府指定的个人数据及相关流量数据不得转移到印度境外。

八、数据受托人是否可以在印度境外处理个人数据？

印度中央政府可以对以下个人数据跨境传输至印度境外施加特定的限制：

• 在印度境内处理的个人数据；或

• 在印度境外处理，但与在印度提供商品或服务有关的个人数据。

数据受托人需满足中央政府通过一般或特别命令规定的条件，才能够跨境传输上述个人数据。此外，如上所述，重要数据受托人必须确保中央政府指定的个人数据及相关流量数据不得转移到印度境外。

九、数据委托人如何行使其个人权利？

数据受托人必须采取以下措施，确保数据委托人可以行使其个人权利：

• 在其网站和应用程序上发布有关如何提交权利请求的方式的详细信息；以及验证权利请求所需的任何标识符；

• 提供其投诉处理系统对数据委托人投诉的响应期限；以及

• 为数据委托人提供提名个人以代表其行使权利的机制。⁵

此次印度政府在规则草案征求意见期间，欢迎广大利益相关者就草案的内容提交评论意见，如果有中国企业在印度境内开展业务或拟出海印度，可能因该新法生效而受到重大影响，或者希望就某项要求提出反馈意见，我们可以协助中国企业通过我们合作的印度律师向当地政府提交意见。企业也可以通过以下网站（https://innovateindia.mygov.in/dpdp-rules-2025/）直接提交反馈意见。君合也将持续关注印度个人数据保护立法和监管的最新动态，为中国企业在印度当地合规地开展业务活动提供法律支持。

本文章的内容参考了印度当地律师Jitendra Soni的英文文章，并已获得其授权，在此特表示感谢！

1. 关于法案的立法过程及相关内容的分析，以及和中国个人信息保护法内容的对比研究，可参见君合此前发布的文章：“印度发布《2022数字化个人数据保护法案》征求意见稿，鲜明特色引起广泛关注”，https://mp.weixin.qq.com/s/gjrAppZJzoKGTC78xXwI6g。

2. 在印度法案及其规则草案中，“数据受托人”（Data Fiduciaries）相当于中国《个人信息保护法》下的“个人信息处理者”，“数据委托人”（Data Principal）相当于“个人信息主体”。

3. 在印度法案及其规则草案中，“数据处理者”（Data Processor）相当于中国《个人信息保护法》下的“受托人”。

4. 根据法案对“重要数据受托人”的定义，印度中央政府可能基于处理活动中的以下因素，将某一数据受托人或某一类数据受托人认定为“重要数据受托人”：（1）处理的个人数据的数量和敏感性；（2）数据委托人的权利风险；（3）对印度主权和完整的潜在影响；（4）选举民主的风险；国家安全；和（5）公共秩序。

5. 根据法案，印度将设立同意管理人（Consent Manager）制度。同意管理人需要在数据保护委员会进行注册，可基于数据委托人的委托代为行使其各项权利，为数据委托人提供一个可访问、透明和可互操作的平台来授予、管理、审查和撤回其个人同意。