印度发布《2025年数字个人数据保护规则(草案)》
点击文末“阅读原文”,查看立法说明原文。
2025年1月,印度电子与信息技术部发布《2025年数字个人数据保护规则(草案)》(Draft Digital Personal Data Protection Rules,以下简称“规则”)并面向社会公开征求意见。
值得注意的是,该规则对印度首部个人数据保护综合立法《数字个人数据保护法》中的相关规则进行了进一步细化。《数字个人数据保护法》于2023年8月正式出台,旨在规范个人数据的处理,并对违反其规定的行为设定高达 25 亿印度卢比(约合3100万美元)的巨额罚款。
该规则细化规定了数据受托人(类似于GDPR项下的数据控制者)在《数字个人数据保护法》下的诸多合规义务。具体而言,数据受托人负有如下具体义务:
向数据主体提供清晰易懂的隐私政策,告知数据处理的必要细节,以便数据主体能够对个人数据的处理给予具体和知情的同意;
采取合理的安全措施以防止个人数据泄露,包括通过加密、假名化等技术措施;
一旦发现个人数据泄露,应立即以简洁、清晰和易懂的方式向数据主体和数据保护监管机构进行报告;
在处理目的已实现且数据不再需要用于遵守法律的情况下,删除个人数据;
采取适当的技术和组织措施,以确保在处理儿童的任何个人数据之前获得父母的可验证同意;
在其网站或APP显著位置披露数据保护官(DPO)或能够代表数据受托人处理数据保护相关问题的联系人信息;
在其网站上披露数据主体提出数据主体权利请求的详细信息和方式,以及提交请求所需的必要信息;
根据处理的数据量和敏感度,符合特殊条件的数据受托人还需要定期开展强制审计和影响评估。
并且,规则的附表3明确了不同类别的数据受托人、相关的处理目的,以及根据这些目的处理的个人数据的存储期限。
来源:印度电子与信息技术部
一个专注于数据、网络安全、科技、媒体和通信(TMT)领域,以及环境、社会和治理(ESG)法律发展的频道,致力于与您分享我们对法律法规、行业动态方面的独家观点和深入解读。
