提示:完整原文可在文章末尾“阅读原文”处获取。
作为东南亚最大数字经济体,印尼《个人数据保护法》(PDP Law)自2022年颁布、2024年过渡期结束以来,已进入全面严格执法阶段。这部对标欧盟GDPR的法案,以“数据主权”为核心,明确了数据本地化存储、跨境传输双重审批、72小时数据泄露上报等刚性要求,违规企业最高将面临年营收2%的罚款,甚至业务停摆风险,成为中企出海印尼绕不开的合规必修课。印度作为数字经济发展迅猛的市场,其数据合规规则的落地对跨境经营企业至关重要。2025年11月《数字个人数据保护法》(DPDP法案)第一阶段已启动,2026年11月第二阶段即将实施。
第一阶段(2025年11月13日起)
印度数据保护委员会正式成立,履行监管职责并制定配套流程,标志着印度数据保护监管体系进入实质运作阶段。
委员会核心职权包括制定数据保护实施细则、处理数据合规投诉、对违规企业进行处罚等。
第二阶段(2026年11月13日起)
启动同意管理1人注册流程,同意管理人作为数据主体2的中介,承担数据主体同意的提供、管理、审查与撤销等核心职能。
同意管理人的设立,是印度在数据主体权利保护上的重要创新,将直接影响企业数据收集与使用的合规流程。
第一、同意管理的合规挑战
应对建议:密切关注印度数据保护委员会发布的同意管理人注册细则,提前梳理企业数据收集的同意环节,预留与同意管理人对接的系统接口;建立数据同意撤销的应急处理流程,确保合规响应效率。
第二、跨境数据传输的潜在限制
应对建议:暂缓非必要的印度境内数据跨境传输,待委员会发布跨境数据传输细则后,按要求完成数据本地化存储、跨境传输认证等合规动作;对已开展的跨境数据业务,开展合规自查,留存数据处理的合法依据。
第一、建立印度数据合规专项机制
针对印度市场单独制定数据保护合规制度,明确专人负责跟进印度数据保护委员会的规则更新,确保企业合规策略与当地监管要求同步。
第二、提前对接本土合规服务机构
与印度本地律所、数据合规咨询机构建立合作,借助本土专业力量解读法案细则、处理合规申报与投诉事宜,降低跨境合规的沟通成本与风险。
第三、强化数据主体权利保护的实操落地
结合同意管理人的职能定位,优化企业隐私政策与数据收集流程,清晰告知数据主体通过同意管理人行使权利的途径,避免因权利告知不充分引发合规纠纷。
对于布局印度市场的企业而言,DPDP法案的分阶段实施既是合规挑战,也是规范数据管理的契机。建议企业以法案实施节点为时间轴,逐步完善数据合规体系,提前应对监管落地后的实操要求。
释义
1.同意管理:是一套系统、流程或政策框架,核心是让用户自主决定哪些个人信息可允许机构(如企业、平台)访问、收集与使用,是数字时代隐私保护与合规的关键工具,广泛适用于网站、APP等数字平台。
2.数据主体:指个人数据所归属的自然人,依法享有个人数据保护相关权利(如同意授予、撤销同意、知情权等)。
作者简介
