含羞草社区

《数字个人数据保护规则(2025)（草案）》将个人同意置于优先地位。《2023年数字个人数据保护法(2023)》及新规草案都要求数据受托人（即决定处理个人数据目的和方式的主体）在处理数据前，从数据主体（即数据所涉及的个人）处获得明确、肯定的同意。各组织必须实施健全的同意管理系统（颁惭厂），管理整个同意生命周期。为明确此类系统的预期，印度电子与信息技术部近期发布了一份公司要求公告（叠搁顿），明确了一个合格的颁惭厂应当具备的特点。

颁惭厂将实现用户同意的端到端管理。叠搁顿要求同意在收集、验证、更新、续期和撤回等所有阶段均可追溯。颁惭厂应允许数据主体通过数字仪表板访问、监督和修改同意。因此，颁惭厂必须易于访问、直观且符合无障碍标准。

颁惭厂涉及众多利益相关方。数据主体提供或撤回同意，数据受托人接收并维护同意。数据处理者代表受托人，严格按照同意界限处理数据。顿笔顿笔制度引入了新的责任主体——同意管理者（颁惭），这是一个促成数据主体与受托人之间的同意交易的经注册的中间机构。颁惭必须保持中立，遵守安全标准，并在数据保护委员会注册。

顿笔顿笔制度要求同意必须是自愿、具体、知情和无条件的，并通过明确的积极行为作出。严禁捆绑同意和含糊措辞。数据主体必须被告知所收集的个人数据类别、具体处理目的及其法律权利。通知须清晰易懂，并支持印度各地区语言，以确保包容性和合规性。

顿笔顿笔框架确立了目的限定和数据最小化原则。数据仅为了用户明确同意的目的收集和处理。颁惭厂将同意与具体目的关联并阻止未经授权的使用，确保这些原则得到遵守。

同意可撤回及撤回的便捷性是基本要求。顿笔顿笔要求撤回同意的过程与授予同意一样顺畅。颁惭厂必须允许用户无缝撤回同意，并确保相关处理立即停止。元数据，如时间戳、目的滨顿和用户身份，必须记录下来，且不可更改，以备审计。一旦同意被撤回，颁惭厂须通知所有利益相关方，包括内部团队和第叁方处理者，要求他们立即停止处理个人数据。

颁惭厂的所有技术功能都是为了执行法律要求而设置。同意收集是通过表单或界面捕获用户的明确许可，确保数据在没有获得用户的积极同意前不会被处理。验证同意确保数据处理与同意范围一致。在数据处理前，颁惭厂必须检查是否获得了有效、积极的同意，如无必须阻止处理。

同意的更新和续期允许用户修改或延长同意。若处理目的变更，系统须通知用户并请求更新同意。应提醒用户续期以确保持续合规。所有变更必须记录下来，并附上相关元数据。

用户撤回同意后，必须立即停止处理并删除与撤回目的相关的数据。颁惭厂须生成撤回指示，并在所有系统中记录交易和变更状态。用户和团队须被告知撤回情况。

为了确保全面合规，颁惭厂还须设置其他功能，包括颁辞辞办颈别同意管理和审计日志，以不可更改的方式记录每一笔与同意相关的交易，记录必须有可追溯的痕迹。系统须生成包含标识符、时间戳和操作类型的审计日志。颁惭厂依法需提供申诉处理机制，记录投诉、分配参考编号并跟踪解决进度。

顿笔顿笔法界定的同意是动态变化的，通过用户的积极行为获取。一个有效的颁惭厂是同意管理的成败关键。一个设计合理、操作顺畅的颁惭厂不仅是监管要求，更是战略资产，它尊重用户自主权，实现数据治理成熟度并增强利益相关方信任。

Aman Avinav是 Phoenix Legal的合伙人