含羞草社区

电子与信息技术部在一月份发布了备受期待的2025年《数字个人数据保护规则（草案）》，征求公众意见至叁月初结束。显然，政府意欲加快立法进程，处理个人数据引发的数据隐私和安全问题亟待解决，新规将提供重要法律保障。

这些草案规则旨在规范数据处理、同意管理、安全措施和跨境数据传输。新规的实施将让印度进一步与全球隐私标准接轨；但另一方面，草案中不乏复杂的规则，带来不确定性，而公司和个人未来将必须应对这些难题。

同意的获取、管理和撤回以及确保数据安全仍然是草案的重点。在拟议规则下，数据受托人（即直接或通过数据处理者处理个人数据的公司）必须向作为数据主体的个人逐项说明其希望收集的个人数据，以及收集该等数据的具体目的。撤回同意可能会变得与授予同意一样简单，整个过程将由同意管理者这一中介角色负责。

然而，这些规则内容较为宽泛，未能给予用户细致的控制权。这与欧盟的《通用数据保护条例》（骋顿笔搁）形成鲜明对比，后者允许用户仅对特定类型的数据处理表示同意，从而限制第叁方对用户其他个人信息及其传播的控制。

草案对数据受托人规定了严格的安全义务。受托人必须实施加密和访问控制，并保留至少一年的审计日志。他们必须在任何数据泄露发生后72小时内通知数据保护委员会。但草案未就轻微事故与严重泄露作出明确区分和界定。

草案并不禁止将个人数据传输到印度以外的司法管辖区，但跨境传输须遵守政府可能规定的任何要求。目前，草案尚未明确列举会有哪些要求，以及不遵守要求会带来哪些后果。

草案重申了对儿童及残障人士数据保护的规定。草案规定，公司在处理未成年人及残障人士的数据前，需从家长及监护人处获取可验证的同意。尽管《数字个人数据保护法》禁止数据受托人对儿童进行跟踪或行为监控，但草案允许教育机构和托育或日托中心照护儿童的个人出于特定目的对儿童进行此类跟踪和监控。就残障人士而言，草案对可访问性没有明确说明。如果缺乏清晰的规定，这些人士在理解和填写同意表格及数据访问请求时可能会遇到困难，甚至可能无法提出投诉，最终限制他们充分行使权利的能力。

与其他法域的隐私框架（如骋顿笔搁和加利福尼亚《消费者隐私法》）相比，草案没有给予个人足够的数据控制权。草案授予了访问、更正和删除个人数据的权利，但缺失了诸如数据可携带性及反对自动化决策权等关键条款，也没有设置防范措施，如限制将个人数据用于建立用户画像。关键条款的缺失使数据主体无法完全掌控自己的数字身份。

草案的发布是印度在加强数据保护方面踏出的重要一步。然而，这一拟建立的框架距离理想状态仍相差甚远。涉及同意架构与流程、合规负担、跨境数据传输以及用户权利等方面的挑战亟需关注。只有让利益相关者真正参与到立法过程中，这些问题才能得以解决，进而构建一个平衡的生态系统，既保障隐私又不扼杀技术创新和增长。

Aman Avinav Phoenix Legal合伙人