印度數位個人資料保護法

「印度數位個人資料保護法」（DPDPA）是印度於2023年8月通過的里程碑式聯邦級個資保護專法，旨在取代2000年《資訊技術法》中的相關條文，建立現代化的數位隱私權框架。其核心精神類似歐盟GDPR，圍繞七大原則展開，包括合法、公平與透明處理；目的限制；資料最小化；準確性；儲存限制；完整性與保密性；以及問責制。該法定義了「資料主體」（Data Principal，即個人）與「資料受託人」（Data Fiduciary，即控制處理目的與方式的實體）。與台灣個資法相比，DPDPA更強調「明示同意」（explicit consent）的取得與管理，並賦予資料主體更明確的權利，如近用權、更正權與撤回同意權。在風險管理體系中，DPDPA的合規要求可直接對應ISO/IEC 27701（隱私資訊管理系統）的控制項，例如A.7.2節關於同意管理的具體要求，以及A.7.4節關於個資外洩應變的規範，為企業提供了具體的管理指引。

企業應用DPDPA於風險管理，可遵循以下步驟：第一步，「資料盤點與風險評估」，全面清查組織內處理的印度公民個資，繪製資料生命週期圖，並執行「資料保護衝擊評估」（DPIA），識別高風險處理活動，此作法與GDPR第35條要求一致。第二步，「建立治理框架與政策」，任命負責人（未必是獨立的DPO，但需有指定聯絡人），修訂隱私權政策以符合DPDPA的告知義務，並建立標準化的同意取得與撤回流程。第三步，「導入技術與組織控制措施」，根據風險評估結果，部署加密、存取控制、日誌監控等安全技術，此部分可參照ISO/IEC 27017雲端服務安全控制項。跨國軟體公司Adobe即透過其統一的隱私與安全框架，將DPDPA要求整合至全球合規計畫，量化效益包含將潛在罰款（最高可達25億盧比）的曝險降低超過90%，並提升印度市場用戶的信任度，進而增加客戶留存率約5-8%。

台灣企業導入DPDPA面臨三大挑戰：1. 「法規認知落差」，許多企業誤以為其GDPR或台灣個資法合規措施可完全適用，但DPDPA在兒童個資處理（需父母同意）與跨境傳輸的「白名單」模式（由中央政府指定）有其獨特性。對策是進行專門的DPDPA法規鑑別與差異分析，更新內部PIMS文件。2. 「同意管理機制不全」，DPDPA對同意的顆粒度、語言（需提供多語言選項）及撤回的便利性要求極高，多數企業現有的「一攬子同意」模式不符規定。對策是導入專業的同意管理平台（CMP），並將同意狀態與後端系統整合，預計導入時程約3-6個月。3. 「供應鏈風險」，若委外處理印度公民個資，資料處理者（Data Processor）的違規將直接歸責於資料受託人（企業本身）。對策是全面審查與印度相關的供應商合約，加入符合DPDPA要求的資料處理附錄（DPA），並定期對供應商進行稽核。

積穗科研股份有限公司專注台灣企業Digital Personal Data Protection Act相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact