2023年數位個人資料保護法

《2023年數位個人資料保護法》（DPDPA）是印度首部針對數位個人資料保護的綜合性聯邦法律，旨在取代既有的零散規範。其立法精神與歐盟《一般資料保護規則》（GDPR）相似，皆以原則為基礎，確立了資料當事人（Data Principal）的權利與資料受託人（Data Fiduciary）的義務。核心原則包括：合法、公平與透明處理；目的限制；資料最小化；準確性；儲存限制；完整性與保密性。此法案適用於在印度境內處理數位個人資料的行為，並具有域外效力，適用於為印度境內個人提供商品或服務的境外機構。在風險管理體系中，DPDPA的定位是關鍵的法律合規性要求，與ISO/IEC 27701（隱私資訊管理系統）的控制措施高度相關，要求企業必須建立明確的個資治理架構，以應對高達25億印度盧比的罰款風險。

企業應對DPDPA的實務應用，可依循隱私管理框架（如ISO/IEC 27701）進行，主要包含三步驟：第一，執行「資料保護衝擊評鑑（DPIA）」，全面盤點與印度個人相關的資料處理活動，識別高風險領域，此作法呼應GDPR第35條的要求。第二，建立「合規治理框架」，任命負責人（針對「重要資料受託人」），修訂隱私權政策與告知事項，並建立明確、可撤回的同意管理機制。例如，一家向印度市場銷售軟體的台灣公司，必須重新設計其註冊流程，確保用戶同意選項預設為「不同意」。第三，導入「技術與組織措施」，包含資料加密、存取控制、人員訓練，並制定資料外洩應變計畫，確保能在事件發生時及時通知主管機關「印度資料保護委員會」與受影響當事人。導入效益可量化為：合規率提升至95%以上、因個資外洩造成的潛在罰款風險降低80%。

台灣企業導入DPDPA主要面臨三大挑戰：第一，「法規認知與域外效力差距」，許多企業，特別是中小企業，可能未意識到其線上服務或電子商務已觸及印度市場，因而忽略了DPDPA的域外適用性，導致合規缺口。第二，「同意管理機制複雜」，DPDPA對「同意」的要求比台灣《個資法》更嚴格，必須是具體、明確且可自由給予的，企業需改造現有系統以支援細緻化的同意選項與便捷的撤回功能。第三，「資源與專業人才不足」，缺乏兼具法律與資訊技術背景的專業人才來主導合規專案，難以有效進行風險評鑑與流程改造。對策建議：首先，應立即進行「法規適用性評估」，確認業務範圍是否觸及印度（預計時程：1個月）。其次，委由外部專家（如積穗科研）進行「合規差距分析」，找出優先改善項目（預計時程：2個月）。最後，採用「分階段導入」策略，優先處理高風險的個資處理活動，逐步完善管理體系。

積穗科研股份有限公司專注台灣企業Digital Personal Data Protection Act, 2023相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact