Закон Индии о защите цифровых персональных данных (DPDPA 2023) устанавливает требования по защите данных для 1,4 миллиарда человек — крупнейшая в мире система защиты данных по численности охваченного населения. В 2025 году начал работу Совет по защите данных Индии, что ознаменовало начало активного правоприменения. Для глобальных организаций, обслуживающих индийских потребителей, обрабатывающих данные индийских сотрудников или работающих с индийскими ИТ-провайдерами, соответствие DPDPA стало действующим требованием.
DPDPA: основные положения
Территориальный охват: DPDPA применяется к обработке цифровых персональных данных на территории Индии, а также к обработке за её пределами — если она осуществляется в целях предоставления товаров или услуг физическим лицам в Индии. Как и экстерриториальный охват GDPR, DPDPA распространяется на любую организацию, обслуживающую индийских потребителей, независимо от места обработки.
Максимальные штрафы: До ₹250 крор (примерно €27 млн по текущему курсу) за нарушение. Совет по защите данных назначает санкции с учётом тяжести, длительности и масштаба нарушения.
Правовые основания для обработки: Согласие (добровольное, информированное, конкретное, недвусмысленное) или законные случаи использования, определённые Законом (трудовые отношения, юридические обязательства, жизненно важные интересы, функции в общественных интересах, исследования/архивирование, национальная безопасность).
Права субъектов данных: Право на получение информации об обработке, право на исправление и удаление, право на рассмотрение жалоб, а также право назначить представителя в случае недееспособности.
Фидуциарии данных (аналог контролёров в GDPR): Организации, обрабатывающие персональные данные, являются «Фидуциариями данных» и обязаны обеспечивать меры безопасности, уведомлять Совет по защите данных о нарушениях в течение 72 часов, а также назначать офицера по защите данных для значимых фидуциариев.
Aadhaar: крупнейшая в мире биометрическая система идентификации
Aadhaar — национальная биометрическая система Индии: 12-значный уникальный идентификационный номер, привязанный к отпечаткам пальцев и скану радужной оболочки каждого владельца. Выдан 1,36 миллиарда жителей Индии и используется для:
- Распределения государственных льгот (схемы PAN welfare)
- Аутентификации в банковских и финансовых услугах (eKYC)
- Регистрации номера мобильного телефона (обязательная верификация SIM)
- Доступа к медицинским услугам
- Верификации при трудоустройстве
Номера Aadhaar фигурируют во всех индийских финансовых, медицинских и административных документах. Закон об Aadhaar 2016 года устанавливает конкретные ограничения на его использование — он не может служить обязательным документом для частных услуг и не может храниться в базах данных за пределами специально авторизованных случаев использования.
Требования к обнаружению: Aadhaar имеет специфический 12-значный формат с контрольной цифрой по алгоритму Верхоффа. В отличие от более простых национальных идентификаторов, Aadhaar использует алгоритм Верхоффа (сложная схема обнаружения ошибок на основе теории групп) для вычисления контрольной цифры. Инструменты, применяющие только поиск по шаблону без проверки по Верхоффу, генерируют ложные срабатывания на любой последовательности из 12 цифр.
Другие индийские идентификаторы персональных данных
PAN (Постоянный номер счёта): 10-символьный буквенно-цифровой налоговый идентификатор в формате AAAAA9999A (5 букв + 4 цифры + 1 буква). 4-й символ кодирует тип налогоплательщика, 5-й — первую букву его имени. PAN обязателен для финансовых операций на сумму свыше ₹50 000 и фигурирует практически во всех индийских финансовых документах.
Паспорт Индии: Формат — буква X, за которой следуют 7 цифр. Формат специфичен для индийской системы выдачи паспортов.
Индийские водительские права: Формат на основе кода штата (например, DL-0420110149646 для Дели) — формат варьируется в зависимости от штата выдачи, аналогично бразильскому RG.
Номера банковских счетов: В Индии нет стандартного формата — номера банковских счетов варьируются от 9 до 18 цифр в зависимости от банка, без национальной стандартизации. Коды IFSC (11-значные коды банковских отделений) фигурируют рядом с номерами счетов в платёжных документах.
Номера мобильных телефонов: 10-значный формат с кодом страны +91. Уровень проникновения мобильной связи в Индии (1,2 миллиарда абонентов) означает, что номера телефонов повсеместны в индийских коммерческих документах.
Технические требования DPDPA
Требования DPDPA к мерам безопасности сформулированы в терминах результатов, а не конкретных технических мер (в отличие от перечисленных требований HIPAA):
Меры безопасности: Фидуциарии данных обязаны внедрять «разумные меры безопасности», соразмерные рискам. Правила DPDPA (ожидаются в 2025 году) конкретизируют минимальные технические стандарты.
Уведомление о нарушениях: В течение 72 часов в Совет по защите данных о любом нарушении безопасности персональных данных. Этот срок жёстче, чем в GDPR: GDPR предусматривает 72 часа для уведомления регулятора и отдельные сроки для уведомления субъектов данных. DPDPA требует обоих уведомлений в одно 72-часовое окно при значительных нарушениях.
Локализация данных (для значимых фидуциариев): Значимые фидуциарии — определяемые правительством Индии на основе объёма и чувствительности обработки — могут быть обязаны хранить копию персональных данных в Индии. Конкретные требования к локализации будут определены в Правилах, однако транснациональным компаниям, обрабатывающим большие объёмы индийских персональных данных, следует готовиться к возможным обязательствам по локализации.
Трансграничная передача: DPDPA ограничивает передачу персональных данных в страны, не включённые в утверждённый правительством список. По состоянию на 2025 год список одобренных стран не окончательно определён, что создаёт неопределённость в части потоков данных ЕС–Индия. Положение по передаче данных ЕС–Индия отличается от механизма ЕС–США DPF: двустороннего соглашения об адекватности не существует, и организациям рекомендуется внедрять договорные меры защиты в период формирования регуляторной базы.
Для глобальных организаций с операциями в Индии: обнаружение Aadhaar и PAN с проверкой контрольных цифр, поддержка форматов индийских паспортов и водительских удостоверений, а также документирование целей обработки в соответствии с правовыми основаниями DPDPA — базовые технические требования для соответствия DPDPA.
Источники: