DPDPA 2023: กรอบการคุ้มครองข้อมูลที่ใหญ่ที่สุดในโลกตามประชากร
Digital Personal Data Protection Act (DPDPA 2023) ของอินเดียกำหนดข้อกำหนดการคุ้มครองข้อมูลสำหรับ 1.4 พันล้านคน — กรอบการคุ้มครองข้อมูลที่ใหญ่ที่สุดในโลกตามประชากร คณะกรรมการคุ้มครองข้อมูลของอินเดียเริ่มดำเนินการในปี 2025 ซึ่งหมายถึงการเริ่มบังคับใช้อย่างเชิงรุก
ตัวระบุ PII หลักของอินเดีย
Aadhaar (UID — Unique Identification Number):
- ตัวระบุ 12 หลักออกให้โดย UIDAI (Unique Identification Authority of India)
- ครอบคลุมกว่า 1.36 พันล้าน ชาวอินเดีย (98% ของผู้ใหญ่)
- ใช้สำหรับการตรวจสอบตัวตน รัฐสวัสดิการ การเปิดบัญชีธนาคาร
- การตรวจสอบ: ใช้ Verhoeff algorithm (อัลกอริทึมเดียวกับ My Number ของญี่ปุ่น)
- ห้าม: กฎหมาย Aadhaar ห้ามการเก็บข้อมูล Aadhaar โดยบุคคลที่สามในกรณีส่วนใหญ่ — ต้องทำให้ไม่ระบุตัวตนทันที
PAN (Permanent Account Number):
- ตัวระบุภาษีบุคคลธรรมดา: AAAAA9999A (รูปแบบ 10 ตัวอักษร)
- ออกโดย Income Tax Department
- ต้องใช้สำหรับธุรกรรมทางการเงินกว่า ₹50,000
Voter ID:
- ตัวระบุ 10 ตัวอักษรออกโดย Election Commission
- รูปแบบ: LLLDDDDDDC (ตัวอักษร 3 + ตัวเลข 7)
ข้อกำหนด DPDPA ที่สำคัญ
มาตรา 4 — ฐานกฎหมายสำหรับการประมวลผล:
- ความยินยอม (ชัดเจน ไม่ใช่โดยปริยาย)
- วัตถุประสงค์ที่ชอบธรรม (จำกัดเฉพาะที่ระบุไว้ในกฎหมาย)
มาตรา 8 — ภาระหน้าที่ Data Fiduciary:
- จำกัดวัตถุประสงค์: เก็บเฉพาะเท่าที่จำเป็น
- ความถูกต้อง: รักษาข้อมูลให้ถูกต้องและอัปเดต
- การรักษาความปลอดภัยด้านข้อมูล: ใช้มาตรการรักษาความปลอดภัยที่เหมาะสม
- การแจ้งเตือนการละเมิด: แจ้งคณะกรรมการคุ้มครองข้อมูลโดยไม่ชักช้า
บทลงโทษ:
- ไม่แจ้งเตือนการละเมิดข้อมูล: ₹200 crore (≈€22M)
- ความล้มเหลวในการปกป้องข้อมูลเด็ก: ₹200 crore
- การละเมิดอื่นๆ: ₹50-250 crore (≈€5.5-27M)
ผลกระทบต่อองค์กรระดับโลก
DPDPA ใช้กับองค์กรที่:
- ประมวลผลข้อมูลส่วนตัวของบุคคลในอินเดีย ไม่คำนึงถึงสัญชาติหรือที่ตั้ง
- เปิดเผยสินค้าหรือบริการให้ผู้ข้อมูลในอินเดีย
ข้อกำหนดทางเทคนิครวมถึง:
- การทำให้ไม่ระบุตัวตน Aadhaar, PAN, Voter ID ก่อนการจัดเก็บระยะยาว
- บันทึกกิจกรรมการประมวลผลสำหรับทุกการประมวลผลข้อมูลของอินเดีย
- ขั้นตอนการตอบสนองต่อ DSAR
แหล่งที่มา: