India DPDPA 2023: Teknikal na Pagsunod para sa mga Pandaigdigang Koponan
Sinasaklaw ng Digital Personal Data Protection Act ng India ang 1.4 bilyong tao. Ito ang pinakamalaking batas sa privacy sa mundo ayon sa populasyon. Naging aktibo ang Data Protection Board noong 2025. Nagsimula na ang pagpapatupad. Kung ang iyong kumpanya ay naglilingkod sa mga gumagamit ng India, nagtatago ng mga file ng kawani ng India, o nagtatrabaho sa mga vendor ng IT ng India, ang batas na ito ay isang buhay na obligasyon na ngayon.
Ano ang Sinasaklaw ng DPDPA
Territorial na saklaw: Sinasaklaw ng batas ang pagpoproseso sa loob ng India. Sinasaklaw din nito ang pagpoproseso sa labas ng India kapag ang layunin ay nagbebenta ng mga kalakal o serbisyo sa mga gumagamit ng India. Tulad ng GDPR, sinusundan nito ang tao — hindi ang server.
Pinakamataas na multa: Hanggang ₹250 crore bawat paglabag. Iyon ay humigit-kumulang €27 milyon sa kasalukuyang mga rate. Ang mga multa ay nakasalalay sa kung gaano kalubha ang paglabag at kung gaano ito katagal.
Mga legal na batayan: Ang pahintulot ay dapat na malaya, may kaalaman, at malinaw. Ang iba pang valid na mga batayan ay kinabibilangan ng mga trabaho, legal na obligasyon, mahahalagang pangangailangan, interes ng publiko, at pananaliksik.
Mga karapatan ng indibidwal: Ang mga tao ay maaaring magtanong kung paano ginagamit ang kanilang mga rekord. Maaari silang humiling ng pagwawasto o pagtanggal. Maaari silang magreklamo. Maaari silang magtalaga ng kinatawan kung mawawala sila ng kakayahan.
Mga Data Fiduciary: Ito ang pangalan ng DPDPA para sa mga controller. Dapat nilang protektahan ang mga personal na rekord. Dapat nilang iulat ang mga paglabag sa Board sa loob ng 72 oras. Dapat silang magtalaga ng Data Protection Officer kung sila ay isang Significant Data Fiduciary.
Aadhaar: Isang Natatanging Problema sa Pagtuklas
Ang Aadhaar ay ang pambansang biometric ID system ng India. Ang bawat may-hawak ay nakakakuha ng 12-digit na numero na nakakabit sa mga fingerprint at iris scan. Humigit-kumulang 1.36 bilyong residente ang mayroon nito. Gumagamit nito ang mga bangko, ahensya ng pamahalaan, operator ng mobile, at mga ospital.
Lumalabas ang mga numero ng Aadhaar sa mga file ng pananalapi, kalusugan, at administrasyon. Nililimitahan ng Aadhaar Act 2016 ang paggamit nito. Ang mga pribadong serbisyo ay hindi maaaring humingi nito bilang sapilitang ID. Ang pag-iimbak ay limitado sa mga tiyak na awtorisadong kaso.
Bakit mahirap ang pagtuklas: Gumagamit ang Aadhaar ng pamamaraang Verhoeff para sa check digit nito. Ang isang tool na nagse-scan lamang para sa 12-digit na string ay mag-flag ng anumang 12-digit na numero. Lumilikha ito ng mga maling hit. Ang magandang pagtuklas ay nangangailangan ng lohika ng tseke ng Verhoeff. Ang simpleng pattern matching ay hindi sapat.
Iba Pang Mga Format ng PII ng India
PAN (Permanent Account Number): Isang 10-character na tax ID. Format: limang titik, apat na digit, isang titik. Ipinapakita ng ikaapat na titik ang uri ng nagbabayad ng buwis. Ang ikalima ay ang unang titik ng pangalan ng nagbabayad ng buwis. Ang PAN ay kailangan para sa anumang transaksyon na higit sa ₹50,000. Karaniwan ito sa mga file ng pananalapi ng India.
Pasaporte ng India: Ang titik X na sinusundan ng pitong digit. Ang format na ito ay natatangi sa India.
Mga lisensya sa pagmamaneho: Ang bawat estado ay may sariling format. Ang isang lisensya ng Delhi ay maaaring magmukhang DL-0420110149646.
Mga bank account: Walang pambansang pamantayan. Ang mga numero ng account ay tumatakbo mula 9 hanggang 18 digit. Ang mga IFSC code — 11-character na bank branch code — ay lumalabas kasabay ng mga numero ng account sa mga file ng pagbabayad.
Mga numero ng mobile: Sampung digit na may country code +91. Ang India ay may 1.2 bilyong subscriber ng mobile. Ang mga numero ng telepono ay madalas na lumalabas sa mga komersyal na dokumento.
Tingnan kung paano pinamamahalaan ng anonym.legal ang lahat ng format ng PII ng India sa /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.
Mga Teknikal na Kinakailangan ng DPDPA
Mga pananggalang sa seguridad: Humihingi ang DPDPA ng "makatwirang mga pananggalang sa seguridad" na naaayon sa panganib. Tinutukoy ng Batas ang ito ayon sa resulta. Hindi nito ibinibigay ang isang nakapirming listahan ng mga hakbang. Ang minimum na teknikal na mga pamantayan ay darating sa mga Patakaran ng DPDPA. Inaasahan ang mga ito mula sa 2025 pataas.
Abiso sa paglabag: Iulat ang anumang paglabag sa personal na rekord sa Board sa loob ng 72 oras. Sa ilalim ng GDPR, ang window na iyon ay sumasaklaw lamang sa regulator. Sa ilalim ng DPDPA, ang mga pangunahing paglabag ay nangangailangan ng abiso sa Board at abiso sa mga apektadong tao. Ang pareho ay dapat mangyari sa loob ng 72 oras.
Lokalisasyon: Maaaring pangalanan ng pamahalaan ang mga kumpanya bilang Significant Data Fiduciary. Ang mga kumpanyang iyon ay maaaring kailanganing magtago ng kopya ng mga rekord sa loob ng India. Ang mga panghuling panuntunan ay hindi pa nakatakda.
Mga paglipat sa ibang bansa: Hinaharangan ng batas ang mga paglipat sa mga bansang wala sa isang aprubadong listahan. Ang listahang iyon ay hindi pa nakatakda hanggang 2025. Walang kasunduan ng adequacy ng EU-India. Ang mga kumpanyang may mga daloy ng EU-India ay dapat maglagay ng mga kontrata ngayon.
Para sa isang pananaw kung paano nagsasabog ang mga cross-border na panuntunan sa mga batas, tingnan ang /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.
Ang Iyong Baseline Technical Checklist
Kung humahawak ka ng mga personal na rekord ng India, magsimula dito:
- Pagtuklas ng Aadhaar na may lohika ng check-digit ng Verhoeff.
- Pagtuklas ng PAN na may mga tseke ng karakter ng uri ng nagbabayad ng buwis.
- Suporta sa pasaporte ng India at lisensya sa pagmamaneho ng estado.
- Pagtuklas ng bank account para sa 9–18 digit na haba na may mga IFSC code.
- Mga rekord ng layunin na tumutugma sa mga legal na batayan ng DPDPA.
- Isang plano sa paglabag na nakakatugon sa 72-oras na window.
Basahin kung paano sinasaklaw ng isang preset ang lahat ng uri ng PII ng India sa /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.