Індія DPDPA 2023: технічна відповідність для глобальних команд
Закон Індії про захист цифрових персональних даних охоплює 1,4 мільярда людей. Це найбільший за охопленням населення закон про конфіденційність у світі. Рада із захисту даних стала активною у 2025 році. Правозастосування розпочалося. Якщо ваша компанія обслуговує індійських користувачів, зберігає файли індійських співробітників або працює з індійськими IT-постачальниками, цей закон є вже діючим обов'язком.
Що охоплює DPDPA
Територіальна сфера дії: Закон охоплює обробку даних в Індії. Він також поширюється на обробку за межами Індії, якщо мета — продаж товарів або послуг індійським користувачам. Як і GDPR, він слідує за особою, а не за сервером.
Максимальні штрафи: До ₹250 крор за порушення. Це близько €27 мільйонів за поточним курсом. Розмір штрафу залежить від серйозності та тривалості порушення.
Правові підстави: Згода має бути вільною, усвідомленою і чіткою. Інші дійсні підстави: трудові відносини, правові обов'язки, життєво важливі потреби, суспільний інтерес і наукові дослідження.
Права осіб: Люди можуть запитати, як використовуються їхні записи. Вони можуть вимагати виправлення або видалення. Вони можуть подати скаргу. Вони можуть призначити представника, якщо втратять дієздатність.
Фідуціарії даних: Це назва контролерів у DPDPA. Вони мають захищати персональні записи. Вони мають повідомляти Раду про порушення протягом 72 годин. Вони мають призначити Офіцера з захисту даних, якщо є Значним фідуціарієм даних.
Aadhaar: унікальна проблема виявлення
Aadhaar — це індійська національна система біометричних ідентифікаторів. Кожен власник отримує 12-значний номер, пов'язаний з відбитками пальців і сканами райдужки. Близько 1,36 мільярда мешканців мають його. Банки, державні органи, мобільні оператори та лікарні — всі його використовують.
Номери Aadhaar з'являються у фінансових, медичних і адміністративних документах. Закон Aadhaar 2016 обмежує його використання. Приватні послуги не можуть вимагати його як обов'язковий ідентифікатор. Зберігання обмежено конкретними авторизованими випадками.
Чому виявлення складне: Aadhaar використовує метод Верхуффа для контрольної цифри. Інструмент, що лише шукає 12-значні рядки, відмітить будь-яке 12-значне число. Це породжує хибні спрацьовування. Якісне виявлення потребує логіки перевірки за методом Верхуффа. Простого пошуку за шаблоном недостатньо.
Інші індійські формати PII
PAN (Постійний номер рахунку): 10-символьний податковий ідентифікатор. Формат: п'ять літер, чотири цифри, одна літера. Четверта літера вказує тип платника податків. П'ята — перша літера імені платника. PAN потрібен для будь-якої операції понад ₹50 000. Він поширений у індійських фінансових документах.
Індійський паспорт: Літера X, за якою йдуть сім цифр. Цей формат є унікальним для Індії.
Водійські посвідчення: Кожен штат має власний формат. Посвідчення Делі може виглядати як DL-0420110149646.
Банківські рахунки: Федерального стандарту немає. Номери рахунків мають від 9 до 18 цифр. Коди IFSC — 11-символьні коди банківських відділень — з'являються поряд з номерами рахунків у платіжних документах.
Мобільні номери: Десять цифр із кодом країни +91. Індія налічує 1,2 мільярда абонентів мобільного зв'язку. Номери телефонів часто трапляються в комерційних документах.
Про те, як anonym.legal обробляє всі індійські формати PII, читайте на /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.
Технічні вимоги DPDPA
Засоби безпеки: DPDPA вимагає «розумних засобів безпеки», співмірних із ризиком. Закон визначає це через результат. Він не надає фіксованого переліку кроків. Мінімальні технічні стандарти будуть встановлені в Правилах DPDPA, очікуваних з 2025 року.
Повідомлення про порушення: Про будь-яке порушення персональних записів необхідно повідомити Раду протягом 72 годин. За GDPR цей строк стосується лише регулятора. За DPDPA значні порушення потребують повідомлення і Ради, і постраждалих осіб. Обидва повідомлення мають бути надіслані протягом 72 годин.
Локалізація: Уряд може визначати компанії як Значних фідуціаріїв даних. Такі компанії можуть бути зобов'язані зберігати копію записів в Індії. Остаточних правил станом на 2025 рік ще немає.
Транскордонні передачі: Закон блокує передачі до країн, що не включені до списку схвалених. Цей список не був встановлений станом на 2025 рік. Угоди про адекватність між ЄС та Індією немає. Компаніям із потоками ЄС–Індія слід укладати договори вже зараз.
Про те, як транскордонні правила діють в різних законах, дивіться на /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.
Базовий технічний контрольний список
Якщо ви обробляєте індійські персональні записи, почніть звідси:
- Виявлення Aadhaar із логікою перевірки контрольної цифри за методом Верхуффа.
- Виявлення PAN із перевіркою символу типу платника.
- Підтримка індійських паспортів і водійських посвідчень штатів.
- Виявлення банківських рахунків із довжиною від 9 до 18 цифр разом із кодами IFSC.
- Записи про цілі, що відповідають правовим підставам DPDPA.
- План реагування на порушення в межах 72-годинного строку.
Про те, як один пресет охоплює всі індійські типи PII, читайте на /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.