DPDPA Ấn Độ 2023: Tuân Thủ Kỹ Thuật Cho Đội Ngũ Toàn Cầu
Đạo luật Bảo vệ Dữ liệu Cá nhân Kỹ thuật số (DPDPA 2023) của Ấn Độ thiết lập các yêu cầu bảo vệ dữ liệu cho 1,4 tỷ người — khuôn khổ bảo vệ dữ liệu lớn nhất thế giới theo dân số. Hội đồng Bảo vệ Dữ liệu Ấn Độ bắt đầu hoạt động vào năm 2025, đánh dấu sự khởi đầu của thực thi tích cực. Với các tổ chức toàn cầu phục vụ người dùng Ấn Độ, xử lý dữ liệu nhân viên Ấn Độ hoặc hợp tác với nhà cung cấp CNTT Ấn Độ, tuân thủ DPDPA hiện là nghĩa vụ đang có hiệu lực.
Tổng Quan Về Khuôn Khổ DPDPA
Phạm vi lãnh thổ: DPDPA áp dụng cho việc xử lý dữ liệu cá nhân kỹ thuật số trong Ấn Độ, và cho việc xử lý ngoài Ấn Độ với mục đích cung cấp hàng hóa hoặc dịch vụ cho người dùng tại Ấn Độ. Giống như phạm vi ngoài lãnh thổ của GDPR, DPDPA áp dụng cho bất kỳ tổ chức nào phục vụ người tiêu dùng Ấn Độ bất kể việc xử lý diễn ra ở đâu.
Mức phạt tối đa: Lên đến ₹250 crore (khoảng 27 triệu EUR theo tỷ giá hiện tại) mỗi vi phạm. Hội đồng Bảo vệ Dữ liệu có thể áp đặt hình phạt dựa trên mức độ nghiêm trọng, thời gian và quy mô.
Cơ sở pháp lý: Đồng ý (tự nguyện, có thông tin, cụ thể, rõ ràng) hoặc các mục đích hợp pháp theo Đạo luật (việc làm, nghĩa vụ pháp lý, lợi ích thiết yếu, chức năng công cộng, nghiên cứu/lưu trữ, an ninh quốc gia).
Quyền của chủ thể dữ liệu: Quyền được thông tin về việc xử lý, quyền chỉnh sửa và xóa, quyền giải quyết khiếu nại và quyền chỉ định người đại diện trong trường hợp mất năng lực.
Ủy thác dữ liệu (tương đương người kiểm soát trong GDPR): Các tổ chức xử lý dữ liệu cá nhân là "Ủy thác Dữ liệu" với nghĩa vụ bảo vệ bảo mật, thông báo vi phạm đến Hội đồng Bảo vệ Dữ liệu trong 72 giờ và bổ nhiệm Cán bộ Bảo vệ Dữ liệu cho các ủy thác dữ liệu quan trọng.
Aadhaar: Hệ Thống Nhận Dạng Sinh Trắc Học Lớn Nhất Thế Giới
Aadhaar là hệ thống nhận dạng sinh trắc học quốc gia Ấn Độ — một số nhận dạng duy nhất 12 chữ số được liên kết với vân tay và mống mắt của mỗi chủ sở hữu. Được cấp cho 1,36 tỷ cư dân Ấn Độ, Aadhaar được dùng cho:
- Phân phối phúc lợi của chính phủ
- Xác thực dịch vụ ngân hàng và tài chính (eKYC)
- Đăng ký số điện thoại di động (bắt buộc)
- Tiếp cận dịch vụ y tế
- Xác minh việc làm
Số Aadhaar xuất hiện trong các tài liệu tài chính, y tế và hành chính của Ấn Độ. Đạo luật Aadhaar 2016 áp đặt các hạn chế sử dụng cụ thể — không thể dùng làm nhận dạng bắt buộc cho dịch vụ tư nhân và không thể lưu trữ trong cơ sở dữ liệu ngoài các trường hợp được ủy quyền cụ thể.
Thách thức phát hiện: Aadhaar tuân theo định dạng 12 chữ số cụ thể với xác thực chữ số kiểm tra Verhoeff. Không giống các mã quốc gia đơn giản hơn, Aadhaar sử dụng thuật toán Verhoeff (một sơ đồ phát hiện lỗi dựa trên lý thuyết nhóm phức tạp). Công cụ chỉ khớp mẫu mà không có xác thực Verhoeff sẽ tạo ra dương tính giả từ bất kỳ số 12 chữ số nào.
Các Mã Định Danh PII Ấn Độ Khác
PAN (Mã Số Tài Khoản Vĩnh Viễn): Mã định danh thuế 10 ký tự chữ-số, định dạng AAAAA9999A (5 chữ cái + 4 số + 1 chữ cái). Ký tự thứ 4 mã hóa loại người nộp thuế, ký tự thứ 5 là chữ cái đầu của tên người nộp thuế. PAN bắt buộc cho các giao dịch tài chính trên 50.000 ₹ và xuất hiện hầu hết trong các tài liệu tài chính Ấn Độ.
Hộ chiếu Ấn Độ: Định dạng chữ X theo sau là 7 chữ số. Định dạng đặc thù của hệ thống cấp phát hộ chiếu Ấn Độ.
Bằng lái xe Ấn Độ: Định dạng dựa trên mã tiểu bang (ví dụ DL-0420110149646 cho Delhi) — định dạng khác nhau theo tiểu bang cấp phát, tương tự RG của Brazil.
Số tài khoản ngân hàng: Không có định dạng chuẩn quốc gia — số tài khoản ngân hàng Ấn Độ có từ 9 đến 18 chữ số tùy ngân hàng. Mã IFSC (mã chi nhánh ngân hàng 11 ký tự) xuất hiện cùng số tài khoản trong tài liệu thanh toán.
Số điện thoại di động: 10 chữ số với mã quốc gia +91. Ấn Độ có 1,2 tỷ thuê bao di động — số điện thoại xuất hiện phổ biến trong tài liệu thương mại.
Xem cách anonym.legal xử lý tất cả định dạng PII Ấn Độ tại /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.
Yêu Cầu Kỹ Thuật Của DPDPA
Biện pháp bảo vệ bảo mật: DPDPA yêu cầu "biện pháp bảo vệ bảo mật hợp lý" phù hợp với rủi ro. Đạo luật định nghĩa điều này dựa trên kết quả, không phải danh sách các biện pháp cố định. Các tiêu chuẩn kỹ thuật tối thiểu sẽ được nêu trong Quy định DPDPA dự kiến từ năm 2025 trở đi.
Thông báo vi phạm: Báo cáo bất kỳ vi phạm dữ liệu cá nhân nào đến Hội đồng trong vòng 72 giờ. Theo GDPR, thời hạn đó chỉ áp dụng cho cơ quan quản lý. Theo DPDPA, các vi phạm lớn yêu cầu thông báo Hội đồng và thông báo đến những người bị ảnh hưởng — cả hai đều phải thực hiện trong vòng 72 giờ.
Bản địa hóa dữ liệu: Chính phủ có thể chỉ định một số công ty là Ủy thác Dữ liệu Quan trọng. Các công ty này có thể phải lưu giữ bản sao dữ liệu trong Ấn Độ. Các yêu cầu cụ thể chưa được xác định.
Chuyển dữ liệu xuyên biên giới: DPDPA hạn chế chuyển dữ liệu sang các quốc gia không nằm trong danh sách được chính phủ phê duyệt. Danh sách này chưa được hoàn thiện tính đến năm 2025, tạo ra sự không chắc chắn cho luồng dữ liệu EU-Ấn Độ. Không có thỏa thuận đầy đủ song phương EU-Ấn Độ hiện tại — các tổ chức được khuyến cáo triển khai biện pháp bảo vệ hợp đồng trong khi chờ khuôn khổ pháp lý phát triển.
Để xem cách các quy tắc xuyên biên giới chồng chéo nhau qua các đạo luật, xem /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.
Danh Sách Kiểm Tra Kỹ Thuật Cơ Bản
Nếu bạn xử lý dữ liệu cá nhân của người Ấn Độ, hãy bắt đầu từ đây:
- Phát hiện Aadhaar với logic chữ số kiểm tra Verhoeff.
- Phát hiện PAN với kiểm tra ký tự loại người nộp thuế.
- Hỗ trợ hộ chiếu Ấn Độ và bằng lái xe theo tiểu bang.
- Phát hiện số tài khoản ngân hàng cho độ dài 9–18 chữ số kèm mã IFSC.
- Tài liệu mục đích phù hợp với cơ sở pháp lý DPDPA.
- Kế hoạch ứng phó vi phạm đáp ứng thời hạn 72 giờ.
Đọc cách một preset bao phủ tất cả loại PII Ấn Độ tại /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.