印度DPDPA 2023:跨国团队技术合规指南
印度《数字个人数据保护法》(DPDPA)覆盖14亿人口,是全球覆盖人口最多的隐私法律。数据保护委员会已于2025年正式启动,执法工作随之展开。如果贵公司向印度用户提供服务、持有印度员工档案或与印度IT供应商合作,则该法律已对贵公司产生直接约束力。
DPDPA的适用范围
**地域范围:**该法律适用于在印度境内处理个人数据的行为,以及在印度境外但以向印度用户销售商品或提供服务为目的的数据处理行为。与《通用数据保护条例》(GDPR)相同,DPDPA遵循「以人为本」原则,而非以服务器所在地为准。
**最高罚款:**每次违规最高罚款₹250亿卢比,按当前汇率折合约€2700万。罚款金额取决于违规的严重程度及持续时间。
**合法处理依据:**同意须具备自愿性、知情性和明确性。其他合法依据包括:劳动关系、法律义务、紧急救助、公共利益及科学研究。
**个人权利:**数据主体有权了解其个人信息的使用方式,有权请求更正或删除,有权提出投诉,并可在丧失行为能力时指定代理人。
**数据受托人:**这是DPDPA对数据控制者的专属称谓。数据受托人须保护个人数据、在72小时内向委员会报告数据泄露事件。若被认定为「重要数据受托人」,还须指定数据保护官。
Aadhaar:独特的检测难题
Aadhaar是印度的国家生物特征身份识别系统,每位持有人获得一个与指纹和虹膜扫描绑定的12位数字编号。约13.6亿印度居民持有Aadhaar,银行、政府机构、移动运营商和医院均广泛使用。
Aadhaar号码频繁出现在金融、医疗和行政文件中。《Aadhaar法案》(2016年)对其使用设有限制——私营机构不得将其作为强制性身份证明,存储也仅限于特定授权场景。
**检测难点:**Aadhaar采用Verhoeff算法进行校验位计算。仅扫描12位数字串的工具会将任意12位数字误判为Aadhaar号码,产生大量误报。有效检测须具备Verhoeff校验逻辑,单纯的正则表达式匹配远远不够。
其他印度个人身份信息格式
**PAN(永久账户号码):**10位税务身份标识,格式为五个字母、四位数字、一个字母。第四个字母表示纳税人类型,第五个字母为纳税人姓名首字母。凡涉及₹5万以上的交易均须提供PAN,常见于印度金融文件。
**印度护照:**字母X后跟七位数字,格式为印度独有。
**驾驶证:**各邦格式不同,例如德里驾驶证格式为DL-0420110149646。
**银行账户:**无全国统一标准,账户号码长度为9至18位数字。IFSC代码(银行支行11位代码)通常与账户号码同时出现在支付文件中。
**手机号码:**10位数字,国家代码为+91。印度拥有12亿移动用户,手机号码在商业文件中极为常见。
了解anonym.legal如何处理所有印度个人身份信息格式,请访问 /blog/apac-pii-detection-thai-indonesian-vietnamese-2025。
DPDPA技术合规要求
**安全保障:**DPDPA要求采取与风险相匹配的「合理安全保障措施」,以结果为导向,未规定固定的技术清单。最低技术标准将通过DPDPA实施细则予以明确,预计自2025年起陆续出台。
**违规通知:**发生个人数据泄露后,须在72小时内向委员会报告。与GDPR不同,DPDPA要求在72小时内同时通知委员会和受影响的数据主体。
**数据本地化:**政府可将特定企业认定为「重要数据受托人」,此类企业可能须在印度境内留存数据副本。最终规则尚未确定。
**跨境数据传输:**该法律禁止向未列入白名单的国家传输数据。截至2025年,白名单尚未公布,亦无欧印数据充分性协议。有欧印数据流转需求的企业应立即着手签订数据传输合同。
有关各法律跨境规则的横向对比,请参阅 /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn。
技术合规基线清单
如果贵公司处理印度个人数据,请从以下事项入手:
- 具备Verhoeff校验逻辑的Aadhaar检测能力。
- 具备纳税人类型字符校验的PAN检测能力。
- 支持印度护照和各邦驾驶证格式。
- 支持9至18位银行账户号码及IFSC代码检测。
- 符合DPDPA合法依据的目的记录。
- 满足72小时窗口期要求的数据泄露应急方案。
了解如何通过单一预设方案覆盖所有印度个人身份信息类型,请阅读 /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025。