数字个人数据保护规则（2025）

2025年1月 01 DPDP草案规则概述 2025 DPDP规则的核心原则 DPDP规则的核心原则 02 数据托管方的关键职责 数据隐私声明 以易于理解和清晰的语言呈现 •••个人数据描述处理目的所提供商品或服务的描述• 描述数据主体使用何种方式撤回其同意、行使其权利和作出向董事会投诉 个人数据安全 保护个人数据，包括数据受托人或代表其处理的数据处理器所进行的任何处理。 • 通过加密、混淆、掩码或使用映射到个人数据的虚拟令牌来保障个人数据安全 • 对所使用的计算机资源进行访问控制 • 维护、监控和审查日志 • 保留日志和个人数据，用于检测、调查、补救和持续处理，期限为一年 • 数据备份以及任何其他保障持续处理的方式 • 数据保管人与数据处理人之间为实施合理安全措施而约定的适当合同条款 • 适当的技术和组织措施 数据托管方的关键职责 个人数据泄露通知 向每位受影响的数据主体以简洁、清晰的方式并及时发送通知，并在知晓后 72 小时内向董事会通报——或根据董事会指定的更长期限执行。 • 对泄露事件的描述，包括其性质、范围以及发生的时间地点 • 可能因泄露事件产生的后果 • 已实施和正在实施的降低风险措施 • 数据主体可采取的保护其利益的措施 • 代表的业务联系方式• 关于导致数据泄露事件的责任人的调查结果• 关于向受影响的数据主体发出的通知的报告 个人数据删除 • 在删除期限届满前至少 48 小时通知数据主体。• 通知数据主体关于删除，除非他们登录其用户账户或与受托人联系，以指定的目的行使数据隐私权。 发布联系方式 • 在网站或应用程序上发布详细信息，并在每次针对行使权利的沟通回复中发布。• 发布数据保护官或代表的业务联系信息。 父母和/或监护人提供的可验证同意。 • 采取必要的技术和组织措施，确保在处理儿童个人数据前获得父母方的可验证同意，并核实监护人是由法院或根据适当法律指定的权威机构指定的。 •该父母或监护人应为成年人，并应根据下列参考要求予以识别： ⁃ 受托人持有身份和年龄的可靠信息 ⁃ 自愿提供的身份和年龄信息 ⁃ 与父身份相关联的虚拟代币 ⁃ 由数字保管服务提供商验证并提供的代币 数据隐私权 • 发布数据主体可通过网站或应用程序发起请求的方式。• 此外发布：⁃ 用于识别数据主体的具体信息或标识编号* ⁃ 投诉救济的期限以及响应投诉的期限。 数据托管方的关键职责 执行针对SDFs的DPIAs和审计 • 定期进行数据保护影响评估 (DPIA) 和数据隐私审计。 • 从被通知为受监管数据处理器 (SDF) 之日起，每年进行一次 DPIA。 • 每年进行一次审计，以确保有效遵守相关法案及草案规则。 • 向董事会提交 DPIA 和审计的重要发现。 风险评估针对SDFs • 应履行尽职调查，核实用于存储、展示、上传、修改、发布、传输、存储、更新或共享所处理个人数据的算法软件，不太可能对数据主体的权利构成风险。 跨境数据传输用于SDFs • 使跨境数据传输与中央政府的通知保持一致。 • 采取措施以确保中央政府通过未来的一般或特别命令指定的个人数据和流量数据不会被转移到印度境外。 个人数据删除 • 删除个人数据，除非其保留对于遵守任何法律是必要的。• 除非数据主体登录其用户账户**或为特定目的与数据受托人取得联系或行使其数据隐私权，否则应通知数据主体删除数据。 电子商务实体 任何根据《2019年消费者保护法》（第35号）定义拥有、运营或管理电子商务数字设施或平台的人，但不包括在该法案中定义的在电子商务实体市场上提供其商品或服务进行销售的销售者。 根据《2019年消费者保护法》，\"电子商务\"是指通过数字或电子网络购买或销售商品、服务（包括数字产品）。 在线游戏中介 任何中介机构，其计算机资源的使用者能够访问一个或多个在线游戏。 社交媒体中介 根据《2000年信息技术法》（2000年第21号）定义的中间人，主要或仅通过在线互动使两个或更多用户能够创建、上传、共享、传播、修改或访问信息。使用她的服务。 授权管理者的关键职责 按要求以机器可读形式提供c) 至少保存记录七年或更长时间，或根据数据主体和同意管理者的协议，或根据法律规定。 同意管理者的注册条件 • 将网站或应用程序或两者均作为数据主体访问同意管理器提供的服务的主要手段进行开发和维护。 •Financial condition and the general character of管理层健全。 • 许可管理器不得分包或转让其任何义务的履行。 •申请人的净资产不少于2亿印度卢比 • 许可管理器应采取合理的安保措施，以防止任何个人数据泄露。• 隐私管理器应以受信人的身份就数据主体行事。 •可能可供使用的业务量充足的资本结构和盈利前景 •董事、关键管理人员和高级管理人员管理层是具有普遍声誉的个人。公平与诚信的记录。 •同意管理器应避免利益冲突。with Data Fiduciaries, including their promoters and key管理人员。 • 公司章程和章程不包含与受托人及其主要利益相关者的利益冲突，并有措施确保这一点。 • 许可管理器应具备措施，以确保不会因自身利益冲突而引发董事、关键管理人员和高级管理人员：管理层在Data Fiduciaries中持有董事职务、财务利益、雇佣关系或实际所有权，或与他们在重大金钱关系上存在关联。 • 所提出的运营符合数据主体的利益。 • 它是经过独立认证的：a) 数据主管的平台具有互操作性 b) 已实施适当的技术和组织措施。 • 同意管理器应发布以下信息： a) 公司的发起人、董事、关键管理人员和高级管理人员 b) 持有超过2%股权的个人c) 每家股份（超过2%）的公司由推广人、董事、关键管理人员或高级管理人员持有 d) 任何其他由董事会指示的信息 同意管理者的义务 •使数据主体能够同意处理。由数据受托人使用其平台对个人信息进行操作，直接或通过已上线的另一位数据受托人该平台。 • 确保个人数据的提供方式或其共享方式使得内容对（该主体）不可读。 • 监督官应建立有效的审计机制，以定期或在董事会指示的其他情况下，审查、监控、评估并向董事会报告此类审计的结果。 • 在平台上维护以下记录： a) 已给予、拒绝或撤回的同意；b) 预先或伴随同意请求的通知；c) 与受让方共享个人数据数据受信义务。 • 作为同意管理者的公司注册控制权不得通过销售、合并方式转让或否则，除事先获得先前批准外，董事会和受董事会指定的条件约束。 • 同意管理器应： a) 提供对使用记录平台的访问权限 b) 使数据主体的信息可供使用 国家的主要职责 • 为特定目的处理数据，以向数据主体提供或发放补助、福利、服务、证书、许可证或许可，或用于履行任何司法或准司法、监管或监督职能。 • 实施适当的技术和组织措施。 •• 仅收集和处理为实现特定目的所需的数据。• 实施合理的安保措施以防止个人信息泄露。保留个人数据直至所需或为遵守当前有效的任何法律。• 确定单独或与其他人共同决定个人数据处理目的和方式的人员的责任。 • 在处理个人数据以向数据主体提供或发放补助、利益、服务、证书、执照或许可时： ⁃ 提供能够回答所有数据隐私查询的个人商务联系信息。⁃ 指明用于访问网站或应用程序（或两者）的特定通信链接。⁃ 提供行使数据隐私权利方式的描述。⁃ 以与可能适用的其他标准一致的方式进行处理。 关于普华永道 在PwC，我们的宗旨是建立社会信任并解决重要问题。我们是一个分布在全球151个国家的企业网络，拥有超过36万名致力于提供质量保证、咨询服务和税务服务的人员。通过访问我们的网站www.pwc.com了解更多信息，并告诉我们您所关注的内容。 PwC指的是PwC网络和/或其一个或多个成员公司，每个成员公司都是独立的法人实体。请参见 www.pwc.com/structure 获取更多详细信息。 © 2025 PwC. All rights reserved. 联系我们 Sivarama Krishnan合作伙伴与领导者——风险咨询，德勤印度 sivarama.krishnan@pwc.com Heena Vazirani Anirban Sengupta Partner – Business and Technology Risk, PwC India heena.vazirani@pwc.com Partner and Leader – Business and Technology Risk, PwC India anirban.sengupta@pwc.com S Dinesh 合作方——商业与技术Risk, PwC India s.dinesh@pwc.com G Gnanaraj设计 贡献者 编辑Rashi Gupta Heena Vazirani FaizanSarwar Amey Tipnis Krishna Veni PandelapalliVaishnavi Shukla Rodney Dsouza 数据分类：DC0（公开） 在本文件中，PwC指的是PricewaterhouseCoopers Private Limited（一家位于印度的有限责任公司，拥有企业身份号码或CIN：U74140WB1983PTC036093），它是PricewaterhouseCoopers International Limited（PwCIL）的成员公司之一，且PwCIL的每家成员公司均为独立法律实体。 本文件不构成专业建议。本文件中的信息已根据普华永道私人有限公司（PwCPL）认为可靠的来源获取或推算，但普华永道私人有限公司不保证该信息的准确性或完整性。本文件中包含的任何意见或估计均代表普华永道私人有限公司当前的意见，并可能未经通知而更改。读者在根据本文件内容采取任何行动或做出决定前，应寻求自己的专业建议，并完全负责其根据本文件内容采取的行动或做出的决定。普华永道私人有限公司既不接受也不承担对本文件任何读者的任何责任或责任，就本文件中的信息而言。包含于其中，或针对读者可能做出或决定不做出或未能做出的任何决定。 © 2025 普华永道私人有限公司。保留所有权利。 GG/2025年1月-M&C 43275