标准简介
印度 DPDP 法案 是由 印度电子和信息技术部(MeitY) 发布的有效标准,常用于科技、金融银行、医疗健康、零售、服务业、��育等行业,并适用于亚太地区、印度等市场。
本页汇总了 印度 DPDP 法案 的官方文档、当前状态以及常见相关认证或评估机构,便于快速理解要求与落地路径。
实施路线图
定义印度数字个人数据保护范围
识别 India DPDP Act 覆盖的产品、服务、系统、实体、司法辖区、团队、供应商和相关方。确认责任人、边界、适用义务、文件和证据期望,范围包括数据受托人分类、通知、同意、合法用途、数据主体权利、申诉处理、儿童数据、安全保护、泄露通知、处理者合同、保留、删除、跨境传输限制和重要数据受托人义务。
评估义务和差距
将当前实践与预期的印度数字个人数据保护方法进行比较。审查隐私通知、同意管理、目的限制、数据最小化、数据主体请求流程、申诉处理、可验证父母同意、安全保护、泄露响应、处理者监督、保留控制和高风险角色的董事会级治理,并按法律暴露、安全或权利影响、客户承诺、运营依赖、报告期限和审核准备度排列差距优先级。
实施控制和证据
部署所需程序、技术控制、评审关口、培训、供应商流程、报告路径和运行记录。维护数据映射、通知、同意记录、请求日志、申诉记录、儿童数据控制、处理者合同、安全证据、泄露评估、通知记录、保留计划、删除日志和治理纪要作为可追溯证据。
评审、报告并改进
开展管理评审、内部检查、适用情况下的独立评估、纠正措施和变更评审。当产品、供应商、法律、事件、报告周期或相关方期望变化时刷新项目。
合规检查清单
checklist 范围与问责
checklist 控制与记录
checklist 监控与保证
常见问题解答
谁需要 India DPDP Act?
expand_more
India DPDP Act 最适用于在印度处理数字个人数据,或向印度数据主体提供商品和服务的数据受托人和处理者。具体范围取决于产品、服务、司法辖区、报告义务、客户承诺,以及组织在相关生态中的角色。
India DPDP Act 是否可认证?
expand_more
DPDP Act 和 Rules 是隐私法律义务,不是认证标准。组织通过通知、同意、权利、安全、泄露、儿童数据和重要数据受托人控制证明准备度。
实施时应先关注什么?
expand_more
先定义范围、义务、责任人,以及监管机构、客户、审计师或治理机构期望的证据。然后对照当前控制开展差距评估,并按风险和期限确定整改优先级。
India DPDP Act 需要哪些证据?
expand_more
有用证据包括数据映射、通知、同意记录、请求日志、申诉记录、儿童数据控制、处理者合同、安全证据、泄露评估、通知记录、保留计划、删除日志和治理纪要。证据应进行版本控制,能够追溯到责任人,关联义务和控制,并按所需评审或审核期间保留。
项目应多久评审一次?
expand_more
应按计划周期评审,并在法律、产品、供应商、事件、报告周期、客户承诺或保证期望变化时评审。较高风险义务应更频繁地监控并向管理层报告。