一般資料保護規則自 2018 年 5 月 25 日起便在歐洲經濟區全境直接適用。印度的數位個人資料保護法 2023 於 2023 年 8 月獲總統批准,但因等待附屬規則而處於休眠狀態。那些規則,即數位個人資料保護規則 2025,於 2025 年 11 月 13 日通知,觸發了分階段的施行:資料保護委員會的條款立即生效,同意管理者的登記義務在屆滿一年時跟進,而實體義務與資料主體權利自 2027 年 5 月 13 日起可執行(電子與資訊技術部 2025 年;Shardul Amarchand Mangaldas 2025 年)。因此以下所對比的,是一套成熟、已完全執行的法制與一套年輕、在法律上完整但在運作上仍處於合規跑道之內的法制。法律現況以 2026 年 6 月 6 日為準陳述,這距離 DPDP 的實體義務與資料主體權利於 2027 年 5 月 13 日可執行尚餘約十一個月。對於一套必須將合法處理重新奠基於同意、整合同意管理者並建立未滿十八歲體制的計劃而言,十一個月是單一的規劃地平線,而非舒適的餘裕。
共同的血緣,以及三項要緊的分歧
兩法共享一個共同的血緣。印度的起草者借用了 GDPR 關於問責、目的限制、資料最小化與同意的詞彙,其相似程度之高,足以使一家擁有運作中 GDPR 計劃的跨國企業已握有 DPDP 要求事項的約七成。剩下的三成才是金錢與風險所在之處,因為其分歧是結構性的,而非表面的。
三項差異凌駕於其餘一切之上。第一,合法處理:GDPR 提供六項合法依據,包括富有彈性的正當利益權衡測試,而 DPDP 僅承認同意與一份列舉的合法用途封閉清單,在同意不切實際時不留通用的後備選項。第二,權利清單:GDPR 賦予八項資料主體權利,包括可攜性、反對與對純粹自動化決定的保護,而 DPDP 賦予較窄的一組並加上獨特的提名權。第三,執法經濟學:GDPR 將罰款封頂於二千萬歐元或全球年營業額的百分之四,取其較高者,並賦予個人請求賠償的私人權利,而 DPDP 課以與營業額無連動的固定金錢處罰,最高至二億五千萬盧比(250 crore),無刑事責任,無私人訴權。
對於同時受兩法約束的組織,實務上的教訓是:GDPR 合規是必要的,但並不充分。GDPR 級別的計劃必須加以擴展,而非僅僅複製,才能吸納 DPDP 的同意優先架構、其未滿十八歲的兒童體制、其對跨境移轉的負面清單方式,以及其不容任何風險門檻的違規通報規則。
兩個數字框定了這場賭注。GDPR 治理歐洲經濟區內約四億五千萬人的個人資料;DPDP 治理印度近十五億資料主體的個人資料,約為三倍之多。因此,儘管 DPDP 的每次處罰上限較低且固定,它所施加的運作負荷,即同意的取得與撤回、權利處理與無門檻違規通報,卻在大得多的人口規模上運行。對歐洲使用者群而言舒適的容量,可能被印度的使用者群所淹沒,而那份容量必須在時鐘走完之前建好:隨著實體義務自 2027 年 5 月 13 日、即撰文之時起約十一個月後可執行,為逾十億主體設計同意、權利與違規管線的窗口很窄。
法律文書、現況與監管架構
GDPR 是一部規則,意味著它在每個會員國直接適用,無須國內轉置,儘管會員國保有就特定事項立法的有限空間,例如數位同意年齡與雇傭資料。它由透過歐洲資料保護委員會協調的獨立各國監督機關網絡執行,並以一致性機制與一站式服務解決跨境案件。因此,規則制定、指引與執法落在獨立監管機關手中,最終則落在法院與歐洲聯盟法院手中(本公司的 GDPR 框架頁 扼要總結其義務、約束對象與官方來源)。
DPDP 架構更為中央集權、更以行政為主導。DPDP 法是基本立法;運作上的細節存於 DPDP 規則,由中央政府制定並可修訂(本公司的 DPDP 框架頁 扼要列出該法的關鍵義務、約束對象與官方來源)。印度資料保護委員會是裁決機構,但比歐洲監督機關更為狹窄:它調查違規並課以處罰,卻不發布具約束力的守則或指引,實體規則制定權屬於中央政府而非委員會。對委員會裁決的上訴由電信爭議解決及上訴審判所受理。設計上的後果是,在印度,政治行政部門保有那些在歐洲屬於獨立機關或法院的槓桿(豁免、移轉限制、規則修訂)。
範圍與觸及
GDPR 治理全部或部分以自動化方式處理的個人資料,以及資料構成或意圖構成檔案系統一部分的非自動化處理。它依第 9 條劃出一類特殊類別的敏感資料:種族或族裔出身、政治意見、宗教信仰、工會會籍、基因與生物特徵資料、健康,以及性生活或性傾向,各自受加強條件約束。DPDP 在一方面更窄,在另一方面更平。它僅治理數位個人資料,亦即數位化形式的資料或先以紙本收集再數位化的資料,而不規範純粹非數位的記錄。關鍵的是,它在普通與敏感個人資料之間不作法定區分。沒有特殊類別層級;健康記錄與購物歷史處於同一套基準規則之下,額外的保護僅透過重要資料受託人機制與兒童條款間接到來。對於同時受兩法約束的組織,這種不對稱兩面皆切:印度法不施加第 9 條的條件,但一個成熟的控制者通常會在全球維持其 GDPR 敏感資料控制,而非維護兩套資料分類方案。
兩法都觸及其本土領域之外。GDPR 依第 3 條,適用於 EU 設立機構脈絡下的處理,無論處理發生於何處,亦適用於向聯盟內個人提供商品或服務、或監控其行為的聯盟外控制者。DPDP 依第 3 條,適用於印度境內數位個人資料的處理,以及印度境外與向印度資料主體提供商品或服務有關的處理。DPDP 略去了 GDPR 明確的行為監控分支,因此在未提供商品或服務的情況下純粹剖析印度居民,比其歐洲對應情形處於更灰色的地帶。
| 面向 | GDPR | DPDP |
|---|---|---|
| 涵蓋的資料形式 | 自動化,加上結構化的人工檔案系統 | 僅數位(原生數位或後續數位化) |
| 敏感資料層級 | 有(第 9 條特殊類別) | 無法定層級 |
| 域外適用觸發 | 設立機構;提供;監控行為 | 向印度境內主體提供商品或服務 |
| 排除的處理 | 純屬個人或家庭;依單獨指令的執法 | 個人或家庭;某些已公開資料;廣泛的國家豁免 |
行為者與詞彙
角色架構對應得夠整齊,使翻譯大致可一對一,這在起草雙語政策時有所助益。GDPR 的控制者成為 DPDP 的資料受託人,這是一種以信託為本的框定,其運作上的義務仍與控制者相似。GDPR 的處理者成為資料處理者,不過 DPDP 多透過受託人的合約而非施加許多直接法定義務來導引處理者的職責。資料主體成為資料主體,而對於兒童,主體是該兒童,同意則由父母或合法監護人行使。監督機關在印度資料保護委員會中找到其對應,後者作裁決與處罰,但不發布具約束力的指引,因此並非全方位的監管機關。有兩個 DPDP 角色沒有 GDPR 的對應者:重要資料受託人,一個負有加強義務的政府指定類別,以及同意管理者,一個印度特有的登記中介,主體透過它授予、檢視與撤回同意。
合法處理:核心分歧
這是兩套法制最具後果地分道揚鑣之處。GDPR 依第 6 條提供六項合法依據:同意、履行合約、遵守法律義務、保護重大利益、執行公共利益任務,以及控制者或第三方的正當利益,後者須通過與資料主體權利的權衡測試。正當利益依據被刻意設計為開放質地;它是那匹讓組織得以為防詐、網路安全、直接行銷與集團內管理處理資料而無須就每項作業徵求同意的主力。
DPDP 僅承認兩條通往合法性的途徑:第 6 條下的同意與第 7 條下某些合法用途的封閉清單。合法用途清單是列舉且有限的:主體為特定目的自願提供資料、國家職能與補貼或服務的提供、遵守法律或法院命令、醫療緊急情況、雇傭相關目的,以及災難或公共秩序情況,連同少數其他項目。沒有殘餘的權衡測試。若某項處理活動未對應到清單上的任一項目,唯一合法的路徑便是同意。這是對跨國企業而言單一最重要的運作差異,因為歐洲依正當利益輕鬆處理的資料流,例如廣泛的分析、行銷增益或跨境集團報告,在印度可能需要一套明確的同意架構。
同意標準本身在書面上相似。兩者都要求同意是自由、特定、知情、明確且以清楚的肯定行為示意,兩者也都要求撤回應與給予同樣容易。DPDP 在其上疊加了兩項印度特有的特徵。第一,伴隨同意請求的通知必須逐項列明,並應請求以英文或憲法第八附表所列語言之一提供。第二,同意可透過同意管理者中介,這是一個登記平台,給予主體一個跨受託人授予與撤銷許可的單一儀表板,是一項 GDPR 無對應者的制度性構造。
GDPR 合規是必要的,但並不充分。GDPR 級別的計劃必須加以擴展,而非僅僅複製,才能吸納 DPDP 的同意優先架構。
權利、義務與兒童
GDPR 賦予廣泛的一套權利:存取、更正、刪除、處理限制、資料可攜性、反對(包括對直接行銷的反對),以及依第 22 條不受產生法律或類似重大效果的純粹自動化決定約束的權利。DPDP 賦予較窄的一組:對個人資料及處理摘要的存取、更正與刪除、申訴救濟,以及一項獨特的提名權,讓主體得以指定另一人在其死亡或喪失行為能力時行使其權利。這些落差要緊。DPDP 沒有獨立的資料可攜權,沒有一般性的反對權,沒有限制權,也沒有第 22 條式對自動化決策的保護。反之,提名權則無歐洲對應者。
| 權利 | GDPR | DPDP |
|---|---|---|
| 存取 | 有(第 15 條) | 有(資料與處理的摘要) |
| 更正 | 有(第 16 條) | 有 |
| 刪除 | 有(第 17 條) | 有(撤回或目的完成時) |
| 處理限制 | 有(第 18 條) | 無 |
| 資料可攜性 | 有(第 20 條) | 無 |
| 反對 | 有(第 21 條) | 無 |
| 對自動化決定的保護 | 有(第 22 條) | 無 |
| 申訴救濟 | 透過向監督機關申訴 | 有(針對受託人的法定權利) |
| 提名 | 無 | 有 |
兩套法制都建立於問責之上,但對較重義務的分配方式不同。在 GDPR 下,每個控制者都承擔一條問責文件基準線:第 30 條下的處理活動記錄(小型組織有豁免)、第 25 條下的設計與預設資料保護、第 35 條下對高風險處理的資料保護影響評估,以及第 28 條下具約束力的處理者合約。在核心活動涉及大規模系統性監控或大規模處理特殊類別資料時,依第 37 條須強制設置資料保護長,而聯盟外的控制者須依第 27 條指派一名 EU 代表。DPDP 適用較輕的普遍基準線,並將較重的義務集中於重要資料受託人。每個受託人都須實施合理的安全保障、遵守通知與同意、在撤回時或目的達成後刪除資料,並透過合約確保處理者的遵循。只有中央政府指定為重要資料受託人的實體,才須額外指派一名駐印度的資料保護長、聘任一名獨立的資料稽核師,並進行定期的影響評估與稽核。因此其觸發要件是政府的指定,而非 GDPR 自我評估的風險測試。
兩套法制都特別點出兒童,而此處 DPDP 較為嚴格。GDPR 依第 8 條將資訊社會服務有效同意的年齡定為十六歲,允許會員國降至不低於十三歲。DPDP 將任何未滿十八歲者視為兒童,並要求在處理兒童資料前取得可驗證的父母或合法監護人同意。它更進一步,禁止可能對兒童福祉造成不利影響的處理,並全面禁止針對兒童的行為追蹤、行為監控與定向廣告,惟受政府可能通知的有限豁免約束。對於全球數位服務,這是一項有意義的設計限制:依十三至十六歲歐洲門檻校準的年齡保證與父母同意層,將無法滿足印度的未滿十八歲規則,而廣告技術堆疊必須能夠在人口規模上為印度未成年人關閉行為定向。
跨境移轉:鏡像般的預設
移轉模型在其預設姿態上幾乎是鏡像。GDPR 在第五章從禁止出發:個人資料只有在適足性決定、適當保障(如標準合約條款或具約束力的企業規則)或一小組例外情形下,才得離開 EEA。舉證責任在於出口方須確立合法的移轉機制,而 Schrems II 判例要求對目的地國家的監控環境進行移轉影響評估。這是一種白名單模型:預設禁止,僅在機制就位時方予許可。
DPDP 從許可出發。移轉預設上允許移往任何國家,而中央政府得發布一份限制移往特定司法管轄區的負面清單。這是一種黑名單模型:預設許可,僅在目的地被點名時方予阻擋。原則上它寬鬆得多,但有兩點保留加以節制。第一,尚未填充任何負面清單,因此實務上的輪廓仍不確定。第二,部門別的資料在地化規則,尤其是印度儲備銀行就支付資料所訂者,繼續疊加於 DPDP 之上適用,且可能比一般法制更嚴格。對跨國企業而言,這種不對稱十分鮮明:將 EU 資料移往印度需要一套有文件依據的第 46 條機制,而將印度資料移往 EU 目前在 DPDP 本身之下不需要任何東西,儘管審慎的治理無論如何都會維持合約上的保障。
違規通報:缺失的重大性過濾器
兩套法制都收斂於七十二小時的時鐘,但在門檻與通報對象上鮮明分歧。GDPR 要求在不當延遲下、且在可行時於知悉後七十二小時內通報監督機關,但僅限於該違規可能對個人權利與自由造成風險之時;只有在風險高時才通知受影響的個人。風險門檻過濾掉瑣碎事件。DPDP 規則完全不施加風險門檻。一旦知悉任何個人資料違規,受託人就須毫不延遲地通知受影響的資料主體,並須向資料保護委員會提交一份初步通報,隨後在七十二小時內提交一份詳細報告,涵蓋該違規、其情況、緩解措施以及任何責任方的身分(MediaNama 2025 年;電子與資訊技術部 2025 年)。重大性過濾器的缺失意味著印度的違規通報量將高於其歐洲對應者,而面對近十五億主體的人口,通報機制必須相應地擴展。依 GDPR 風險關卡校準的事件應變手冊,必須重寫為向委員會與受影響個人雙方通報每一起符合條件的違規。
| 面向 | GDPR | DPDP |
|---|---|---|
| 機關通報 | 若對權利有風險,七十二小時內 | 初步通報,隨後七十二小時內詳細報告,無門檻 |
| 個人通報 | 僅在高風險時 | 始終,毫不延遲 |
| 重大性過濾器 | 有(以風險為本) | 無 |
執法經濟學
執法經濟學在種類上不同,而不僅是程度上。GDPR 的行政罰款,下層級最高至一千萬歐元或全球年營業額的百分之二,上層級最高至二千萬歐元或全球年營業額的百分之四,取其較高者。營業額連動使嚇阻力隨企業規模而縮放。GDPR 也創設了一項私人權利:資料主體得依第 82 條就物質與非物質損害請求賠償,並得提出申訴與尋求司法救濟。DPDP 課以與營業額脫鉤的固定金錢處罰,按附表訂定並按每次設上限:未採取合理安全保障最高至二億五千萬盧比(250 crore),違規通報或兒童資料義務的失職最高至二億盧比(200 crore),其他違失則有較低上限。DPDP 之下沒有刑事責任,且重要的是,沒有私人訴權,也沒有對個人的法定賠償;執法透過資料保護委員會運行,罰款繳予國家。DPDP 還引入了對提出虛假或輕率申訴的資料主體的處罰,這沒有 GDPR 的對應者。淨效果是,對於一家非常大的企業,GDPR 以營業額為本的上限可使 DPDP 的固定上限相形見絀,而對同一家企業,DPDP 移除了在歐洲籠罩 GDPR 合規的集體訴訟與個人訴訟暴險。
豁免
GDPR 將豁免維持得狹窄且受規則約束。第 23 條僅在為列舉的公共利益目標而屬必要且合比例時,方允許會員國法限制權利,並對新聞、學術、藝術與文學表達,以及受保障約束的研究與典藏,設有特定的劃出。DPDP 賦予更廣且更受行政控制的豁免。第 17 條允許中央政府基於主權、安全、公共秩序與友好關係的利益,將國家機構豁免於該法的大部分,並就研究、典藏或統計目的所必要的處理、經通知的某些新創企業,以及法律權利的執行,提供豁免。面向國家的豁免之廣,以及它們由行政部門而非獨立機關或法院授予並劃定界限這一事實,是印度法制最受爭議的特徵之一,也是公民社會評論中反覆出現的主題(Internet Freedom Foundation 2025 年)。
一套同時受兩法約束的計劃必須加入哪些控制
對於同時處於兩套法制內的組織,營運模式是帶有刻意分歧的收斂。務實的架構是運行單一、GDPR 級別的全球基準線,並加上印度特定的模組,而非維護兩套各自獨立的計劃。可重用的 GDPR 資產相當可觀:處理記錄、安全與違規應變控制、用於存取、更正與刪除的資料主體權利工具、處理者合約範本,以及隱私設計紀律,都能以微幅調整移轉至 DPDP。印度特定的增補才是努力集中之處,而它們正是一套僅有 GDPR 的計劃在 2027 年 5 月 13 日執行日將會欠缺的控制:一套不依賴正當利益的同意優先合法依據設計;與同意管理者的整合或對其的就緒;一套帶有可驗證父母同意與行為廣告抑制的未滿十八歲兒童體制;一套提名工作流程;一套在無風險關卡下通報每一起符合條件事件的違規流程;以及對政府跨境負面清單與部門別在地化規則的監看。反之,組織不能裁撤任何 GDPR 機制,因為 DPDP 較窄的權利集與寬鬆的移轉模型並不放鬆歐洲的義務。
CCI 的工具帶來什麼改變
一套跨法制的計劃最常失敗,不在政策,而在於不知道(以證據而言)個人資料位於何處、每條資料流依賴哪項合法依據,以及一起執法事件將付出何種代價。CCI 的基元正攻擊這些落差,而下文每一項主張都是一種由既有產品所支撐的可能性降低,而非保證。
NetDiagramer 繪製實際的資料資產、系統間的資料流,以及每條資料流所跨越的司法管轄區。對於移轉問題,這是基礎性的:若您看不見哪些資料流離開 EEA 或落地印度,您便無法套用 GDPR 第 46 條機制的白名單,也無法監看 DPDP 的黑名單。同一套拓撲會浮現出每一條目前依賴正當利益的資料流,而那正是必須在 DPDP 咬下之前重新奠基於同意的那群對象。
EviGen 將問責從一項文件作業轉變為自動化的證據。第 30 條下的處理記錄、同意帳本,以及一個重要資料受託人必須產出的影響評估與稽核產物,是從活的資產生成並保持最新,而非在稽核時從試算表重建。一條證據管線同時服務於歐洲的記錄義務與印度的問責及稽核義務。
Evidence Vault 賦予違規流程一條防竄改的時間軸,這是它存活於 DPDP 無門檻規則所需的。當每一起符合條件的事件都必須在七十二小時內送達委員會、並毫不延遲地送達每一位受影響主體時,限制不在於意願,而在於能否迅速組裝出一份關於發生了什麼、何時、對誰的可辯護說明。同一個保險庫也滿足 GDPR 第 33 與第 34 條的記錄保存。
cVaR 以金錢為這分歧的執法經濟學定價。它量化在兩個上限之下的暴險,即 GDPR 與營業額連動的百分之四與 DPDP 每次固定的二億五千萬盧比(250 crore),使董事會看見其跨法制的處罰面為單一數字而非兩個法律抽象,並能按預期損失降低為補救排序。
Domain Separation 使歐洲與印度的資料資產在邏輯上保持可分離,如此在地化要求、未來的負面清單與各異的合法依據體制,便能按司法管轄區執行,而無須將整套計劃分叉為二。它是那項使「帶有刻意分歧的收斂」可運作而非僅止於願景的控制。
及時建立雙重職責
DPDP 的實體義務落於 2027 年 5 月 13 日。從撰文之時算起那約為十一個月,讀來遙遠卻並非如此:一場同意優先的重新架構、一次同意管理者整合與一套未滿十八歲體制都是橫跨多季的計劃,而它們以串列運行的時候多於以並行運行,因為各自都仰賴一份對資料資產的清晰視圖,而那是多數組織尚未擁有的。從 2027 年 5 月往回推算,發現與資料繪製的工作必須在本季開始,建置、測試與稽核階段才能在執行之前安置妥當。當一個組織需要資深的隱私領導來推動該建置而不增加常設員額時,CCI 的 CISO 即服務提供一支八名以上 CISSP 認證實務工作者的人才庫,供臨時、分時、隨叫隨到或事件後的補位,並因 CCI 不在其所領導之處進行稽核而保有獨立性。該人才庫並非僅限歐洲:CCI 擁有駐印度的 CISSP 認證實務工作者,他們是從內部熟知 DPDP、同意管理者模型與第八附表語言義務的資深資料隱私專家。這在實務上要緊,因為重要資料受託人必須指派一名以印度為居所的資料保護長,而一位在地的隱私主管也縮短了通往印度法律顧問、資料保護委員會以及全國規模同意現實的距離。
另一道反覆出現的落差屬基礎性而非法律性:多數組織無法以證據說出其個人資料實際位於何處。CCI 的資料盤點專家正是在此繪製,橫跨遺留資產、活系統中的熱資料與封存及備份中的冷資料,資料庫中的結構化記錄,以及文件、信箱、檔案共享與物件儲存中困難得多的非結構化散布。那份盤點是下游一切的前提:同意的重新奠基、權利與刪除工作流程、跨境移轉視圖與違規範圍評估,若資產的地圖不完整,其中任何一項都不可信。當落差在於量身打造的工具時,那支內部研發團隊,即打造了 NetDiagramer、EviGen、cVaR 與 DORA-MAST 的學者、博士級研究者與工程師,能將這些基元(盤點擷取、組態證據、拓撲繪製與量化)組合成一套快速的雙法制就緒工具組。這是以能力陳述,並以已出貨的產品為證,而非一項碼錶承諾。若要界定一次雙法制就緒評估的範圍,與一位實務工作者交談。
並列主矩陣
| 面向 | GDPR | DPDP |
|---|---|---|
| 法律文書 | 規則 (EU) 2016/679 | DPDP 法 2023 + DPDP 規則 2025 |
| 施行 | 2018 年 5 月 25 日 | 分階段;實體義務自 2027 年 5 月 13 日起 |
| 涵蓋資料 | 自動化與結構化人工;敏感層級 | 僅數位;無敏感層級 |
| 域外適用觸發 | 設立機構;提供;監控 | 向印度境內主體提供商品或服務 |
| 合法依據 | 六項,包括正當利益 | 同意加上合法用途的封閉清單 |
| 敏感資料體制 | 第 9 條特殊類別 | 無(透過 SDF 與兒童間接) |
| 兒童年齡 | 16 歲(會員國可降至 13 歲) | 未滿 18 歲;行為廣告禁令 |
| 權利 | 八項,包括可攜性、反對、第 22 條 | 存取、更正、刪除、申訴救濟、提名 |
| 資料保護長 | 以風險為本強制 | 僅重要資料受託人;以印度為據 |
| 跨境模型 | 白名單(預設禁止) | 黑名單(預設許可) |
| 違規通報 | 若有風險七十二小時內報監督機關;高風險則報個人 | 七十二小時內報委員會加上所有受影響主體,無門檻 |
| 最高處罰 | 二千萬歐元或全球營業額 4% | 每次二億五千萬盧比(250 crore),無營業額連動 |
| 私人訴權 | 有(第 82 條) | 無 |
| 監管機關 | 獨立的監督機關 | 資料保護委員會(僅裁決) |
| 規則制定 | EDPB、執委會、監督機關 | 中央政府 |
縮寫
| 縮寫 | 全稱(英文) | 繁體中文翻譯 |
|---|---|---|
| BCR | Binding Corporate Rules | 具約束力的企業規則 |
| CJEU | Court of Justice of the European Union | 歐洲聯盟法院 |
| DPDP | Digital Personal Data Protection | 數位個人資料保護 |
| DPIA | Data Protection Impact Assessment | 資料保護影響評估 |
| DPO | Data Protection Officer | 資料保護長 |
| EDPB | European Data Protection Board | 歐洲資料保護委員會 |
| EEA | European Economic Area | 歐洲經濟區 |
| GDPR | General Data Protection Regulation | 一般資料保護規則 |
| MeitY | Ministry of Electronics and Information Technology (India) | 電子與資訊技術部(印度) |
| RBI | Reserve Bank of India | 印度儲備銀行 |
| SA | Supervisory Authority | 監督機關 |
| SCC | Standard Contractual Clauses | 標準合約條款 |
| SDF | Significant Data Fiduciary | 重要資料受託人 |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | 電信爭議解決及上訴審判所 |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html