印度 DPDP 法案：印度場館的訪客 WiFi 合規

印度 DPDP 法案：印度場館的訪客 WiFi 合規 Purple 技術簡報 — 約 10 分鐘 [引言與背景 — 1 分鐘] 歡迎收聽 Purple 技術簡報。我是主持人，今天我們將深入探討目前每位 IT 總監和合規主管都應關注的議題：印度的《數位個人資料保護法案》——DPDP 法案——以及它對印度各地場館的訪客 WiFi 部署具體意味著什麼。 無論您是在孟買經營連鎖飯店、在班加羅爾管理零售物業、在海德拉巴營運體育場，還是跨國公司的印度分部——只要您提供訪客 WiFi 並透過 captive portal 收集註冊資料，這項法規都直接影響到您。規則已經生效，執法力度正在加強，罰款也很高。光是安全故障就可能面臨高達 25 億盧比的罰款。 那麼，讓我們開始吧。在接下來的十分鐘內，我將帶您了解核心義務，展示這在實踐中與 GDPR 有何不同，提供一個實用的資料保留框架，並指出場館目前最常見的三個錯誤。 [技術深度探討 — 5 分鐘] 讓我們從基礎開始。《數位個人資料保護法案》於 2023 年 8 月頒布，實施細則於 2025 年底定稿。合規時間表從規則生效之日起分階段進行，為期 12 至 18 個月——因此，如果您還沒有開始合規計劃，您已經落後了。 首先要理解的是術語。根據 DPDP 法案，您的場館是資料受託人（Data Fiduciary）——您決定為何以及如何處理個人資料。您的 WiFi 平台供應商——無論是 Purple 還是其他供應商——是資料處理者（Data Processor）。而您的訪客是資料主體（Data Principal）。這個區別非常重要，因為與 GDPR 不同，DPDP 規定所有合規責任都在資料受託人身上。您平台供應商的 DPA 並不會轉移您的風險。您自己承擔。 接下來，同意。這是大多數場館容易出錯的地方。法案第 6 條要求同意必須是自由的、具體的、知情的、無條件的和明確的，並且要有明確的肯定動作。「無條件」這個詞是 DPDP 獨有的——GDPR 中沒有——而且它確實具有約束力。它意味著您不能將行銷同意作為獲取 WiFi 存取的條件。就是這樣。 這在 captive portal 的實踐中是什麼樣子？您需要三件事。首先，在收集任何資料之前，必須顯示符合 DPDP 的通知——這必須說明您收集哪些資料、為什麼收集、保留多長時間、訪客如何撤回同意，以及他們如何聯絡您的資料保護長或指定的負責人。其次，細粒度的同意核取方塊：一個用於網路存取——這是必要的處理——以及用於行銷通訊和分析或個人化設定的獨立、可選的核取方塊。這些預設為未勾選。第三，您必須記錄同意——時間戳、IP 地址、同意版本以及具體同意的內容——並且您必須能夠應要求提供該記錄。 關於 captive portal 機制的一個實用說明：如果您在 Apple iOS 裝置、Android 或 Windows 機器上部署，Captive Network Assistant（或 CNA）在每個平台上的行為都不同。Apple 的 CNA 會打開一個迷你瀏覽器，該瀏覽器對 cookie 和重新導向有限制。您需要確保您的同意機制在這些限制內運作。Purple 關於 captive portal 偵測的指南詳細介紹了技術實作——值得與本合規簡報一起閱讀。 現在談談資料保留，這是我看到最多困惑的地方。DPDP 法案的方法是目的導向的。根據第 8(7) 條，當資料主體撤回同意或指定目的不再需要時（以較早者為準），您必須刪除個人資料。第 8 條規則又增加了兩個重要的補充。 首先，對於某些高流量平台——擁有超過 2 千萬用戶的電子商務、社群媒體、線上遊戲——附表三規定了一個三年的視為終止期。如果三年內沒有任何互動，則視為目的不再需要。對於大多數場館運營商——飯店、零售、體育場——您不會落入這些特定的附表三類別，因此您適用一般的第 8(8) 條原則：如果訪客在合理期間內沒有與您互動或行使其權利，您應刪除其資料。 其次，第 8(3) 條規則設定了一個最低基準：無論目的是否終止，您必須自處理之日起保留處理記錄和相關資料至少一年。這是為了審計和監管目的。 那麼，對於實用的場館保留政策，這是我推薦的框架：保留活躍的訪客 WiFi 資料，期限為關係存續期間加上一年。如果訪客在 24 個月內沒有連線或互動，觸發重新同意或刪除工作流程。處理記錄至少保留一年。對於飯店住客，住宿本身建立了合法的處理關係——但住宿後的行銷需要單獨的同意，而該同意有其自己的保留期限。 現在，跨境資料傳輸。這實際上在 DPDP 下比在 GDPR 下更簡單。該法案採用黑名單方法——預設允許向所有國家傳輸，除非中央政府透過通知明確限制某個特定國家或地區。相比之下，GDPR 採用白名單方法，對於向非適足國家的每一次傳輸，您都需要適足性決定、標準合約條款或具有約束力的公司規則。對於使用雲端 WiFi 平台且資料中心在印度以外的跨國場館，您目前在 DPDP 下有更大的靈活性——但請密切關注，因為政府的通知權力意味著情況可能會改變。 我還要介紹您的訪客在 DPDP 下擁有的權利，因為您的 IT 和營運團隊需要能夠回應這些權利。資料主體有權存取其處理資訊、更正和刪除的權利，以及申訴的權利——並有強制性的 90 天回覆窗口。不同於 GDPR，他們沒有資料可攜性權、反對自動化決策的權利，或限制處理的權利。這是一個較窄的權利框架，在一定程度上簡化了您的回應義務。 兒童資料是一個單獨的、風險更高的類別。根據 DPDP，處理任何 18 歲以下人士的資料都需要可驗證的家長同意。如果您的場館 WiFi 在家庭環境中——購物中心、主題樂園、家庭飯店——您需要一個機制來識別和處理未成年使用者。這是許多場館尚未解決的非平凡技術和營運挑戰。 [實施建議與陷阱 — 2 分鐘] 讓我給您三個最常見的陷阱，以及如何避免它們。 陷阱一：捆綁同意。這是最常見的違規行為。場館提供一個「我同意條款和條件」的核取方塊，其中同時包含網路存取和行銷。根據 DPDP 第 6 條，這是不合規的。解決方法很簡單——將您的同意分為不同的、特定目的的核取方塊，並確保行銷方塊是可選且預設未勾選的。 陷阱二：沒有同意審計軌跡。如果資料保護委員會要求您證明某個特定訪客在特定日期為特定目的提供了同意，您能提供該記錄嗎？大多數場館不能。您的 WiFi 平台必須儲存具有足夠細粒度的同意記錄——時間戳、會話 ID、IP 地址、同意版本以及同意的具體目的。Purple 平台原生地擷取這些資訊，但如果您使用的是舊系統，這是一個您需要緊急填補的缺口。 陷阱三：沒有資料處理者協議。根據第 8(2) 條，您必須與您合作的任何資料處理者簽訂有效的合約。如果您的 WiFi 平台供應商沒有包含 DPDP 義務的現行資料處理協議，您就暴露在風險中。這不僅僅是法律形式——它是資料受託人進行合規辯護的先決條件。 在實施方面，關鍵的架構決策是同意資料儲存在哪裡以及如何與您的 CRM 或行銷自動化平台整合。您需要一個行銷團隊無法覆蓋的同意狀態單一真相來源。同意撤回必須在合理的時間內傳播到所有下游系統——我建議將最長 72 小時作為您的營運 SLA。 對於擁有多個物業的場館——連鎖飯店、零售物業——您需要決定在一個物業給予的同意是否延伸至其他物業。根據 DPDP 的特定性要求，最安全的立場是物業層級的同意，除非您的通知明確涵蓋整個集團，且訪客已同意集團範圍的處理。 [快速問答 — 1 分鐘] 讓我快速回答幾個我經常被問到的問題。 「我可以未經同意使用 WiFi 分析——人流量計數、停留時間嗎？」如果資料真正匿名且無法追溯到個人，則不屬於 DPDP 法案的範圍。但 MAC 地址隨機化意味著裝置級別的追蹤越來越不可靠。對於已識別的分析，您需要同意。 「我需要資料保護長嗎？」完整的 DPO 僅對重要資料受託人（Significant Data Fiduciaries）是強制性的——這是一個政府將通知的分類。對於大多數場館運營商，您需要指定一位聯絡方式公開的負責人。這是一個較低的門檻，但仍然需要是確實能夠回答資料保護問題的人。 「中型連鎖飯店的罰款風險是多少？」導致資料外洩的安全故障最高可處以 25 億盧比。未向委員會通報外洩是另外 20 億。這些是固定的上限，而不是營業額的百分比——這意味著對小型組織的比例打擊比 GDPR 基於營業額的罰款對大型跨國公司的打擊更大。 [總結與後續步驟 — 1 分鐘] 總結一下，以下是您的五項立即行動。 一：今天審查您的 captive portal 同意流程。如果它只有一個核取方塊或將行銷與存取捆綁在一起，就需要重建。 二：實施同意審計軌跡。每個同意事件都必須記錄時間戳、IP、目的和版本。 三：建立資料保留政策。對於大多數場館，以 24 個月不活動作為觸發重新同意或刪除的起點是合理的，處理記錄至少保留一年。 四：檢視您與 WiFi 平台供應商以及任何下游行銷或分析供應商的資料處理協議。 五：指定一名負責資料保護查詢的人員，並在您的 captive portal 和網站上公布其聯絡方式。 DPDP 法案在義務範圍上不如 GDPR 複雜，但在執法意圖上同樣嚴肅。資料保護委員會擁有真正的權力，而罰款結構即使對大型組織也設計得具有足夠的威懾力。 如需更深入了解 captive portal 架構，Purple 的技術指南詳細介紹了具體的實作方式。如果您正在研究訪客 WiFi 分析如何與您更廣泛的場館智慧堆疊整合，Purple WiFi Analytics 平台的核心即是以同意為先的資料擷取。 感謝收聽。下次再會。