根据2023年数字个人数据保护法（DPDP）草案的规定，印度的儿童在访问社交媒体时需要得到可验证的家长同意。

该法于2023年8月由议会通过，将用户定义为18岁以下的儿童。

备受期待的规则已于上周五发布，征求相关方意见，截止日期为2月18日。

规则还为某些类型个人数据的数据本地化规定留出了可能重新引入的空间。

这是首次将数据托管人分为电子商务公司、游戏中介和社交媒体公司三大类。

规则要求，在用户平台上的不活跃用户个人数据必须在三年后被删除。

一旦发生数据泄露，数据托管人必须在72小时内通知数据保护委员会。

量子枢纽咨询公司的创始合伙人Aparajita Bharti表示：“DPDP规则备受期待，草案为行业提供了实施方向。

”但她也指出：“一个主要的担忧是，可能会要求重要数据托管人遵守数据本地化要求，因为规则提到一个专门委员会在未来可能会这样做。

” Ikigai Law的合伙人Neha Chaudhari说：“可验证的家长同意具有灵活、现实的方法。

很高兴它没有过于具体。

数据托管人可以自行决定如何操作。

” 印度电子和信息技术部提议，所有数据托管人在处理儿童任何个人数据之前，都需采用适当的技术和组织措施以获得可验证的家长同意。

对于重要数据托管人或处理敏感数据的互联网中介来说，他们每年还需进行一次数据保护影响评估研究和审计，并将结果报告给数据保护委员会。

根据草案规定，数据保护委员会将由信息技术秘书领导的一个四人委员会推荐的人担任主席。

印度电子和信息技术部提议，如果政府任命的委员会要求，重要数据托管人必须确保个人数据和流量存储在印度境内。

该部还提议让数据托管人验证声称是未成年人监护人的人员的真实性，并且建议通过平台提供的可靠身份信息或用户自愿提供的身份信息来验证监护关系。

Cyril Amarchand Mangaldas律师事务所合伙人Arun Prabhu表示：“一些规则方面尚不明确，包括重要数据托管人的通知方式、跨境传输限制（特别是对敏感个人资料SDFs的规定）、SDFs使用算法软件的规定以及实施时间表——这似乎将在至少两个阶段进行——这些可能在咨询过程中得到澄清。

为此提供了45天的时间。

”