11 августа 2026 года Индия приняла Закон о цифровой защите персональных данных (DPDPA), ознаменовав поворотный момент в своем подходе к цифровой конфиденциальности. Менее чем через год, в январе 2026 года, фирма Cleary Gottlieb опубликовала подробный сравнительный анализ этого нового закона, европейского GDPR и американских законов, включая калифорнийский CCPA. Сегодня, в мае 2026 года, эти три режима сосуществуют и влияют на стратегии соответствия компаний, работающих на международном уровне. Но как они на самом деле сравниваются? И, главное, каких ловушек следует избегать профессионалам в области цифровых технологий?
1. Сфера применения: кто подпадает под действие?
GDPR применяется к любой организации, обрабатывающей данные резидентов Европы, независимо от ее местонахождения. CCPA, в свою очередь, нацелен на компании, достигающие определенного оборота или обрабатывающие значительный объем данных калифорнийцев. DPDPA применяется к обработке цифровых персональных данных на территории Индии, в том числе иностранными организациями, если данные касаются индийских резидентов.
Согласно анализу Cleary Cyberwatch (январь 2026 г.), DPDPA также охватывает данные, собранные офлайн, а затем оцифрованные, что расширяет его сферу по сравнению с CCPA. Однако он исключает обработку в личных или домашних целях, как и GDPR.
2. Согласие и цели: явные расхождения
GDPR требует явного, свободного, конкретного и отзываемого согласия. CCPA в большей степени основывается на праве отказа (opt-out) от продажи данных, в то время как DPDPA требует предварительного согласия на любую обработку, за исключением ограниченных случаев.
Статья, опубликованная на IGI Global в 2026 году, подчеркивает, что DPDPA, как и GDPR, требует «свободного, конкретного, информированного и недвусмысленного» согласия, но вводит дополнительное понятие: согласие должно быть дано «четким положительным действием». Авторы, однако, критикуют отсутствие уточнений относительно механизма отзыва согласия, что является ключевым моментом в GDPR.
3. Права субъектов: кто защищает лучше?
GDPR предлагает обширный каталог прав: доступ, исправление, удаление, ограничение, переносимость, возражение. CCPA сосредоточен на праве на доступ, удаление и отказ от продажи. DPDPA, согласно сравнению, опубликованному Nyusta в октябре 2026 года, воспроизводит большинство прав GDPR, но исключает некоторые, такие как переносимость и автоматизированное профилирование. Заметный пробел, отмеченный в исследовании IEEE (2026 г.), — отсутствие четких положений об автоматизированных решениях и профилировании, что крайне важно в эпоху ИИ.
4. Санкции и правоприменение: цена несоблюдения
GDPR может налагать штрафы до 4% от мирового годового оборота или 20 миллионов евро (выбирается большая сумма). CCPA предусматривает гражданские штрафы в размере 2500 долларов за непреднамеренное нарушение и 7500 долларов за умышленное. DPDPA устанавливает штрафы до 250 крор индийских рупий (около 30 миллионов евро) за нарушение. Согласно Global Privacy Blog (декабрь 2026 г.), эта сумма сопоставима с верхней границей GDPR, но DPDPA не предусматривает процент от оборота, что может сильнее ударить по малым предприятиям.
5. Ловушки, которых следует избегать профессионалам
Ошибка №1: Считать CCPA и GDPR взаимозаменяемыми. CCPA не требует предварительного согласия на сбор, в отличие от GDPR. Компания, механически переносящая свои процедуры GDPR в Калифорнию, рискует столкнуться с иными обязательствами.
Ошибка №2: Игнорировать особенности DPDPA в отношении согласия родителей. DPDPA требует проверяемого согласия родителя или опекуна на обработку данных детей (до 18 лет). Ни один другой режим не устанавливает столь высокий порог.
Ошибка №3: Пренебрегать обязательствами по уведомлению об утечках. GDPR требует уведомления в течение 72 часов, CCPA — в течение 30 дней, DPDPA — также в течение 72 часов. Но критерии уведомления различаются: DPDPA требует уведомлять о любой утечке, которая может причинить вред, что шире, чем в GDPR.
6. Сигналы тревоги, на которые стоит обратить внимание
- Отсутствие единой точки контакта: В отличие от GDPR с ведущим надзорным органом, DPDPA не предусматривает механизма единого окна. Компания, работающая в нескольких индийских штатах, должна соблюдать требования каждого местного органа.
- Сроки приведения в соответствие: DPDPA вступил в силу в 2026 году, но его правила применения все еще разрабатываются. Согласно DLA Piper (2026 г.), Индия еще не назначила свой орган по защите данных, что создает правовую неопределенность.
- Правительственные исключения: DPDPA позволяет правительству освобождать определенные виды обработки по соображениям национальной безопасности — положение, отсутствующее в GDPR и CCPA. Это может ослабить защиту граждан.
7. К конвергенции?
Несмотря на различия, эти три закона разделяют общие принципы: прозрачность, ограничение целей, минимизация данных. Статья Юридической школы USC Gould (без даты) отмечает, что GDPR послужил моделью для DPDPA, но последний адаптировал некоторые положения к индийскому контексту, особенно в отношении суверенитета данных.
На практике транснациональные компании должны применять детальный подход: картировать потоки данных, определять применимые режимы и внедрять модульные политики. Фирма Varonis напоминает, что соответствие — это не разовое мероприятие, а непрерывный процесс.
Для дальнейшего изучения
- Globalprivacyblog — Сравнение DPDPA и GDPR
- Clearycyberwatch — Сравнительный анализ трех режимов
- Gould Usc Edu — Статья о конфиденциальности в цифровую эпоху
- Dlapiperdataprotection — Обзор законов о защите данных в мире
- Igi-global — Критическое исследование согласия по DPDPA
- Varonis — Полное руководство по американским законам о конфиденциальности
- Nyusta — Сравнительный анализ DPDPA, GDPR и CCPA
- Ieeexplore Ieee — Сравнительное исследование DPDPA с другими законами