डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियम, 2025 मसौदा

स्रोत: द हिंदू

परिचय

इलेक्ट्रॉनिकी और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने 16 महीने की प्रतीक्षा के बाद आखिरकार भारत के पहले व्यापक डेटा गोपनीयता कानून, डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 को लागू करने के लिये मसौदा नियम जारी कर दिये हैं। ये नियम, जो फरवरी के मध्य तक जनता की प्रतिक्रिया के लिये खुले हैं, महत्त्वपूर्ण हैं क्योंकि वे डेटा सुरक्षा उपायों, उपयोगकर्त्ता अधिकारों को लागू करने और भारतीय डेटा सुरक्षा बोर्ड की स्थापना के लिये रूपरेखा प्रदान करते हैं।

डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम 2023

• यह भारत में डिजिटल व्यक्तिगत डेटा के प्रसंस्करण के लिये नियम स्थापित करता है, जो संगठनों द्वारा वैध डेटा प्रसंस्करण को सक्षम करते हुए व्यक्तियों की गोपनीयता की रक्षा पर ध्यान केंद्रित करता है।
• अधिनियम में सहमति-आधारित ढाँचा प्रस्तुत किया गया है, जिसके तहत संगठनों को व्यक्तिगत डेटा एकत्रित करने और उसका प्रसंस्करण करने से पहले स्पष्ट सहमति प्राप्त करनी होगी, जिसमें राज्य के कार्यों और आपात स्थितियों के लिये कुछ छूट दी गई है।
• यह अनुपालन को लागू करने और शिकायतों को निपटाने के लिये भारतीय डेटा संरक्षण बोर्ड का गठन करता है, जिसके पास उल्लंघन के लिये भारी जुर्माना (250 करोड़ रुपए तक) लगाने की शक्तियाँ होंगी।
• कानून के तहत कम्पनियों को डेटा उल्लंघन को रोकने के लिये उचित सुरक्षा उपाय लागू करने की आवश्यकता होती है तथा यह अनिवार्य किया गया है कि वे किसी भी डेटा उल्लंघन के बारे में उपयोगकर्त्ताओं और प्राधिकारियों को सूचित करें।

DPDP अधिनियम, 2023  

• धारा 4 (व्यक्तिगत डेटा के प्रसंस्करण के लिये आधार): व्यक्तिगत डेटा को केवल डेटा प्रिंसिपल की सहमति से या कुछ वैध उपयोगों के लिये संसाधित किया जा सकता है और यह वैध उद्देश्य के लिये होना चाहिये जिसे कानून द्वारा स्पष्ट रूप से निषिद्ध नहीं किया गया हो।
• धारा 8 (डेटा फिड्युसरी के सामान्य दायित्व): डेटा फिड्युसरी को उचित सुरक्षा उपायों के माध्यम से व्यक्तिगत डेटा की रक्षा करनी चाहिये, उल्लंघनों की रिपोर्ट करनी चाहिये, और जब डेटा को बनाए रखना आवश्यक न हो तो उसे मिटा देना चाहिये।
• धारा 9 (बच्चों के व्यक्तिगत डेटा का प्रसंस्करण): बच्चों के डेटा को संसाधित करने से पहले सत्यापन योग्य माता-पिता की सहमति आवश्यक है, और बच्चों की ट्रैकिंग/व्यवहारिक निगरानी निषिद्ध है।
• धारा 10 (महत्त्वपूर्ण डेटा फिड्युसरी के अतिरिक्त दायित्व): महत्त्वपूर्ण डेटा फिड्युसरी को डेटा संरक्षण अधिकारी नियुक्त करना होगा, ऑडिट करना होगा और डेटा संरक्षण प्रभाव आकलन करना होगा।
• धारा 11 (व्यक्तिगत डेटा के बारे में जानकारी तक पहुँच का अधिकार): डेटा प्रिंसिपलों को अपने संसाधित व्यक्तिगत डेटा का सारांश प्राप्त करने और यह जानने का अधिकार है कि उनका डेटा किन संस्थाओं के साथ साझा किया गया है।
• धारा 13 (शिकायत निवारण का अधिकार): डेटा प्रिंसिपलों को अपने व्यक्तिगत डेटा के संबंध में डेटा फिड्युशरीज़ और सहमति प्रबंधकों से शिकायत निवारण का अधिकार है।
• धारा 16 (भारत के बाहर व्यक्तिगत डेटा का प्रसंस्करण): केंद्र सरकार अधिसूचना के माध्यम से भारत के बाहर कुछ देशों/क्षेत्रों में व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित कर सकती है।
• धारा 18 (बोर्ड की स्थापना): भारतीय डेटा संरक्षण बोर्ड को एक कॉर्पोरेट निकाय के रूप में स्थापित किया गया है, जिसके पास संपत्ति अर्जित करने/रखने तथा संविदा करने की शक्तियाँ होंगी।

DPDP नियम, 2025 मसौदा

• 3 जनवरी, 2025 को इलेक्ट्रॉनिकी और सूचना प्रौद्योगिकी मंत्रालय द्वारा जारी किये गए DPDP नियम, 2023 मसौदा के DPDP अधिनियम के बाद भारत की डिजिटल व्यक्तिगत डेटा विनियमन यात्रा में एक महत्त्वपूर्ण कदम है।
• ये नियम पहले के व्यक्तिगत डेटा संरक्षण विधेयक की तुलना में सिद्धांत-आधारित, कम निर्देशात्मक दृष्टिकोण अपनाते हैं, जिसे उद्योग के हितों के लिये अत्यधिक प्रतिबंधात्मक और प्रतिकूल माना गया था।
• यूरोपीय संघ के GDPR के विपरीत, भारत के नियम नोटिस और सहमति तंत्र में सरलता और स्पष्टता प्रदान करते हैं, जिससे उपयोगकर्त्ताओं द्वारा अनुभव की जाने वाली "सहमति थकान" को कम करने में सहायता मिलती है।
• ये नियम व्यवसाय की स्वायत्तता का सम्मान करते हैं, तथा संस्थाओं को सुधार, विलोपन और सहमति वापसी जैसे उपयोगकर्त्ता अधिकारों को कैसे सक्षम करना चाहिये, इस पर सख्त निर्देशों से बचते हैं।
• बच्चों के डेटा पर नज़र रखने और निगरानी के लिये माता-पिता की सहमति की आवश्यकताओं के संबंध में शैक्षणिक संस्थानों, स्वास्थ्य सेवा प्रदाताओं और बाल देखभाल केंद्रों के लिये विशेष छूट प्रदान की गई है।
• एक महत्त्वपूर्ण चिंता सीमा-पार डेटा प्रवाह के प्रति नियमों का दृष्टिकोण है, विशेष रूप से महत्वपूर्ण डेटा फिड्युशरीज़ (SDF) के लिये, जिन्हें सख्त स्थानीयकरण अधिदेशों का सामना करना पड़ सकता है।
• मसौदा नियमों में इस बात पर स्पष्टता का अभाव है कि व्यवसाय किस प्रकार वैध उपयोगकर्त्ता सूचना अनुरोधों का सत्यापन कर सकते हैं तथा अत्यधिक या निराधार सूचना अनुरोधों से कैसे निपट सकते हैं।
• IBM के अनुसार, डेटा उल्लंघन से भारतीय व्यवसायों को वर्ष 2024 में औसतन ₹19.5 करोड़ ($2.35 मिलियन) का नुकसान होगा, जो डेटा सुरक्षा के महत्त्व को दर्शाता है।
• इस रूपरेखा में पारंपरिक नोटिस-और-सहमति तंत्र से आगे बढ़ने की आवश्यकता बताई गई है, विशेष रूप से ऐसे संदर्भों में जहाँ सहमति प्राप्त करना अव्यावहारिक है, जैसे मॉल, हवाई अड्डे और समुद्र तट।

DPDP नियम 2025 मसौदा की आलोचनाएँ क्या हैं?

• DPDP अधिनियम 2023 भारत का पहला व्यापक डेटा गोपनीयता कानून है जो सभी वाणिज्य और उद्योग क्षेत्रों को कवर करता है, उपयोगकर्त्ता के अधिकारों की स्थापना करता है और भारतीय डेटा संरक्षण बोर्ड का गठन करता है।
• मसौदा नियमों का उद्देश्य नोटिस, सहमति, डेटा उल्लंघन अधिसूचना, बच्चों के डेटा के लिये माता-पिता की सहमति और डेटा स्थानीयकरण जैसे महत्त्वपूर्ण तंत्रों पर मार्गदर्शन प्रदान करना है।
• नागरिक समाज ने DPDP अधिनियम की आलोचना करते हुए कहा कि इसमें कोई विशेष नियामक नहीं है तथा इसमें सरकारी डेटा तक पहुँच के विरुद्ध मानक सुरक्षा का अभाव है।
• उपयोगकर्त्ता अधिकारों के संबंध में, मसौदा नियम इस बारे में स्पष्ट तंत्र प्रदान करने में विफल रहे हैं कि उपयोगकर्त्ता अपने डेटा तक पहुँचने, उसे सही करने, पूरा करने, अपडेट करने और मिटाने के अपने अधिकारों का प्रयोग कैसे कर सकते हैं।
• नियमों में विशिष्ट परिदृश्यों को स्पष्ट नहीं किया गया है, जैसे कि क्या उपयोगकर्त्ता सर्च इंजन से कुछ लिंक हटाने के लिये कह सकते हैं, या डेटा मिटाने के अनुरोध पर तीसरे पक्ष की आपत्तियों को कैसे निपटाया जाए।
• बच्चों के डेटा संरक्षण के लिये नियमों में 18 वर्ष से कम आयु के उपयोगकर्त्ताओं के लिये माता-पिता की सहमति की आवश्यकता है, लेकिन माता-पिता के संबंधों और आयु सत्यापन के लिये विस्तृत प्रक्रियाओं का अभाव है।
• ये नियम भारतीय परिवारों में साझा डिवाइस के उपयोग या बच्चों की आयु के दावों को सत्यापित करने के तरीकों जैसी व्यावहारिक कार्यान्वयन चुनौतियों का समाधान नहीं करते हैं।
• तैयारी के लिये 16 महीने का समय होने के बावजूद, आलोचकों का मानना ​​है कि मसौदा नियम सामान्य विस्तृत दिशानिर्देशों की तुलना में अस्पष्ट, अपूर्ण तथा जल्दबाज़ी में तैयार किये गए हैं।
• सरकार को नियमों को अंतिम रूप देने से पहले विशेषज्ञों की सलाह लेने, व्यापक विचार-विमर्श करने तथा स्पष्ट कार्यान्वयन समयसीमा निर्धारित करने की आवश्यकता है।

DPDP नियम 2025 की मुख्य विशेषताएँ और चिंताएँ क्या हैं?

• सिद्धांत-आधारित दृष्टिकोण:
  • पिछले प्रयासों की तुलना में कम निर्देशात्मक।
  • विस्तृत प्रक्रियाओं के बजाय परिणामों पर ध्यान केंद्रित करता है।
• प्रमुख प्रावधान:
  • नोटिस और सहमति के लिये सरलीकृत ढाँचा।
  • यूज़र इंटरफेस डिज़ाइन के लिये अनुकूलित दृष्टिकोण।
  • बच्चों के डेटा संरक्षण के लिये विशेष प्रावधान।
  • माता-पिता की सहमति आवश्यकताओं के संबंध में शैक्षणिक संस्थानों और स्वास्थ्य सेवा प्रदाताओं जैसे विशिष्ट उद्योगों के लिये छूट।
• उल्लेखनीय चिंताएँ:
  • सीमा पार डेटा प्रवाह प्रतिबंध।
  • महत्त्वपूर्ण डेटा फ़िड्युशियरी (SDF) बनाम छोटी संस्थाओं के लिये अलग नियम।
  • बड़े उद्यमों के लिये संभावित डेटा स्थानीयकरण अनिवार्यताएँ।
  • उपयोगकर्त्ता सूचना अनुरोधों के व्यावसायिक सत्यापन को संबोधित करने में अंतराल।
• कार्यान्वयन ढाँचा:
  • DPDP अधिनियम 2023 को लागू करने के लिये आवश्यक विवरण प्रदान करता है।
  • सार्वजनिक समीक्षा के लिये MeitY की वेबसाइट पर उपलब्ध है।
  • हितधारकों से प्रतिक्रिया/टिप्पणियों के लिये खुला है।
  • प्रतिक्रिया को प्रत्ययी क्षमता में रखा जाएगा और उसका खुलासा नहीं किया जाएगा।
• सार्वजनिक परामर्श प्रक्रिया:
  • MeitY सक्रिय रूप से हितधारकों की प्रतिक्रिया मांग रहा है।
  • प्रस्तुतियाँ गोपनीय रखी जाएँगी।
  • नियमों को अंतिम रूप दिये जाने के बाद प्रतिक्रिया का एक समेकित सारांश प्रकाशित किया जाएगा।
  • व्यक्तिगत प्रस्तुतियाँ सार्वजनिक रूप से प्रकट नहीं की जाएँगी।

DPDP नियम 2025 के मसौदे में प्रमुख अंतराल और कार्यान्वयन चुनौतियाँ क्या हैं?

• नोटिस, सहमति, डेटा उल्लंघन और माता-पिता की सहमति संग्रह जैसे महत्त्वपूर्ण तंत्रों के लिये बुनियादी परिचालन मार्गदर्शन प्रदान करने के बावजूद मसौदा नियमों में विस्तृत दिशानिर्देशों का अभाव है।
• उपयोगकर्त्ता अधिकारों के संबंध में, DPDP अधिनियम उपयोगकर्त्ताओं को अपने डेटा तक पहुँचने, उसे सही करने, पूरा करने, अपडेट करने और मिटाने का अधिकार देता है, लेकिन मसौदा नियम यह स्पष्ट करने में विफल हैं कि उपयोगकर्त्ता इन अधिकारों का प्रयोग कैसे कर सकते हैं।
• नियमों में अधिनियम को केवल यह कहते हुए दोहराया गया है कि उपयोगकर्त्ता विशिष्ट कार्यान्वयन मार्गदर्शन प्रदान किये बिना, व्यवसाय-प्रकाशित चरणों का पालन करके डेटा प्रोसेसरों से अनुरोध कर सकते हैं।
• मिटाने के अधिकार में एक महत्त्वपूर्ण अंतर मौजूद है, क्योंकि नियम यह स्पष्ट नहीं करते हैं कि उपयोगकर्त्ता सर्च इंजन से विशिष्ट वेबसाइट लिंक को हटाने का अनुरोध कर सकते हैं या नहीं, जबकि भारतीय न्यायालय अक्सर गूगल को कुछ लिंक को "सूची से हटाने" का आदेश देते रहते हैं।
• मसौदा नियम यह बताने में विफल रहे कि डेटा मिटाने के अनुरोधों से तीसरे पक्ष के ऑनलाइन भाषण अधिकार किस प्रकार प्रभावित हो सकते हैं, तथा डेटा प्रोसेसरों के लिये स्पष्ट आपत्ति तंत्र प्रदान नहीं करते हैं।
• बाल संरक्षण के लिये, नियमों में 18 वर्ष से कम आयु के उपयोगकर्त्ताओं के लिये माता-पिता की सहमति अनिवार्य की गई है, लेकिन बच्चों की पहचान करने और माता-पिता की सहमति के सत्यापन के लिये विशिष्ट तंत्र का अभाव है।
• नियमों में केवल व्यापक रूप से डेटा प्रोसेसरों को अभिभावकों की सहमति के लिये "उचित तकनीकी और संगठनात्मक उपाय" अपनाने की आवश्यकता बताई गई है, वास्तविक सत्यापन प्रक्रिया का विवरण नहीं दिया गया है।
• कार्यान्वयन से जुड़े महत्त्वपूर्ण प्रश्न अभी भी अनुत्तरित हैं, जैसे वास्तविक अभिभावकीय संबंधों की पुष्टि करना, आयु संबंधी मिथ्याकरण से निपटना, तथा भारतीय परिवारों में साझा डिवाइस के उपयोग को संभालना।
• तैयारी के लिये 16 महीने का समय होने के बावजूद, नियमों को अस्पष्ट और अपूर्ण माना जाता है, तथा इनमें प्रभावी उपभोक्ता गोपनीयता संरक्षण और व्यावसायिक परिचालन के लिये आवश्यक विस्तृत दिशा-निर्देशों का अभाव है।

निष्कर्ष

इन नियमों का मसौदा तैयार करने के लिये 16 महीने का समय होने के बावजूद, सरकार ने एक अस्पष्ट और अधूरा दस्तावेज़ तैयार किया है जो व्यवसायों के लिये स्पष्ट परिचालन मार्गदर्शन और उपयोगकर्त्ताओं की गोपनीयता के लिये पर्याप्त सुरक्षा प्रदान करने में विफल रहा है। इन नियमों को अंतिम रूप देने से पहले, जो भारत के पहले डेटा गोपनीयता कानून की नींव बनेंगे, सरकार को विशेषज्ञों की सलाह लेने, व्यापक परामर्श करने और स्पष्ट कार्यान्वयन समयसीमा निर्धारित करने की आवश्यकता है।