उद्योग समूहों ने आईटी मंत्रालय से डीपीडीपी के तहत अनुपालन समयसीमा को छोटा नहीं करने को कहा भारत समाचार

by

भारत के दो डिजिटल उद्योग समूह – इंटरनेट और मोबाइल एसोसिएशन ऑफ इंडिया (IAMAI), जो मेटा, भारती एयरटेल और अमेज़ॅन जैसी बड़ी तकनीकी कंपनियों का प्रतिनिधित्व करते हैं; और स्टार्टअप बॉडी एम्पावर इंडिया – ने औपचारिक रूप से आईटी मंत्रालय से भारत के नए डेटा संरक्षण कानून के तहत अनुपालन समयसीमा को कम नहीं करने के लिए कहा है, चेतावनी दी है कि ऐसा करने से व्यवसायों पर दबाव पड़ेगा और संचालन बाधित होगा।

दोनों निकायों ने सरकार से डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) अधिनियम को लागू करने के लिए मूल रूप से अधिसूचित 18 महीने की संक्रमण अवधि को बरकरार रखने का आग्रह किया है।
दोनों निकायों ने सरकार से डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) अधिनियम को लागू करने के लिए मूल रूप से अधिसूचित 18 महीने की संक्रमण अवधि को बरकरार रखने का आग्रह किया है।

4 फरवरी हितधारकों के लिए प्रस्तावित परिवर्तनों पर इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (एमईआईटीवाई) को अपनी सिफारिशें सौंपने का आखिरी दिन था।

दोनों निकायों ने सरकार से डिजिटल पर्सनल डेटा प्रोटेक्शन (डीपीडीपी) अधिनियम और उसके नियमों को लागू करने के लिए तत्काल, तीन महीने या 12 महीने की समय सीमा को आगे बढ़ाने के बजाय मूल रूप से अधिसूचित 18 महीने की संक्रमण अवधि को बरकरार रखने का आग्रह किया है।

एचटी द्वारा देखे गए अपने सबमिशन में, IAMAI ने कहा कि समयसीमा कम करने से उन कंपनियों पर भी असर पड़ेगा जिन्होंने पहले से ही तैयारी शुरू कर दी है। इसमें कहा गया है, “डीपीडीपी नियमों की अधिसूचना के तुरंत बाद अनुपालन समयसीमा को महत्वपूर्ण रूप से कम करने का निर्णय संगठनों के लिए उच्च स्तर की नीतिगत अनिश्चितता का परिचय देता है।”

अंतिम DPDP नियम नवंबर 2025 में अधिसूचित किए गए थे, MeitY द्वारा सार्वजनिक परामर्श के लिए मसौदा जारी करने के लगभग एक साल बाद। मूल अधिनियम अगस्त 2023 में ही अधिनियमित किया गया था, जो नागरिकों के व्यक्तिगत डेटा की सुरक्षा के उद्देश्य से भारत के लंबे समय से वादा किए गए डेटा संरक्षण कानून को क्रियान्वित करने के लिए एक लंबी प्रतीक्षा का प्रतीक था।

तृतीय-पक्ष निर्भरताएँ अनुपालन को धीमा कर देती हैं

IAMAI ने कहा कि ज्यादातर कंपनियां क्लाउड प्रदाताओं, CRM प्लेटफॉर्म और SaaS फर्मों जैसे वैश्विक विक्रेताओं के नेटवर्क पर निर्भर हैं, और उन्हें पहले नए गोपनीयता सुरक्षा उपायों को शामिल करने के लिए अनुबंधों पर फिर से बातचीत करने की आवश्यकता होगी। संक्रमण अवधि से छह महीने की कटौती करने से अनुपालन अंतर पैदा हो जाएगा, क्योंकि विक्रेताओं की प्रणालियाँ और समय-सीमा संरेखित नहीं हैं, जिससे व्यवसायों के लिए नई समय सीमा को पूरा करना मुश्किल हो जाएगा।

इसने यह भी चेतावनी दी कि कंपनियों को मौलिक रूप से फिर से डिज़ाइन करना होगा कि उनके सिस्टम व्यक्तिगत डेटा को कैसे संभालते हैं। “संक्रमण समयरेखा को संपीड़ित करने से… महत्वपूर्ण परीक्षण और सुरक्षा उपायों से समझौता होने की संभावना है। इस तरह की त्वरित समयरेखा गंभीर प्रणालीगत जोखिम भी पेश कर सकती है, जिसमें आकस्मिक डेटा भ्रष्टाचार या जोखिम की संभावना भी शामिल है।”

आईएएमएआई ने आगे कहा कि नियमों के तहत बच्चों के डेटा के लिए “सत्यापन योग्य सहमति” को लागू करने में तकनीकी और बाजार-तत्परता चुनौतियां शामिल हैं जिन्हें 12 महीने की समयसीमा के भीतर हल नहीं किया जा सकता है।

22 जनवरी को एक बंद दरवाजे के परामर्श में, MeitY ने स्टार्टअप और उद्योग निकायों के साथ-साथ मेटा, ऐप्पल, अमेज़ॅन, Google और PhonePe सहित बड़ी प्रौद्योगिकी कंपनियों के प्रतिनिधियों से मुलाकात की। चर्चा से परिचित लोगों के अनुसार, मंत्रालय ने कई प्रावधानों के लिए वर्तमान में अधिसूचित 18 महीने की अनुपालन खिड़की को छोटा करने का प्रस्ताव देते हुए स्लाइड प्रस्तुत कीं। इनमें नियम 23 (सरकार को जानकारी देना), नियम 15 (व्यक्तिगत डेटा का सीमा पार स्थानांतरण), नियम 13(5) (विदेशी डेटा हस्तांतरण पर प्रतिबंध निर्धारित करने के लिए एक सरकारी समिति का गठन) को तुरंत लागू करना शामिल है। ये मूल रूप से 18 महीने बाद लागू होने वाले थे। मंत्रालय ने नियम 8(3) (अनिवार्य एक साल का डेटा प्रतिधारण) को 18 महीने के बजाय तीन महीने के भीतर लागू करने के लिए भी कहा।

बैठक में मौजूद लोगों के अनुसार, MeitY का विचार था कि अनुपालन कोई मुद्दा नहीं होना चाहिए क्योंकि कई बड़ी वैश्विक प्रौद्योगिकी कंपनियां पहले से ही यूरोप के जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) जैसे अंतरराष्ट्रीय गोपनीयता मानकों का अनुपालन करती हैं।

एचटी ने जिन कानूनी विशेषज्ञों से बात की, उन्होंने जीडीपीआर रोलआउट के साथ तुलना की, जिसने अनुपालन के लिए लगभग दो साल की अनुमति दी और विस्तृत नियामक मार्गदर्शन और जागरूकता अभियानों के साथ। फिर भी, छोटे व्यवसायों को आवश्यकताओं को पूरा करने के लिए संघर्ष करना पड़ा। उन्होंने कहा कि भारत के पारिस्थितिकी तंत्र, जिसमें सीमित अनुपालन क्षमता वाले बड़ी संख्या में छोटे और मध्यम उद्यम शामिल हैं, को चरणबद्ध या श्रेणीबद्ध दृष्टिकोण की आवश्यकता हो सकती है।

एक साल का डेटा प्रतिधारण ‘तकनीकी रूप से अव्यवहार्य’

IAMAI और एम्पावर इंडिया दोनों ने नियम 8(3) के बारे में चिंता व्यक्त की, जिसके तहत कंपनियों को व्यक्तिगत डेटा, ट्रैफ़िक डेटा और लॉग को कम से कम एक वर्ष तक बनाए रखने की आवश्यकता होगी। IAMAI ने कहा कि इसे तीन महीने के भीतर पूरा करना “तीन महीने की समय सीमा के भीतर तकनीकी और परिचालन रूप से असंभव” होगा और इसके लिए “महत्वपूर्ण सिस्टम री-आर्किटेक्चर” की आवश्यकता होगी।

एम्पावर इंडिया, जो कई स्टार्टअप का प्रतिनिधित्व करता है 100 करोड़ से अधिक राजस्व पर चिंता व्यक्त करते हुए तीन महीने की अवधि को अत्यधिक कठोर बताया। समूह ने यह भी चेतावनी दी कि छोटी कंपनियों को सबसे अधिक संघर्ष करना पड़ेगा।

दोनों निकायों ने सिग्निफिकेंट डेटा फिडुशियरीज (एसडीएफ) के लिए भी अधिक समय और स्पष्टता की मांग की है, जो ऐसी कंपनियां हैं जो बड़ी मात्रा में व्यक्तिगत डेटा को संभालती हैं और डीपीडीपी नियमों के नियम 13 के तहत अतिरिक्त अनुपालन आवश्यकताओं के अधीन हैं। आईएएमएआई ने कहा कि डेटा फिड्यूशियरी अभी भी एसडीएफ वर्गीकरण के लिए सीमा पर एमईआईटीवाई से स्पष्टता का इंतजार कर रहे हैं, और तर्क दिया कि एक बार संस्थाओं को नामित किए जाने के बाद, उन्हें अतिरिक्त दायित्वों को पूरा करने के लिए एक अलग संक्रमण अवधि दी जानी चाहिए।

डेटा स्थानीयकरण और सीमा पार प्रवाह

नियम 15 पर, जो भारतीय डेटा के विदेशी हस्तांतरण को प्रतिबंधित कर सकता है, आईएएमएआई ने कहा कि मार्गदर्शन के बिना तत्काल कार्यान्वयन से “अनजाने में संगठनों के अनुपालन से बाहर होने की उच्च संभावना” हो सकती है। इसके अलावा, सीमा पार डेटा प्रतिबंधों का अनुपालन करने के लिए कंपनियों को विदेशी भागीदारों के साथ काम करने, अनुबंधों पर फिर से बातचीत करने, तकनीकी प्रणालियों को संशोधित करने और नए बुनियादी ढांचे का निर्माण करने की आवश्यकता होगी। ऐसे परिचालन परिवर्तनों में समय लगता है, और छोटी समय सीमा अनुपालन को कठिन बना देगी।

एम्पावर इंडिया ने कहा कि स्थानीयकरण के लिए कंपनियों को “मौजूदा डेटा आर्किटेक्चर को फिर से तैयार करने” और बुनियादी ढांचे को स्थानांतरित करने की आवश्यकता होगी, एक ऐसी प्रक्रिया जिसके लिए “पर्याप्त समय और संसाधनों” की आवश्यकता होती है। इसने यह भी चेतावनी दी कि प्रतिबंधित देशों का नाम लिए बिना तुरंत सीमा पार प्रतिबंध लागू करना, “व्यवसायों के लिए अनावश्यक रूप से कठिन” होगा।

नियम 23 पर, जो सरकार को जानकारी प्रस्तुत करने से संबंधित है, आईएएमएआई ने कहा कि तत्काल प्रवर्तन के लिए कंपनियों को निर्धारित समयसीमा के भीतर आधिकारिक डेटा अनुरोधों को प्राप्त करने, मूल्यांकन करने और जवाब देने के लिए पहले औपचारिक आंतरिक सिस्टम स्थापित करने की आवश्यकता होगी। इसमें सुरक्षित प्रक्रियाएं, गोपनीयता सुरक्षा उपाय, प्रतिबंधित पहुंच नियंत्रण और ऑडिट ट्रेल्स बनाना शामिल होगा। उद्योग निकाय ने कहा कि ऐसे तंत्र के लिए पर्याप्त तैयारी के समय की आवश्यकता होती है और इसे रातोंरात लागू नहीं किया जा सकता है।

एक वरिष्ठ अधिकारी ने कहा कि MeitY अब अपना अगला कदम उठाने से पहले हितधारकों से प्राप्त प्रतिक्रियाओं को पढ़ेगा।

Leave a Comment