सरकार ने डिजिटल पर्सनल डेटा प्रोटेक्शन (डीपीडीपी) नियमों और डीपीडीपी अधिनियम के बड़े हिस्सों को अधिसूचित किया है, जो संसद द्वारा कानून पारित करने के दो साल से अधिक समय बाद और सुप्रीम कोर्ट द्वारा गोपनीयता को मौलिक अधिकार के रूप में मान्यता दिए जाने के आठ साल बाद भारत के पहले व्यापक डेटा गोपनीयता कानून के लिए परिचालन ढांचा स्थापित कर रहा है।
13 नवंबर को आधिकारिक राजपत्र में प्रकाशित नियम, व्यक्तिगत डेटा को संभालने वाली कंपनियों के लिए विस्तृत समयसीमा और दायित्व निर्धारित करते हैं और उपयोगकर्ताओं के लिए लागू करने योग्य अधिकार बनाते हैं, जो 2017 के पुट्टास्वामी फैसले में मौलिक अधिकार के रूप में सर्वोच्च न्यायालय की मान्यता को लागू करने के लिए कानूनी ढांचे का एक महत्वपूर्ण हिस्सा है।
कंपनियों के पास मुख्य प्रावधानों का अनुपालन करने के लिए 18 महीने हैं – उनके पास सभी डेटा-हैंडलिंग, प्रतिधारण, सहमति, बाल-सुरक्षा, ऑडिट और उल्लंघन से संबंधित आवश्यकताओं का अनुपालन करने के लिए मई 2027 तक का समय है, विशेषज्ञों का कहना है कि समयरेखा एक उचित अनुपालन खिड़की है।
नियम सहमति प्रबंधक पंजीकरण और संबंधित दायित्वों के प्रावधानों को प्रभावी होने से पहले एक साल का समय देते हैं, जबकि डेटा प्रोटेक्शन बोर्ड (डीपीबी) की स्थापना और कामकाज सहित बुनियादी ढांचा तुरंत प्रभावी होगा।
दो अलग-अलग अधिसूचनाओं में, सरकार ने औपचारिक रूप से राष्ट्रीय राजधानी क्षेत्र में अपने प्रधान कार्यालय के साथ डीपीबी की स्थापना की, और इसमें चार सदस्य शामिल होंगे। नियम 17(1) और (2) खोज-सह-चयन समिति की संरचना निर्धारित करते हैं जो यह तय करेगी कि सदस्य कौन होंगे। यह पूछे जाने पर कि डीपीबी के सदस्यों की न्यूनतम योग्यता क्या है, आईटी सचिव एस कृष्णन ने कहा कि यह उनके पास मौजूद “विशेष ज्ञान” पर निर्भर करेगा।
नए नियमों में औपचारिक रूप से कहा गया है कि कंपनियों को किसी भी व्यक्तिगत डेटा उल्लंघन के तुरंत बाद प्रभावित उपयोगकर्ताओं को सूचित करना होगा और उल्लंघन की प्रकृति, सीमा और प्रभाव पर विस्तृत रिपोर्ट के साथ 72 घंटों के भीतर डीपीबी को सूचित करना होगा। 72 घंटे की समय सीमा यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन मानक को प्रतिबिंबित करती है, हालांकि भारत का ढांचा कुछ पहलुओं में काफी भिन्न है – सरकार यदि निर्णय लेती है तो उल्लंघन अधिसूचनाओं को रोकने के लिए विशेषाधिकार बरकरार रखती है।
केंद्रीय आईटी सचिव एस कृष्णन ने एचटी को बताया कि प्रावधान “आपराधिक जांच के संबंध में कानून प्रवर्तन एजेंसियों की जरूरतों के साथ गोपनीयता को संतुलित करता है”, लेकिन गोपनीयता शोधकर्ताओं और वकीलों ने नियम 23(2) में निर्दिष्ट पहलू को चिंता का कारण बताया। नई दिल्ली स्थित पॉलिसी थिंक टैंक एस्या सेंटर की फेलो श्वेता वेंकटेशन ने कहा, “यह केंद्र सरकार को अस्पष्ट आधार पर और पर्याप्त सुरक्षा के बिना नागरिकों के व्यक्तिगत डेटा तक पहुंचने की अनुमति देता है, जो पुट्टस्वामी फैसले का उल्लंघन है।”
इंडियन गवर्नेंस एंड पॉलिसी प्रोजेक्ट के पार्टनर ध्रुव गर्ग ने कहा कि नियम 5 के संबंध में नागरिक समाज की चिंताएं बनी हुई हैं: व्यापक कार्यकारी विवेक, प्रोफाइलिंग के जोखिम और सीमित स्वतंत्र निरीक्षण।
अंतिम नियम कहते हैं कि कंपनियों को एन्क्रिप्शन, एक्सेस नियंत्रण और लॉगिंग तंत्र सहित सुरक्षा सुरक्षा उपायों को लागू करना होगा। इसके अतिरिक्त, नियम बताते हैं कि जांच और सुधार को सक्षम करने के लिए कंपनियों को अब निर्दिष्ट उद्देश्य पूरा होने के बाद भी प्रसंस्करण लॉग और व्यक्तिगत डेटा को कम से कम एक वर्ष तक बनाए रखना होगा।
टेक पॉलिसी थिंक-टैंक, द डायलॉग के एसोसिएट डायरेक्टर कामेश शेखर ने कहा, “यह जनादेश डेटा फ़िडुशियरी और डेटा प्रोसेसर दोनों के लिए महत्वपूर्ण परिचालन और लागत-संबंधित चुनौतियां पैदा कर सकता है, विशेष रूप से सीमित भंडारण और अनुपालन बुनियादी ढांचे वाली छोटी संस्थाओं के लिए।”
गर्ग ने कहा, “इससे ऑडिटेबिलिटी में सुधार होता है – लेकिन डिजिटल फ़ुटप्रिंट की निरंतरता पर वास्तविक गोपनीयता संबंधी चिंताएं बढ़ जाती हैं और साथ ही सभी तकनीकी सेवा प्रदाताओं को बड़े लॉग बनाए रखने की आवश्यकता होती है।”
बड़े प्लेटफ़ॉर्म – कम से कम 20 मिलियन वाले ई-कॉमर्स संस्थाएं और सोशल मीडिया मध्यस्थ, और 5 मिलियन उपयोगकर्ताओं वाले ऑनलाइन गेमिंग मध्यस्थ – को तीन साल की उपयोगकर्ता निष्क्रियता के बाद व्यक्तिगत डेटा को हटाना होगा। उपयोगकर्ताओं को हटाने से पहले 48 घंटे का नोटिस प्राप्त होगा। यह आवश्यकता खाता पहुंच क्रेडेंशियल्स और संग्रहीत मौद्रिक टोकन या क्रेडिट से छूट देती है।
बच्चों की डेटा सुरक्षा
कंपनियों को किसी भी बच्चे के व्यक्तिगत डेटा को संसाधित करने से पहले विश्वसनीय पहचान दस्तावेजों या अधिकृत संस्थाओं द्वारा जारी वर्चुअल टोकन के माध्यम से सत्यापन के साथ सत्यापन योग्य माता-पिता की सहमति प्राप्त करनी होगी। हालाँकि, शेखर कहते हैं कि “एक सत्यापन योग्य सहमति प्रक्रिया स्थापित करने की आवश्यकता जो वयस्क डिजिटल साक्षरता के विभिन्न स्तरों के लिए पर्याप्त रूप से जिम्मेदार हो”, अनसुलझी बनी हुई है।
डीपीडीपी अधिनियम के तहत, डेटा फिड्यूशियरीज को बच्चों पर नज़र रखने या व्यवहारिक रूप से निगरानी करने के साथ-साथ उन पर निर्देशित लक्षित विज्ञापन आयोजित करने से भी प्रतिबंधित किया गया है। पहले के मसौदा नियमों में पाँच सीमित उद्देश्य बताए गए थे जिनके लिए यह निषेध लागू नहीं होगा। नए नियम एक अतिरिक्त छूट पेश करते हैं, जो कि किसी बच्चे की सुरक्षा, सुरक्षा या संरक्षण के लिए आवश्यक होने पर उसके वास्तविक समय के स्थान को निर्धारित करने के लिए ट्रैकिंग है।
सहमति प्रबंधकों के लिए, अधिकांश दायित्व मसौदा नियमों से काफी हद तक अपरिवर्तित रहते हैं, 90 दिनों के भीतर अपनी शिकायत-निवारण समयसीमा प्रकाशित करने और तदनुसार अपने सिस्टम को अपडेट करने की एक नई आवश्यकता को छोड़कर। जो बात समान है वह यह है कि पंजीकरण करने के लिए, संस्थाओं को न्यूनतम निवल मूल्य वाली भारतीय कंपनियां होनी चाहिए ₹2 करोड़. उन्हें सात साल तक सहमति रिकॉर्ड बनाए रखना होगा, लेकिन वे अपने प्लेटफॉर्म के माध्यम से साझा किए जा रहे व्यक्तिगत डेटा तक नहीं पहुंच सकते हैं या पढ़ नहीं सकते हैं।
सहमति प्रबंधकों का लक्ष्य एक केंद्रीकृत डैशबोर्ड बनाना है जहां उपयोगकर्ता कई सेवाओं में अनुमतियों को नियंत्रित कर सकें। उदाहरण के लिए, कोई उपयोगकर्ता अपने सहमति प्रबंधक खाते के माध्यम से विपणन संचार या डेटा साझाकरण के लिए प्राथमिकताएँ निर्धारित कर सकता है, जो तब उस प्लेटफ़ॉर्म का उपयोग करने वाली सभी कंपनियों पर लागू होगा।
उपयोगकर्ता अधिकार और शिकायत निवारण
नियमों के मुताबिक, उपयोगकर्ता सहमति देने के साथ ही उसे वापस भी ले सकते हैं। कंपनियों को 90 दिनों के भीतर शिकायतों का जवाब देना होगा और डेटा सुरक्षा अधिकारियों या नामित कर्मियों के लिए प्रमुख संपर्क जानकारी प्रकाशित करनी होगी।
डीपीबी को छह महीने के भीतर जांच पूरी करनी होगी, जिसे तीन महीने तक बढ़ाया जा सकता है। बोर्ड के आदेशों के खिलाफ अपील दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण में जाएगी।
सीमा पार स्थानांतरण की अनुमति
व्यक्तिगत डेटा को भारत के बाहर स्थानांतरित किया जा सकता है, जो सरकार द्वारा विदेशी राज्यों या उनकी एजेंसियों में स्थानांतरण के लिए लगाए गए प्रतिबंधों के अधीन है। नियम यह निर्दिष्ट नहीं करते हैं कि कौन सी डेटा श्रेणियां भारत के भीतर ही रहनी चाहिए, इस निर्णय को भविष्य की अधिसूचना के लिए टाल दिया गया है। यह डेटा स्थानीयकरण ढांचा प्रमुख अनसुलझे पहलुओं में से एक बना हुआ है।
महत्वपूर्ण डेटा प्रत्ययी दायित्व
सरकार जिन संस्थाओं को महत्वपूर्ण डेटा फ़िड्यूशरीज़ (एसडीएफ) के रूप में अधिसूचित करती है, उन्हें वार्षिक डेटा संरक्षण प्रभाव आकलन और स्वतंत्र ऑडिट आयोजित करना होगा और बोर्ड को रिपोर्ट प्रस्तुत करनी होगी। उन्हें यह भी सुनिश्चित करना होगा कि एल्गोरिथम प्रसंस्करण उपयोगकर्ता अधिकारों के लिए जोखिम पैदा न करे। सरकार ने अभी तक यह निर्दिष्ट नहीं किया है कि किन कंपनियों या श्रेणियों को महत्वपूर्ण के रूप में नामित किया जाएगा।
सरकार अपने द्वारा गठित समिति की सिफारिशों के आधार पर कुछ प्रकार के व्यक्तिगत डेटा की भी पहचान कर सकती है जिन्हें एसडीएफ द्वारा भारत के बाहर नहीं भेजा जा सकता है। एक एसडीएफ को यह सुनिश्चित करना होगा कि यह निर्दिष्ट डेटा और इससे संबंधित ट्रैफ़िक डेटा भारत के भीतर ही रहे। शेखर ने कहा, “एसडीएफ के लिए डेटा स्थानीयकरण आवश्यकताओं में नवाचार और परिचालन लचीलेपन के लिए अनपेक्षित निहितार्थ हो सकते हैं, खासकर वैश्विक क्लाउड बुनियादी ढांचे पर निर्भर संगठनों के लिए।”
संसद ने अगस्त 2023 में डीपीडीपी अधिनियम पारित किया, लेकिन परिचालन विवरण निर्दिष्ट नियमों के बिना कानून को लागू नहीं किया जा सका। मसौदा नियम 3 जनवरी, 2025 को सार्वजनिक परामर्श के लिए प्रकाशित किए गए, जिसमें 45 दिनों के भीतर आपत्तियां और सुझाव आमंत्रित किए गए। अंतिम नियमों में उस परामर्श प्रक्रिया से फीडबैक शामिल है।
