3 जनवरी, 2025 को, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने बहुप्रतीक्षित मसौदा डिजिटल व्यक्तिगत डेटा सुरक्षा (DPDP) नियम जारी किए – डिजिटल व्यक्तिगत डेटा को विनियमित करने की भारत की यात्रा में एक महत्वपूर्ण क्षण। यह कदम DPDP अधिनियम, 2023 के पारित होने के बाद उठाया गया है, जो भारत को व्यक्तिगत डेटा की सुरक्षा के लिए अपने ढांचे को क्रियान्वित करने के करीब लाता है। मसौदा नियम पहले के और विवादास्पद व्यक्तिगत डेटा सुरक्षा विधेयक से अलग हैं, जिसे कई लोगों ने अत्यधिक प्रतिबंधात्मक और यहां तक कि उद्योग के हितों के लिए प्रतिकूल माना था। विधेयक को लगभग एक दशक तक व्यापक रूप से तैयार किया गया, फिर से तैयार किया गया और परामर्श किया गया, केवल तब रद्द कर दिया गया जब समितियों और सरकारी हितधारकों ने समझदारी से फैसला किया कि यह अस्थिर है। इसके विपरीत, DPDP अधिनियम और इसके साथ आने वाले नियमों के प्रति सकारात्मक प्रतिक्रिया, व्यवसायों के साथ बातचीत और मीडिया कवरेज में परिलक्षित होती है, जो मसौदा नियमों के कम निर्देशात्मक, सिद्धांत-आधारित दृष्टिकोण से उपजी है।
तथाकथित “ब्रुसेल्स प्रभाव” के तहत विनियमन करने की पिछली हड़बड़ी के विपरीत, जहाँ वैश्विक डिजिटल नियमन यूरोपीय संघ (ईयू) के हस्तक्षेपकारी विनियामक लोकाचार को प्रतिबिंबित करता था, भारत ने अधिक व्यावहारिक रुख अपनाया है। यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (जीडीपीआर), जिसे कभी गोपनीयता विशेषज्ञों द्वारा स्वर्ण मानक के रूप में सराहा गया था, अब अनपेक्षित परिणामों के लिए आलोचना का सामना कर रहा है – अच्छी तरह से संसाधन वाले निगमों का पक्ष लेना, छोटे उद्यमों को दबाना, और इंटरनेट में जनता के विश्वास को महत्वपूर्ण रूप से बढ़ाने में विफल होना। भारत का अब तक का मापा हुआ दृष्टिकोण यूरोप की हस्तक्षेपकारी नीतियों के लिए एक ताज़ा विकल्प प्रदान करता है।
ड्राफ्ट नियमों की एक खास विशेषता यह है कि इसमें नोटिस और सहमति के लिए सिद्धांत-आधारित रूपरेखा है। जबकि GDPR में बोझिल आवश्यकताएँ हैं, जैसे कि अप्रत्यक्ष डेटा अधिग्रहण, सीमा पार डेटा स्थानांतरण और स्वचालित निर्णय लेने की प्रक्रियाओं के बारे में उपयोगकर्ताओं को सूचित करना, भारत के नियम सरलता और स्पष्टता पर जोर देते हैं। यह “सहमति थकान” को कम करने में मदद करता है, जो यूरोप में एक महत्वपूर्ण मुद्दा है, जहाँ उपयोगकर्ताओं को अनावश्यक विवरणों से भर दिया जाता है, जैसे कि डेटा प्रोसेसिंग का स्थान – कम व्यावहारिक उपयोग की जानकारी।
2023 में, यूरोपीय आयोग ने लगातार सहमति पॉप-अप पर बढ़ती निराशा को दूर करने के लिए कुकी प्रतिज्ञा पहल की शुरुआत की। हालाँकि, यदि यूरोपीय संघ ने उपयोगकर्ता इंटरफ़ेस और सहमति तंत्र को विनियमित करने के लिए कम आक्रामक दृष्टिकोण अपनाया होता, तो इस तरह के पाठ्यक्रम सुधार की आवश्यकता नहीं होती। इस प्रतिज्ञा का अस्तित्व ही निर्धारित विनियमन द्वारा बनाए गए बोझ को उजागर करता है।
भारत के DPDP नियम प्रक्रियाओं के बजाय परिणामों पर ध्यान केंद्रित करके इन नुकसानों को दूर करते हैं, व्यवसायों और उपभोक्ताओं को अनावश्यक जटिलताओं में डूबे बिना उपयोगकर्ताओं को सशक्त बनाते हैं। नियम यह निर्धारित करने से बचते हैं कि संस्थाओं को उपयोगकर्ताओं को सुधार, मिटाने, नामांकन, सहमति वापस लेने और संस्थाओं से जानकारी मांगने के अपने अधिकारों का प्रयोग करने में कैसे सक्षम करना चाहिए। उन्हें केवल ऐप और वेबसाइटों पर प्रासंगिक जानकारी के प्रकाशन की आवश्यकता होती है। इसके विपरीत, GDPR इस बारे में निर्धारित करता है कि समान जानकारी कैसे प्रस्तुत की जानी चाहिए, जिसमें ऐसे उदाहरण शामिल हैं जहाँ संस्थाओं को उपयोगकर्ताओं को मौखिक रूप से यह जानकारी प्रदान करने की आवश्यकता हो सकती है। राज्य को ऐप या वेबसाइट के डिज़ाइन या उपयोगकर्ता इंटरफ़ेस के हर पहलू को क्यों निर्देशित करना चाहिए? शुक्र है कि भारत का दृष्टिकोण व्यावसायिक स्वायत्तता और नवाचार का सम्मान करता है।
बच्चों के व्यक्तिगत डेटा के प्रसंस्करण के लिए अन्य प्रकार के डेटा प्रसंस्करण की तुलना में अधिक सख्त सुरक्षा की आवश्यकता होती है – जिसके लिए नियम प्रदान करते हैं। हालाँकि, जैसे-जैसे अधिक बच्चे ऑनलाइन डिजिटल तकनीकों से जुड़ते हैं, वे निगरानी और ट्रैकिंग जैसी कुछ गतिविधियों से अधिक से अधिक लाभान्वित होते हैं, जो विशिष्ट संदर्भों में मूल्यवान हैं। पूरक शिक्षा और व्यावसायिक प्रशिक्षण सेवाओं सहित शैक्षणिक संस्थानों का मामला लें। वे छात्रों के शैक्षणिक प्रदर्शन के अनुरूप लक्षित हस्तक्षेप देने के लिए व्यवहारिक निगरानी और ट्रैकिंग जैसी गतिविधियों पर निर्भर करते हैं। ये अभ्यास शिक्षण प्रबंधन प्रणालियों के लाभों का लाभ उठाते हैं, जो निर्देश को वैयक्तिकृत करते हैं और शैक्षिक परिणामों में सुधार करते हैं। इसे पहचानते हुए, नियम विशिष्ट उद्योगों के लिए छूट की अनुमति देते हैं। शैक्षणिक संस्थानों, नैदानिक और मानसिक स्वास्थ्य प्रतिष्ठानों, संबद्ध स्वास्थ्य देखभाल प्रदाताओं और बाल देखभाल केंद्रों को ट्रैकिंग और व्यवहारिक निगरानी के लिए माता-पिता की सहमति को सत्यापित करने की आवश्यकता नहीं है, जब तक कि वे सुरक्षा नियमों का पालन करते हैं। ऐसे उद्योगों के लिए छूट उद्योग-विशिष्ट आवश्यकताओं की सूक्ष्म समझ को प्रदर्शित करती है, जो विचारशील नीति निर्माण के सिद्धांतों को दर्शाती है।
डेटा स्थानीयकरण, अतिक्रमण जैसी चूकें
हालाँकि, मसौदा नियम खामियों से रहित नहीं हैं। सीमा पार डेटा प्रवाह को प्रतिबंधित करने के उनके प्रावधान अनावश्यक जटिलता और अस्पष्टता लाते हैं। महत्वपूर्ण डेटा फ़िड्यूशियरी (एसडीएफ़) – बड़ी मात्रा में डेटा संभालने वाले बड़े उद्यम – संभावित स्थानीयकरण अनिवार्यताओं का सामना करते हैं जो कानून के मूल दायरे से परे हैं। जबकि डीपीडीपी अधिनियम सरकार को व्यक्तिगत डेटा स्थानांतरण को प्रतिबंधित करने की अनुमति देता है, यह ऐसी कार्रवाई को विशिष्ट अधिसूचित देशों तक सीमित करता है। एसडीएफ और छोटी संस्थाओं के बीच अंतर करना, जहां दूसरी संस्थाएं समान डेटा के लिए आसान स्थानांतरण नियमों का आनंद लेती हैं, नियामक मध्यस्थता का जोखिम पैदा करती हैं। छोटी संस्थाएं अनुचित लाभ प्राप्त करने के लिए हल्की व्यवस्था का फायदा उठा सकती हैं। ये असंगतियां निवेश को रोक सकती हैं और व्यवसायों को भारत से बाहर निकाल सकती हैं। स्थानीयकरण प्रावधान संभवतः जांच के लिए सीमा पार डेटा तक पहुँचने में कानून प्रवर्तन एजेंसियों के सामने आने वाली चुनौतियों से उपजा है। जबकि इन एजेंसियों को निस्संदेह ऐसे डेटा तक पहुँच की आवश्यकता है, स्थानीयकरण के लिए एक संकीर्ण क्षेत्रीय दृष्टिकोण एक केंद्रीकृत दृष्टिकोण की तुलना में अधिक प्रभावी साबित हो सकता है। भुगतान डेटा को स्थानीय बनाने के लिए भारतीय रिजर्व बैंक का 2018 का अधिदेश आनुपातिक विनियमन का एक प्रमुख उदाहरण है। वित्तीय क्षेत्र के लिए विशेष रूप से तैयार किए गए इस नियम ने बहुत अधिक व्यावसायिक व्यवधान पैदा किए बिना वैध उद्योग चिंताओं को प्रभावी ढंग से संबोधित किया। व्यक्तिगत डेटा पर इस दृष्टिकोण को लागू करने से सुरक्षा और अनुपालन को आर्थिक प्रतिस्पर्धात्मकता के साथ संतुलित किया जा सकता है।
कुछ क्षेत्रों में अभी भी अधिक स्पष्टता की आवश्यकता है। व्यवसायों को यह सत्यापित करने के लिए सुरक्षा उपायों की आवश्यकता है कि डेटा प्रोसेसिंग के बारे में जानकारी का अनुरोध करने वाले उपयोगकर्ता वैध हैं या नहीं। GDPR में भी इस आवश्यकता को स्वीकार किया गया है। हालाँकि, भारत के मसौदा नियम उन परिदृश्यों को संबोधित नहीं करते हैं जहाँ व्यवसायों को लगातार सूचना अनुरोधों का सामना करना पड़ता है या व्यवसायों को ऐसे अनुरोधों के लिए उचित शुल्क लेने की गुंजाइश प्रदान नहीं करते हैं जो अत्यधिक या निराधार हैं। एक संबंधित अस्पष्टता यह है कि क्या सरकार संवेदनशील व्यावसायिक डेटा तक पहुँच की माँग कर सकती है। यदि ऐसा है, तो यह इस तरह की जानकारी को प्रतिस्पर्धियों के हाथों में पड़ने से कैसे सुरक्षित रखेगी? क्या होगा यदि यह जानकारी एक व्यापार रहस्य है? ये अंतर प्रक्रियात्मक अखंडता के बारे में सोचने की आवश्यकता को उजागर करते हैं।
आगे क्या होने वाला है
आईबीएम के अनुसार, डेटा उल्लंघनों से भारतीय व्यवसायों को 2024 में औसतन ₹19.5 करोड़ ($2.35 मिलियन) का नुकसान होगा। डेटा सुरक्षा कानूनों के अनुपालन को नियामक दायित्व के रूप में नहीं देखा जाना चाहिए, बल्कि इसे व्यावसायिक प्रतिष्ठा की रक्षा और निरंतरता सुनिश्चित करने के लिए महत्वपूर्ण माना जाना चाहिए।
भारत को भविष्य में नागरिकों की गोपनीयता की सुरक्षा के लिए नोटिस-और-सहमति तंत्र पर निर्भरता से आगे बढ़ना चाहिए। भारत को भविष्य के कानूनों में नागरिकों की गोपनीयता की सुरक्षा के लिए नोटिस-और-सहमति तंत्र पर निर्भरता से आगे बढ़ना चाहिए। नोटिस और सहमति चिकित्सा पेशे से उत्पन्न होती है, जहाँ उन्हें नियंत्रित सेटिंग्स में अभी भी प्रभावी रूप से काम करने के लिए माना जा सकता है। हालाँकि, मॉल, हवाई अड्डों या यहाँ तक कि समुद्र तटों जैसे वातावरण में, व्यक्तियों को सहमति प्रदान करने का बहुत कम अवसर मिलता है। इंटरनेट ऑफ़ थिंग्स, 5G और आर्टिफिशियल इंटेलिजेंस के अभिसरण के साथ अभूतपूर्व डेटा संग्रह को सक्षम करते हुए, भारत को गोपनीयता ढाँचे की कल्पना करनी चाहिए जो केवल सहमति के भ्रामक सिद्धांत पर निर्भर न हों। जैसे-जैसे सार्वजनिक परामर्श मसौदा नियमों को परिष्कृत करते हैं, ढाँचे के लचीलेपन और उद्योग-विशिष्ट समायोजन के संरक्षण को प्राथमिकता देना महत्वपूर्ण है। यह दृष्टिकोण नवाचार, आर्थिक विकास और व्यक्तिगत अधिकारों के बीच संतुलन बनाए रखने में मदद करेगा – ऐसा कुछ जो कई अधिकार क्षेत्र सही तरीके से करने में कामयाब नहीं हुए हैं।
विवान शरण कोआन एडवाइजरी ग्रुप में प्रौद्योगिकी नीति विशेषज्ञ हैं। सृष्टि जोशी कोआन एडवाइजरी ग्रुप में प्रौद्योगिकी नीति विशेषज्ञ हैं। व्यक्त किए गए विचार व्यक्तिगत हैं।
Source: The Hindu