भारत ने डिजिटल गोपनीयता के क्षेत्र में एक बड़ा कदम उठाते हुए डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम के तहत नियमों को औपचारिक रूप से जारी कर दिया है। 14 नवंबर को अधिसूचित किए गए ये नियम देश के पहले समर्पित डेटा गोपनीयता कानून को लागू करने की दिशा में महत्वपूर्ण पड़ाव हैं। अब भारत उन कुछ देशों में शामिल हो गया है, जिनके पास संघीय स्तर पर डिजिटल डेटा सुरक्षा की स्पष्ट व्यवस्था मौजूद है।
कंपनियों पर कितना असर ?
नए नियम लागू होने के बाद भारत की डिजिटल अर्थव्यवस्था से जुड़ी सभी कंपनियों जैसे; टेक प्लेटफ़ॉर्म, फिनटेक, ई-कॉमर्स और सरकारी ऑनलाइन सेवाएँ, अपनी डेटा संभालने की प्रक्रियाओं में बड़े बदलाव करेंगी। उन्हें अपनी सिस्टम और नीतियों को DPDP अधिनियम के मुताबिक अपडेट करना होगा, ताकि वे लोगों के व्यक्तिगत डेटा को सुरक्षित और पारदर्शी तरीके से प्रबंधित कर सकें।
इन बदलावों से कंपनियों पर शुरुआत में कुछ अतिरिक्त काम और लागत बढ़ सकती है, लेकिन लंबे समय में यह कदम उपयोगकर्ताओं का भरोसा मजबूत करेगा और भारत के गोपनीयता मानकों को अंतरराष्ट्रीय स्तर के करीब ले जाएगा।
बच्चों के डेटा का संरक्षण:
बच्चों के डेटा संरक्षण के तहत कंपनियों को यह सुनिश्चित करना होगा कि वे किसी भी प्रकार का डेटा एकत्र करने या उपयोग करने से पहले अभिभावकों की अनुमति को सत्यापित करें। सरकार ने इसके लिए कोई तय मॉडल नहीं दिया है, जिससे कंपनियों को अपनी सुविधानुसार उपयुक्त प्रक्रिया बनाने की लचीलापन मिलता है।
नियमों के अनुसार बच्चों की ऑनलाइन सुरक्षा को प्राथमिकता दी गई है, इसी कारण बच्चों की व्यवहार आधारित ट्रैकिंग और उन्हें लक्षित कर किए जाने वाले विज्ञापन आम तौर पर प्रतिबंधित हैं। हालांकि, यदि किसी सीमित डेटा उपयोग से बच्चों को हानिकारक या अनुचित सामग्री से बचाने में मदद मिलती है, तो ऐसी सीमित प्रोसेसिंग की अनुमति दी गई है।
इन नियमों से क्या बदलेगा ?
DPDP नियम यह साफ बताते हैं कि कंपनियाँ, सरकारी विभाग और ऑनलाइन सेवाएँ लोगों का व्यक्तिगत डेटा कैसे इकट्ठा करेंगी, उसे कैसे रखेंगी और उसका इस्तेमाल कैसे करेंगी। अब “डेटा फ़िड्यूशरी” यानी वे संस्थाएँ जो व्यक्तिगत डेटा संभालती हैं, उनके लिए स्पष्ट ज़िम्मेदारियाँ तय की गई हैं। इन नियमों के बाद लोगों को अपने डेटा पर ज़्यादा नियंत्रण मिलेगा जैसे; वे यह तय कर सकेंगे कि उनका डेटा किस काम में इस्तेमाल हो, किसी भी समय अपनी सहमति वापस ले सकेंगे और यह देख सकेंगे कि उनके बारे में कौन-सा डेटा रखा गया है।
इसके अलावा, नया ढाँचा यह भी बताता है कि भारतीय डेटा विदेश भेजने के क्या नियम होंगे। अब डेटा तभी विदेश भेजा जा सकेगा जब सरकार ने उस देश को प्रतिबंधित न किया हो। यह पहले की तुलना में ज्यादा लचीला तरीका है, जब डेटा को भारत में ही रखने पर ज़ोर दिया जाता था।
नए नियम कैसे काम करेंगे?
नए DPDP नियमों को धीरे-धीरे लागू किया जाएगा, ताकि कंपनियों और सभी संबंधित पक्षों को तैयार होने के लिए पर्याप्त समय मिल सके। यह अधिसूचना भारत के गोपनीयता कानून को लागू करने का संकेत भी देती है, जो लगभग 14 साल की लंबी प्रक्रिया के बाद संभव हुआ है। इसके लिए एक चरणबद्ध योजना बनाई गई है:
- कंपनियों, सरकारी विभागों और अन्य डेटा फ़िड्यूशरीज़ को नए नियम पूरी तरह लागू करने के लिए 18 महीने तक का समय दिया जाएगा।
- “सहमति प्रबंधकों” को, जो उपयोगकर्ताओं की ओर से सहमति प्रबंधन का काम करेंगे, 12 महीने के भीतर पंजीकरण कराना होगा।
डेटा उल्लंघनों की अनिवार्य रिपोर्टिंग:
नए नियमों के तहत यदि किसी कंपनी या संस्था में डेटा लीक या उल्लंघन होता है, तो उसे तय समय के भीतर दो बातों की जानकारी देना अनिवार्य होगा:
- प्रभावित उपयोगकर्ताओं को तुरंत सूचित करना, ताकि वे अपने डेटा के दुरुपयोग से बचने के कदम उठा सकें।
- भारतीय डेटा संरक्षण बोर्ड (DPB) को भी उल्लंघन की जानकारी देना, ताकि जांच और आगे की कार्रवाई समय पर हो सके।
इसके अलावा, नियमों में बच्चों और विकलांग व्यक्तियों के डेटा के लिए खास सुरक्षा का प्रावधान किया गया है। बच्चों के डेटा का इस्तेमाल करने के लिए माता-पिता या अभिभावकों की सख्त और स्पष्ट अनुमति जरूरी होगी। विकलांग व्यक्तियों के मामले में भी उनकी व्यक्तिगत जानकारी को अतिरिक्त सावधानी के साथ संभालने का प्रावधान है।
उल्लंघन पर 250 करोड़ रुपये तक का जुर्माना:
नए नियमों के तहत अगर कोई कंपनी या संस्था डेटा सुरक्षा का उल्लंघन करती है, तो उस पर प्रति उल्लंघन 250 करोड़ रुपये तक का भारी जुर्माना लगाया जा सकता है। नियमों में यह भी साफ किया गया है कि डेटा संरक्षण बोर्ड कैसे काम करेगा, यही बोर्ड डेटा उल्लंघनों की जांच करेगा, जिम्मेदारी तय करेगा और जुर्माना लगाएगा। छोटे व्यवसायों पर अनावश्यक बोझ न पड़े, इसके लिए एक श्रेणीबद्ध प्रणाली भी बनाई गई है, जिसमें जुर्माने की मात्रा उल्लंघन की गंभीरता और संस्था के आकार के आधार पर तय की जाएगी।
MeitY ने जनता से मांगी थीं प्रतिक्रिया:
इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 को लागू करने के लिए बनाए गए मसौदा डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियम, 2025 नियमों पर जनता से सुझाव और प्रतिक्रियाएँ मांगी थीं। अभी सरकार द्वारा इन सभी प्रतिक्रियाओं और सुझावों की समीक्षा करके नए नियमों को लागु किया गया है । इस बिल को 11 अगस्त 2023 में संसद से पास करा लिया गया था।
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 क्या है?
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 भारत का पहला बड़ा कानून है जो यह तय करता है कि किसी व्यक्ति का डिजिटल डेटा कैसे एकत्र किया जाए, कैसे रखा जाए और कैसे इस्तेमाल किया जाए। इसका मुख्य उद्देश्य लोगों की गोपनीयता की रक्षा करते हुए डेटा का वैध और सुरक्षित उपयोग सुनिश्चित करना है। यह कानून 2017 के सुप्रीम कोर्ट के उस फैसले के बाद लागू किया गया, जिसमें गोपनीयता को मौलिक अधिकार माना गया था। यह कानून काफी हद तक यूरोपीय यूनियन के जीडीपीआर जैसे वैश्विक नियमों से प्रेरित है।
यह कानून भारत में संसाधित हर डिजिटल व्यक्तिगत डेटा पर लागू होता है—चाहे वह शुरुआत से डिजिटल हो या बाद में डिजिटलीकृत किया गया हो। यह उन मामलों पर भी लागू होता है जहाँ कोई विदेशी कंपनी भारत में सेवाएँ देने के लिए डेटा प्रोसेस करती है। लेकिन यह व्यक्तिगत उपयोग के लिए किए गए काम या ऐसे डेटा पर लागू नहीं होता जिसे व्यक्ति ने खुद सार्वजनिक किया हो।
इस कानून में कहा गया है कि व्यक्ति का डेटा केवल उसकी सहमति से ही प्रोसेस किया जा सकता है, और वह किसी भी समय अपनी सहमति वापस ले सकता है। बच्चों और विकलांग व्यक्तियों के लिए यह सहमति माता-पिता या अभिभावक देंगे। 18 साल से कम उम्र के किसी भी उपयोगकर्ता को “बच्चा” माना गया है। सरकारी सेवाएँ, आपात चिकित्सा और कुछ खास परिस्थितियों में सहमति की आवश्यकता नहीं होती।
DPDP अधिनियम के नियमों से जुड़ी चिंताएँ:
- सरकार को ज़्यादा छूट: इससे लोगों का डेटा ज़रूरत से ज़्यादा इकट्ठा और इस्तेमाल किया जा सकता है, जो गोपनीयता के अधिकार को कमजोर कर सकता है।
- कुछ अहम अधिकारों की कमी: जैसे डेटा पोर्टेबिलिटी का अधिकार इसमें शामिल नहीं है।
- सीमा पार डेटा भेजने पर कम नियंत्रण: डेटा विदेश भेजने पर रोक या अनुमति पूरी तरह सरकार के फैसले पर निर्भर है।
- नुकसान से सुरक्षा के उपाय कम: पहचान की चोरी, धोखाधड़ी या गलत प्रोफाइलिंग जैसी समस्याओं से बचाने के लिए स्पष्ट प्रावधान नहीं हैं।
निष्कर्ष:
DPDP अधिनियम के नियमों का जारी होना भारत की डिजिटल गोपनीयता प्रणाली को मजबूत बनाने वाला बड़ा कदम है। इसके साथ भारत अब उन देशों में शामिल हो गया है, जहाँ नागरिकों के डिजिटल डेटा की सुरक्षा के लिए स्पष्ट और आधुनिक कानून मौजूद है। यह देश की डिजिटल अर्थव्यवस्था और नागरिक अधिकारों—दोनों के लिए महत्वपूर्ण उपलब्धि है।
