व्यक्तिगत डेटा सुरक्षा नियमों का मसौदा विवादास्पद क्यों है?

डिजिटल अधिकार विशेषज्ञों ने मसौदे में कई कमियों को चिह्नित किया है डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025, केंद्रीय इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय द्वारा 3 जनवरी को जारी किया गया।

उनका कहना है कि जिन नियमों को क्रियान्वित करने का लक्ष्य है डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023, अगस्त 2023 में संसद द्वारा पारित, स्पष्टता की कमी को देखते हुए बच्चों के डेटा को संसाधित करने के लिए माता-पिता की सहमति की आवश्यकता वाले नियम का पालन करने के लिए संघर्ष करना होगा। उन्होंने यह भी चेतावनी दी कि मसौदा नियम सरकार को बहुत अधिक शक्ति देते हैं। इसके अलावा, नियमों में महत्वपूर्ण कमियां हैं जो कंपनियों के लिए अनुपालन लागत बढ़ा सकती हैं और उपयोगकर्ताओं के हितों को नुकसान पहुंचा सकती हैं।

अधिनियम इस बात के लिए दिशानिर्देश देता है कि व्यक्तियों के डिजिटल व्यक्तिगत डेटा को राज्य और निजी संस्थाओं द्वारा कैसे संसाधित किया जाना चाहिए।

नियमों का अवलोकन

मसौदा नियम स्पष्ट करते हैं कि व्यक्तिगत डेटा संसाधित करने वाले संगठनों को उस डेटा को कैसे संभालना चाहिए, व्यक्तियों को उनके डेटा के उल्लंघन के बारे में सूचित करना चाहिए और डेटा संग्रह के लिए सहमति सुनिश्चित करनी चाहिए।

इन संगठनों – जिन्हें अधिनियम डेटा फ़िडुशियरीज़ कहता है – को उपयोगकर्ताओं को स्पष्ट नोटिस प्रदान करना होगा जो समझने में आसान हो, जिसमें बताया जाए कि वे डेटा क्यों एकत्र कर रहे हैं और इसका उपयोग कैसे किया जाएगा। इन नोटिसों में एकत्र किए जा रहे डेटा के प्रकारों की व्याख्या होनी चाहिए। इसके अलावा, उपयोगकर्ताओं के लिए, अपने डेटा के उपयोग के लिए सहमति वापस लेना उसे देने जितना ही सरल होना चाहिए।

बच्चों के डेटा को संभालते समय, अधिकांश संगठनों को माता-पिता या अभिभावक से अनुमति लेनी होगी। आधिकारिक पहचान दस्तावेजों का उपयोग करके माता-पिता की पहचान की पुष्टि की जा सकती है।

यदि व्यक्तिगत डेटा लीक हो जाता है या बिना अनुमति के एक्सेस किया जाता है, तो संगठनों को प्रभावित उपयोगकर्ताओं और डेटा प्रोटेक्शन बोर्ड दोनों को घटना के बारे में तुरंत सूचित करना चाहिए। 72 घंटों के भीतर एक विस्तृत रिपोर्ट आनी चाहिए। हालाँकि, विशेषज्ञों का कहना है कि समय-सीमा पारदर्शिता सुनिश्चित करती है, लेकिन यह मामूली उल्लंघनों के लिए भी स्पष्टीकरण देने के साथ नियामक प्रणालियों पर बोझ डाल सकती है।

नियमों के अनुसार संगठनों को एन्क्रिप्शन (इसे सुरक्षित रखने के लिए डेटा को एन्कोड करना), डेटा मास्किंग (जो संवेदनशील जानकारी को छिपाने के लिए संदर्भित करता है) और दुरुपयोग के लिए नियमित जांच या ऑडिट करने जैसी बुनियादी सुरक्षा प्रथाओं का पालन करने की आवश्यकता होती है। उन्हें यह भी रिकॉर्ड रखना होगा कि कम से कम एक वर्ष तक डेटा तक कौन पहुंचता है। हालाँकि, विशेषज्ञों का कहना है कि नियम उन सटीक तकनीकी मानकों को निर्दिष्ट नहीं करते हैं जिन्हें इन उपायों को पूरा करना चाहिए।

सरकार कुछ देशों को भारतीय व्यक्तिगत डेटा प्राप्त करने से रोकने के लिए ब्लैकलिस्ट करने की शक्ति रखती है। यह वैश्विक डेटा प्रवाह पर निर्भर व्यवसायों के लिए चुनौतियाँ पैदा कर सकता है।

बड़े संगठनों, जिन्हें “महत्वपूर्ण डेटा प्रत्ययी” के रूप में वर्गीकृत किया गया है, के पास अतिरिक्त दायित्व हैं। उन्हें वार्षिक ऑडिट, डेटा सुरक्षा प्रभाव आकलन करना होगा और यह सुनिश्चित करना होगा कि उनके एल्गोरिदम उपयोगकर्ताओं के लिए जोखिम पैदा न करें।

बड़े भारतीय उपयोगकर्ता आधार वाले ई-कॉमर्स प्लेटफॉर्म, ऑनलाइन गेमिंग कंपनियों और सोशल मीडिया फर्मों को तीन साल तक उपयोगकर्ता डेटा संग्रहीत करना होगा।

डेटा प्रोटेक्शन बोर्ड अधिनियम के तहत नियम प्रवर्तन और शिकायत निवारण की निगरानी करेगा। जबकि बोर्ड की नियुक्ति और संचालन के नियम तुरंत प्रभावी होंगे, अन्य अनुपालन आवश्यकताओं को धीरे-धीरे लागू किया जाएगा।

केंद्र सरकार ने 18 फरवरी तक नियमों पर जनता से टिप्पणियां आमंत्रित की हैं।

माता-पिता की सहमति कैसे प्राप्त करें?

कानूनी विशेषज्ञ किसको स्क्रॉल स्पोक ने नियमों में स्पष्टता की कमी को उजागर किया कि डेटा फ़िडुशियरी द्वारा अपने बच्चों के डेटा को संसाधित करने के लिए माता-पिता से अनुमति कैसे प्राप्त की जाएगी। उन्होंने चेतावनी दी कि स्पष्टता की कमी ऑनलाइन सेवा प्रदाताओं के लिए भारी अनुपालन बोझ पैदा कर सकती है। उन्होंने आगाह किया कि इससे नाबालिगों के लिए ऑनलाइन सेवाओं तक पहुंच कठिन हो सकती है और व्यापक ऑनलाइन निगरानी हो सकती है।

प्रौद्योगिकी नीति थिंक टैंक, द डायलॉग में सीनियर प्रोग्राम मैनेजर – प्राइवेसी, डेटा गवर्नेंस, कामेश शेखर ने कहा, जो नियम डेटा फिड्यूशियरी के लिए माता-पिता की सहमति की आवश्यकता को निर्धारित करता है, उसके तीन पहलू हैं। इनमें यह निर्धारित करना शामिल है कि कोई 18 वर्ष से कम उम्र का है या नहीं, इसकी पहचान करना और सत्यापन करना कि उसके माता-पिता कौन हैं, इसके बाद बच्चे के डेटा को संसाधित करने के लिए माता-पिता की सहमति प्राप्त करना।

हालाँकि, नियम इस बारे में विस्तार से नहीं बताते हैं कि इनमें से प्रत्येक कार्य को कैसे पूरा किया जाना है। उन्होंने कहा, ”नियम केवल माता-पिता के सत्यापन पर स्पष्टता प्रदान करते हैं।” “लेकिन वे बच्चों की पहचान करने और बच्चे के डेटा के बारे में माता-पिता से सहमति लेने पर चुप हैं।”

शेखर ने कहा कि डिजिटल स्पेस में यह निर्धारित करना मुश्किल है कि उपयोगकर्ता नाबालिग है या नहीं और डेटा को संसाधित करने के लिए सहमति देने वाला व्यक्ति वास्तविक माता-पिता है या नहीं।

उन्होंने कहा, “नियम ‘सत्यापन योग्य सहमति’ शब्द का उपयोग करता है, जिसका अर्थ है कि कल, एक डेटा प्रत्ययी को यह प्रदर्शित करना होगा कि निर्धारित प्रक्रियाओं के अनुसार माता-पिता से सहमति ली गई है।” शेखर ने पूछा कि पालन की जाने वाली प्रक्रियाओं के बारे में स्पष्टता के अभाव में ऐसी अनुमति कैसे प्रदर्शित की जा सकती है।

डिजिटल अधिकार संगठन, इंटरनेट फ्रीडम फाउंडेशन की एसोसिएट पॉलिसी काउंसिल कार्तिका राजमोहन ने सहमति व्यक्त की कि ऑनलाइन सेवा प्रदाताओं के लिए यह पहचानना आसान नहीं होगा कि कोई उपयोगकर्ता बच्चा है या नहीं।

“क्या इंटरनेट उपयोगकर्ताओं को एक बच्चे के रूप में अपनी पहचान बतानी होगी?” उसने पूछा. “क्या सरकार इंटरनेट-व्यापी आयु सत्यापन तंत्र लाएगी? या क्या आयु सत्यापन तंत्र स्थापित करने का निर्णय कंपनियों पर छोड़ दिया जाएगा?”

टेक्नोलॉजिस्ट और सार्वजनिक नीति शोधकर्ता प्रतीक वाघरे ने कहा कि नाबालिगों के लिए माता-पिता की सहमति की आवश्यकता अंततः बच्चों के लिए अधिकांश ऑनलाइन सामग्री तक पहुंच को गंभीर रूप से प्रतिबंधित कर देगी। उन्होंने कहा, “आप केवल यह सत्यापित कर सकते हैं कि कोई ऑनलाइन उपयोगकर्ता नाबालिग है या नहीं, यदि आप प्रत्येक ऑनलाइन उपयोगकर्ता की उम्र सत्यापित करते हैं।” “इससे इंटरनेट की उम्र कम हो सकती है।”

उन्होंने कहा कि नियमों की भाषा और उसके उदाहरण बच्चों और माता-पिता द्वारा सत्यापन के बिना अपनी पहचान और उम्र या अन्य व्यक्तिगत विवरण स्वयं घोषित करने पर निर्भरता का संकेत देते हैं। उन्होंने कहा, “इसकी सीमा यह है कि व्यक्ति झूठ बोल सकते हैं।”

दूसरी ओर, यदि सभी इंटरनेट उपयोगकर्ताओं की उम्र पहचान दस्तावेज एकत्र करके सत्यापित की जाती है, तो इससे बड़े पैमाने पर डेटा-संग्रह व्यवस्था को बढ़ावा मिलेगा, टेक और मीडिया वकील और लॉ फर्म ट्राइलीगल के पार्टनर, निखिल नरेंद्रन ने कहा। उन्होंने चेतावनी दी कि इससे बड़े पैमाने पर निगरानी की व्यवस्था को बढ़ावा मिल सकता है.

नरेंद्रन ने इसके कारण होने वाली पहुंच संबंधी समस्या पर भी प्रकाश डाला। “डिजिटल रूप से निरक्षर आबादी का एक बड़ा वर्ग, जो अपनी ओर से सहमति प्रदान करने में असमर्थ है, अपने बच्चों की ओर से सहमति कैसे प्रदान कर पाएगा?” उसने पूछा.

उन्होंने चुनौतियों को “नागरिक अधिकारों का मुद्दा, गोपनीयता का मुद्दा, पहुंच का मुद्दा, लागत का मुद्दा और कॉर्पोरेट अनुपालन मुद्दा” बताया।

अतिरिक्त सरकारी शक्ति

विशेषज्ञों ने व्यक्तिगत डेटा के प्रसंस्करण के लिए सुरक्षा उपायों से राज्य एजेंसियों के लिए व्यापक छूट के बारे में भी चिंता व्यक्त की। उन्होंने चेतावनी दी कि इसके परिणामस्वरूप सरकारी संगठन उचित नियंत्रण या निरीक्षण के बिना डेटा का उपयोग कर सकते हैं।

नरेंद्रन ने यह भी बताया कि सरकार ने कंपनियों से डेटा मांगने और कंपनियों को इस तरह के डेटा खुलासे को उजागर करने से रोकने के लिए अपनी शक्ति का विस्तार किया है। “यह एक प्रमुख नागरिक अधिकार मुद्दा है,” उन्होंने कहा।

राजमोहन ने सरकार पर सार्थक प्रतिबंधों की अनुपस्थिति पर प्रकाश डालते हुए सहमति व्यक्त की। उन्होंने कहा, “सरकार उन कारणों के लिए डेटा मांग सकती है जो अस्पष्ट हैं, जैसे ‘भारत की संप्रभुता और अखंडता’ और ‘राज्य की सुरक्षा’।” “इससे दुरुपयोग की चिंताएं पैदा होती हैं क्योंकि इस शक्ति के लिए कोई जांच और संतुलन नहीं है और कोई समीक्षा तंत्र नहीं है।”

वाघरे ने चुटकी लेते हुए कहा कि नियमों का मुख्य उद्देश्य सरकार द्वारा व्यक्तिगत डेटा की सुरक्षा के बजाय उसके प्रसंस्करण को सुविधाजनक बनाना है। उन्होंने कहा, “नियमों में सरकारों द्वारा अपनी कार्यकारी शक्ति का प्रयोग करके डेटा संग्रह को उचित ठहराने के प्रावधान प्रतीत होते हैं।” “यह केंद्र और राज्य सरकारों द्वारा की जाने वाली डेटा जमाखोरी को मान्य कर सकता है।”

डेटा प्रोसेसिंग पर सरकारी नियंत्रण नियमों के तहत निर्धारित डेटा संरक्षण बोर्ड की संरचना तक भी फैला हुआ है। बोर्ड डेटा उल्लंघनों की जांच करने, अधिनियम के उल्लंघन के लिए दंड लागू करने और व्यक्तिगत डेटा सुरक्षा से संबंधित निर्देश जारी करने के लिए जिम्मेदार है। सदस्यों की खोज और चयन करने वाले बोर्ड में केंद्र सरकार के प्रतिनिधियों के साथ-साथ उसके द्वारा चुने गए अन्य लोग शामिल होंगे।

शेखर ने कहा, इससे इसकी स्वतंत्रता पर सवाल उठता है।

राजमोहन सहमत हो गये. उन्होंने कहा, “इसके परिणामस्वरूप एक ऐसा बोर्ड बनेगा जो संतुलित या स्वतंत्र नहीं होगा।”

स्पष्टता का अभाव

विशेषज्ञों का कहना है कि ऐसे अन्य महत्वपूर्ण क्षेत्र भी हैं जिन पर नियमों से प्रकाश डालने की उम्मीद की गई थी, लेकिन ऐसा नहीं हुआ।

राजमोहन ने कहा, इनमें से एक वह तरीका है जिसमें डेटा फिड्यूशियरीज़ को किसी व्यक्ति के व्यक्तिगत डेटा के उपयोग के लिए सहमति मांगने के लिए नोटिस देना होगा। उन्होंने कहा, ”नोटिस किस तरीके से दिया जाना है, इसके बारे में पर्याप्त विवरण नहीं हैं।” “नियम यह कंपनियों पर छोड़ देते हैं कि वे यह निर्धारित करें कि ऐसा कैसे करना है।”

उन्होंने कहा, भारत जैसे कम डेटा साक्षरता दर वाले देश में, कंपनियां इस तरह से सहमति मांगती हैं कि लोगों को पता ही नहीं चलता कि वे किस चीज के लिए सहमति दे रहे हैं।

शेखर ने कहा कि डेटा फिड्यूशियरी के नियमों में डेटा सुरक्षा पर स्पष्ट उपायों का अभाव है। उन्होंने कहा, “नियम डेटा सुरक्षा उपायों के रूप में ‘एन्क्रिप्शन, ऑबफस्केशन या मास्किंग’ निर्धारित करते हैं।” “सरकार को यह परिभाषित करना चाहिए कि इन शब्दों का क्या मतलब है, क्योंकि इन शब्दों का अलग-अलग संदर्भों में अलग-अलग मतलब हो सकता है।”

उन्होंने इन उपायों के लिए दिशानिर्देशों का एक लचीला सेट सुझाया, जिससे विभिन्न डेटा फ़िडुशियरीज़ को उनके आकार के आधार पर अलग-अलग मानकों का पालन करने की अनुमति मिल सके।

शेखर को आश्चर्य हुआ कि कृत्रिम बुद्धिमत्ता जैसी उभरती प्रौद्योगिकियों पर नियम कैसे लागू होते हैं। उन्होंने कहा, “सभी परिदृश्यों में एआई पारिस्थितिकी तंत्र के भीतर सहमति काम नहीं करती है।” उन्होंने बताया कि नियमों में अनुसंधान, संग्रह और सांख्यिकीय उद्देश्यों के लिए व्यक्तिगत डेटा के प्रसंस्करण के लिए अधिनियम से छूट दी गई है।

उन्होंने कहा, “एआई का काम ज्यादातर सांख्यिकीय है।” “क्या इससे छूट मिलेगी? इस बात पर कोई स्पष्टता नहीं है कि इन उद्देश्यों का वास्तव में क्या मतलब है।”

राजमोहन ने कहा, स्पष्टता की ऐसी कमी से ऑनलाइन सेवा प्रदाताओं और उपयोगकर्ताओं को वास्तविक दुनिया में नुकसान होगा। उन्होंने कहा, “अगर छोटी कंपनियां इस बारे में स्पष्ट नहीं हैं कि अनुपालन कैसे करना है, तो यह उनके लिए एक बड़ी लागत और बोझ बन जाता है।” “दूसरी ओर, बड़ी कंपनियां ग्रे क्षेत्रों का उपयोग उन प्रथाओं में संलग्न होने के तरीके के रूप में कर सकती हैं जो आवश्यक रूप से उपयोगकर्ता की गोपनीयता की रक्षा नहीं करती हैं और उपयोगकर्ता के हित के खिलाफ हैं।”

ऐसा इसलिए है क्योंकि “यदि आप स्पष्ट हुए बिना हिचकिचाहट की गुंजाइश देते हैं, तो आप गैर-गोपनीयता-पालन करने वाली प्रथाओं के लिए जगह छोड़ देते हैं”, उसने कहा।