सुर्ख़ियों में क्यों?
केंद्रीय इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने 'डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (DPDP अधिनियम)' को लागू करने के लिए डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 का मसौदा जारी किया।
DPDP अधिनियम, 2023 की संक्षिप्त पृष्ठभूमि
- सुप्रीम कोर्ट ने 2017 में के. एस. पुट्टास्वामी बनाम भारत संघ वाद में निजता के अधिकार (राइट टू प्राइवेसी) को अनुच्छेद 21 के तहत मौलिक अधिकार के रूप में मान्यता दी। इसके साथ ही कोर्ट ने सरकार को मजबूत डेटा सुरक्षा मैकेनिज्म स्थापित करने का निर्देश दिया था।
- 2017 में जस्टिस बी.एन. श्रीकृष्ण समिति ने डेटा सुरक्षा संबंधी मुद्दों की जांच की। इस समिति की सिफारिशों के आधार पर, व्यक्तिगत डेटा संरक्षण विधेयक, 2019 प्रस्तुत किया गया। हालांकि, इसे बाद में वापस ले लिया गया।
- MeitY ने DPDP विधेयक 2022 का मसौदा जारी करके लोगों से सुझाव आमंत्रित किए। बाद में यह मसौदा डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 के रूप में लागू हुआ।
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023
- इस अधिनियम का प्राथमिक उद्देश्य, व्यक्तिगत डेटा की सुरक्षा और प्रोसेसिंग के लिए एक व्यापक फ्रेमवर्क स्थापित करना है।
- यह निम्नलिखित प्रावधान करके डिजिटल व्यक्तिगत डेटा (अर्थात; डिजिटल रूप में व्यक्तिगत डेटा) की सुरक्षा सुनिश्चित करता है:
- डेटा प्रोसेसिंग के लिए डेटा फिड्युशियरी (डेटा को प्रोसेस करने वाला व्यक्ति, कंपनियां और सरकारी संस्थाएं) के दायित्व;
- डेटा प्रिंसिपल (वह व्यक्ति जिससे डेटा संबंधित है) के अधिकार और कर्तव्य;
- कंसेंट मैनेजर, अर्थात वह व्यक्ति या संस्था जो आधिकारिक तौर पर डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया (DPBI) के यहां पंजीकृत है।
- यह डेटा प्रिंसिपल को अपने डेटा किसी अन्य द्वारा उपयोग की सहमति देने, सहमति की समीक्षा करने और सहमति वापस लेने का अधिकार देने के लिए पारदर्शी और इंटर-ऑपरेबल प्लेटफॉर्म प्रदान करता है।
- अधिकारों, कर्तव्यों और दायित्वों के उल्लंघन के लिए आर्थिक दंड।
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 के मुख्य प्रावधान
| विशिष्टताएं | विवरण |
| लागू होना (Applicability) |
|
| सहमति (Consent) |
|
भारतीय डेटा संरक्षण बोर्ड (Data Protection Board of India: DPBI) |
|
| डेटा प्रिंसिपल के अधिकार और कर्तव्य (Rights and Duties of Data Principal) |
|
| डेटा फिड्युशियरी के दायित्व |
|
महत्वपूर्ण डेटा फिड्युशियरी (Significant Data Fiduciaries: SDF) |
|
| माता-पिता की सहमति (Parental Consent) |
|
| अधिनियम के तहत दी गई छूट (Exemptions |
|
DPDP अधिनियम से जुड़ी समस्याएं और चिंताएं:
- मूल अधिकारों का उल्लंघन: सरकार को राष्ट्रीय सुरक्षा जैसे आधारों पर डेटा प्राप्त करने और उसका उपयोग करने की छूट दी गई है। इस वजह से आवश्यकता से अधिक डेटा की प्राप्ति, प्रोसेसिंग और रिटेंशन (बनाए रखना) को बढ़ावा मिलेगा। इससे निजता की सुरक्षा के मूल अधिकार का उल्लंघन हो सकता है।
- जरूरी अधिकारों को शामिल नहीं किया जाना: यह अधिनियम डेटा पोर्टेबिलिटी के अधिकार और 'भुला दिए जाने के अधिकार/ राइट टू बी फॉरगॉटेन' (व्यक्तिगत डेटा को ऑनलाइन सार्वजनिक करने को सीमित करना) को मान्यता नहीं देता है।
- डेटा पोर्टेबिलिटी, डेटा प्रिंसिपल को अपने उपयोग के लिए डेटा फिड्युशियरी से डेटा प्राप्त करने और स्थानांतरित करने की अनुमति देती है।
- देश के बाहर डेटा भेजना: यह अधिनियम बिना किसी की प्रतिबन्ध के देश से बाहर डेटा भेजने की अनुमति देता है। केवल कुछ देशों के मामले ही प्रतिबंध लगाए गए हैं।
- सरकारी एजेंसियों को छूट देना और निजता के उल्लंघन का खतरा: यह अधिनियम व्यक्तिगत डेटा संग्रह करने के लिए सरकारी एजेंसियों को व्यापक छूट प्रदान करता है। इससे सरकार को बेरोक-टोक डेटा प्रोसेसिंग करने की अनुमति मिलती है जिससे निजता की सुरक्षा संबंधी अधिकारों का उल्लंघन हो सकता है।
- व्यक्तिगत डेटा के दुरूपयोग से जुड़े कुछ खतरों को रोकने के लिए कोई भी प्रावधान नहीं है: यह अधिनियम व्यक्तिगत डेटा चोरी करके अपराध को अंजाम देने, आर्थिक नुकसान होने या डेटा प्रोसेसिंग से उत्पन्न होने वाले भेदभाव जैसे खतरों को रोकने का प्रावधान नहीं करता है।
- डेटा संरक्षण बोर्ड की स्वतंत्रता: बोर्ड के सदस्यों का केवल दो साल का कार्यकाल और उनकी फिर से नियुक्ति के प्रावधान उनकी स्वतंत्रता को सीमित कर सकते हैं। इससे उनके कामकाज पर नकारात्मक प्रभाव पड़ सकता है। भारतीय प्रतिभूति और विनिमय बोर्ड (SEBI), भारतीय प्रतिस्पर्धा आयोग (CCI) जैसी कुछ विनियामक संस्थाओं के अध्यक्ष का कार्यकाल पांच वर्षों का होता है।
आगे की राह
- विश्व की सर्वोत्तम कार्य-पद्धतियों को अपनाना: विदेशों में भारतीयों के व्यक्तिगत डेटा की सुरक्षा के लिए EU-US डेटा प्राइवेसी फ्रेमवर्क जैसे अंतर्राष्ट्रीय मॉडल्स के मानक प्रावधानों को अपनाया जा सकता है।
- द्विपक्षीय समझौते करना: अलग-अलग और सख्त और बोझिल प्रावधान लागू करने की बजाए, अंतर्राष्ट्रीय समझौतों के जरिए डेटा को सुरक्षित तरीके से बाहर भेजने की सुविधा प्रदान करनी चाहिए।
- नियमों को अपडेट करना: व्यक्तिगत डेटा साझा करने की वजह से निजता के अधिकार के उल्लंघन के नए खतरों और नई आधुनिक प्रौद्योगिकियों से जुड़े खतरों से निपटने के लिए फ्रेमवर्क को लगातार अपडेट करते रहना चाहिए।
- अलग टास्क फोर्स गठित करना: व्यक्तिगत डेटा के दुरुपयोग की पहचान करने और प्रभावी नियम बनाने में सहयोग के लिए एक AI-प्राइवेसी टास्क फोर्स गठित करना चाहिए।
- शब्दावलियों को स्पष्ट रूप से परिभाषित करना: भारत की संप्रभुता और अखंडता जैसी शब्दावलियों की स्पष्ट और सटीक परिभाषा दी जानी चाहिए। साथ ही, अधिनियम के प्रावधानों से छूट प्रदान करने के लिए स्पष्ट प्रक्रिया निर्धारित की जानी चाहिए।
