केंद्रीय इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने 'डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (DPDP अधिनियम)' को लागू करने के लिए डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 का मसौदा जारी किया।

DPDP अधिनियम, 2023 की संक्षिप्त पृष्ठभूमि

सुप्रीम कोर्ट ने 2017 में के. एस. पुट्टास्वामी बनाम भारत संघ वाद में निजता के अधिकार (राइट टू प्राइवेसी) को अनुच्छेद 21 के तहत मौलिक अधिकार के रूप में मान्यता दी। इसके साथ ही कोर्ट ने सरकार को मजबूत डेटा सुरक्षा मैकेनिज्म स्थापित करने का निर्देश दिया था।
2017 में जस्टिस बी.एन. श्रीकृष्ण समिति ने डेटा सुरक्षा संबंधी मुद्दों की जांच की। इस समिति की सिफारिशों के आधार पर, व्यक्तिगत डेटा संरक्षण विधेयक, 2019 प्रस्तुत किया गया। हालांकि, इसे बाद में वापस ले लिया गया।
MeitY ने DPDP विधेयक 2022 का मसौदा जारी करके लोगों से सुझाव आमंत्रित किए। बाद में यह मसौदा डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 के रूप में लागू हुआ।

डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023

इस अधिनियम का प्राथमिक उद्देश्य, व्यक्तिगत डेटा की सुरक्षा और प्रोसेसिंग के लिए एक व्यापक फ्रेमवर्क स्थापित करना है।
यह निम्नलिखित प्रावधान करके डिजिटल व्यक्तिगत डेटा (अर्थात; डिजिटल रूप में व्यक्तिगत डेटा) की सुरक्षा सुनिश्चित करता है:
- डेटा प्रोसेसिंग के लिए डेटा फिड्युशियरी (डेटा को प्रोसेस करने वाला व्यक्ति, कंपनियां और सरकारी संस्थाएं) के दायित्व;
- डेटा प्रिंसिपल (वह व्यक्ति जिससे डेटा संबंधित है) के अधिकार और कर्तव्य;
- कंसेंट मैनेजर, अर्थात वह व्यक्ति या संस्था जो आधिकारिक तौर पर डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया (DPBI) के यहां पंजीकृत है।
  - यह डेटा प्रिंसिपल को अपने डेटा किसी अन्य द्वारा उपयोग की सहमति देने, सहमति की समीक्षा करने और सहमति वापस लेने का अधिकार देने के लिए पारदर्शी और इंटर-ऑपरेबल प्लेटफॉर्म प्रदान करता है।
- अधिकारों, कर्तव्यों और दायित्वों के उल्लंघन के लिए आर्थिक दंड।

डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 के मुख्य प्रावधान

विशिष्टताएं	विवरण
लागू होना (Applicability)	भारत के भीतर डिजिटल व्यक्तिगत डेटा की प्रोसेसिंग, जहां निम्नलिखित रूप में डेटा एकत्र किया जाता है: डिजिटल रूप में या गैर-डिजिटल रूप में, जिसे बाद में डिजिटल रूप दिया जाता है। भारत के लोगों के डेटा को भारत के बाहर प्रोसेसिंग करना, यदि ये डेटा भारत में वस्तुओं या सेवाओं के वितरण के लिए प्राप्त की जाती है। यह कानून निम्नलिखित पर लागू नहीं होता: व्यक्तिगत या निजी उद्देश्य के लिए व्यक्तिगत डेटा को प्रोसेस (प्राप्त) करना। व्यक्तिगत डेटा जिसे निम्नलिखित द्वारा सार्वजनिक रूप से उपलब्ध कराया गया है या एकत्र किया गया है- डेटा प्रिंसिपल जिससे व्यक्तिगत डेटा संबंधित है; या कोई अन्य व्यक्ति जो ऐसे व्यक्तिगत डेटा को सार्वजनिक रूप से उपलब्ध कराने के लिए कानूनी रूप से बाध्य है।
सहमति (Consent)	डेटा प्रिंसिपल द्वारा दी गई सहमति के बाद ही व्यक्तिगत डेटा को प्रोसेस किया जा सकता है, वो भी केवल वैध उद्देश्य के लिए। हालांकि, डेटा प्रिंसिपल को किसी भी समय पूर्व में दी गई अपनी सहमति वापस लेने का अधिकार है। ऐसे मामले जिनमें सरकार की ओर से कोई लाभ या सेवा प्रदान की जा रही हो, या चिकित्सा आपात जैसी स्थिति आए तो "वैध उपयोग" के लिए डेटा प्रिंसिपल की सहमति की आवश्यकता नहीं होगी। किसी बालक या दिव्यांग जन के मामले में उसके माता-पिता या कानूनी संरक्षक (लीगल गार्डियन) द्वारा सहमति प्रदान की जाएगी।
भारतीय डेटा संरक्षण बोर्ड (Data Protection Board of India: DPBI)	इस कानून में केंद्र सरकार द्वारा DPBI के गठन का प्रावधान किया गया है। बोर्ड के प्रमुख कार्य निम्नलिखित हैं: नियमों के अनुपालन की निगरानी करना और उल्लंघन के मामले में जुर्माना लगाना। डेटा उल्लंघन की स्थिति में आवश्यक कार्रवाई करने के लिए डेटा फिड्युशियरी को निर्देश देना। प्रभावित व्यक्तियों द्वारा की गई शिकायतों की सुनवाई करना। बोर्ड के सदस्यों को दो वर्ष के लिए नियुक्त किया जाएगा और वे फिर से नियुक्ति के पात्र होंगे। DPBI के किसी निर्णय के खिलाफ दूरसंचार विवाद निपटान और अपीलीय अधिकरण (Telecom Disputes Settlement and Appellate Tribunal: TDSAT) में अपील की जा सकेगी।
डेटा प्रिंसिपल के अधिकार और कर्तव्य (Rights and Duties of Data Principal)	डेटा प्रिंसिपल के पास निम्नलिखित अधिकार होंगेः अपने डेटा की प्रोसेसिंग के बारे में जानकारी प्राप्त करना, व्यक्तिगत डेटा में संशोधन करने और उसे हटाने की मांग करना, एक डेटा प्रिंसिपल को डेटा फिड्युशियरी के पास शिकायत दर्ज कराने का अधिकार होगा, मृत्यु या दिव्यांगता की स्थिति में किसी अन्य व्यक्ति को उसकी (डेटा प्रिंसिपल) ओर से अधिकारों का प्रयोग करने के लिए नामित करने का अधिकार। डेटा प्रिंसिपल द्वारा झूठी या व्यर्थ की शिकायत दर्ज नहीं करनी चाहिए और उसे कोई गलत विवरण नहीं देना चाहिए। कर्तव्यों का उल्लंघन करने पर डेटा प्रिंसिपल पर 10,000 रुपये तक का जुर्माना लगाया जा सकता है।
डेटा फिड्युशियरी के दायित्व	डेटा फिड्युशियरी (डेटा प्रोसेसिंग के उद्देश्य और तरीके को निर्धारित करने वाला यूनिट) के निम्नलिखित दायित्व होंगे; डेटा की सटीकता और पूर्णता सुनिश्चित करना, व्यक्तिगत डेटा के उल्लंघन को रोकने के लिए उचित सुरक्षा उपाय सुनिश्चित करना, डेटा के उल्लंघन की स्थिति में भारतीय डेटा संरक्षण बोर्ड और प्रभावित व्यक्तियों को सूचित करना, उद्देश्य पूरा हो जाने तथा कानूनी उद्देश्यों के लिए व्यक्तिगत डेटा बनाए रखने की आवश्यकता नहीं होने पर इसे डिलीट कर देना।
महत्वपूर्ण डेटा फिड्युशियरी (Significant Data Fiduciaries: SDF)	केंद्र सरकार निम्नलिखित कारकों को ध्यान में रखते हुए किसी भी डेटा फिड्युशियरी को 'महत्वपूर्ण डेटा फिड्युशियरी' के रूप में अधिसूचित कर सकती है: प्रोसेस किए गए व्यक्तिगत डेटा की मात्रा और संवेदनशीलता, डेटा प्रिंसिपल के अधिकारों का उल्लंघन। भारत की संप्रभुता और अखंडता पर पड़ने वाले प्रभाव की संभावना। राज्य की सुरक्षा, चुनावी लोकतंत्र और लोक-व्यवस्था (पब्लिक-ऑर्डर) को खतरा। SDF के पास डेटा सुरक्षा अधिकारी और एक स्वतंत्र डेटा ऑडिटर नियुक्त करने तथा डेटा साझा करने के प्रभाव का आकलन करने जैसे कुछ अतिरिक्त दायित्व भी होंगे।
माता-पिता की सहमति (Parental Consent)	DPDP, 2023 की धारा 9 के तहत डेटा फिड्युशियरी को बालकों के डेटा को प्रोसेस करने से पहले उनके माता-पिता या कानूनी अभिभावकों से सत्यापन योग्य सहमति प्राप्त करनी होगी। यह अधिनियम बालकों (18 वर्ष से कम आयु) को हानि पहुंचाने वाले या उनको टारगेट करने वाले विज्ञापन बनाने के लिए व्यक्तिगत डेटा की प्रोसेसिंग पर भी प्रतिबंध लगाता है।
अधिनियम के तहत दी गई छूट (Exemptions	डेटा प्रिंसिपल के अधिकार और डेटा फिड्युशियरी के दायित्व (डेटा सुरक्षा के अतिरिक्त) निम्नलिखित मामलों में लागू नहीं होंगे: अधिसूचित एजेंसियों द्वारा देश की सुरक्षा और संप्रभुता, लोक व्यवस्था स्थापित करने के उद्देश्य से डेटा संग्रह करना; अनुसंधान, आर्काइविंग या सांख्यिकीय उद्देश्यों के लिए डेटा प्राप्त करना; स्टार्ट-अप्स, या डेटा फिड्युशियरी की अन्य अधिसूचित श्रेणियों के लिए; कानूनी अधिकारों और क्लेम को लागू करने के लिए; अपराधों को रोकने और उनकी जांच करने के लिए; न्यायिक या विनियामक संबंधी कार्य करने के लिए; विदेशी अनुबंध के तहत गैर-निवासियों (Non-residents) के व्यक्तिगत डेटा को भारत में प्रोसेस करने के लिए। इसके अलावा, केंद्र सरकार देश की सुरक्षा और लोक-व्यवस्था बनाए रखने हेतु कुछ गतिविधियों को अधिनियम के प्रावधानों से छूट दे सकती है।

DPDP अधिनियम से जुड़ी समस्याएं और चिंताएं:

मूल अधिकारों का उल्लंघन: सरकार को राष्ट्रीय सुरक्षा जैसे आधारों पर डेटा प्राप्त करने और उसका उपयोग करने की छूट दी गई है। इस वजह से आवश्यकता से अधिक डेटा की प्राप्ति, प्रोसेसिंग और रिटेंशन (बनाए रखना) को बढ़ावा मिलेगा। इससे निजता की सुरक्षा के मूल अधिकार का उल्लंघन हो सकता है।
जरूरी अधिकारों को शामिल नहीं किया जाना: यह अधिनियम डेटा पोर्टेबिलिटी के अधिकार और 'भुला दिए जाने के अधिकार/ राइट टू बी फॉरगॉटेन' (व्यक्तिगत डेटा को ऑनलाइन सार्वजनिक करने को सीमित करना) को मान्यता नहीं देता है।
- डेटा पोर्टेबिलिटी, डेटा प्रिंसिपल को अपने उपयोग के लिए डेटा फिड्युशियरी से डेटा प्राप्त करने और स्थानांतरित करने की अनुमति देती है।
देश के बाहर डेटा भेजना: यह अधिनियम बिना किसी की प्रतिबन्ध के देश से बाहर डेटा भेजने की अनुमति देता है। केवल कुछ देशों के मामले ही प्रतिबंध लगाए गए हैं।
सरकारी एजेंसियों को छूट देना और निजता के उल्लंघन का खतरा: यह अधिनियम व्यक्तिगत डेटा संग्रह करने के लिए सरकारी एजेंसियों को व्यापक छूट प्रदान करता है। इससे सरकार को बेरोक-टोक डेटा प्रोसेसिंग करने की अनुमति मिलती है जिससे निजता की सुरक्षा संबंधी अधिकारों का उल्लंघन हो सकता है।
व्यक्तिगत डेटा के दुरूपयोग से जुड़े कुछ खतरों को रोकने के लिए कोई भी प्रावधान नहीं है: यह अधिनियम व्यक्तिगत डेटा चोरी करके अपराध को अंजाम देने, आर्थिक नुकसान होने या डेटा प्रोसेसिंग से उत्पन्न होने वाले भेदभाव जैसे खतरों को रोकने का प्रावधान नहीं करता है।
डेटा संरक्षण बोर्ड की स्वतंत्रता: बोर्ड के सदस्यों का केवल दो साल का कार्यकाल और उनकी फिर से नियुक्ति के प्रावधान उनकी स्वतंत्रता को सीमित कर सकते हैं। इससे उनके कामकाज पर नकारात्मक प्रभाव पड़ सकता है। भारतीय प्रतिभूति और विनिमय बोर्ड (SEBI), भारतीय प्रतिस्पर्धा आयोग (CCI) जैसी कुछ विनियामक संस्थाओं के अध्यक्ष का कार्यकाल पांच वर्षों का होता है।

आगे की राह

विश्व की सर्वोत्तम कार्य-पद्धतियों को अपनाना: विदेशों में भारतीयों के व्यक्तिगत डेटा की सुरक्षा के लिए EU-US डेटा प्राइवेसी फ्रेमवर्क जैसे अंतर्राष्ट्रीय मॉडल्स के मानक प्रावधानों को अपनाया जा सकता है।
द्विपक्षीय समझौते करना: अलग-अलग और सख्त और बोझिल प्रावधान लागू करने की बजाए, अंतर्राष्ट्रीय समझौतों के जरिए डेटा को सुरक्षित तरीके से बाहर भेजने की सुविधा प्रदान करनी चाहिए।
नियमों को अपडेट करना: व्यक्तिगत डेटा साझा करने की वजह से निजता के अधिकार के उल्लंघन के नए खतरों और नई आधुनिक प्रौद्योगिकियों से जुड़े खतरों से निपटने के लिए फ्रेमवर्क को लगातार अपडेट करते रहना चाहिए।
- अलग टास्क फोर्स गठित करना: व्यक्तिगत डेटा के दुरुपयोग की पहचान करने और प्रभावी नियम बनाने में सहयोग के लिए एक AI-प्राइवेसी टास्क फोर्स गठित करना चाहिए।
शब्दावलियों को स्पष्ट रूप से परिभाषित करना: भारत की संप्रभुता और अखंडता जैसी शब्दावलियों की स्पष्ट और सटीक परिभाषा दी जानी चाहिए। साथ ही, अधिनियम के प्रावधानों से छूट प्रदान करने के लिए स्पष्ट प्रक्रिया निर्धारित की जानी चाहिए।