One year of DPDP Act: नियम अभी तक अधिसूचित नहीं, बढ़ी अनिश्चितता

One year of DPDP Act: भारत के डेटा सुरक्षा कानून डिजिटल व्यक्तिगत डेटा सुरक्षा अधिनियम को अस्तित्व में आए 12 अगस्त, 2024 को एक वर्ष पूरा हो गया है, लेकिन अभी यह लागू नहीं हुआ है, क्योंकि इसके लिए विस्तृत नियम अधिसूचित होने बाकी हैं। विशेषज्ञ और एडवोकेसी ग्रुप ने बिज़नेस स्टैंडर्ड से कहा कि अधिसूचना जारी होने में लगातार देर के कारण यह कानून अपना प्रभाव खोता जा रहा है।

इलेक्ट्रॉनिकी और सूचना प्रौद्योगिकी मंत्रालय की पूर्व सचिव अरुणा शर्मा ने कहा कि नियम अधिसूचित होने में की जा रही देर के कारण यह अधिनियम निरर्थक हो गया है। उन्होंने कहा, ‘डिजिटल जोन में बहुत बड़ी संख्या में निजी डेटा समाया हुआ है। नया कानून इस डेटा की सुरक्षा के मकसद से बनाया गया था। नियम अधिसूचित नहीं होने से इसके दूसरे अर्थ निकाले जा रहे हैं जिससे भ्रम की स्थिति पैदा हो रही है।’

नियम लागू होने में देर पर शर्मा ने यह भी कहा, ‘यह कानून जल्दबाजी में पास किया गया है। ऐसे में इसके नियम लाने के लिए व्यापक विचार-विमर्श की आवश्यकता है।’

डिजिटल अधिकार एवं एडवोकेसी समूह ने कहा कि नियमों को अधिसूचित करने में हो रही देर से डेटा सुरक्षा को लेकर अनिश्चितता का माहौल बन रहा है। लोग खास कर शिकायतों के निवारण के मामले में इस कानून का फायदा नहीं उठा पा रहे हैं।

सॉफ्टवेयर फ्रीडम लॉ सेंटर की संस्थापक मिशी चौधरी ने कहा, ‘डेटा उल्लंघन के मामलों में शिकायत और उनके निपटान की व्यवस्था सरल नहीं होने के कारण उपभोक्ता स्वयं को असहाय महसूस करते हैं। उपभोक्ता सुरक्षा का भरोसा दिए बिना सभी प्रकार का डेटा बटोरने की चाहत रखने वाली सरकार और डेटा के बदले सुविधा देने का वादा करने वाली कंपनियों के बीच पिस कर रह गया है।’

रिपोर्ट में कहा गया है कि बड़े स्तर पर डेटा का उपयोग करने वाली कंपनियां नियमों का पालन नहीं कर रही हैं। इसका बड़ा कारण यही है कि कानून बने एक साल हो गया, लेकिन अभी तक इसके नियम अधिसूचित नहीं किए गए हैं।

इस साल मई में दिल्ली की एक संस्था एस्या सेंटर द्वारा जारी रिपोर्ट में कहा गया है कि लगभग 85 प्रतिशत मामलों में डेटा फिडूशियरी के लिए नए कानून के अनुपालन पर विचार-विमर्श होने लगा है, लेकिन नियम लागू नहीं होने के कारण उनके काम में बाधा उत्पन्न हो रही है। डिजिटल व्यक्तिगत डेटा सुरक्षा अधिनियम के तहत डेटा फिडूशियरी से मतलब ऐसे संस्थान या व्यक्ति से है जो व्यक्तिगत डेटा के आदान-प्रदान के उद्देश्य और उसके साधन को निर्धारित करता है।

कानून अधिसूचित होने में देर के कारण कारोबार किस प्रकार प्रभावित हो रहा है, इस बारे में चौधरी कहती हैं, ‘कारोबार पूर्वानुमान के अनुसार चलता है। उसी आधार पर किसी उत्पाद के बारे में कार्ययोजना बनाई जाती है और उसी हिसाब से कर्मचारियों को भर्ती करने व अन्य खर्चों के लिए बजट निर्धारित किया जाता है। यदि नियम ही तय नहीं है तो इसे हर चीज में देर होती चली जाती है।’

द डायलॉग के सीनियर प्रोग्राम मैनेजर कामेश शेखर कहते हैं, ‘डिजिटल व्यक्तिगत डेटा सुरक्षा कानून के नियम अधिसूचित नहीं होने के कारण उद्योगों एवं उपभोक्ताओं को कई जटिलताओं का सामना करना पड़ रहा है। डेटा सुरक्षा कानून के कई प्रावधानों के लिए दिशानिर्देशों एवं उनके बारे में स्पष्टता की सख्त जरूरत है। ‘

उन्होंने यह भी कहा कि नए कानून को लेकर अधिसूचना चरणबद्ध तरीके से जारी होनी चाहिए, ताकि डेटा फिडूशियरी को इन्हें लागू करने और पूरे तंत्र को इसके अंतर्गत लाने के लिए पर्याप्त समय मिल जाए।

एक साल में आए बदलाव

कानून पास होने के बाद बीते एक साल के भीतर हालात में खासा बदलाव आया है। अब कई तकनीकी नीति फर्म खड़ी हो गई हैं, जो बड़ी कंपनियों को इस कानून का पालन कराने के संबंध में अपनी सेवाएं दे रही हैं। विशेषज्ञों का मानना है कि ऐसी फर्में अभी और उभर कर सामने आएंगी।

मिशी चौधरी ने कहा, ‘नियमों का पालन कराने संबंधी सेवाएं देने वाली कंपनियों में उद्योग और वहां नियमों को लागू कराने की प्रकृति को देखते हुए इजाफा होगा। हमें नियमों के पालन के लिए ठोस उपाय अपनाने होंगे, लेकिन नियम अधिसूचित नहीं होने से सब कुछ अनिश्चितता के भंवर में फंसा हुआ है और हर कोई असुरक्षित महसूस कर रहा है।’

बीते एक वर्ष में आर्टिफिशल इंटेलिजेंस का उपयोग भी बढ़ा है, इससे भी तकनीकी क्षेत्र की चुनौतियां बढ़ गई हैं। विशेषज्ञों का मानना है कि डेटा सुरक्षा कानून लागू होने के बाद व्यक्तिगत डेटा को संभालने वाली संस्थाएं नियमों के दायरे में आ जाएंगी, जिसका सीधा असर एआई आपूर्ति श्रृंखला पर पड़ेगा। कानूनी प्रावधान के अनुसार इन संस्थाओं को डेटा फिडूशियरी अथवा प्रोसेसर के रूप में वर्गीकृत भी किया जा सकता है।

एआई तकनीक को काम करने के लिए बड़े स्तर पर डेटा की आवश्यकता होती है। इसलिए व्यक्तिगत डेटा और पहचान से जुड़ी सूचनाओं को संभालने वाली डेटा आपूर्ति श्रृंखला से जुड़ी संस्थाओं को डेटा फिडूशियरी और डेटा प्रोसेसर के रूप में बांटा जा सकता है। शेखर ने कहा कि नियमों में अभी पूरी तरह स्पष्टता नहीं है।