इलेक्ट्रॉनिकी एवं सूचना प्रौद्योगिकी मंत्रालय ने हाल ही में ‘डिजिटल पर्सनल डेटा प्रोटेक्शन रूल्स 2025’ का मसौदा सार्वजनिक फीडबैक के लिए जारी कर दिया। इससे पहले ‘डिजिटल पर्सनल डेटा प्रोटेक्शन ऐक्ट 2023’ यानी डीपीडीपी आया था जो अगस्त 2023 में कानून बना। नियम इस लिहाज से अहम हैं कि ये इस अधिनियम के क्रियान्वयन ढांचे का विस्तृत ब्योरा मुहैया कराते हैं। अधिनियम तथा नियम दोनों व्यक्तिगत डिजिटल उपयोगकर्ताओं को ‘डेटा प्रिंसिपल’ (यानी जिसका डेटा है) के रूप में पेश करते हैं और अधिनियम से उम्मीद है कि वह लोगों को उनकी निजी सूचनाओं पर बेहतर नियंत्रण मुहैया कराएगा। ऐसा स्पष्ट सहमति की आवश्यकता और पहुंच के अधिकार, डेटा में सुधार तथा उसे मिटाने जैसे प्रावधानों की मदद से संभव होगा।
डेटा जुटाने वाले संस्थानों को ‘डेटा फिड्युशरी’ कहा जाता है। मसौदे में ‘सहमति प्रबंधकों’ के पंजीयन की व्यवस्था है जो डेटा फिड्युशरी के साथ काम करके उपयोगकर्ताओं की सहमति जुटा सकते हैं। एक खास सीमा से अधिक उपयोगकर्ताओं वाली कंपनियों को ‘महत्त्वपूर्ण’ के रूप में वर्गीकृत किया गया है। इनमें ई-कॉमर्स कंपनियां शामिल हैं जिनके पास भारत में कम से कम दो करोड़ पंजीकृत उपयोगकर्ता हैं। इसी तरह ऑनलाइन गेमिंग कंपनियों के पास 50 लाख पंजीकृत उपयोगकर्ता हैं। सोशल मीडिया कंपनियों के पास भी करीब दो करोड़ पंजीकृत उपयोगकर्ता मौजूद हैं। फिड्यूशरीज की जिम्मेदारियां रेखांकित की गई हैं और महत्त्वपूर्ण डेटा फिड्युशरी के लिए ज्यादा अनुपालन जरूरतें निर्धारित की गई हैं।
व्यापक तौर पर देखा जाए तो ये नियम प्रिंसिपल को अपने व्यक्तिगत डेटा पर मौजूदा की तुलना में अधिक नियंत्रण मुहैया कराता है। डेटा संग्रह और उसका इस्तेमाल ऐसे व्यक्तियों की स्पष्ट सहमति से ही किया जाना चाहिए। प्रिंसिपल अपना निजी डेटा मिटाने को भी कह सकता है। फिड्युशरी को न केवल डेटा संग्रह के लिए विशिष्ट सहमति हासिल करनी चाहिए बल्कि प्रिंसिपल को इसके उद्देश्य के बारे में भी बताना चाहिए। वे डेटा को जरूरत के बाद तीन साल से अधिक समय तक अपने पास नहीं रख सकते और डेटा को हटाने के कम से कम 48 घंटे पहले उसे इस बारे में सूचित किया जाना चाहिए और डेटा की समीक्षा का विकल्प दिया जाना चाहिए।
अल्पवयस्कों, किसी खास किस्म अयोग्यता से ग्रस्त लोगों के निजी डेटा को और अधिक संरक्षण की आवश्यकता है। विधिक अभिभावकों या माता-पिता की स्पष्ट सहमति आवश्यक होगी। डेटा के उल्लंघन की स्थिति में फिड्युशरी को प्रिंसिपल को इसके बारे में सूचित करना होगा और संभावित परिणामों के बारे में बताते हुए नुकसान को न्यूनतम करने के उपाय करने होंगे। फिड्युशरी को डेटा संरक्षण अधिकारी नियुक्त करने होंगे ताकि अंकेक्षण कर सकें और सुनिश्चित कर सकें कि नए नियम प्रभावी ढंग से लागू हैं।
भारतीय नागरिकों के डेटा का विदेशों में इस्तेमाल करने के लिए क्या अनिवार्यताएं होंगी यह स्पष्ट नहीं किया गया है। बहरहाल, कुछ अहम खामियां बरकरार हैं। अधिनियम अपने आप में सरकारी एजेंसियों को असीमित अधिकार देता है कि वे लोगों के डेटा संग्रहीत करें, अपने पास रखें और तमाम कामों के लिए उनका इस्तेमाल करें। अधिनियम और मसौदा दोनों डेटा संरक्षण बोर्ड की स्थापना की बात कहते हैं लेकिन उसे अब तक नहीं बनाया गया। इसी तरह सहमति प्रबंधकों की संस्था की दिशा में भी कोई प्रगति नहीं हुई।
निजी डेटा की पूरी व्यवस्था इन्हीं प्रणालियों पर टिकी है। कारोबारों को भी नए प्रावधानों को लागू करने में चुनौतियों का सामना करना होगा। इसमें सहमति के लिए विधिक अनुबंध से लेकर डेटा संरक्षण अधिकारियों और सहमति प्रबंधकों की नियुक्ति, उन्नत इनक्रिप्शन अलगोरिद्म तथा सुरक्षित प्रोटोकॉल का इस्तेमाल आदि सभी शामिल हैं। इसके लिए कारोबारी मॉडल में व्यापक बदलाव की जरूरत होगी। इसके अतिरिक्त सॉफ्टवेयर उन्नयन और नई नियुक्तियों सहित खर्च बढ़ेगा। बहरहाल, नियमों से यह सुनिश्चित होना चाहिए कि देश की डेटा सुरक्षा में सुधार हो और निजता का बेहतर संरक्षण हो। इससे डिजिटल व्यवस्था में भरोसा बढ़ेगा जो बहुत जरूरी है।
