डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) नियमों के मसौदे में डेटा हैंडलिंग पर मजबूत नियंत्रण:
चर्चा में क्यों है?
- भारत सरकार ने 3 जनवरी को डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) अधिनियम के तहत मसौदा नियम जारी किए, जिसमें सीमा पार डेटा प्रवाह, बच्चों के डेटा को संसाधित करने के लिए माता-पिता की सहमति और डेटा फिद्यूशियरी के लिए नए दायित्वों को नियंत्रित करने वाले विशिष्ट प्रावधान पेश किए गए।
- उल्लेखनीय है कि ये मसौदा नियम, जो कि एक मजबूत डेटा शासन की दिशा में एक महत्वपूर्ण कदम है, 18 फरवरी तक सार्वजनिक परामर्श के लिए खुले हैं।
‘डेटा स्थानीयकरण’ पर बल:
- डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 के मसौदे का मुख्य बिंदु सीमा पार डेटा प्रवाह पर सरकार का नियंत्रण है। इन उपायों का उद्देश्य राष्ट्रीय सुरक्षा हितों के साथ संरेखित करते हुए संवेदनशील डेटा को विदेशों में संभावित शोषण से बचाना है।
- इसमें प्रस्ताव है कि केंद्र सरकार व्यक्तिगत डेटा के प्रकार को निर्दिष्ट करेगी जिसे “महत्वपूर्ण डेटा फ़िड्युसरी” द्वारा संसाधित किया जा सकता है, इस प्रतिबंध के अधीन कि इस तरह के व्यक्तिगत डेटा और इसके प्रवाह से संबंधित ट्रैफ़िक डेटा को भारत के क्षेत्र से बाहर स्थानांतरित नहीं किया जाता है। सरकार द्वारा गठित एक समिति ऐसे डेटा का निर्धारण करेगी।
- उल्लेखनीय है कि डेटा फ़िड्युसरी वे कंपनियां और संस्थाएं हैं जो व्यक्तिगत डेटा एकत्र करती हैं और संसाधित करती हैं, “महत्वपूर्ण डेटा फ़िड्युसरी” का निर्धारण उनके द्वारा संसाधित किए जाने वाले व्यक्तिगत डेटा की मात्रा और संवेदनशीलता और भारत की संप्रभुता और अखंडता, चुनावी लोकतंत्र, सुरक्षा और सार्वजनिक व्यवस्था पर उनके द्वारा पड़ने वाले जोखिमों के आधार पर किया जाएगा। ऐसे में मेटा, गूगल, एप्पल, माइक्रोसॉफ्ट और अमेज़ॅन सहित सभी प्रमुख टेक कंपनियों को महत्वपूर्ण डेटा फ़िड्युसरी के रूप में वर्गीकृत किए जाने की उम्मीद है।
- ध्यातव्य है कि डेटा स्थानीयकरण, जो कि बड़ी टेक कंपनियों के लिए एक बड़ी समस्या रही है, जिसे व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 से हटा दिया गया था, इन मसौदा नियमों के तहत वापस आ गया। डेटा स्थानीयकरण उन उपायों से संबंधित है, जिसके परिणामस्वरूप किसी क्षेत्राधिकार की सीमाओं के भीतर डेटा प्रवाह को प्रतिबंधित किया जाता है।
स्वतंत्र ‘डेटा सुरक्षा बोर्ड’ की स्थापना:
- इस मसौदे में यह अनिवार्य किया गया है कि महत्वपूर्ण डेटा फिद्यूशियरी वार्षिक डेटा सुरक्षा प्रभाव आकलन करें और अपने निष्कर्षों को ‘डेटा सुरक्षा बोर्ड’, इस अधिनियम के तहत स्थापित एक नियामक निकाय को प्रस्तुत करें।
- यह बोर्ड, जो दूरस्थ सुनवाई के साथ डिजिटल रूप से काम करेगा, को उल्लंघनों की जांच करने, दंड लगाने और अनुपालन सुनिश्चित करने का काम सौंपा गया है। एक खोज और चयन समिति बोर्ड के अध्यक्ष और सदस्यों की नियुक्ति करेगी, जिससे इसकी स्वतंत्रता और जवाबदेही मजबूत होगी।
अवयस्कों के डेटा संसाधित से पूर्व माता-पिता की सहमति:
- इन मसौदा नियमों की एक खास विशेषता यह है कि 18 वर्ष से कम आयु के बच्चों के डेटा को संसाधित करने के लिए माता-पिता की सहमति पर जोर दिया गया है। फिड्यूशियरी को सरकार द्वारा जारी पहचान या डिजिलॉकर जैसी पहचान सेवाओं से जुड़े डिजिटल टोकन के माध्यम से ऐसी सहमति को सत्यापित करना होगा। शैक्षिक संस्थानों, स्वास्थ्य सेवा प्रदाताओं और बाल कल्याण संगठनों को परिचालन व्यवहार्यता के साथ विनियामक अनुपालन को संतुलित करते हुए कुछ प्रावधानों से छूट दी गई है।
- मसौदा समिति प्रबंधकों के लिए एक रूपरेखा भी प्रस्तुत करता है, ऐसी संस्थाएँ जो व्यक्तियों को डेटा प्रोसेसिंग के लिए सहमति देने या रद्द करने में सक्षम बनाती हैं। योग्य होने के लिए, इन प्रबंधकों को डेटा सुरक्षा बोर्ड के साथ पंजीकरण करना होगा और न्यूनतम 12 करोड़ रुपये की निवल संपत्ति बनाए रखनी होगी। यह सुनिश्चित करता है कि केवल अच्छी तरह से पूंजीकृत संस्थाएँ ही सहमति के प्रबंधन के संवेदनशील कार्य को संभालें।
डेटा उल्लंघन के संदर्भ में डेटा फ़िड्युसरी का दायित्व:
- डेटा उल्लंघन की स्थिति में, डेटा फ़िड्युसरी को प्रभावित व्यक्तियों को “बिना देरी के” उल्लंघन का विवरण बताना होगा, जिसमें इसकी प्रकृति, सीमा और इसके होने का समय और स्थान शामिल है; और अन्य बातों के अलावा जोखिम को कम करने के लिए लागू किए गए और लागू किए जा रहे उपाय।
- इन नियमों में प्रस्ताव दिया गया है कि डेटा फ़िड्युसरी को व्यक्तिगत डेटा की सुरक्षा के लिए उचित सुरक्षा उपाय भी लागू करने होंगे, जिसमें एन्क्रिप्शन, एक्सेस कंट्रोल, अनधिकृत पहुँच की निगरानी और डेटा बैकअप शामिल हैं।
- इसके अतिरिक्त डेटा उल्लंघन को रोकने के लिए पर्याप्त सुरक्षा उपाय न कर पाने डेटा फ़िड्युसरी पर 250 करोड़ रुपये तक का जुर्माना हो सकता है।
डेटा फ़िड्युशियरी की डेटा प्रिंसिपल के प्रति उत्तरदायित्व:
- इन मसौदा नियमों में यह भी आवश्यक है कि डेटा फ़िड्युशियरी को डेटा प्रिंसिपल (जिनका डेटा है) को उनके डेटा को प्रोसेस करने से पहले एक स्पष्ट, स्वतंत्र और समझने योग्य नोटिस देना होगा। विशेष रूप से, नोटिस में एकत्रित किए जा रहे व्यक्तिगत डेटा की मदवार सूची और प्रोसेसिंग के उद्देश्य का स्पष्ट विवरण शामिल होना चाहिए, साथ ही ऐसी प्रोसेसिंग द्वारा सक्षम वस्तुओं, सेवाओं या उपयोगों का मदवार विवरण भी शामिल होना चाहिए।
- डेटा मिटाने के मानदंडों को भी स्पष्ट किया गया है। तीन साल की अवधि के बाद फिड्यूशियरी को ऐसे व्यक्तिगत डेटा को मिटाना आवश्यक है जिसकी अब आवश्यकता नहीं है। उन्हें ऐसे डेटा को मिटाने से 48 घंटे पहले व्यक्तियों को सूचित करना चाहिए, ताकि यदि आवश्यक हो तो उन्हें हस्तक्षेप करने की अनुमति मिल सके। यह प्रावधान उपयोगकर्ता नियंत्रण के साथ डेटा न्यूनीकरण को संतुलित करता है।
इस मसौदा नियमों से जुड़ी कुछ चुनौतियां:
- इन नियमों का उद्देश्य डेटा सुरक्षा को मजबूत करना है, लेकिन वे सरकार को संप्रभुता, अखंडता और राज्य सुरक्षा के हित में व्यक्तिगत डेटा तक पहुँचने के लिए महत्वपूर्ण शक्तियां भी प्रदान करते हैं। इससे पारदर्शिता और निगरानी के बारे में बहस छिड़ सकती है।
- सीमा पार डेटा हस्तांतरण पर प्रावधान, जो सरकार को सामान्य या विशेष आदेशों के माध्यम से अतिरिक्त आवश्यकताओं को लागू करने की अनुमति देता है, भी करीब से जांच के लायक है। बहस उत्पन्न करने की संभावना वाला एक और क्षेत्र बच्चों के डेटा के लिए माता-पिता की सहमति को सत्यापित करने की प्रक्रिया है।
नोट : आप खुद को नवीनतम UPSC Current Affairs in Hindi से अपडेट रखने के लिए Vajirao & Reddy Institute के साथ जुडें.
नोट : हम रविवार को छोड़कर दैनिक आधार पर करेंट अफेयर्स अपलोड करते हैं
Read Current Affairs in English ⇒