भारत ने डिजिटल व्यक्तिगत डेटा सुरक्षा नियम, 2025 की अधिसूचना जारी की

भारत के डिजिटल व्यक्तिगत डेटा संरक्षण नियम: 2025 के लिए एक नाजुक ढांचा

₹250 करोड़। यह अधिकतम दंड है जो एक कंपनी को डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 के तहत गंभीर गैर-अनुपालन के लिए सामना करना पड़ सकता है, जैसा कि 15 नवंबर, 2025 को अधिसूचित नियमों में कहा गया है। पहली नज़र में, यह डेटा के दुरुपयोग के खिलाफ एक मजबूत निवारक प्रतीत होता है। लेकिन यह शीर्षक एक गहरी संस्थागत नाजुकता को छुपाता है — सरकारी एजेंसियों के लिए छूट, पार-सीमा डेटा ट्रांसफर के लिए अस्पष्ट मानदंड, और एक अनुपालन ढांचा जो छोटे व्यवसायों को अभिभूत कर सकता है। 2011 में पहले गोपनीयता कानून समिति के गठन के बाद से लगभग 15 वर्षों की चर्चा के बावजूद, भारत का डेटा संरक्षण व्यवस्था अस्पष्टताओं से भरी हुई है।

संस्थागत ढांचा: एक विलंबित अधिनियम पर बने नियम

DPDP अधिनियम, जो 2023 में संसद में पारित हुआ, भारत के डेटा संरक्षण ढांचे का मूल है। यह अनुमति आधारित डेटा प्रसंस्करण, डेटा न्यूनतमकरण, और मिटाने का अधिकार जैसे सिद्धांतों को अनिवार्य करता है। ये नियम अधिनियम के प्रावधानों को क्रियान्वित करते हैं, 18 महीनों के भीतर चरणबद्ध अनुपालन समयसीमाएं पेश करते हैं — स्पष्ट रूप से स्टार्टअप और छोटे फर्मों के लिए संक्रमण को सुगम बनाने के लिए। एक महत्वपूर्ण नवाचार है सहमति प्रबंधकों की स्थापना, जो भारतीय पंजीकृत संस्थाएं हैं जिनका कार्य व्यक्तियों को उनके डेटा अनुमतियों को समझने में मदद करना है। एक और महत्वपूर्ण निर्माण है डिजिटल व्यक्तिगत डेटा संरक्षण बोर्ड (DPB), जो एक पूरी तरह से डिजिटल न्यायिक निकाय है जिसे शिकायतों को सुनने और दंड लगाने के लिए सशक्त किया गया है।

फिर भी, ये प्रक्रियात्मक संरचनाएं स्पष्ट अनुपस्थितियों के बीच वित्त पोषित और लागू की जा रही हैं। उदाहरण के लिए, पार-सीमा डेटा ट्रांसफर “विश्वसनीय” देशों के लिए अनुमति है, लेकिन सरकार ने अभी तक विश्वसनीयता के लिए मानदंडों को परिभाषित नहीं किया है। इसी तरह, DPB के मोबाइल ऐप जैसे प्लेटफार्मों को बनाए रखने के लिए बजटीय निहितार्थों का खुलासा नहीं किया गया है। इस पारदर्शिता के बिना, यह आकलन करना कठिन है कि क्या ये महत्वाकांक्षी सुधार मजबूत, निरंतर प्रवर्तन में परिवर्तित होंगे।

नियम किसकी सुरक्षा करना चाहते हैं — और क्या वे अनदेखा करते हैं?

कागज पर, DPDP नियम जवाबदेही और व्यक्तिगत सशक्तिकरण पर जोर देते हैं। कंपनियों को व्यक्तियों और डेटा संरक्षण अधिकारियों के बीच शिकायतें उठाने के लिए स्पष्ट संचार की रेखाएं प्रदान करनी होंगी। बच्चों और विकलांग व्यक्तियों के लिए, अतिरिक्त सुरक्षा उपाय जैसे कि सत्यापित माता-पिता की सहमति उच्च जोखिम वाले क्षेत्रों में, जैसे कि व्यवहारिक ट्रैकिंग, में अधिक सुरक्षा सुनिश्चित करते हैं। उल्लंघन प्रोटोकॉल अब प्रभावित व्यक्तियों को तत्काल सूचित करने की आवश्यकता रखते हैं, जो भारत के साइबर सुरक्षा ढांचे में एक लंबे समय से चली आ रही कमी को संबोधित करता है, जहां कंपनियां अक्सर घटनाओं को अस्पष्टता के तहत दबा देती थीं।

हालांकि, ये प्रावधान नागरिकों को सरकारी दुरुपयोग से नहीं बचाते हैं। राष्ट्रीय सुरक्षा छूट सरकारी एजेंसियों को अधिकांश प्रतिबंधों से बचने की अनुमति देती है, जिसमें सहमति प्राप्त करने की आवश्यकता भी शामिल है। मूलतः, जिस प्राधिकरण को व्यक्तिगत डेटा की सुरक्षा का कार्य सौंपा गया है, वह “सार्वजनिक व्यवस्था” जैसे अस्पष्ट रूप से परिभाषित शर्तों के तहत नियमों को दरकिनार कर सकता है। यह 9/11 के बाद संयुक्त राज्य अमेरिका के पैट्रियट अधिनियम में निहित छूटों के समान है, जहां विशाल निगरानी शक्तियों ने व्यक्तिगत अधिकारों को ओझल कर दिया। जबकि भारतीय सरकार का कहना है कि ये छूटें “आवश्यक” हैं, अनुपात और दुरुपयोग को रोकने के लिए कोई स्वतंत्र निगरानी तंत्र नहीं है।

व्यापारों के लिए अनुपालन का संकट

कॉरपोरेट्स, विशेषकर छोटे और मध्यम आकार के उद्यमों (SMEs) के लिए, DPDP ढांचा एक दोधारी तलवार साबित हो रहा है। एक ओर, चरणबद्ध अनुपालन संसाधनों की कमी वाले कंपनियों के लिए एक कुशन प्रदान करता है; दूसरी ओर, डेटा ऑडिट और उल्लंघन सूचनाओं जैसी बुनियादी आवश्यकताएं भी पुनरावृत्त लागतों का परिणाम बन सकती हैं। OTT प्लेटफार्मों और गेमिंग जैसे क्षेत्रों, जो व्यवहारिक ट्रैकिंग पर भारी निर्भर करते हैं, अब बच्चों के डेटा को संसाधित करने पर प्रतिबंधों के कारण परिचालन बाधाओं का सामना कर रहे हैं। यहाँ जो कमी है वह इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) द्वारा अनुपालन अर्थशास्त्र का अनुमान लगाने का अभ्यास है। अनुपालन अर्थशास्त्र पर इस चुप्पी ने उन उद्योगों को अज्ञात बना दिया है — विशेषकर स्टार्टअप्स — जो अभी भी महामारी के समय की वित्तीय संकट से जूझ रहे हैं।

संरचनात्मक तनाव: संघवाद, अस्पष्टता, और जवाबदेही

व्यापार के निहितार्थों के अलावा, DPDP ढांचा शासन में नए दोष रेखाएँ आमंत्रित करता है। डेटा संग्रह अक्सर संघीय अधिकार क्षेत्रों को पार करता है, लेकिन राज्यों को संचालनात्मक आर्किटेक्चर में स्पष्ट रूप से अनुपस्थित रखा गया है। यह बहिष्कार स्वास्थ्य देखभाल या आपदा प्रबंधन जैसे क्षेत्रों में समस्याग्रस्त हो जाता है, जहां राज्य सरकारें व्यक्तिगत डेटा के विशाल भंडार को एकत्रित करती हैं। इसके अलावा, हाल की RTI (सूचना का अधिकार) संशोधन अधिकारियों के व्यक्तिगत डेटा की सार्वजनिक जांच को सीमित करते हैं। ऐसे उपाय राज्य स्तर की नौकरशाहियों में डेटा उल्लंघनों को प्रोत्साहित कर सकते हैं, जवाबदेही और छूट के बीच के अंतर को और बढ़ा सकते हैं।

हालांकि, असली परीक्षा प्रवर्तन में है। DPB, जिसकी पूरी तरह से डिजिटल शिकायत समाधान प्रणाली है, कुशलता से निर्णय लेने का लक्ष्य रखती है, लेकिन यह स्पष्ट नहीं है कि कैसे कम संसाधनों वाले नागरिक, विशेषकर सीमित डिजिटल पहुंच वाले ग्रामीण जनसंख्या, इस न्यायिक ढांचे को प्रभावी ढंग से नेविगेट करेंगे। भारत की डिजिटल विभाजन — जहां केवल 43% ग्रामीण परिवारों ने 2021 के सरकारी सर्वेक्षण में इंटरनेट एक्सेस की सूचना दी — उस जवाबदेही को कमजोर कर सकती है जिसे बोर्ड सुनिश्चित करने का प्रयास कर रहा है।

अंतर्राष्ट्रीय दृष्टिकोण: भारत बनाम यूरोपीय संघ

भारत का DPDP अधिनियम प्रारंभ में यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (GDPR) से तुलना में आया, लेकिन कार्यान्वयन में अंतर स्पष्ट हैं। GDPR, जो 2018 से लागू है, सदस्य राज्यों में समान नियम लागू करता है, भारी दंड और स्वतंत्र डेटा प्राधिकरणों के साथ जो राजनीतिक हस्तक्षेप के बिना काम करते हैं। महत्वपूर्ण रूप से, GDPR की “वैध प्रसंस्करण” की परिभाषा इतनी मजबूत है कि यह मनमाने सरकारी छूटों को प्रतिबंधित करती है — जो DPDP में एक स्पष्ट कमी है। इसी तरह, GDPR “मानक संविदात्मक धाराओं” और “बाध्यकारी कॉर्पोरेट नियमों” के माध्यम से पार-सीमा डेटा ट्रांसफर पर स्पष्ट सीमाएं निर्धारित करता है। इसके विपरीत, भारत का अस्पष्ट “विश्वसनीय देशों” का प्रावधान केंद्र को डेटा प्रवाह के निर्णय लेने की एकतरफा शक्ति देता है, जिससे कॉर्पोरेट अनुपालन में भू-राजनीतिक चर शामिल होते हैं।

सफलता कैसी दिखेगी?

DPDP ढांचे के प्रभावी कार्य करने के लिए तीन मानदंडों पर ध्यान देने की आवश्यकता है। पहले, DPB के साथ दर्ज शिकायतों का समाधान दर, विशेषकर सीमित डिजिटल साक्षरता वाले हाशिए पर पड़े उपयोगकर्ताओं के लिए। दूसरे, डेटा ट्रांसफर के लिए विश्वसनीय देशों के संबंध में सरकार की सूचनाओं की समयबद्धता और स्पष्टता। यहाँ देरी भारत के IT और क्लाउड सेवाओं के क्षेत्रों में वैश्विक निवेश को खतरे में डाल सकती है। तीसरे, केंद्र की अपनी डेटा निगरानी गतिविधियों को स्वतंत्र ऑडिट तंत्र के अधीन करने की इच्छा, जो राष्ट्रीय सुरक्षा और व्यक्तिगत स्वायत्तता के बीच संतुलन स्थापित करने का इरादा संकेत करेगी।

यह कहना अभी बहुत जल्दी है कि क्या ये नियम अपने आकांक्षात्मक स्वर के साथ कार्यात्मक रूप से मेल खाएंगे। बहुत कुछ केंद्र के प्रवर्तन पर निर्भर करता है, बल्कि इस पर भी कि क्या उद्योग — जो पहले से ही पतले पड़ चुके हैं — नियामक अनुपालन के लिए तैयार हैं।

प्रारंभिक अभ्यास प्रश्न

1. DPDP अधिनियम, 2023 के तहत, कंपनियों को तीन वर्षों की निष्क्रियता के बाद उपयोगकर्ता डेटा को हटाने से पहले कितने समय तक बनाए रखना होगा?
   • A. 15 दिन
   • B. 30 दिन
   • C. 48 घंटे
   • D. 7 दिन
2. निम्नलिखित में से कौन सा डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 की विशेषता नहीं है?
   • A. अनुमति आधारित डेटा प्रसंस्करण
   • B. पार-सीमा डेटा ट्रांसफर पर प्रतिबंध
   • C. सहमति प्रबंधकों का निर्माण
   • D. बाल डेटा सुरक्षा सुरक्षा

मुख्य परीक्षा अभ्यास प्रश्न

आलोचनात्मक रूप से मूल्यांकन करें कि क्या डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 व्यक्तियों के अधिकारों और व्यवसायों पर अनुपालन के बोझ के बीच संतुलन बनाते हैं। यह ढांचा सरकारी निगरानी के मामलों को कितनी दूर तक संबोधित करता है?