एडिटोरियल (18 Nov, 2025)



भारत में सुदृढ़ डिजिटल डेटा सुरक्षा व्यवस्था की पुनःसंरचना

यह एडिटोरियल 17/11/2025 को द हिंदू में प्रकाशित Too little, much later: on the Digital Personal Data Protection Rules, 2025पर आधारित है। लेख में यह उल्लेख किया गया है कि डिजिटल पर्सनल डेटा प्रोटेक्शन नियम, 2025 ने एक अधिक स्पष्ट, नागरिक-केंद्रित ढाँचा निर्मित किया है जिसमें व्यक्तियों के अधिकार अधिक प्रबल किये गये हैं। तथापि, इस लेख में इन नियमों की विलंबित अधिसूचना और आंशिक रूप से शिथिल स्वरूप की आलोचना भी की गई है, क्योंकि इससे पारदर्शिता कम होती है तथा सुरक्षा-उपायों को आगे के लिये टाल दिया जाता है जिससे नागरिकों के लिये समयबद्ध संरक्षण कमज़ोर पड़ जाता है।

प्रिलिम्स के लिये: डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम, 2023, डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) नियम, 2025, डेटा फ़िड्यूशरी, डेटा प्रिंसिपल, डेटा प्रोसेसर, सहमति प्रबंधक, दूरसंचार विवाद निपटान और अपीलीय अधिकरण (TDSAT), के.एस. पुट्टास्वामी बनाम भारत संघ (2017), सूचना का अधिकार (RTI) अधिनियम

मेन्स के लिये: डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम, 2023 की मुख्य विशेषताएँ, डिजिटल पर्सनल डेटा प्रोटेक्शन नियम, 2025 के प्रमुख प्रावधान, डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम, 2023 तथा डिजिटल पर्सनल डेटा प्रोटेक्शन नियम, 2025 के कार्यान्वयन से जुड़ी प्रमुख चुनौतियाँ

तीव्र गति से डिजिटल होते विश्व में व्यक्तिगत आँकड़ों की सुरक्षा पहले से कहीं अधिक महत्त्वपूर्ण हो गयी है। भारत सरकार ने डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) नियम, 2025 को नवंबर, 2025 में अधिसूचित किया जिससे डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम, 2023 पूर्णतः लागू हो गया। अधिनियम और नियम मिलकर एक नागरिक-केंद्रित कार्यढाँचा स्थापित करते हैं जो निजता-अधिकारों को डिजिटल व्यक्तिगत आँकड़ों के विधिसम्मत तथा उत्तरदायी उपयोग के साथ संतुलित करता है। यह कार्यढाँचा जहाँ एक ओर व्यक्तियों के अधिकारों को सुदृढ़ करता है, उत्तरदायित्व को बढ़ाता है तथा पारदर्शी आँकड़ा-प्रथाओं को प्रोत्साहित करता है वहीं दूसरी ओर इस पर क्रियान्वयन में विलंब और पारदर्शिता-संबंधी प्रावधानों की कमज़ोरी को लेकर आलोचना भी हुई है। ऐसी चिंताएँ समयबद्ध सुरक्षा-उपबंधों, प्रभावी पर्यवेक्षण तथा सख्त प्रवर्तन को सुनिश्चित करने में चुनौतियाँ उत्पन्न करती हैं।

डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम, 2023 की प्रमुख विशेषताएँ क्या हैं?

  • प्रयोज्यता: यह अधिनियम भारत के भीतर डिजिटल व्यक्तिगत डेटा के प्रसंस्करण पर लागू होता है, जिसमें ऑनलाइन एकत्र किया गया डेटा और डिजिटलीकृत ऑफलाइन डेटा दोनों शामिल हैं।
    • यह भारत के बाहर प्रसंस्करण को भी कवर करता है, यदि इसमें भारत में व्यक्तियों को वस्तुएँ या सेवाएँ प्रदान करना शामिल है।
  • मूल सिद्धांत: यह सात प्रमुख सिद्धांतों पर आधारित है— सहमति, पारदर्शिता, उद्देश्य सीमा, डेटा मिनीमाइज़ेशन, सटीकता, स्टोरेज लिमिट, सुरक्षा उपाय और उत्तरदायित्व, जो प्रत्येक चरण में वैध डेटा प्रसंस्करण का मार्गदर्शन करते हैं।
    • यह अधिनियम SARAL दृष्टिकोण को अपनाता है, जिसका अर्थ है कि इसे सरल, सुलभ, तर्कसंगत और कार्रवाई योग्य बनाया गया है।
  • डेटा प्रिंसिपल के अधिकार: व्यक्तियों को अपने व्यक्तिगत डेटा की स्पष्ट सहमति, एक्सेस, सुधार, अद्यतन और विलोपन का अधिकार प्राप्त है।
    • यदि आवश्यक हो, तो वे अपनी ओर से इन अधिकारों का प्रयोग करने के लिये किसी अन्य व्यक्ति को नामित कर सकते हैं।
    • यह अधिनियम ऐसे अनुरोधों का एक निर्दिष्ट समय-सीमा के भीतर प्रतिक्रिया देने का आदेश देता है।
  • डेटा फिड्यूशरीज़ के दायित्व: डेटा संसाधित करने वाली संस्थाओं को उचित सुरक्षा उपाय लागू करने होंगे, स्पष्ट सहमति प्राप्त करनी होगी, आवश्यकता न होने पर या सहमति वापस लेने पर डेटा इरेज़ करना होगा, उल्लंघनों के बारे में व्यक्तियों और डेटा संरक्षण बोर्ड को सूचित करना होगा तथा शिकायत निवारण तंत्र स्थापित करना होगा।
  • महत्त्वपूर्ण डेटा फिड्यूशरीज़: कुछ बड़े या संवेदनशील डेटा संचालकों को महत्त्वपूर्ण डेटा फिड्यूशरीज़ के रूप में नामित किया गया है, जिनके अतिरिक्त दायित्व हैं जैसे: डेटा ऑडिटर नियुक्त करना, समय-समय पर प्रभाव आकलन करना और नई या संवेदनशील तकनीकों पर कड़े नियमों का पालन करना।
    • डेटा फिड्यूशरीज़ को स्पष्ट संचार प्रदान करना होगा, डेटा सुरक्षा अधिकारियों के संपर्क विवरण प्रकाशित करने होंगे, स्वतंत्र ऑडिट करने होंगे तथा व्यक्तिगत डेटा की सुरक्षा और वैध उपयोग के लिये जवाबदेही सुनिश्चित करनी होगी।
  • भारतीय डेटा संरक्षण बोर्ड: यह अधिनियम अनुपालन की निगरानी, ​​उल्लंघनों की जाँच, सुधारात्मक कार्रवाई, दंड का प्रावधान और शिकायतों का निपटारा करने के लिये एक स्वतंत्र नियामक प्राधिकरण की स्थापना करता है।
  • विशेष संरक्षण: यह अधिनियम सत्यापन योग्य अभिभावकीय सहमति की आवश्यकता और लक्षित विज्ञापन या बच्चों पर नज़र रखने जैसे हानिकारक प्रसंस्करण को प्रतिबंधित करके बच्चों के डेटा के लिये बेहतर संरक्षण प्रदान करता है।
    • इसमें दिव्यांग जनों के लिये सुरक्षा उपाय भी शामिल हैं जिनके लिये सत्यापित कानूनी अभिभावकों की सहमति आवश्यक है।
  • सीमा-पार डेटा स्थानांतरण: सरकार द्वारा प्रतिबंधित देशों को छोड़कर, भारत के बाहर स्थानांतरण की अनुमति है।
    • प्रतिबंधों एवं शर्तों का उद्देश्य डेटा सॉवरेनिटी की रक्षा करना और सुरक्षा प्रदान करना है।
  • छूट: डेटा प्रिंसिपल के अधिकार और डेटा फिड्यूशरीज़ के दायित्व (डेटा सुरक्षा को छोड़कर) कुछ विशिष्ट मामलों में लागू नहीं होंगे, जिनमें शामिल हैं:
    • अधिसूचित एजेंसियों के लिये, सुरक्षा, सॉवरेनिटी, सार्वजनिक व्यवस्था आदि के हित में।
    • अनुसंधान, संग्रह या सांख्यिकीय उद्देश्यों के लिये।
    • स्टार्ट-अप या डेटा फिड्यूशरीज़ की अन्य अधिसूचित श्रेणियों के लिये।
    • कानूनी अधिकारों और दावों को लागू करने के लिये; या अपराधों की रोकथाम एवं जाँच के लिये।
    • न्यायिक या नियामक कार्य करने के लिये।
    • विदेशी अनुबंध के तहत गैर-निवासियों के व्यक्तिगत डेटा को भारत में संसाधित करने के लिये।
  • दंड और प्रवर्तन: यह अधिनियम उल्लंघनों के लिये पर्याप्त वित्तीय दंड निर्धारित करता है, जिसमें सुरक्षा उपायों में विफलता, उल्लंघन की सूचना और बाल डेटा सुरक्षा दायित्व शामिल हैं, जो अनुपालन की गंभीरता को पुष्ट करता है।
    • यह अधिनियम डेटा प्रिंसिपल को अपने अधिकारों का प्रयोग करने में सुविधा प्रदान करने के लिये एक सुविधा के रूप में डेटा सहमति प्रबंधक (कंसेंट मैनेजर) की अवधारणा प्रस्तुत करता है।

DPDP अधिनियम, 2023 के अंतर्गत प्रमुख शब्द

  • डेटा फ़िड्यूशरीज़: एक इकाई जो यह तय करती है कि व्यक्तिगत डेटा, अकेले या दूसरों के साथ मिलकर क्यों और किस प्रकार संसाधित किया जाए।
  • डेटा प्रिंसिपल: वह व्यक्ति जिससे व्यक्तिगत डेटा संबंधित है। बच्चे के मामले में, इसमें माता-पिता या वैध अभिभावक शामिल हैं। किसी दिव्यांग व्यक्ति के लिये जो स्वतंत्र रूप से कार्य नहीं कर सकता, इसमें उसकी ओर से कार्य करने वाला वैध अभिभावक शामिल है।
  • डेटा प्रोसेसर: कोई भी इकाई जो डेटा फिड्यूशरीज़  की ओर से व्यक्तिगत डेटा संसाधित करती है।
  • सहमतिप्रबंधक (कंसेंट मैनेजर): एक इकाई जो एक एकल, पारदर्शी और अंतर-संचालनीय प्लेटफॉर्म प्रदान करती है जिसके माध्यम से डेटा प्रिंसिपल सहमति दे सकता है, उसका प्रबंधन कर सकता है, उसकी समीक्षा कर सकता है या उसे वापस ले सकता है।
  • अपीलीय अधिकरण: दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण (TDSAT), जो डेटा संरक्षण बोर्ड के निर्णयों के विरुद्ध अपीलों की सुनवाई करता है।

डिजिटल पर्सनल डेटा प्रोटेक्शन नियम, 2025 के प्रमुख प्रावधान और इच्छित लाभ क्या हैं?

  • व्यक्ति-केंद्रित डेटा शासन: DPDP ढाँचा डेटा प्रिंसिपल (व्यक्ति) की आवश्यकताओं और अधिकारों के इर्द-गिर्द डिज़ाइन किया गया है, यह सुनिश्चित करते हुए कि नागरिक (न कि निगम या राज्य) डेटा संरक्षण के केंद्र में हों।
    • नियम स्पष्ट, सरल भाषा में लिखे गए हैं, जिससे आम उपयोगकर्त्ता बिना किसी विधिक विशेषज्ञता के अपने अधिकारों को समझ सकें।
    • व्यक्तिगत डेटा का प्रबंधन करने वाले संगठनों को पारदर्शिता, ज़िम्मेदारी और स्पष्ट जवाबदेही के साथ काम करना चाहिये।
  • डेटा प्रिंसिपल के अधिकार: नागरिक यह जानकारी मांग सकते हैं कि कौन-सा व्यक्तिगत डेटा एकत्र किया गया है, इसे क्यों एकत्र किया गया है और इसका उपयोग किस-प्रकार किया जा रहा है।
    • व्यक्ति अपने व्यक्तिगत डेटा की एक प्रति की मांग कर सकते हैं जो डेटा फिड्युशरी के पास है।
    • लोग गलत या अपूर्ण व्यक्तिगत डेटा में सुधार का अनुरोध कर सकते हैं।
    • नागरिक अपने विवरण में बदलाव के लिये अनुरोध कर सकते हैं, जैसे कि नया पता या अपडेट किया गया संपर्क नंबर।
    • व्यक्ति कुछ स्थितियों में व्यक्तिगत डेटा को हटाने का अनुरोध कर सकते हैं।
    • प्रत्येक व्यक्ति अपनी ओर से अपने डेटा अधिकारों का प्रयोग करने के लिये किसी को नियुक्त कर सकता है।
    • अब व्यक्तियों को अपने व्यक्तिगत डेटा के प्रसंस्करण के लिये सहमति देने, अस्वीकार करने या वापस लेने का स्पष्ट अधिकार है।
  • नब्बे दिनों के भीतर अनिवार्य प्रतिक्रिया: डेटा न्यासियों को समय पर कार्रवाई और जवाबदेही सुनिश्चित करते हुए, अधिकतम नब्बे दिनों के भीतर एक्सेस, सुधार, अद्यतन या विलोपन से संबंधित सभी अनुरोधों का समाधान करना आवश्यक है।
  • व्यक्तिगत डेटा उल्लंघनों के दौरान संरक्षण: यदि कोई उल्लंघन होता है, तो नागरिकों को शीघ्र-अतिशीघ्र सूचित किया जाना चाहिये। संदेश में यह स्पष्ट किया जाना चाहिये कि क्या हुआ है और वे क्या कदम उठा सकते हैं। इससे लोगों को नुकसान कम करने के लिये शीघ्र कार्रवाई करने में सहायता मिलती है।
  • प्रश्नों और शिकायतों के लिये स्पष्ट संपर्क: डेटा न्यासियों को व्यक्तिगत डेटा से संबंधित प्रश्नों के लिये एक संपर्क बिंदु प्रदान करना चाहिये। यह एक नामित अधिकारी या डेटा सुरक्षा अधिकारी हो सकता है।
  • बच्चों के लिये विशेष सुरक्षा: जब किसी बच्चे का व्यक्तिगत डेटा शामिल हो, तो माता-पिता या अभिभावक की सत्यापन योग्य सहमति आवश्यक है।
    • यह सहमति तब तक आवश्यक है जब तक कि प्रसंस्करण स्वास्थ्य सेवा, शिक्षा या रीयल-टाइम सुरक्षा जैसी आवश्यक सेवाओं से संबंधित न हो।
  • दिव्यांगजनों के लिये विशेष संरक्षण: यदि कोई दिव्यांग व्यक्ति सहायता के बावजूद कानूनी निर्णय नहीं ले सकता है, तो उसके वैध अभिभावक की सहमति आवश्यक है। इस अभिभावक का सत्यापन संबंधित कानूनों के तहत होना चाहिये।
  • सूचना का अधिकार (RTI) अधिनियम के साथ सामंजस्य: DPDP अधिनियम, सूचना के अधिकार के साथ निजता के अधिकारों का सामंजस्य स्थापित करने के लिये RTI अधिनियम की धारा 8(1)(j) में संशोधन करता है।
    • यह संशोधन न्यायिक तर्क को दर्शाता है कि निजता के निहितार्थों का आकलन किये बिना व्यक्तिगत जानकारी का खुलासा नहीं किया जाना चाहिये।
    • यह पारदर्शिता को सीमित नहीं करता, बल्कि यह सुनिश्चित करता है कि प्रकटीकरण न्यायोचित और ज़िम्मेदाराना हो।
      • के.एस. पुट्टास्वामी बनाम भारत संघ (2017) के निर्णय में सर्वोच्च न्यायालय ने अनुच्छेद 21 के तहत निजता को एक मूल अधिकार के रूप में मान्यता दी और व्यक्तिगत डेटा पर व्यक्तिगत स्वायत्तता को बनाए रखने वाले विधिक कार्यढाँचों की आवश्यकता पर बल दिया।

भारत के डेटा गवर्नेंस कार्यढाँचे से जुड़ी प्रमुख चुनौतियाँ क्या हैं?

  • सरकारी छूट और निगरानी जोखिम: यह अधिनियम सॉवरेनिटी और सार्वजनिक व्यवस्था के नाम पर डेटा प्रोसेसिंग के लिये सरकार को व्यापक छूट प्रदान करता है, जिससे अनियंत्रित निगरानी और संभावित निजता उल्लंघनों की चिंताएँ बढ़ जाती हैं।
    • मौलिक निजता अधिकारों पर के.एस. पुट्टास्वामी निर्णय के क्षरण की आशंका के कारण, इसकी कड़ी आलोचना की गई है।
    • DPDP अधिनियम, 2023 की धारा 44(3) के माध्यम से RTI अधिनियम की धारा 8(1)(j) में संशोधन, पारदर्शिता और जवाबदेही के RTI अधिनियम के मूल लक्ष्यों के लिये एक गंभीर खतरा उत्पन्न करता है।
    • यह संशोधन ‘व्यक्तिगत जानकारी’ की स्पष्ट परिभाषा दिये बिना उसके प्रकटीकरण पर पूर्ण प्रतिबंध लगाता है जिससे RTI अधिनियम के अंतर्गत पारदर्शिता तथा उत्तरदायित्व सुनिश्चित करने वाले एक महत्त्वपूर्ण सार्वजनिक निगरानी साधन की प्रभावशीलता कमज़ोर हो जाती है।
      • इससे सरकारी उत्तरदायित्व सुनिश्चित करने और भ्रष्टाचार को रोकने में RTI कार्यढाँचे के कम प्रभावी होने का खतरा है।
  • स्वतंत्र नियामक प्राधिकरण का अभाव: सरकार द्वारा नियुक्त डेटा संरक्षण बोर्ड में पूर्ण स्वायत्तता का अभाव है, जिससे निष्पक्षता, पारदर्शिता और चयनात्मक प्रवर्तन को लेकर चिंताएँ उत्पन्न होती हैं, जिससे डेटा विनियमन में जनता का विश्वास कम हो सकता है।
    • चूँकि नियुक्तियाँ और प्रशासनिक नियंत्रण मुख्यतः कार्यपालिका के पास होता है, इसलिये बोर्ड को निष्पक्ष निगरानी के लिये आवश्यक संस्थागत स्वतंत्रता प्राप्त नहीं हो सकती है।
  • सहमति और डेटा विषय अधिकारों के प्रबंधन में चुनौतियाँ: विस्तृत, सत्यापन योग्य और आयु-उपयुक्त सहमति तंत्रों को लागू करना जटिल है, विशेषकर बच्चों के डेटा प्रसंस्करण में माता-पिता की सहमति के लिये।
    • सहमति सत्यापन पर स्पष्टता का अभाव व्यक्तिगत डेटा के संचालकों के लिये अनुपालन चुनौतियों को बढ़ाता है।
    • न्यायमूर्ति बी.एन. श्रीकृष्ण समिति ने डेटा संरक्षण के केंद्र में सार्थक एवं सूचित सहमति पर बल दिया और सिफारिश की कि सहमति व्यक्तिगत डेटा प्रसंस्करण का वैध आधार हो।
  • तकनीकी अंतराल और नई तकनीकी चुनौतियाँ: यह अधिनियम ब्लॉकचेन, AI, बिग डेटा एनालिटिक्स और IoT जैसी उभरती प्रौद्योगिकियों पर विशेष रूप से ध्यान नहीं देता है, जिनमें विकेंद्रीकृत, स्वचालित डेटा प्रसंस्करण शामिल है, जिससे संभावित रूप से नियामक अंतराल एवं विधिक अनिश्चितताएँ उत्पन्न हो सकती हैं।
    • लार्ज लैंग्वेज मॉडल्स (LLM) विशाल और प्रायः स्क्रैप किये गये डेटासेट पर प्रशिक्षित होते हैं, जिनमें निजी जानकारी हो सकती है।
    • इससे ‘डेटा रीगर्जिटेशन’ की स्थिति उत्पन्न हो सकती है जिसमें मॉडल सामान्य बातचीत के दौरान अनजाने में अपने ट्रेनिंग कॉर्पस में मौजूद संवेदनशील व्यक्तिगत डेटा उपयोगकर्त्ता को लीक कर देता है।
    • विशेष रूप से बिग डेटा का उपयोग करने वाले AI मॉडल गैर-संवेदनशील तथा प्रत्यक्ष रूप से गुमनाम दिखने वाले इनपुट से स्वास्थ्य स्थितियों, राजनीतिक दृष्टिकोण या यौन अभिरुचि जैसी संवेदनशील व्यक्तिगत जानकारी का अनुमान लगा सकते हैं जिससे व्यक्ति की पुनः पहचान संभव हो जाती है तथा यह डेटा प्राइवेसी के लिये गंभीर चिंता उत्पन्न करता है।
  • जन जागरूकता और डिजिटल साक्षरता की कमी: कई भारतीय उपयोगकर्त्ताओं में (विशेष रूप से ग्रामीण क्षेत्रों में) अपने डेटा अधिकारों और उनके प्रयोग की जागरूकता का अभाव होता है, जिससे अधिनियम के तहत सुरक्षा के प्रभावी उपयोग में बाधा आती है।
    • सरकारी अभियानों की योजना तो बनाई जाती है, लेकिन व्यापक प्रभाव के लिये अभी तक कोई स्पष्ट रणनीति या पैमाना नहीं है।
  • सीमा पार डेटा ट्रांसफर अनिश्चितताएँ: डेटा स्थानीयकरण और अंतर्राष्ट्रीय डेटा फ्लो से जुड़ी अस्पष्टताएँ बहुराष्ट्रीय कंपनियों के लिये अनुपालन संबंधी अनिश्चितताएँ उत्पन्न करती हैं तथा GDPR जैसे वैश्विक नियमों के साथ असंगति उत्पन्न कर सकती हैं, जिससे वैश्विक संचालन जटिल हो जाता है।
  • संभावित अति-दंड: यद्यपि कठोर आर्थिक दंड प्रवर्तन के लिये आवश्यक हैं, परंतु अनुपातहीन दंड छोटे व्यवसायों की अनुपालन क्षमता को बाधित कर सकते हैं जिससे चयनात्मक प्रवर्तन या कानूनी चुनौतियों की स्थिति उत्पन्न हो सकती है।
    • लघु उद्यमों को तकनीकी और विधिक आवश्यकताओं को पूरा करने में कठिनाइयों का सामना करना पड़ता है जैसे: डेटा प्रोटेक्शन ऑफिसर की नियुक्ति, नियमित ऑडिट कराना तथा सुरक्षित अवसंरचना बनाए रखना।
    • यह अनुपालन बोझ नवाचार को हतोत्साहित कर सकता है या सीमित संसाधनों और विशेषज्ञता की कमी के कारण छोटे उद्यमों को बाज़ार से बाहर होने के लिये विवश कर सकता है।

भारत में एक दृढ़ और जन-केंद्रित डिजिटल व्यक्तिगत डेटा सुरक्षा व्यवस्था बनाने के लिये क्या उपाय अपनाए जा सकते हैं?

  • संस्थागत स्वतंत्रता को सुदृढ़ करना: भारत को भारतीय डेटा संरक्षण बोर्ड (DPBI) की स्वायत्तता एवं स्वतंत्रता को बढ़ाना चाहिये, इसे सरकारी व कॉर्पोरेट प्रभाव से अलग रखना चाहिये और निष्पक्ष नियामक निगरानी सुनिश्चित करनी चाहिये।
    • न्यायमूर्ति बी.एन. श्रीकृष्ण समिति की अनुशंसाओं तथा यूरोपीय डेटा संरक्षण बोर्ड (EDPB) जैसे वैश्विक मॉडलों को ध्यान में रखते हुए, विश्वसनीयता और सार्वजनिक विश्वास बनाने के लिये एक अलग बजट, पारदर्शी नियुक्ति प्रक्रिया एवं न्यायिक समीक्षा तंत्र स्थापित किये जाने चाहिये।
  • सरकारी छूटों को स्पष्ट और सीमित करना: सॉवरेनिटी और सुरक्षा के आधार पर सरकार की डेटा प्रोसेसिंग छूटों को स्पष्ट रूप से परिभाषित किया जाना चाहिये और दुरुपयोग को रोकने के लिये न्यायिक या संसदीय निगरानी होनी चाहिये।
    • विधायी कार्यढाँचे में के.एस. पुट्टास्वामी बनाम भारत संघ (2017) के निर्णय जैसे सुरक्षा प्रावधान अंतर्निहित होने चाहिये जो निजता को संवैधानिक रूप से संरक्षित अधिकार के रूप में स्वीकार करता है, ताकि राज्य के हित मूल अधिकारों पर अनुचित अतिक्रमण न करें या अनियंत्रित निगरानी की अनुमति न दें।
  • MSME और स्टार्टअप्स के लिये व्यावहारिक अनुपालन सक्षम करना: लागत और क्षमता संबंधी सीमाओं को ध्यान में रखते हुए सरकार को चाहिये कि उद्यम के आकार तथा रिस्क प्रोफाइल के आधार पर स्तरीकृत अनुपालन आवश्यकताएँ लागू की जायें।
    • सब्सिडी, तकनीकी सहायता, क्षमता निर्माण कार्यक्रम और साझा बुनियादी अवसंरचना प्लेटफॉर्म (जैसे: केंद्रीकृत सहमति प्रबंधक) प्रदान करने से SME पर बोझ कम हो सकता है, नवाचार को प्रोत्साहित किया जा सकता है, साथ ही सुदृढ़ निजता सुरक्षा उपायों को बनाए रखा जा सकता है।
    • यह दृष्टिकोण सिंगापुर और ऑस्ट्रेलिया जैसे क्षेत्राधिकारों में अपनाई गई सर्वोत्तम अंतर्राष्ट्रीय प्रथाओं के अनुरूप है।
  • स्पष्ट और सत्यापन योग्य सहमति तंत्र को अनिवार्य करना: सरकार को यह सुनिश्चित करना चाहिये कि सहमति की प्रक्रियाएँ स्पष्ट, सूक्ष्म, सरलतापूर्वक समझी जाने योग्य और सत्यापन योग्य हों। बच्चों से संबंधित डेटा के लिये आयु-उपयुक्त अभिभावकीय सत्यापन की व्यवस्था भी लागू की जानी चाहिये ताकि ‘एजेंसी’ एवं ‘पारदर्शिता’ को सुनिश्चित किया जा सके।
    • GDPR की स्पष्ट सहमति आवश्यकताओं से सीख लेते हुए, सहमति प्रबंधकों (कंसेंट मैनेजरों) के लिये तकनीकी अंतर-संचालनीयता मानकों को निर्धारित किया जाना चाहिये तथा ‘कंसेंट फटीग’ को रोकने और वास्तविक उपयोगकर्त्ता नियंत्रण सुनिश्चित करने के लिये नियमित रूप से उनका ऑडिट किया जाना चाहिये।
  • जन जागरूकता और डिजिटल साक्षरता पहलों को बढ़ावा देना: इस कार्यढाँचे की प्रभावशीलता को अधिकतम करने के लिये, सरकार को शहरी एवं ग्रामीण आबादी, दोनों को लक्षित करते हुए बड़े पैमाने पर शिक्षा अभियान शुरू करने चाहिये, जिससे डेटा प्राइवेसी अधिकारों और उपायों के बारे में जागरूकता बढ़े।
    • नागरिक समाज, शैक्षणिक संस्थानों और डिजिटल प्लेटफॉर्म के साथ कई भाषाओं में सुलभ कंटेंट के लिये साझेदारी नागरिकों को अपनी सुरक्षा का समग्र रूप से उपयोग करने तथा संस्थाओं को उत्तरदायी बनाने में सक्षम बनाएगी।
  • उभरती प्रौद्योगिकी चुनौतियों का समाधान: AI, ब्लॉकचेन, IoT और बिग डेटा एनालिटिक्स जैसी उभरती प्रौद्योगिकियों के लिये नियामक मार्गदर्शन का अध्ययन तथा डिज़ाइन करने के लिये एक समर्पित टास्क फोर्स का गठन किया जाना चाहिये, ताकि यह सुनिश्चित किया जा सके कि वे नवाचार को बाधित किये बिना डेटा सुरक्षा सिद्धांतों का अनुपालन करें।
    • गतिशील नियम और आवधिक समीक्षाएँ नियामक प्रासंगिकता बनाए रख सकती हैं तथा जोखिमों का पूर्वानुमान लगा सकती हैं, जैसा कि श्री कृष्ण समिति द्वारा अनुशंसित और यूरोपीय संघ के AI अधिनियम जैसे कार्यढाँचों में परिलक्षित होता है।
  • सीमा पार डेटा ट्रांसफर विनियमों को सुव्यवस्थित करना: सरकार को वैश्विक व्यापार को सुविधाजनक बनाने के लिये सुरक्षित, मानकीकृत द्विपक्षीय एवं बहुपक्षीय डेटा ट्रांसफर समझौतों को बढ़ावा देते हुए डेटा स्थानीयकरण मानदंडों को स्पष्ट करना चाहिये।
    • अंतर्राष्ट्रीय कार्यढाँचे (जैसे: GDPR के पर्याप्तता संबंधी निर्णय) के साथ तालमेल बिठाने से भारतीय व्यवसायों को डेटा सॉवरेनिटी एवं नागरिकों के अधिकारों की सुरक्षा करते हुए अंतर्राष्ट्रीय स्तर पर प्रतिस्पर्द्धा करने में सहायता मिलेगी।

निष्कर्ष:

भारत के डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम, 2023 तथा डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) नियम, 2025 को के.एस. पुट्टस्वामी निर्णय में स्थापित ‘निजता के संवैधानिक अधिकार’ को क्रियाशील बनाने की दिशा में एक महत्त्वपूर्ण उपलब्धि माना जाता है। किंतु इसकी सफलता अनेक क्रियान्वयन संबंधी चुनौतियों के समाधान पर निर्भर करती है। स्वतंत्र निरीक्षण तंत्र को सुदृढ़ करना, अपवाद प्रावधानों को परिष्कृत करना, लघु व मध्यम उद्यमों के लिये अनुपालन को सरल बनाना, सहमति आधारित कार्यढाँचे को बेहतर करना, डिजिटल साक्षरता बढ़ाना, उभरती तकनीकों का विनियमन सुनिश्चित करना तथा सीमा-पार डेटा ट्रांसफर को सुचारु बनाना— ये सभी एक ऐसे संतुलित डेटा-शासन तंत्र के निर्माण के लिये आवश्यक हैं जो अधिकारों की रक्षा करते हुए नवाचार एवं आर्थिक विकास को सक्षम करता है।

दृष्टि मेन्स प्रश्न: 

प्रश्न. “के.एस. पुट्टास्वामी मामले (2017) में सर्वोच्च न्यायालय द्वारा निजता को एक मूल अधिकार के रूप में पुष्टि की गई थी।” चर्चा कीजिये कि भारत का डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम, 2023 और नियम, 2025 इस अधिकार को किस-प्रकार लागू करते हैं तथा इनके कार्यान्वयन में आने वाली चुनौतियाँ क्या हैं।

प्रायः पूछे जाने वाले प्रश्न (FAQ)

प्रश्न 1. DPDP नियम, 2025 के मुख्य प्रावधान क्या हैं?

DPDP नियम, 2025, सत्यापन योग्य सहमति, सरल भाषा में सूचना, सुरक्षा उपाय (एन्क्रिप्शन, लॉगिंग), 72 घंटों के भीतर डेटा संरक्षण बोर्ड को उल्लंघन की सूचना, डेटा प्रतिधारण/मिटाने के मानदंड और महत्त्वपूर्ण डेटा न्यासियों पर दायित्वों को अनिवार्य करके DPDP अधिनियम को क्रियान्वित करते हैं।

प्रश्न 2. DPDP अधिनियम और नियमों के तहत भारत को किन प्रमुख कार्यान्वयन चुनौतियों का सामना करना पड़ रहा है?

प्रमुख चुनौतियों में व्यापक सरकारी छूट एवं निगरानी जोखिम, अस्पष्ट उल्लंघन समय-सीमा, सीमित नियामक स्वतंत्रता, MSME/स्टार्टअप के लिये उच्च अनुपालन लागत, कम डिजिटल साक्षरता और सीमा पार डेटा ट्रांसफर अनिश्चितताएँ शामिल हैं।

प्रश्न 3. DPDP नियम बच्चों और दिव्यांग जनों जैसे कमज़ोर समूहों की सुरक्षा किस प्रकार करते हैं?

नियमों में बच्चों के लिये सत्यापन योग्य माता-पिता की सहमति और दिव्यांग जनों के लिये न्यायालय-प्रमाणित या वैध अभिभावक की सहमति की आवश्यकता होती है तथा सुरक्षा बढ़ाने के लिये हार्मफुल प्रोफाइलिंग एवं लक्षित विज्ञापन को प्रतिबंधित किया जाता है।

प्रश्न 4. DPDP व्यवस्था के तहत स्टार्टअप्स और MSME के लिये अनुपालन को आसान बनाने के लिये कौन-से उपाय किये जा सकते हैं?

सरकार को लागत कम करने और नवाचार की रक्षा के लिये स्तरीय अनुपालन अपनाना चाहिये, सब्सिडी प्रदान करनी चाहिये, केंद्रीकृत सहमति प्रबंधकों जैसे साझा बुनियादी अवसंरचना, तकनीकी सहायता एवं क्षमता निर्माण प्रदान करना चाहिये।

UPSC सिविल सेवा परीक्षा, विगत वर्ष के प्रश्न (PYQ)

प्रिलिम्स 

प्रश्न 1.  भारत के संविधान के किस अनुच्छेद के अंतर्गत ‘निजता का अधिकार’ संरक्षित है? (2021)

(a) अनुच्छेद-15
(b) अनुच्छेद-19
(c) अनुच्छेद-21
(d) अनुच्छेद-29 

उत्तर: (c) 

प्रश्न 2. निजता के अधिकार को जीवन एवं व्यत्तिगत स्वतंत्रता के अधिकार के अंतर्भूत भाग के रूप में संरक्षित किया जाता है। भारत के संविधान में निम्नलिखित में से किससे उपर्युक्त कथन सही एवं समुचित ढंग से अर्थित होता है? (2018) 

(a) अनुच्छेद 14 एवं संविधान के 42वें संशोधन के अधीन उपबंध
(b) अनुच्छेद 17 एवं भाग IV में दिए राज्य की नीति के निदेशक तत्त्व
(c) अनुच्छेद 21 एवं भाग III में गारंटी की गई स्वतंत्रताएँ
(d) अनुच्छेद 24 एवं संविधान के 44वें संशोधन के अधीन उपबंध 

उत्तर: (c) 

मेन्स 

प्रश्न 1. निजता के अधिकार पर उच्चतम न्यायालय के नवीनतम निर्णय के आलोक में, मौलिक अधिकारों के विस्तार का परीक्षण कीजिये। (2017) 

प्रश्न 2. डिजिटल व्यक्ति डेटा संरक्षण अधिनियम, 2023 के संदर्भ तथा प्रमुख विशेषताओं का वर्णन कीजिये। (2024)