DPDP अधिनियम, 2023 और DPDP नियम, 2025 | 05 Jun 2025

स्रोत: हिंदुस्तान टाइम्स 

चर्चा में क्यों?

इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 को लागू करने के लिये डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 के प्रारूप पर सार्वजनिक प्रतिक्रिया आमंत्रित की है।

• वर्तमान में हितधारकों से प्राप्त सुझावों की समीक्षा की जा रही है और अंतिम नियमों को शीघ्र ही लागू किये जाने की संभावना है।

डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 क्या है?

• परिचय: यह भारत का पहला व्यापक डेटा संरक्षण कानून है, जो डिजिटल व्यक्तिगत डेटा के प्रबंधन के लिये एक कानूनी ढाँचा प्रदान करता है। इसका उद्देश्य व्यक्तिगत निजता की रक्षा करते हुए वैध डेटा प्रसंस्करण की अनुमति देना है।
  • सर्वोच्च न्यायालय के वर्ष 2017 के के.एस. पुट्टस्वामी निर्णय के लगभग 6 वर्ष बाद अधिनियमित, जिसमें अनुच्छेद 21 के तहत निजता को मूल अधिकार के रूप में मान्यता दी गई थी, यह अधिनियम गोपनीयता और डेटा संरक्षण दायित्वों को रेखांकित करने के लिये यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (GDPR) जैसे वैश्विक ढाँचे से प्रेरित है।
• प्रयोज्यता: यह अधिनियम भारत के भीतर संसाधित डिजिटल व्यक्तिगत डेटा पर लागू होता है, चाहे वह डिजिटल रूप से एकत्र किया गया हो या बाद में डिजिटाइज़ किया गया हो। इसके अतिरिक्त, यदि भारत में वस्तुएँ या सेवाएँ प्रदान करने के उद्देश्य से भारत के बाहर डेटा का संसाधन किया जाता है, तो वह भी इस अधिनियम के अंतर्गत आता है।
  • यह अधिनियम उन व्यक्तिगत डेटा पर लागू नहीं होता जो व्यक्तिगत कार्यों के लिये उपयोग किये जा रहे हों या जो डेटा प्रिंसिपल द्वारा सार्वजनिक किये गए हों अथवा किसी विधिक दायित्व के अंतर्गत सार्वजनिक किये गए हों।
• सहमति: व्यक्तिगत डेटा को केवल किसी वैध उद्देश्य के लिये डेटा प्रिंसिपल की सहमति से ही संसाधित किया जा सकता है, जिसे वह किसी भी समय वापस ले सकता है। बच्चों या दिव्यांग व्यक्तियों के मामले में, यह सहमति उनके माता-पिता या विधिक अभिभावक द्वारा दी जानी चाहिये।
  • DPDP अधिनियम, 2023 की धारा 9 के तहत, बच्चों के डेटा को संसाधित करने से पहले सत्यापित अभिभावकीय सहमति अनिवार्य है तथा यह 18 वर्ष से कम आयु के अवयस्कों के विरुद्ध हानिकारक प्रोसेसिंग और लक्षित विज्ञापन पर प्रतिबंध लगाता है।
  • किसी भी उपयोगकर्त्ता जिसकी आयु 18 वर्ष से कम हो, उसे इस अधिनियम के तहत बालक माना गया है।
  • वैध उपयोग जैसे सरकारी सेवाओं या चिकित्सा आपात स्थितियों के लिये सहमति आवश्यक नहीं होती।
• डेटा प्रिंसिपल के अधिकार और कर्त्तव्य: डेटा प्रिंसिपल (वे व्यक्ति जिनके व्यक्तिगत डेटा का प्रसंस्करण किया जा रहा है) को जानकारी प्राप्त करने, सुधार या हटाने का अनुरोध करने, शिकायत निवारण मांगने और मृत्यु या अक्षमता की स्थिति में प्रतिनिधि नामित करने का अधिकार होता है।
  • उन्हें झूठी शिकायतें या गलत जानकारी देने से बचना चाहिये और उल्लंघन करने पर ₹10,000 तक का ज़ुर्माना लगाया जा सकता है।
• डेटा फिड्युशरीज़ के दायित्व: डेटा फिड्युशरीज़ (वे संस्थाएँ या संगठन जो किसी व्यक्ति के व्यक्तिगत डेटा को एकत्रित, संग्रहित, संसाधित या उपयोग करते हैं) को डेटा की सटीकता सुनिश्चित करनी चाहिये, सुरक्षा उपाय लागू करने चाहिये ताकि डेटा उल्लंघनों को रोका जा सके और यदि कोई उल्लंघन होता है तो डेटा प्रिंसिपल, DPBI और प्रभावित व्यक्तियों को सूचित करना अनिवार्य है।
• जब उद्देश्य पूरा हो जाए और उसे बनाए रखना कानूनी रूप से आवश्यक न रह जाए, तो व्यक्तिगत डेटा को समाप्त करना भी आवश्यक है।
• डेटा फिड्युशरीज़ (SDF): केंद्र सरकार डेटा की मात्रा, संवेदनशीलता, व्यक्तिगत अधिकारों के लिये जोखिम और राष्ट्रीय सुरक्षा, संप्रभुता, लोकतंत्र तथा सार्वजनिक व्यवस्था के लिये खतरों जैसे कारकों के आधार पर कुछ डेटा फिड्युशरीज़ को SDF के रूप में नामित कर सकती है।
  • SDF के अतिरिक्त दायित्व है- एक डेटा संरक्षण अधिकारी नियुक्त करना, स्वतंत्र ऑडिटर की नियुक्ति करना, डेटा प्रभाव आकलन (डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट) करना आदि।
• छूट: डेटा प्रिंसिपल के अधिकार और डेटा फिड्युशरीज़ के दायित्व (डेटा सुरक्षा को छोड़कर) निर्दिष्ट मामलों में लागू नहीं होंगे, जिनमें शामिल हैं:
  • अधिसूचित एजेंसियों के लिये, सुरक्षा, संप्रभुता, सार्वजनिक व्यवस्था आदि के हित में।
  • अनुसंधान, संग्रहण या सांख्यिकीय प्रयोजनों के लिये।
  • स्टार्ट-अप्स या अन्य अधिसूचित श्रेणियों के लिये।
  • कानूनी अधिकारों या दावों को लागू करने या अपराधों की रोकथाम/जाँच के लिये।
  • न्यायिक या नियामक कार्यों के निष्पादन के लिये।
  • भारत में गैर-निवासियों के डेटा का विदेशी अनुबंध के तहत प्रसंस्करण।
• भारतीय डेटा संरक्षण बोर्ड (DPBI): अधिनियम में केंद्र सरकार द्वारा DPBI की स्थापना का प्रावधान है, जिसके सदस्यों की नियुक्ति दो वर्ष के लिये की जाती है तथा वे पुनर्नियुक्ति के पात्र होते हैं।
• इसके कार्यों में अनुपालन की निगरानी, ज़ुर्माना लगाना, डेटा उल्लंघन प्रतिक्रियाओं को संभालना, शिकायतों की सुनवाई करना शामिल है तथा इसकी दूरसंचार विवाद निपटान और अपीलीय न्यायाधिकरण में अपील की जा सकती है।

नोट: DPBI अधिनियम की धारा 44(3) के द्वारा RTI अधिनियम की धारा 8(1)(Z) में संशोधन कर "व्यापक सार्वजनिक हित" परीक्षण को हटा दिया गया है। सरकारी संस्थाएँ व्यक्तिगत डेटा को सिर्फ "निजी जानकारी" बताकर RTI आवेदन में छुपा सकती हैं, भले ही उसका खुलासा जनहित में क्यों न हो।

मसौदा DPDP नियम, 2025 के प्रमुख प्रावधान क्या हैं?

• डेटा स्थानांतरण: सरकार द्वारा अनुमोदित नियम कुछ व्यक्तिगत डेटा को भारत के बाहर स्थानांतरित करने की अनुमति देते हैं।
• डेटा विलोपन: डेटा को डेटा प्रिंसिपल के साथ अंतिम संवाद या नियमों की प्रभावी तिथि, जो भी बाद में हो, से तीन वर्ष तक बनाए रखने की अनुमति है।
  • डेटा फिड्युशरीज़ को डेटा समाप्त से कम-से-कम 48 घंटे पहले डेटा प्रिंसिपल (उपयोगकर्त्ता) को सूचित करना होगा।
• डिजिटल-फर्स्ट दृष्टिकोण: नियमों में ऑनलाइन शिकायतों और शिकायतों के तीव्र समाधान के लिये सहमति तंत्र तथा शिकायत निवारण हेतु "डिजिटल डिज़ाइन" वाले भारतीय डेटा संरक्षण बोर्ड (DPBI) की भी स्थापना की गई है।
• श्रेणीबद्ध ज़िम्मेदारियाँ: श्रेणीबद्ध ज़िम्मेदारियाँ स्टार्टअप्स और MSME को कम अनुपालन बोझ के साथ प्रदान की जाती हैं, जबकि महत्त्वपूर्ण डेटा फिड्युशरीज़ के दायित्व अधिक होते हैं।
  • फेसबुक, इंस्टाग्राम, यूट्यूब, अमेज़ॉन, फ्लिपकार्ट, नेटफ्लिक्स जैसे बड़े डिजिटल प्लेटफॉर्म्स महत्त्वपूर्ण डेटा फिड्यूशियरी माने जाएंगे।
• सहमति प्रबंधक: डिजिटल प्लेटफॉर्म सहमति प्रबंधकों के माध्यम से भी सहमति एकत्र कर सकता है।
• सहमति प्रबंधक एक भारतीय कंपनी होनी चाहिये जिसकी न्यूनतम निवल संपत्ति 2 करोड़ रुपए हो, जो डेटा गोपनीयता और डिजिटल इंटरैक्शन में उपयोगकर्त्ता की सहमति के संग्रह, भंडारण एवं उपयोग के प्रबंधन के लिये ज़िम्मेदार हो।

डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम से जुड़ी प्रमुख चिंताएँ क्या हैं?

• राज्य को अत्यधिक छूट: यह अधिनियम राज्य को अनेक छूट प्रदान करता है, जिससे वह आवश्यकता से अधिक डेटा का संग्रहण, प्रसंस्करण और संरक्षण कर सकता है, जो गोपनीयता के मौलिक अधिकार का उल्लंघन करता है।
• महत्त्वपूर्ण डेटा अधिकारों का अभाव: अधिनियम में डेटा पोर्टेबिलिटी (किसी व्यक्ति का व्यक्तिगत डेटा प्राप्त करने और स्थानांतरित करने का अधिकार) जैसे आवश्यक अधिकारों का अभाव है।
• अप्रतिबंधित सीमा पार डेटा प्रवाह: यह अधिकांश देशों में व्यक्तिगत डेटा के मुक्त हस्तांतरण की अनुमति प्रदान करता है, जिसमें केवल सरकार के विवेक पर प्रतिबंध होता है- जिससे डेटा सुरक्षा और संप्रभुता संबंधी चिंताएँ उत्पन्न होती हैं।
• हानि निवारण उपायों का अभाव: इस कानून में आइडेंटिटी थेफ्ट, वित्तीय धोखाधड़ी या डिस्क्रिमिनेट्री प्रोफाइलिंग जैसी संभावित हानियों को स्पष्ट रूप से संबोधित नहीं किया गया है, जिससे डेटा प्रिंसिपल (उपयोगकर्त्ता) जोखिम में रहते हैं।

DPDP अधिनियम, 2023 को सशक्त बनाने के लिये कौन-से उपाय अपनाए जा सकते हैं?

• छूट प्रावधानों को स्पष्ट करें: भारत की संप्रभुता और अखंडता जैसे शब्दों की स्पष्ट परिभाषाएँ प्रदान की जाएँ तथा DPDP अधिनियम, 2023 के तहत छूट देने की एक पारदर्शी प्रक्रिया स्थापित की जाए।
• द्विपक्षीय डेटा समझौतों को बढ़ावा देना: प्रतिबंधात्मक या अलगाववादी नीतियों को अपनाने के बजाय सुरक्षित डेटा विनिमय की सुविधा के लिये द्विपक्षीय और बहुपक्षीय समझौतों का समर्थन करना चाहिये।
• विनियामक लचीलापन सुनिश्चित करें: एक गतिशील और अनुकूली विनियामक ढाँचा विकसित करना जो उभरती प्रौद्योगिकियों तथा नई गोपनीयता चुनौतियों के साथ विकसित हो।
  • AI से जुड़े जोखिमों की सक्रिय रूप से पहचान करने और उत्तरदायी डेटा सुरक्षा रणनीतियों का सह-विकास करने के लिये एक विशेष कार्य बल का गठन करना।
• वैश्विक सर्वोत्तम प्रथाओं को अपनाना: सुरक्षित और विश्वसनीय सीमा-पार डेटा स्थानांतरण को सक्षम करने के लिये यूरोपीय संघ-अमेरिका डेटा गोपनीयता ढाँचे जैसे अंतर्राष्ट्रीय मॉडलों से सीख को एकीकृत करना।

भारत में निजता के अधिकार का विकास

• ए.के. गोपालन मामला, 1950: सर्वोच्च न्यायालय ने निजता के अधिकार से संबंधित तर्क को खारिज कर दिया।
• खड़क सिंह मामला, 1962: यह पहला अवसर था जब भारत के सर्वोच्च न्यायालय ने निजता के अधिकार के आधार पर राहत प्रदान की, हालाँकि उस समय इसे मौलिक अधिकार के रूप में औपचारिक रूप से मान्यता नहीं दी गई थी।
• ए.पी. शाह समिति, 2011: इस समिति ने व्यापक निजता कानून की सिफारिश की, जिसमें निजता और व्यक्तिगत डेटा की सुरक्षा के लिये एक एकीकृत कानून बनाने का सुझाव दिया गया, जो सार्वजनिक तथा निजी दोनों क्षेत्रों में लागू हो।
• बी.एन. श्रीकृष्ण समिति, 2017: इसने भारत में मज़बूत निजता कानूनों की सिफारिश की, जिनमें डेटा प्रोसेसिंग पर प्रतिबंध, डेटा संरक्षण प्राधिकरण, विस्मृति (भूल जाने) का अधिकार और डेटा स्थानीयकरण शामिल हैं।
• न्यायमूर्ति के.एस. पुट्टस्वामी (सेवानिवृत्त) बनाम भारत संघ मामला, 2017: सर्वोच्च न्यायालय ने सर्वसम्मति से निर्णय दिया कि निजता का अधिकार जीवन और व्यक्तिगत स्वतंत्रता का अभिन्न अंग है तथा यह अनुच्छेद 21 के तहत मौलिक अधिकार है।

डेटा गवर्नेंस पर वैश्विक प्रथाएँ

• यूरोपीय संघ (EU): यूरोपीय संघ का जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) एक व्यापक कानून है जो व्यक्तिगत डेटा की सुरक्षा करता है। यह निजता को एक मौलिक अधिकार के रूप में मान्यता देता है, जो व्यक्ति की गरिमा और उनकी व्यक्तिगत जानकारी पर नियंत्रण को सुरक्षित करता है।
• चीन: डेटा सुरक्षा कानून (Data Security Law - DSL) व्यापार डेटा को उसकी महत्ता के आधार पर वर्गीकृत करना अनिवार्य करता है और सीमा पार डेटा ट्रांसफर पर नए प्रतिबंध लगाता है।
  • व्यक्तिगत सूचना संरक्षण कानून (PIPL) चीन के नागरिकों को अपने व्यक्तिगत डेटा के दुरुपयोग को रोकने के नए अधिकार प्रदान करता है।
• संयुक्त राज्य अमेरिका: अमेरिका में EU के GDPR जैसा कोई समग्र निजता कानून नहीं है। इसके बजाय यह क्षेत्र-विशिष्ट विनियमों पर निर्भर करता है। सरकार द्वारा डेटा उपयोग को निजता अधिनियम जैसे व्यापक कानूनों द्वारा नियंत्रित किया जाता है, जबकि निजी क्षेत्र में सीमित और विशिष्ट उद्योगों के लिये बने नियम लागू होते हैं।

निष्कर्ष

DPDP अधिनियम, 2023 भारत का पहला व्यापक डेटा सुरक्षा ढाँचा स्थापित करता है जो निजता अधिकारों को वैध डेटा प्रोसेसिंग के साथ संतुलित करता है। वर्ष 2025 के मसौदा नियम अनुपालन को बढ़ाते हैं, डिजिटल शिकायत निवारण की शुरुआत करते हैं और स्थानीय आवश्यकताओं को संबोधित करते हुए यूरोपीय संघ के GDPR जैसे वैश्विक मानकों के साथ संरेखित करते हुए सीमा पार डेटा प्रवाह की अनुमति देते हैं।