नई दिल्ली मंगलवार को डिजिटल पर्सनल डेटा प्रोटेक्शन (डीपीडीपी) नियम 2025 के मसौदे पर उद्योग प्रतिनिधियों के साथ सरकार की पहली परामर्श बैठक में सहमति और डेटा स्थानीयकरण के बारे में सवाल उठाए गए प्रमुख चिंताओं में से एक थे, केंद्रीय मंत्री अश्विनी वैष्णव ने विनियमन को संतुलित करने के लिए “केंद्रित” विचार-विमर्श का वादा किया। और नवीनता.
“डीपीडीपी नियमों पर पहले परामर्श सत्र में लगभग 350 हितधारकों ने भाग लिया। बहुत बढ़िया सुझाव. इसके बाद केंद्रित चर्चाओं की एक श्रृंखला होगी, ”वैष्णव ने एक्स पर पोस्ट किया।
विभिन्न क्षेत्रों – सोशल मीडिया, ई-कॉमर्स, बैंक, भुगतान कंपनियां, बीमा कंपनियां, समूह, दूरसंचार – के हितधारकों ने वैष्णव और आईटी सचिव एस कृष्णन की उपस्थिति में नई दिल्ली में परामर्श में भाग लिया। अगस्त 2023 में अधिसूचित डीपीडीपी अधिनियम को प्रभावी बनाने के लिए ये नियम महत्वपूर्ण हैं।
मामले से वाकिफ लोगों के मुताबिक, बैठक के दौरान वैष्णव ने संकेत दिया कि परामर्श 15 दिनों से अधिक हो सकता है।
बच्चों का डेटा संसाधित करना
एक हितधारक ने उल्लेख किया कि सत्यापन योग्य माता-पिता की सहमति (वीपीसी) के आसपास प्रस्तावित नियम एक “अनजाने डेटा खाई” बनाते हैं जो स्थापित, बड़े प्लेटफार्मों को लाभ पहुंचाता है जो मौजूदा डेटा का उपयोग यह निर्धारित करने के लिए कर सकते हैं कि बच्चा कौन है।
कई लोगों ने इस बारे में स्पष्टता मांगी कि 18 वर्ष से कम आयु के उपयोगकर्ताओं के लिए वीपीसी प्राप्त करने के लिए वर्चुअल टोकन का उपयोग कैसे किया जा सकता है। लोगों ने यह भी पूछा कि क्या निजी डिजिटल लॉकर सेवा प्रदाता मौजूद हो सकते हैं और क्या वे सरकार के डिजिलॉकर के साथ इंटरऑपरेबल होंगे। उन्होंने यह भी पूछा कि वीपीसी प्राप्त करने के लिए एपीएआर आईडी का उपयोग कैसे किया जा सकता है।
कुछ लोगों ने कहा कि बच्चों के डेटा की प्रोसेसिंग पर प्रतिबंध से बच्चों को अप्रासंगिक सामग्री दिखाई जाएगी. कुछ प्रतिभागियों ने यह भी कहा कि बच्चों के लक्षित विज्ञापन के बिना, एमएसएमई और बच्चों के लिए तैयार सामग्री निर्माताओं के लिए ग्राहक अधिग्रहण लागत बढ़ जाएगी क्योंकि विज्ञापन कम कुशल हो जाएगा।
एक प्रतिभागी ने सुझाव दिया कि बच्चों के डेटा और विकलांग लोगों के डेटा के प्रसंस्करण के लिए अलग-अलग सहमति प्रावधान मौजूद होने चाहिए। एक अन्य हितधारक ने पूछा कि ऑटिज्म से पीड़ित लोगों के लिए सत्यापन योग्य सहमति कैसे ली जा सकती है, और क्या स्पेक्ट्रम के किसी व्यक्ति को अपनी ओर से सहमति देने के लिए हमेशा अभिभावक पर भरोसा करने की आवश्यकता होती है।
सहमति और सहमति प्रबंधक
कम से कम दो प्रतिभागियों ने पूछा कि “विरासत उपयोगकर्ताओं” से “विरासत डेटा” के लिए सहमति कैसे ली जानी चाहिए, यानी डीपीडीपी अधिनियम लागू होने से पहले कंपनियों द्वारा एकत्र किया गया व्यक्तिगत डेटा। उन्होंने पूछा कि क्या उपयोगकर्ताओं को केवल सूचित करना “समझी गई सहमति” के रूप में पर्याप्त होगा, और यदि उपयोगकर्ता इन नोटिसों का जवाब नहीं देते हैं तो क्या वे अभी भी डेटा प्रोसेसिंग जारी रख सकते हैं।
इस बारे में सवाल उठाए गए कि क्या सहमति प्रबंधकों का उपयोग करना अनिवार्य था। निश्चित रूप से, अधिनियम और मसौदा नियमों के तहत, कोई कंपनी सहमति प्रबंधक का उपयोग करने के लिए बाध्य नहीं है।
सहमति प्रबंधक कैसे काम करेंगे, इस बारे में कई सवाल उठाए गए। लोगों ने पूछा कि क्या सहमति प्रबंधकों के लिए अंतरसंचालनीयता मानकों को अपनाने की आवश्यकता होगी ताकि उन्हें डेटा फ़िडुशियरी के व्यापक समूह में एकीकृत किया जा सके।
कम से कम एक हितधारक ने पूछा कि क्या मौजूदा खाता एग्रीगेटर (एए) ढांचे को सहमति प्रबंधकों के साथ एकीकृत किया जाएगा, और क्या सरकार सहमति प्रबंधकों को अपनाने के लिए वित्तीय प्रोत्साहन बनाएगी जैसा कि उसने एए के लिए किया था।
मसौदा नियमों में डेटा प्रोटेक्शन बोर्ड (डीपीबी) के साथ सहमति प्रबंधकों के अनिवार्य पंजीकरण का प्रस्ताव है। लोगों ने पूछा कि डीपीबी के अस्तित्व में आने तक मौजूदा सहमति प्रबंधक कैसे काम करते रहेंगे।
कम से कम एक व्यक्ति ने पूछा कि अधिनियम और नियम परोक्ष या पार्श्व सहमति (जैसे कि ऐसे व्यक्ति के लिए उबर बुक करना जिसके पास उबर खाता नहीं है) से कैसे निपटेंगे।
डेटा स्थानीयकरण और क्षेत्र-विशिष्ट नियम
लोगों ने पूछा कि डेटा स्थानीयकरण के आसपास क्षेत्रीय प्रतिबंध कैसे काम करेंगे और नियमों के माध्यम से डेटा स्थानीयकरण को “फिर से क्यों पेश” किया गया है। एक प्रतिभागी ने पूछा कि यदि व्यक्तिगत डेटा के विशिष्ट वर्ग स्थानीयकरण की आवश्यकता के लिए महत्वपूर्ण या संवेदनशील हैं, तो स्थानीयकरण की आवश्यकता सभी डेटा फ़िड्यूशियरीज़ के बजाय महत्वपूर्ण डेटा फ़िड्यूशियरी तक ही सीमित क्यों है।
एक क्रेडिट सूचना कंपनी के एक प्रतिभागी ने कहा कि डीपीडीपी नियम आरबीआई द्वारा क्षेत्र पर लगाए गए दायित्वों से टकराते हैं। उदाहरण के लिए, क्रेडिट सूचना कंपनियां डेटा मिटा नहीं सकती हैं और सुधार बैंक के माध्यम से किया जाना चाहिए, इस व्यक्ति ने कहा। इस व्यक्ति ने यह भी कहा कि यकीनन एक डेटा फिड्यूशियरी होने के बावजूद, एक क्रेडिट सूचना कंपनी ने सीधे ग्राहकों से सहमति नहीं ली, तो इसे डीपीडीपी अधिनियम के तहत कैसे नियंत्रित किया जाएगा।
एक अन्य प्रतिभागी ने नियमों को डिजिटल ऋण, वाणिज्यिक संदेश आदि से संबंधित क्षेत्रीय नियमों के साथ समन्वयित करने का आह्वान किया।
हितधारकों ने सामान्य मानकों के बजाय सेक्टर-विशिष्ट सुरक्षा सुरक्षा उपायों के लिए भी कहा।
प्रयोगकर्ता के अधिकार
एक हितधारक ने नियमों में उस समयसीमा को निर्दिष्ट करने के लिए कहा, जिसके भीतर डेटा फिडुशियरीज को अपने अधिकारों जैसे मिटाने और सुधार के अधिकार का प्रयोग करने के लिए उपयोगकर्ताओं के अनुरोध का जवाब देना होगा। एक अन्य प्रतिभागी ने पूछा कि उपयोगकर्ता अधिकारों से निपटने की प्रक्रिया को डेटा फ़िडुशियरीज़ में मानकीकृत किया जाना चाहिए।
व्यक्तिगत डेटा का उल्लंघन
एक प्रतिभागी ने MeitY से उपयोगकर्ताओं को व्यक्तिगत डेटा उल्लंघनों के बारे में सूचित करने के लिए एक सीमा या जोखिम-आधारित दृष्टिकोण पर विचार करने के लिए कहा क्योंकि उपयोगकर्ताओं को सभी उल्लंघनों के बारे में सूचित करना मुश्किल होगा और उपयोगकर्ताओं के लिए भ्रम पैदा कर सकता है। एक अन्य ने पूछा कि कोई महत्वपूर्ण डेटा उल्लंघन या डेटा लीक नहीं होने के बावजूद सोशल मीडिया कंपनियों और ऑनलाइन गेमिंग कंपनियों को डेटा प्रतिधारण आवश्यकताओं के लिए क्यों चुना गया है।
एक सवाल यह भी उठाया गया कि क्या उपयोगकर्ता को सूचित किए बिना व्यक्तिगत डेटा संसाधित करना भी डेटा उल्लंघन है और डीपीबी को अधिसूचना की आवश्यकता है।
डेटा संरक्षण बोर्ड
एक प्रतिभागी ने सुझाव दिया कि डीपीबी के पास डीपीडीपी अधिनियम के उल्लंघन के मामलों को उठाने के लिए स्वत: संज्ञान लेने की शक्ति होनी चाहिए, और अन्य वैधानिक निकायों को संदर्भ देने की शक्ति होनी चाहिए।
डेटा फ़िडुशियरीज़ के दायित्वों के लिए श्रेणीबद्ध दृष्टिकोण
एक बार डीपीडीपी अधिनियम लागू हो जाए, तो व्यावहारिक रूप से हर कोई डीएफ बन जाएगा। इसका हवाला देते हुए, हितधारकों ने अपने आकार के आधार पर, डेटा फ़िडुशियरी के दायित्वों के लिए एक श्रेणीबद्ध दृष्टिकोण के लिए कहा।
प्रतिभागियों ने महत्वपूर्ण डीएफ (एसडीएफ) के लिए डेटा ऑडिट करने और स्वतंत्र डेटा ऑडिटरों के चयन के बारे में स्पष्टता मांगी। एक प्रतिभागी ने डेटा सुरक्षा प्रभाव मूल्यांकन और “एल्गोरिदमिक सॉफ़्टवेयर” का उपयोग करते समय एसडीएफ द्वारा देखी जाने वाली “उचित परिश्रम” के बीच अंतर के बारे में भी पूछा।
डीपीडीपी अधिनियम के तहत, केंद्र सरकार किसी स्टार्टअप को अधिनियम के दायित्वों से छूट दे सकती है। कम से कम एक प्रतिभागी ने पूछा कि डीएफ और छूट प्राप्त स्टार्टअप के बीच बातचीत को कैसे विनियमित किया जाएगा।
अधिनियम के तहत कुकीज़ के विनियमन के बारे में भी सवाल उठाए गए थे, और क्या अनुसंधान गतिविधियों के लिए छूट एआई मॉडल बनाने के लिए किए गए अनुसंधान तक बढ़ा दी गई थी।
