सूचना प्रौद्योगिकी (आईटी) सचिव एस कृष्णन ने कहा कि डिजिटल व्यक्तिगत डेटा संरक्षण नियमों का मसौदा डेटा स्थानीयकरण के लिए एक लक्षित दृष्टिकोण अपनाएगा, जो केवल व्यक्तिगत डेटा की विशिष्ट श्रेणियों और विशिष्ट उद्देश्यों को प्रभावित करेगा, उन्होंने कहा कि बच्चों की उम्र को ऑनलाइन सत्यापित करने के लिए कोई आसान समाधान नहीं हैं। .
कृष्णन का बयान केंद्र द्वारा सार्वजनिक परामर्श के लिए मसौदा नियम जारी करने के तुरंत बाद आया है, जिसने अगस्त 2023 में अधिनियम के अधिसूचित होने के 16 महीने से अधिक समय बाद भारत की व्यक्तिगत डेटा सुरक्षा व्यवस्था को संचालित करने के लिए मंच तैयार किया है।
एचटी को दिए एक साक्षात्कार में, कृष्णन ने इस बात पर जोर दिया कि डेटा स्थानीयकरण प्रावधान का दायरा सीमित है और यह स्वचालित रूप से लागू नहीं होगा। “यह संभावित रूप से केवल कुछ सीमित श्रेणियों के लिए ही हो सकता है [of personal data]और कुछ सीमित उद्देश्यों के लिए,” उन्होंने कहा, लेकिन एक व्यापक स्थानीयकरण जनादेश के रूप में इसके लक्षण वर्णन से असहमत थे।
बिल के पहले के संस्करणों में डेटा को व्यक्तिगत, संवेदनशील और महत्वपूर्ण श्रेणियों में वर्गीकृत किया गया था, जिनमें से प्रत्येक के लिए अलग-अलग स्थानीयकरण आवश्यकताएं थीं। हालाँकि, वर्तमान दृष्टिकोण सरकार को उन देशों को निर्दिष्ट करने का अधिकार देता है जहाँ अधिनियम के तहत डेटा स्थानांतरित नहीं किया जा सकता है और नियमों के माध्यम से एक समिति को यह सिफारिश करने की अनुमति मिलती है कि कौन सा व्यक्तिगत डेटा और “ट्रैफ़िक डेटा” महत्वपूर्ण डेटा फ़िडुशियरीज़ को भारत के भीतर रखना चाहिए। उन्होंने कहा, “यातायात डेटा” का तात्पर्य यहां “प्रवाह पैटर्न मेटाडेटा” से है।
“ऐसी चिंताएँ हैं कि कुछ प्रकार के डेटा के लिए, हमें भारतीय हितों की रक्षा करनी होगी। और यह दुनिया के हर देश और अन्य पश्चिमी देशों के लिए सच है, ”कृष्णन ने कहा। उदाहरण के तौर पर उन्होंने कहा, ”स्वास्थ्य डेटा को लेकर चिंताएं हो सकती हैं।”
उन्होंने पुष्टि की कि सेबी और आरबीआई जैसे क्षेत्रीय नियामक अधिनियम की धारा 16(2) के अनुरूप सीमा पार डेटा प्रवाह पर अपना अधिकार बनाए रखेंगे और उन्हें नियमों में प्रस्तावित समिति के पास नहीं आना होगा। वर्तमान में, वित्तीय जानकारी, भुगतान डेटा और बीमा डेटा को भारत के भीतर ही संग्रहित किया जाना चाहिए, केवल विदेशी लेनदेन को पूरा करने के लिए भुगतान डेटा प्रतियों को विदेशों में अनुमति दी जाती है।
बच्चों की गोपनीयता पर, कृष्णन ने माता-पिता की सहमति आवश्यकताओं को लागू करने में मूलभूत चुनौतियों को स्वीकार किया। “समस्या वास्तव में यह है कि सुरक्षा की चाहत रखते हुए, आप वास्तव में अधिक डेटा साझा करने के लिए मजबूर कर रहे हैं। इसलिए, आपको बहुत सावधान रहना होगा,” उन्होंने कहा।
उन्होंने कहा, ऑस्ट्रेलिया के विपरीत, भारत की सोशल मीडिया प्लेटफॉर्म पर बच्चों पर प्रतिबंध लगाने की कोई योजना नहीं है।
सरकार हर किसी को ऑनलाइन सरकारी आईडी प्रदान करने की आवश्यकता से बचना चाहती है। उन्होंने बताया, “अगर मैं इस बात पर जोर देना शुरू कर दूं कि साबित करो कि तुम बच्चे हो या वयस्क, तो मुझे सरकारी आईडी और अतिरिक्त जानकारी मांगनी होगी, जिसकी अपनी समस्याएं हैं।” उन्होंने स्वीकार किया कि बच्चों द्वारा स्व-घोषणा पर भरोसा करने से दुर्व्यवहार का खतरा हो सकता है।
कृष्णन ने संकेत दिया कि व्यवहार पैटर्न सहित तकनीकी समाधान, बच्चों का ऑनलाइन पता लगाने में मदद कर सकते हैं, यही कारण है कि मसौदा नियमों में ऐसी ट्रैकिंग के लिए छूट शामिल है। उन्होंने कहा कि विभिन्न सेवाओं के लिए अलग-अलग दृष्टिकोण की आवश्यकता हो सकती है। “सोशल नेटवर्क पर, संभावित रूप से हिंसक व्यवहार होता है। इसीलिए आप चिंतित होने लगते हैं,” उन्होंने यह स्वीकार करते हुए कहा कि hindustantimes.com जैसी समाचार वेबसाइटों को अलग-अलग मानकों की आवश्यकता हो सकती है क्योंकि “ऐसी कोई सामग्री नहीं है जिसे कोई बच्चा नहीं देख सकता” और उम्र सत्यापन के लिए एक वेबसाइट की तुलना में पहले से ही अधिक ट्रैकिंग की आवश्यकता हो सकती है। में लगे हुए।
बच्चों की उम्र के सत्यापन के लिए, कृष्णन ने सुझाव दिया कि वर्चुअल टोकन संभावित रूप से डिजीटल स्कूल नामांकन डेटा का उपयोग करके प्रमाणित माता-पिता के रिकॉर्ड को क्वेरी कर सकते हैं, लेकिन केवल अगर स्कूलों के उद्देश्य सीमा जनादेश के साथ संगत हो। सरकार को उम्मीद है कि प्रौद्योगिकी और डिजिटल अपनाने की प्रगति के रूप में कंपनियां डेटा न्यूनतमकरण सिद्धांतों का सम्मान करते हुए नवाचार करेंगी।
मंत्रालय की योजना नियमों के अधिसूचित होने के बाद संगठनों को अनुपालन के लिए 24 महीने का समय देने की है। राष्ट्रीय ई-गवर्नेंस प्रभाग देश भर में सरकारी संस्थाओं के लिए प्रशिक्षण कार्यशालाएँ आयोजित कर रहा है, जिसमें कम से कम 100 सत्रों की योजना है। “हम उन्हें संवेदनशील बना रहे हैं, हम प्रशिक्षण कार्यक्रम चला रहे हैं, हम उनसे पूछ रहे हैं [government departments] तैयार हो जाइए क्योंकि उन पर भी जुर्माना लगाया जा सकता है,” कृष्णन ने कहा।
डेटा उल्लंघनों पर, उन्होंने स्पष्ट किया कि हालांकि उन्होंने सर्टिफिकेट-इन निर्देशों और टेलीकॉम साइबर सुरक्षा नियमों जैसे अन्य नियमों के साथ रिपोर्टिंग आवश्यकताओं को सुसंगत बनाने की कोशिश की है, “रिपोर्टिंग के पीछे का उद्देश्य और इरादा [cybersecurity incidents under different rules] थोड़ा अलग हो सकता है।”
उदाहरण के लिए, साइबर हमले व्यक्तिगत डेटा से समझौता किए बिना बुनियादी ढांचे को प्रभावित कर सकते हैं, इस प्रकार डीपीडीपी अधिनियम प्रावधानों को ट्रिगर नहीं किया जा सकता है।
जबकि डीपीडीपी अधिनियम उल्लंघन के मामलों में उपयोगकर्ता के मुआवजे का प्रावधान नहीं करता है, कृष्णन ने कहा कि अपकृत्य कानून के तहत उपाय उपलब्ध रहेंगे।
नियम “आपातकालीन स्थितियों” के लिए डेटा सुरक्षा बोर्ड के अध्यक्ष को कुछ विवेकाधीन शक्तियां देते हैं, हालांकि इसे विशेष रूप से परिभाषित नहीं किया गया है। “हम हर चीज़ की परिकल्पना नहीं कर सकते। कुछ चीजें, आपको चेयरपर्सन के विवेक पर छोड़नी होंगी जो एक उच्च अधिकारी हो सकता है और समझता है कि अधिनियम के संदर्भ में एक आकस्मिक स्थिति क्या है, ”कृष्णन ने समझाया।
डेटा तक कानून प्रवर्तन की पहुंच पर, कृष्णन ने स्पष्ट किया कि यह सूचना प्रौद्योगिकी अधिनियम के दायरे में रहता है।
हालाँकि, डीपीडीपी अधिनियम की धारा 36 और प्रस्तावित नियम 22 के तहत, सरकार राष्ट्रीय सुरक्षा के संबंध में प्रकटीकरण को प्रतिबंधित करने के प्रावधानों के साथ डेटा संरक्षण बोर्ड, डेटा फ़िडुशियरी या मध्यस्थों से जानकारी का अनुरोध कर सकती है।
