DPDP अधिनियम 2023 और माता-पिता की सहमति का मुद्दा | 19 Jul 2024

प्रिलिम्स के लिये:

डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, राष्ट्रीय डेटा शासन नीति, डेटा फिड्युसरी, भारतीय डेटा संरक्षण बोर्ड, गोपनीयता का अधिकार

मेन्स के लिये:

डेटा गोपनीयता, डेटा संरक्षण अधिनियम 2023, चुनौतियाँ और आगे की राह

स्रोत: इंडियन एक्सप्रेस 

चर्चा में क्यों?

हाल ही में जबकि उद्योग ने डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम (DPDPA) 2023 का इसके सीधे अनुपालन ढाँचे के लिये बड़े पैमाने पर स्वागत किया है, बच्चों के डेटा को संसाधित करने से पहले सत्यापन योग्य माता-पिता की सहमति की आवश्यकता वाले प्रावधान ने उद्योग तथा सरकार के बीच विभाजन को जन्म दिया है।

डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम (DPDPA) 2023 की मुख्य विशेषताएँ क्या हैं?

  • डेटा सुरक्षा का अधिकार: यह व्यक्तियों को अपने व्यक्तिगत डेटा को जानने और नियंत्रित करने का अधिकार देता है। इसमें उनके डेटा तक पहुँचने, उसे सुधारने तथा मिटाने के अधिकार शामिल हैं, जिससे नागरिकों को अपनी व्यक्तिगत जानकारी पर अधिक नियंत्रण मिलता है।
  • डेटा प्रोसेसिंग और सहमति: अधिनियम में यह अनिवार्य किया गया है कि व्यक्तिगत डेटा को केवल व्यक्ति की स्पष्ट सहमति से ही प्रोसेस किया जा सकता है। संगठनों को स्पष्ट और विशिष्ट सहमति प्रपत्र प्रदान करने चाहिये तथा यह सुनिश्चित करना चाहिये कि डेटा संग्रह से पहले सहमति प्राप्त की जाए।
  • डेटा स्थानीयकरण: कुछ प्रकार के संवेदनशील व्यक्तिगत डेटा को भारत के भीतर संग्रहीत और संसाधित किया जाना आवश्यक है। इस प्रावधान का उद्देश्य डेटा सुरक्षा को बढ़ाना तथा डेटा सुरक्षा कानूनों के आसान प्रवर्तन को सुगम बनाना है।
  • विनियामक प्राधिकरण: अधिनियम अनुपालन की निगरानी और शिकायतों को निपटाने के लिये भारतीय डेटा संरक्षण बोर्ड (Data Protection Board of India- DPBI) की स्थापना करता है। बोर्ड विवादों का निपटारा करने तथा उल्लंघनों हेतु दंड लगाने के लिये ज़िम्मेदार है।
  • डेटा उल्लंघन अधिसूचना: संगठनों को व्यक्तियों और डेटा सुरक्षा बोर्ड को किसी भी डेटा उल्लंघन के बारे में सूचित करना आवश्यक है जो व्यक्तिगत जानकारी से समझौता कर सकता है। इस प्रावधान का उद्देश्य डेटा लीक की स्थिति में पारदर्शिता तथा त्वरित कार्रवाई सुनिश्चित करना है।
  • ज़ुर्माना और दंड: इसमें गैर-अनुपालन के लिये कठोर दंड की रूपरेखा दी गई है, जिसमें उल्लंघन हेतु भारी ज़ुर्माना भी शामिल है। इसका उद्देश्य संगठनों को डेटा सुरक्षा मानकों का पालन करने के लिये प्रोत्साहित करना है।

माता-पिता की सहमति प्राप्त करने में क्या समस्याएँ हैं?

  • परिचय:
    • DPDP, 2023 की धारा 9 के तहत डेटा फिडुशियरीज़ को बच्चों के डेटा को संसाधित करने से पहले माता-पिता या अभिभावकों से सत्यापन योग्य सहमति प्राप्त करनी होगी।
      • यह अधिनियम नाबालिगों के लिये हानिकारक डेटा प्रसंस्करण और विज्ञापन लक्ष्यीकरण पर भी प्रतिबंध लगाता है।
    • हालाँकि कुछ संस्थाओं को स्वास्थ्य देखभाल और शैक्षणिक संस्थानों सहित सत्यापन योग्य माता-पिता की सहमति तथा आयु सीमा आवश्यकताओं को प्राप्त करने से छूट दी जा सकती है।
    • इसके अलावा, कुछ संस्थाओं को प्रतिबंधित आधार पर मानदंडों से छूट दी जा सकती है, जो उस विशिष्ट उद्देश्य पर निर्भर करता है जिसके लिये उन्हें बच्चे के डेटा को संसाधित करने की आवश्यकता है।
  • मुद्दे:
    • जबकि अधिनियम में माता-पिता की सहमति सहित बाल डेटा संरक्षण के लिये उपाय प्रस्तुत किये गए हैं, लेकिन आयु सत्यापन और बच्चों को होने वाले नुकसान को परिभाषित करने के संबंध में चुनौतियाँ बनी हुई हैं।
    • ऐसी स्थितियों से निपटने के लिये जहाँ माता-पिता सहमति रद्द कर देते हैं या बच्चे सहमति की आयु तक पहुँच जाते हैं, सावधानीपूर्वक प्रबंधन की आवश्यकता होती है।
    • बायोमेट्रिक डेटा का भंडारण और विभिन्न उपकरणों में अनुकूलता सुनिश्चित करने जैसे मुद्दे कार्यान्वयन में कठिनाइयाँ पैदा कर सकते हैं।
    • यह अधिनियम स्वयं उन तरीकों का सुझाव नहीं देता है जिससे प्लेटफॉर्म उम्र-गेटिंग कर सकते हैं जिससे उद्योग के लिये एक प्रमुख बाधा उत्पन्न हो सकती है।
    • एक और चुनौती यह है कि बच्चे और उसके माता-पिता के बीच संबंध विश्वसनीय तरीके से कैसे स्थापित किया जाए।
      • सत्यापन योग्य अभिभावकीय सहमति प्रावधान के साथ आगे कैसे बढ़ना है, इस पर निर्णायक निर्णय पर पहुँचने में असमर्थता डेटा संरक्षण नियमों को जारी करने में देरी के पीछे सबसे बड़ा कारण है, जिसके बिना अधिनियम को क्रियान्वित नहीं किया जा सकता है। (DPDP अधिनियम अधिनियम के तौर-तरीकों को लागू करने के लिये कम-से-कम 25 ऐसे प्रावधानों पर निर्भर करता है)
  • संभावित समाधान और उनकी सीमाएँ:
    • शुरुआत में MeitY ने माता-पिता के डिजिलॉकर एप का उपयोग करने पर विचार किया, जो आधार विवरण पर निर्भर करता है। हालाँकि स्केलेबिलिटी और गोपनीयता संबंधी चिंताओं के कारण इसे खारिज कर दिया गया।
    • उद्योग के लिये एक अन्य विकल्प सरकार द्वारा अधिकृत एक इलेक्ट्रॉनिक टोकन प्रणाली बनाना था। हालाँकि इस दृष्टिकोण में भी व्यावहारिक सीमाएँ थी।
    • हाल ही में इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) तथा उद्योग प्रतिनिधियों के बीच हुई बैठक में उद्योग प्रतिनिधियों ने जोखिम के आधार पर एक श्रेणीबद्ध दृष्टिकोण का सुझाव दिया, जिसमें UK के आयु उपयुक्त डिज़ाइन कोड (Age Appropriate Design Code- AADC) को एक मॉडल के रूप में उद्धृत किया गया।

नोट: 

माता-पिता की सहमति के संबंध में वैश्विक प्रथाएँ:

  • वैश्विक स्तर पर निजता संबंधी कानूनों में माता-पिता की सत्यापनीय सहमति प्राप्त करने के लिये कोई प्रौद्योगिकी निर्धारित नहीं की है और डेटा संग्रहकर्त्ताओं को ऐसी प्रासंगिक प्रौद्योगिकी का उपयोग करने की ज़िम्मेदारी दी है जिसके माध्यम से ऐसी सहमति प्राप्त की जा सकती है।
    • उदाहरण के लिये, US चिल्ड्रन्स ऑनलाइन प्राइवेसी प्रोटेक्शन एक्ट (COPPA) माता-पिता की सहमति प्राप्त करने की सटीक विधि निर्दिष्ट नहीं करता है लेकिन इसके अंतर्गत बच्चे के माता-पिता की पहचान की पुष्टि करने के लिये उपलब्ध प्रौद्योगिकी को देखते हुए "उचित रूप से डिज़ाइन" की गई विधि का उपयोग करने की आवश्यकता होती है।
  • यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (GDPR) के अनुसार डेटा संग्रहकर्त्ताओं को उपलब्ध प्रौद्योगिकी का उपयोग कर यह सत्यापित करने के लिये उचित प्रयास करने की आवश्यकता होती है कि 13 वर्ष से कम आयु के बच्चे की ओर से प्रदान की गई सहमति वास्तव में उस बच्चे के माता-पिता की ज़िम्मेदारी के धारक द्वारा प्रदान की गई है।

माता-पिता की सहमति प्राप्त करने के मुद्दे का समाधान करने हेतु संभावित सुझाव क्या हैं?

  • सेल्फ-डिक्लेरेशन: कंपनियाँ माता-पिता को अकाउंट सेटअप करते समय बच्चे के साथ उनके नाते की घोषणा करने की अनुमति दे सकती हैं। हालाँकि यह समाधान सत्यनिष्ठा पर आधारित है और इसमें सुव्यवस्थित सत्यापन का अभाव होता है।
  • टू-फैक्टर ऑथेंटिकेशन (2FA): माता-पिता के अकाउंट के लिये 2FA लागू करने से सुरक्षा बढ़ सकती है। सहमति की पुष्टि करने के लिये माता-पिता को SMS या ईमेल के माध्यम से एक कूट प्राप्त होता है।
  • बायोमेट्रिक सत्यापन: माता-पिता की सहमति के लिये बायोमेट्रिक्स (जैसे- फिंगरप्रिंट या फेशियल रिकॉग्निशन) का लाभ उठाना सुरक्षित और निजता के अनुकूल हो सकता है।
  • प्रॉक्सी कंसेंट: माता-पिता बच्चे के साथ अपने नाते को सत्यापित करने के लिये किसी तीसरे विश्वसनीय पक्ष (जैसे- स्कूल या बाल रोग विशेषज्ञ) को अधिकृत कर सकते हैं।

दृष्टि मेन्स प्रश्न:

प्रश्न. डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम (DPDPA), 2023 के प्रभावी कार्यान्वयन में चुनौतियों और उनके संभावित समाधानों की विवेचना कीजिये।

  UPSC सिविल सेवा परीक्षा, विगत वर्ष के प्रश्न  

प्रिलिम्स:

प्रश्न. भारत के संविधान के किस अनुच्छेद के तहत 'निजता का अधिकार' संरक्षित है? (2021)

(a) अनुच्छेद 15
(b) अनुच्छेद 19
(c) अनुच्छेद 21
(d) अनुच्छेद 29

उत्तर: (c)

प्रश्न. निजता के अधिकार को जीवन और व्यक्तिगत स्वतंत्रता के अधिकार के अंतर्भूत भाग के रूप में संरक्षित किया जाता है। भारत के संविधान में निम्नलिखित में से किससे उपर्युक्त कथन सही एवं समुचित ढंग से अर्थित होता है? (2018)

(a) अनुच्छेद 14 और संविधान के 42वें संशोधन के अधीन उपबंध।
(b) अनुच्छेद 17 और भाग IV में दिये राज्य की नीति के निदेशक तत्त्व।
(c) अनुच्छेद 21 और भाग III में गारंटी की गई स्वतंत्रताएँ।
(d) अनुच्छेद 24 और संविधान के 44वें संशोधन के अधीन उपबंध।

उत्तर: (c)

मेन्स:

प्रश्न. निजता के अधिकार पर उच्चतम न्यायालय के नवीनतम निर्णय के आलोक में मौलिक अधिकारों के विस्तार का परीक्षण कीजिये। (2017)