मेटा, गूगल, अमेजन की बढ़ेगी मुश्किल, डेटा प्रोटेक्‍शन पर होगी सख्‍ती

नई दिल्ली. केंद्र सरकार देश के डिजिटल परिदृश्य को अधिक सुरक्षित और जवाबदेह बनाने के लिए एक बड़ा कदम उठाने जा रही है. इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) मेटा, गूगल, अमेज़न और माइक्रोसॉफ्ट जैसी बड़ी टेक कंपनियों के लिए डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) एक्ट, 2023 के अनुपालन (Compliance) की समयसीमा को घटाने पर विचार कर रही है. इंडियन एक्‍सप्रेस की एक रिपोर्ट के अनुसार, पहले तय की गई 18 महीनों की अवधि को घटाकर अब 12 महीने किया जा सकता है. डेटा उल्लंघन को रोकने के लिए पर्याप्त सुरक्षा उपाय न होने पर बड़ी कंपनियों पर अधिकतम 250 करोड़ रुपये तक का जुर्माना लगाए जाने का प्रावधान भी किया गया है.

मंत्रालय ने हाल ही में उद्योग जगत के प्रतिनिधियों के साथ हुई एक उच्च स्तरीय बैठक में संकेत दिया कि वह कंपनियों के लिए ‘कम्प्लायंस ग्रेडिएंट’ यानी श्रेणीबद्ध अनुपालन ढांचा तैयार कर रहा है. इसके तहत गूगल, ऐपल और मेटा जैसी कंपनियों को ‘महत्वपूर्ण डेटा फिड्यूशियरी’ (Significant Data Fiduciary) की श्रेणी में रखा जाएगा. किसी कंपनी को इस श्रेणी में रखने का आधार उसके द्वारा प्रोसेस किए जाने वाले डेटा की मात्रा, उसकी संवेदनशीलता और उससे देश की संप्रभुता, अखंडता या चुनावी लोकतंत्र को होने वाला संभावित जोखिम होगा. इन कंपनियों के लिए डेटा सुरक्षा के नियम न केवल सख्त होंगे, बल्कि उन्हें लागू करने की गति भी तेज होगी.

तकनीकी ऑडिट और डेटा लोकलाइजेशन के सख्त नियम

नियमों के कड़े होने का अर्थ यह है कि अब इन कंपनियों को हर साल अनिवार्य रूप से डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट (DPIA) करना होगा. उन्हें यह साबित करना होगा कि उनके एल्गोरिदमिक सॉफ्टवेयर या अन्य तकनीकी उपाय भारतीय यूज़र्स के निजता के अधिकारों का उल्लंघन नहीं कर रहे हैं. ‘महत्वपूर्ण डेटा फिड्यूशियरी’ द्वारा प्रोसेस किया गया व्यक्तिगत डेटा और उससे जुड़ा ट्रैफिक डेटा भारत की भौगोलिक सीमा के बाहर ट्रांसफर नहीं किया जा सकेगा. सरकार का तर्क है कि बड़ी कंपनियों के पास पहले से ही यूरोप के जीडीपीआर (General Data Protection Regulation) जैसे कड़े कानूनों का पालन करने का अनुभव और संस्थागत क्षमता है, इसलिए वे 12 महीने के भीतर भारत के नियमों को भी अपना सकती हैं.

स्टार्टअप्स को राहत

सरकार की इस नीति का एक पहलू यह भी है कि वह छोटे स्टार्टअप्स और मध्यम उद्यमों पर अनुपालन का बोझ कम रखना चाहती है. स्टार्टअप्स को नियमों को लागू करने के लिए अधिक समय दिया जा सकता है, ताकि उनका नवाचार (Innovation) प्रभावित न हो. हालांकि, बड़ी कंपनियों के लिए आईटी मंत्री अश्विनी वैष्णव ने पहले ही स्पष्ट कर दिया था कि “चूंकि बड़ी कंपनियां वैश्विक मानकों का पालन करती हैं, इसलिए हम भारत में उनके लिए समयसीमा को कम करेंगे और इसके लिए आवश्यक संशोधन लाएंगे.”

बच्चों का डेटा और उल्लंघन पर भारी जुर्माना

नए नियमों के तहत टेक कंपनियों के लिए बच्चों के डेटा को प्रोसेस करना सबसे बड़ी चुनौती होगी. कंपनियों को अब बच्चों का डेटा इस्तेमाल करने से पहले उनके माता-पिता की “सत्यापन योग्य” (Verifiable) सहमति लेनी होगी. हालांकि कंपनियों ने इसे लागू करने में कठिनाई जताई है, लेकिन सरकार सुरक्षा के मुद्दे पर समझौता करने के मूड में नहीं दिख रही है.

डेटा उल्लंघन (Data Breach) की स्थिति में भी नियम अब और अधिक पारदर्शी होंगे. कंपनियों को बिना किसी देरी के प्रभावित यूज़र्स को उल्लंघन की प्रकृति, समय और संभावित जोखिमों की जानकारी देनी होगी. यदि कोई कंपनी डेटा सुरक्षा में लापरवाही बरतती है, तो उस पर 250 करोड़ रुपये तक का भारी जुर्माना लगाया जा सकता है.