भारत सरकार ने वर्ष 2023 में “डिजिटल पर्सनल डेटा प्रोटेक्शन अधिनियम” (DPDP Act, 2023) को अधिसूचित किया, जिसका मुख्य उद्देश्य नागरिकों के डिजिटल रूप में संग्रहित व्यक्तिगत डेटा की रक्षा करना और डेटा प्रोसेसिंग को एक विधिसम्मत, पारदर्शी तथा उत्तरदायी दायरे में लाना है। यह अधिनियम संविधान द्वारा प्रदत्त निजता के अधिकार (Right to Privacy) को प्रभावी रूप में लागू करने की दिशा में एक महत्वपूर्ण कदम है।
इस अधिनियम की आवश्यकता इसलिए पड़ी क्योंकि बीते वर्षों में भारत में डिजिटल सेवाओं का अत्यधिक विस्तार हुआ है। मोबाइल एप्स, वेबसाइट्स और ऑनलाइन प्लेटफार्म के माध्यम से बड़ी मात्रा में व्यक्तिगत जानकारी (personal data) एकत्र की जाती है। इन जानकारियों का असुरक्षित रूप से संग्रहण, दुरुपयोग और लीक होना आम होता जा रहा था, जिससे नागरिकों की निजता और सुरक्षा पर गंभीर खतरे उत्पन्न हो गए थे। सुप्रीम कोर्ट द्वारा 2017 में निजता को मौलिक अधिकार घोषित किए जाने के बाद इस तरह के कानून की आवश्यकता और भी बलवती हो गई थी।
इस अधिनियम की धारा 3 के अनुसार, यह भारत के भीतर तथा भारत से बाहर उस डेटा प्रोसेसिंग पर भी लागू होता है, जिसमें भारतीय नागरिकों को वस्तुएं या सेवाएं प्रदान की जा रही हों। साथ ही, धारा 4 यह प्रावधान करती है कि किसी भी डेटा को केवल उसी स्थिति में प्रोसेस किया जा सकता है जब डेटा प्रिंसिपल (Data Principal) की स्पष्ट सहमति हो, या वह कुछ वैध उपयोगों (Legitimate Uses) की श्रेणी में आता हो जैसा कि धारा 7 में उल्लेखित है।
महत्वपूर्ण विशेषताओं में, डेटा प्रिंसिपल को कई अधिकार दिए गए हैं, जैसे कि अपने डेटा की जानकारी प्राप्त करने का अधिकार (धारा 11), उसे सुधारने या मिटाने का अधिकार (धारा 12), शिकायत दर्ज कराने का अधिकार (धारा 13), और मृत्यु या अक्षम स्थिति में किसी प्रतिनिधि को नामित करने का अधिकार (धारा 14)।
इस अधिनियम के अंतर्गत डेटा प्रोसेस करने वाले व्यक्ति या संस्था को डेटा फिड्यूशियरी (Data Fiduciary) कहा गया है, जिन पर डेटा सुरक्षा के संबंध में कई जिम्मेदारियाँ निर्धारित की गई हैं। धारा 8 स्पष्ट करती है कि डेटा फिड्यूशियरी को डेटा की सुरक्षा हेतु उचित तकनीकी और संगठनात्मक उपाय अपनाने होंगे, और किसी भी डेटा उल्लंघन की स्थिति में डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया को सूचित करना अनिवार्य होगा, जिसकी स्थापना धारा 18 के तहत की गई है।
बालकों के डेटा की सुरक्षा हेतु विशेष प्रावधान धारा 9 में है, जिसके अंतर्गत 18 वर्ष से कम उम्र के बच्चों का डेटा केवल अभिभावक की सत्यापित सहमति से ही प्रोसेस किया जा सकता है, और उनके लिए टार्गेटेड विज्ञापन या व्यवहारिक निगरानी पर पूर्ण रोक है।
जहाँ तक प्रभाव की बात है, यह अधिनियम भारत को वैश्विक डेटा संरक्षण मानकों के करीब लाता है और नागरिकों को उनके डेटा पर नियंत्रण देता है। इसके तहत गंभीर उल्लंघनों पर धारा 33 के अनुसार ₹250 करोड़ तक का जुर्माना भी लगाया जा सकता है। साथ ही, सभी वसूली की गई राशि भारत सरकार के संचित निधि (Consolidated Fund of India) में जमा होगी (धारा 34)।
हालांकि, इस अधिनियम को लेकर कुछ चिंताएं भी व्यक्त की गई हैं। उदाहरण स्वरूप, धारा 17(2)(a) और धारा 37 सरकार को यह अधिकार देती हैं कि वह राष्ट्रीय सुरक्षा, सार्वजनिक व्यवस्था या संप्रभुता के नाम पर डेटा प्रोसेसिंग को अधिनियम के प्रावधानों से छूट दे सकती है। इससे अधिनियम की निष्पक्षता और नागरिक अधिकारों पर संभावित प्रभाव को लेकर बहस जारी है।
अंततः, यह अधिनियम नागरिकों की डिजिटल निजता की सुरक्षा की दिशा में एक सशक्त पहल है, किंतु इसके सफल कार्यान्वयन के लिए पारदर्शिता, तकनीकी दक्षता और नागरिकों की भागीदारी आवश्यक होगी।
