कौन से ऐप आपके पर्सनल डेटा तक पूरी एक्सेस रखते हैं; इन पर भारत का डेटा प्रोटेक्शन कानून कैसे लागू होगा?

संचार साथी ऐप पर मचे बवाल के बीच पर्सनल डेटा प्रोटेक्शन पर चर्चा चल रही है. जब बात पर्सनल डेटा की चल रही हो तो ये सवाल भी वाजिब है कि भारत में क्या पर्सनल डेटा को प्रोटेक्ट करने के लिए क़ानून है? और अगर क़ानून है तो उसके क्या मायने हैं और वो कितना कारगर है.

आज के दौर में हमारा ज्यादातर काम ऑनलाइन होता है– शॉपिंग, सोशल मीडिया, बैंकिंग सब कुछ. लेकिन इस दौरान हमारा पर्सनल डेटा (जैसे नाम, फोन नंबर, लोकेशन) कंपनियों के पास जाता है. क्या ये कंपनियां हमारे डेटा का सही इस्तेमाल कर रही हैं? इसी समस्या को सुलझाने के लिए भारत सरकार ने डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट 2023 (DPDP Act) बनाया था.

यह कानून 11 अगस्त 2023 को पास हुआ और अब इसके नियम (DPDP Rules 2025) 14 नवंबर 2025 को नोटिफाई हो चुके हैं. यह कानून यूरोप के GDPR जैसा है, लेकिन भारत की जरूरतों के हिसाब से बनाया गया बताया जाता है. 

क्या है ये एक्ट? और कैसे ये हमारी प्राइवेसी के लिए कारगर साबित हो सकता है इसे पहले आसान भाषा में समझ लीजिए :

DPDP एक्ट का मकसद क्या है?

यह कानून कहता है कि आपका पर्सनल डेटा आपकी निजी संपत्ति है और कंपनियां इसे बिना आपकी इजाजत के इस्तेमाल नहीं कर सकतीं. इस क़ानून के मुख्य उद्देश्य हैं: लोगों की प्राइवेसी की सुरक्षा करना, कंपनियों को डेटा हैंडलिंग के सख्त नियमों का पालन करवाना, डेटा लीक या गलत इस्तेमाल पर भारी जुर्माना लगाना और बच्चों की ऑनलाइन सुरक्षा को मजबूत बनाना.

यह कानून भारत में रहने वाले हर व्यक्ति पर लागू होता है. विदेशी कंपनियां (जैसे गूगल, फेसबुक) भी अगर भारत में सर्विस दे रही हैं तो उन्हें इस क़ानून के तहत ही काम करना पड़ेगा. यह एक्ट सरकारी विभागों पर भी लागू है, लेकिन राष्ट्रीय सुरक्षा जैसे मामलों में कुछ छूट है.

पर्सनल डेटा में क्या-क्या शामिल है?

आसान भाषा में पर्सनल डेटा वो जानकारी है जिससे किसी व्यक्ति की पहचान हो सके. जैसे - नाम, ईमेल, फोन नंबर, आधार. इसके अलावा लोकेशन, IP एड्रेस, हेल्थ रिकॉर्ड. इसके अलावा आपके फोटो, वीडियो और चैट हिस्ट्री. साथ ही आपकी जाति, धर्म, राजनीतिक विचार जैसी संवेदनशील जानकारी.

अब ये समझ लीजिए कि आपके इस डिजिटल पर्सनल डेटा के साथ क्या शर्तें कंपनियों के लिए जुड़ जाती हैं. 

सहमति (Consent): डेटा लेने से पहले यूजर से स्पष्ट सहमति लेनी होगी. सहमति लेने की भाषा फ्री, इन्फॉर्म्ड और आसान होनी चाहिए. हिंदी या अन्य भारतीय भाषाओं में भी. इससे पहले एक चीज़ होती थी बंडल्ड सहमति. इसका मतलब होता था सारी सहमतियां एक साथ लेना. इस एक्ट से पहले कम्पनियां बस एक जगह ‘हां’ का बॉक्स टिक करवा कर इस जिम्मेदारी से आज़ाद हो जाती थीं. इस एक्ट के बाद ये बंडल्ड सहमति नहीं चलेगी. यूज़र को कई बॉक्स टिक करने पड़ेंगे जिसमें वह बारी-बारी से अपनी सहमति देगा. और इसके साथ ये सुविधा भी होगी कि यूजर कभी भी सहमति वापस ले सकता है.

नोटिस (Notice): सहमति लेने से पहले बताना होगा कि कौन सा डेटा क्यों लिया जा रहा है, कितने समय तक रखा जाएगा और किसके साथ शेयर होगा. नोटिस साफ और बड़े स्पष्ट फॉन्ट में होना चाहिए.

कन्सेंट लिमिटेशन (consent limitation): यूजर की तरफ से ये जो सहमति यानी कन्सेंट दी जा रही है ये अनलिमिटेड नहीं होगी. डेटा सिर्फ उसी काम के लिए इस्तेमाल करना होगा जिसके लिए सहमति ली गई. बाद में दूसरे काम के लिए नई सहमति जरूरी होगी.

डेटा मिनिमाइजेशन (Data Minimisation): सिर्फ जरूरी डेटा लें, फालतू नहीं. जैसे, लोकेशन. ऐप में अगर लोकेशन नहीं चाहिए, तो मत मांगो. और अगर लोकेशन की परमिशन मांग रहे हो तो बताओ कि लोकेशन का क्या करोगे?

डेटा स्टोरेज (Accuracy & Storage): यह बात जानना सबसे ज्यादा ज़रूरी है. आपसे लिया हुआ डेटा सुरक्षित स्टोर करने की जिम्मेदारी उसी कंपनी की है जिसने आपसे डेटा लिया है. यह स्टोरेज ‘लीक प्रूफ’ होना चाहिए. डेटा से किसी तरह की छेड़छाड़ नहीं होनी चाहिए. जितने समय तक जरूरत हो, उतने समय तक ही डेटा स्टोर करें. बाद में डिलीट करें.

सुरक्षा (Security): हैकिंग से बचाने के लिए कंपनी को अपना मजबूत सिस्टम रखना होगा. अगर डेटा लीक हुआ तो सरकार को 72 घंटे में बताना भी होगा. सरकार को सही समय पर जानकारी नहीं दी गई तो डेटा लीक से यूजर का जो भी नुक्सान होगा उसकी जिम्मेदारी कंपनी की होगी. 

बड़ी कंपनियों के लिए अतिरिक्त नियम: सरकार कुछ बड़ी कंपनियों को "सिग्निफिकेंट डेटा फिड्यूशियरी" घोषित करेगी (जैसे मेटा, अमेजन). इन्हें भारत में डेटा प्रोटेक्शन ऑफिसर रखना होगा, ऑडिट करवाना होगा और असर का मूल्यांकन यानी इम्पैक्ट असेसमेंट करना होगा.

अब बात की जाए कि क्या यह एक्ट यूजर को कुछ अधिकार भी देता है? हां, यह कानून यूजर्स को मजबूत अधिकार देता है. लगे हाथ इन अधिकारों के बारे में भी जान लिया जाए.

डेटा देखने का अधिकार: यूजर कंपनी से पूछ सकता है कि मेरा कौन सा डेटा आपके पास है.

सुधारने या डिलीट करने का अधिकार: यूजर चाहे तो अपना गलत डेटा सुधरवा सकता है. और "राइट टू बी फॉरगॉटन" के तहत डिलीट भी करवा सकता है.

नॉमिनी बनाने का अधिकार: यूजर अपने डेटा का नॉमिनी तय कर सकता है. यूजर तय करेगा कि उसकी मौत के बाद उसका डेटा कौन संभालेगा.

शिकायत का अधिकार: यूजर के पास ये अधिकार भी है कि अपने डेटा को लेकर कंपनी से सवाल-जवाब कर सके. कंपनी 7 दिन में जवाब देगी, वरना यूजर डेटा प्रोटेक्शन बोर्ड से शिकायत कर सकता है.

इस एक्ट के तहत बच्चों की प्राइवेसी और डेटा सिक्योरिटी पर खास जोर दिया गया है. 18 साल से कम उम्र के बच्चों का डेटा लेने से पहले माता-पिता की ‘वेरिफायबल सहमति’ जरूरी है. बच्चों के डेटा से ट्रैकिंग या टारगेटेड ऐड बैन है. इस एक्ट में जुर्माने और सजा का भी अच्छा ख़ासा प्रावधान है.

सामान्य नियम के उल्लंघन पर जुर्माना: ₹200 करोड़ तक.
बच्चों के डेटा का गलत इस्तेमाल किया तो जुर्माना: ₹200 करोड़ तक.
कोई बड़ा डेटा ब्रीच हुआ तो जुर्माना : ₹250 करोड़ या उससे अधिक.

इसी के साथ एक्ट में डेटा प्रोटेक्शन बोर्ड बनाने की बात भी कही गई थी. जिसे कहा जाएगा डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया (DPBI). यह एक स्वतंत्र बोर्ड की तरह काम करेगा जो शिकायतें सुनेगा, जांच करेगा और जुर्माना लगाएगा.  एक्ट पास हो चुका है और नियम 14 नवंबर 2025 को नोटिफाई हो गए हैं. अब ऐसा कहा जा रहा है कि अगले अठारह महीनों में यह एक्ट कई स्टेप्स में लागू होगा. इसमें उन छोटे स्टार्टअप्स और कंपनियों को रियायत भी मिल सकती है जो भारत की हों और जो एक्ट के हिसाब से अपने सिस्टम को पूरी तरह अपडेट ना कर पा रही हों.

ये तो बात हो गई उस हथियार की, जो क़ानून के तौर पर आपको हमको मिला है. लेकिन एक नज़र कुछ उन बड़े ऐप्स पर भी डाल लेते हैं जो भारत में अपने यूज़र्स से अब तक क़रीबन ‘हर तरह की’ डिजिटल कन्सेंट ले लेते थे.

फेसबुक (Facebook): यह ऐप कैमरा, माइक्रोफोन, स्टोरेज/फोटोज एंड वीडियोज, लोकेशन (अप्रॉक्सिमेट और प्रिसाइज), कॉन्टैक्ट्स (रीड और मॉडिफाई), फोन (कॉल और रीड फोन स्टेट), SMS (सेंड SMS), कैलेंडर (रीड और मॉडिफाई इवेंट्स), वाई-फाई/नेटवर्क स्टेट, और डिवाइस आईडी एंड कॉल इंफो जैसी 20 से ज़्यादा परमिशन्स लेता है. फेसबुक की तरफ से ये परमिशन पोस्टिंग, लाइव वीडियो, फोटो शेयरिंग, लोकेशन टैगिंग, फ्रेंड्स सिंकिंग, वेरिफिकेशन और नेटवर्क चेकिंग के लिए जरूरी बताई जाती हैं. 

इंस्टाग्राम (Instagram): कैमरा, माइक्रोफोन, स्टोरेज/फोटोज एंड वीडियोज, लोकेशन, कॉन्टैक्ट्स, नेटवर्क एक्सेस और नोटिफिकेशन्स. ये 20 से ज़्यादा परमिशन स्टोरीज/रील्स रिकॉर्डिंग, गैलरी अपलोड, लोकेशन टैगिंग, फॉलोअर्स सिंकिंग और कनेक्टिविटी चेक के लिए यूज होते हैं. 

व्हाट्सएप (WhatsApp): कैमरा, माइक्रोफोन, स्टोरेज/फाइल्स एंड मीडिया, कॉन्टैक्ट्स, लोकेशन (अप्रॉक्सिमेट), फोन (कॉल और रीड स्टेट), एसएमएस (सेंड एसएमएस), नेटवर्क एक्सेस, डिवाइस एंड ऐप हिस्ट्री, और आइडेंटिटी (फाइंड अकाउंट्स). ये वीडियो कॉल, वॉयस मैसेज, मीडिया शेयरिंग, चैट सिंकिंग, लोकेशन शेयरिंग, वेरिफिकेशन और पुश नोटिफिकेशन्स के लिए मांगी जाती हैं.

शेयरचैट (ShareChat): कैमरा, माइक्रोफोन, स्टोरेज, लोकेशन और कॉन्टैक्ट्स.

यूट्यूब (YouTube): कैमरा, माइक्रोफोन, स्टोरेज, लोकेशन और नेटवर्क की परमिशन वीडियो अपलोड और लाइव स्ट्रीमिंग के लिए. 

लिंक्डइन (LinkedIn): कैमरा, कॉन्टैक्ट्स, लोकेशन, स्टोरेज और माइक्रोफोन. प्रोफाइल बिल्डिंग और नेटवर्किंग के लिए. 

मायजियो (MyJio): ये सबसे ज्यादा (29) परमिशन्स लेता है, जैसे कैमरा, माइक्रोफोन, लोकेशन, कॉन्टैक्ट्स, कैलेंडर, एक्टिविटी रिकग्निशन, स्टोरेज, एसएमएस और फोन. 

ट्रूकॉलर (Truecaller): 15-20 परमिशन्स, जैसे कॉन्टैक्ट्स (रीड/राइट), फोन (कॉल/रीड स्टेट), एसएमएस, माइक्रोफोन, लोकेशन और स्टोरेज.

पेटीएम (Paytm): 12-15 परमिशन्स, जैसे कैमरा (QR स्कैन), एसएमएस (OTP), कॉन्टैक्ट्स, लोकेशन, स्टोरेज और फोन.

फोनपे (PhonePe): 12-15 परमिशन्स, जैसे कैमरा, एसएमएस, कॉन्टैक्ट्स, लोकेशन, फोन और स्टोरेज.