डिजिटल डेटा सुरक्षा से जुड़े नए नियम आपकी ऑनलाइन जिंदगी कैसे बदलने वाले हैं?

ये नियम हर भारतीय के ऑनलाइन खाना ऑर्डर करने से लेकर बैंक खाते के लेन-देन और बच्चों के सोशल मीडिया उपयोग तक के तौर-तरीकों को बदल देंगे

Data privacy law and concerns — नए डिजिटल डेटा सुरक्षा नियमों से जुड़ी कुछ आशंकाएं भी हैं

अपडेटेड 19 नवंबर , 2025

केंद्रीय इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय ने 13 नवंबर को डिजिटल व्यक्तिगत डेटा सुरक्षा नियम, 2025 को अधिसूचित किया जिसे भारत के डिजिटल व्यवस्था परिदृश्य में एक महत्वपूर्ण मोड़ माना जा रहा है.

Digital Personal Data Protection Act, 2023 को प्रभावी तौर पर अमल में लाने के लिए बनाए गए ये नियम हर भारतीय के ऑनलाइन खाना ऑर्डर करने से लेकर बैंक खातों के प्रबंधन तक, बच्चों के सोशल मीडिया उपयोग से लेकर स्वास्थ्य सेवा डेटा प्रबंधन तक, डिजिटल प्लेटफॉर्म इस्तेमाल करने के तरीके को मौलिक रूप से बदल देंगे.

इन्हें अगले 18 महीनों में चरणबद्ध तरीके से लागू किया जाना है लेकिन इसका असर क्या होगा, ये उन नागरिकों के लिए जानना बेहद जरूरी है जो हर दिन अपने डिजिटल फुटप्रिंट छोड़ रहे हैं.

सहमति पर नया ढांचा : आम लोगों के लिए शायद सबसे क्रांतिकारी बदलाव पंजीकृत संस्थाओं के तौर पर consent managers (सहमति प्रबंधकों) को लाना ही है, जो आपके डिजिटल मध्यस्थ के तौर पर काम करेंगी. इन्हें व्यक्तिगत डेटा प्रबंधन वकील माना जा सकता है जो आपको कई प्लेटफॉर्म पर सहमति देने के मामले में मदद करेंगे. आम तौर पर आप लंबी-चौड़ी लिखी गई शर्तों के कॉलम को बिना पढ़े ही “I agree” पर क्लिक करके अपनी सहमति दे देते हैं. लेकिन अब आपके पास एक केंद्रीकृत प्रणाली होगी जो यह ट्रैक करेगी कि आपने कौन-सा डेटा, किसके साथ और किस उद्देश्य से साझा किया है.

आप अपनी सहमति उतनी ही आसानी से वापस ले सकते हैं जितनी आसानी से दी थी, जो जटिल प्रक्रियाओं में एक क्रांतिकारी बदलाव है. बतौर उदाहरण, जब बैंक A को बैंक B से आपके वित्तीय रिकॉर्ड की आवश्यकता होगी तो सहमति प्रबंधक इस ट्रांसफर की सुविधा प्रदान करेगा और यह सुनिश्चित करेगा कि आपको ठीक से पता हो कि क्या साझा किया जा रहा है. डेटा एन्क्रिप्टेड होता है, इसलिए सहमति प्रबंधक भी इसे पढ़ नहीं सकता. इससे मध्यस्थ के मामले में भी आपकी डेटा प्राइवेसी सुनिश्चित होगी.

तीन साल का नियम : यह नियम लाखों निष्क्रिय अकाउंट को प्रभावित करेगा. यदि आप तीन साल से निष्क्रिय हैं, तो ई-कॉमर्स प्लेटफॉर्म, सोशल मीडिया कंपनियों और गेमिंग ऐप्स को आपका डेटा हटाना होगा. यह 2 करोड़ से ज्यादा भारतीय यूजर्स वाली दिग्गज कंपनियों पर लागू होता है. हटाने से पहले, उन्हें आपको 48 घंटे का नोटिस देना होगा, जो लॉग इन करने और आपके खाते को सुरक्षित रखने का आखिरी मौका होगा.

जरा इस स्थिति पर गौर करें- आपने 2023 में एक ई-कॉमर्स प्लेटफॉर्म पर एक अकाउंट बनाया, एक बार खरीदारी की और फिर कभी लॉग-इन नहीं किया. नए नियम लागू होने की स्थिति में प्लेटफॉर्म को 2026 तक आपका व्यक्तिगत डेटा हटाना होगा बशर्ते आप उनकी चेतावनी पर कोई जवाब नहीं देते. यह प्रावधान अकेले ही संवेदनशील व्यक्तिगत जानकारी वाले लाखों जॉम्बी अकाउंट खत्म कर देगा.

डिफॉल्ट चाइल्ड प्रोटेक्शन : नियम डिजिटल सहमति के लिए 18 वर्ष की आयु सीमा निर्धारित करते हैं, जो दुनियाभर में सबसे सख्त नियमों में एक है. किसी भी प्लेटफॉर्म को बच्चों से जुड़े डेटा की प्रोसेसिंग को सत्यापित करने के लिए माता-पिता की सहमति हासिल करनी होगी. यह सिर्फ एक चेकबॉक्स पर क्लिक करने जैसा नहीं है; माता-पिता को सरकार की तरफ से जारी दस्तावेजों या अधिकृत संस्थाओं से डिजिटल टोकन लेने के माध्यम से अपनी पहचान सत्यापित करनी होगी.

एजुकेशनल ऐप्स, गेमिंग प्लेटफॉर्म और सोशल मीडिया को अपनी ऑनबोर्डिंग प्रक्रियाएं मौलिक रूप से फिर से निर्धारित करनी होंगी. हालांकि, शैक्षणिक संस्थानों और स्वास्थ्य सेवा प्रदाताओं को कुछ छूट देने का प्रावधान है, लेकिन डिफॉल्ट स्थिति बच्चों की गोपनीयता के पक्ष में है. माता-पिता का अपने बच्चों के डिजिटल जीवन पर जरूरी नियंत्रण होगा.

जब कुछ गलत हो जाए : डेटा का दुरुपयोग होता है लेकिन अब आपको वास्तव में उनके बारे में पता चल पाएगा. यदि आपके डेटा से छेड़छाड़ की गई है तो कंपनियों को “बिना देरी” आपको सूचित करना होगा. उन्हें स्पष्ट भाषा में बताना होगा कि क्या हुआ है, इससे आपके लिए क्या खतरा हो सकता, और आप क्या कदम उठा सकते हैं.

वे तकनीकी शब्दावली का सहारा लेकर या बारीक अक्षरों में जानकारी देकर अपनी जवाबदेही से बच नहीं सकते. इसके अलावा, कंपनियों को 72 घंटों के भीतर विस्तृत रिपोर्ट के साथ डेटा संरक्षण बोर्ड को सूचित करना होगा. आपके और नियामकों के प्रति यह दोहरी जवाबदेही बेहतर सुरक्षा प्रथाओं को मजबूत करने की राह खोलेगी.

विस्तारित डिजिटल राइट : ये नियम कई ऐसे अधिकारों को लागू करते हैं जो नजर भले न आएं लेकिन उनके असर बड़े हैं:

एक्सेस का अधिकार : कंपनियों को स्पष्ट तौर पर दिखाना होगा कि आप अपने डेटा प्रोसेसिंग के बारे में जानकारी कैसे मांग सकते हैं.
सुधार का अधिकार : गलत डेटा को ठीक करने के तंत्र आसानी से सुलभ होने चाहिए.
हटाने का अधिकार : आप उस डेटा को हटाने की मांग कर सकते हैं जिसकी अब उसके मूल उद्देश्य के लिए आवश्यकता नहीं है.
शिकायत निवारण : प्रत्येक प्लेटफॉर्म को 90 दिनों के भीतर शिकायतों का समाधान करना होगा.

ये केवल सैद्धांतिक अधिकार नहीं हैं. प्लेटफॉर्म को अपने डेटा सुरक्षा अधिकारियों की संपर्क जानकारी प्रमुखता से प्रदर्शित करनी होगी और इन अधिकारों का प्रयोग करने के लिए यूजर फ्रैंडली मैकेनिज्म प्रदान करना होगा.

हेल्थकेयर और सरकारी सेवाएं : जब आप किसी अस्पताल में जाते हैं या सरकारी लाभों के लिए आवेदन करते हैं, तो ये संस्थाएं सेवा प्रदान करने के लिए आपके डेटा का इस्तेमाल कर सकती हैं लेकिन सख्त सीमाओं के भीतर. ये प्रोसेसिंग वैध होनी चाहिए, जरूरत के मुताबिक सीमित और सुरक्षित होनी चाहिए. आपको ये जानकारी होनी चाहिए कि प्रश्नों के लिए किससे संपर्क करना है और अपने अधिकारों का प्रयोग कैसे करना है. इस मानकीकरण का अर्थ है कि चाहे आप आधार अपडेट करवा रहे हों या मेडिकल प्रिस्क्रिप्शन, डेटा सुरक्षा मानक एक समान रहेंगे.

क्रॉस बॉर्डर डेटा : हालांकि, नियम भारत के बाहर डेटा ट्रांसफर की अनुमति देते हैं लेकिन सरकार विशिष्ट देशों या संस्थाओं पर प्रतिबंध लगाने का अधिकार रखती है. ग्लोबल प्लेटफॉर्म यूजर्स के लिए इसका मतलब है कि आपका डेटा विदेश में प्रोसेस किया जा सकता है लेकिन सुरक्षा संबंधी चिंताएं उत्पन्न होने पर सरकार दखल दे सकती है, जो वैश्विक डिजिटल सेवाओं को सक्षम और संप्रभुता बनाए रखने के बीच एक संतुलन प्रदान करेगा.

हालांकि, नए नियम न केवल आपके डिजिटल नेविगेशन को सुव्यवस्थित करेंगे बल्कि कुछ नई चिंताएं भी लाने वाले हैं. आलोचक कई परेशान करने वाले प्रावधानों के बारे में आगाह करते हैं, जो कुछ इस प्रकार हैं :

सत्यापन का बोझ : बच्चों के ऑनलाइन सेवाओं के इस्तेमाल से पहले माता-पिता के सरकारी दस्तावेजों या डिजिटल टोकन के माध्यम से पहचान सत्यापित करने की अनिवार्यता एक बड़ी बाधा बन सकती है. अब जरा एक ग्रामीण अभिभावक के बारे में सोचिए जो खुद ही बमुश्किल डिजिटल डिवाइस का उपयोग कर पाता है, और अब उन्हें आधार या डिजिलॉकर एकीकरण से जुड़ी जटिल सत्यापन प्रक्रियाओं से गुजरना पड़ रहा है. ये न सिर्फ असुविधाजनक है; बल्कि यह लाखों बच्चों को उनके माता-पिता की डिजिटल साक्षरता के आधार पर वैध शैक्षिक संसाधनों से प्रभावी रूप से वंचित कर सकता है.

ये नियम डिजिटल नियम बुनियादी ढांचे और सरकारी पहचान प्रणालियों तक यूनिवर्सल एक्सेस की बात करते हैं. लेकिन क्या होगा जब आधार प्रमाणीकरण विफल हो जाए, जैसा अक्सर खराब कनेक्टिविटी वाले ग्रामीण क्षेत्रों में होता है? उन प्रवासी कामगारों का क्या जिनके दस्तावेज वर्तमान पते के साथ अपडेट नहीं हैं? बच्चों की सुरक्षा के लिए बनाए गए तंत्र उन्हें उन डिजिटल शिक्षण उपकरणों तक पहुंच से वंचित कर सकते हैं जो उन्हें शिक्षा के समान संसाधन मुहैया करा सकते हैं.

गोपनीयता पर विरोधाभास : यह अजीब विडंबना है कि आपके डेटा की सुरक्षा के लिए कंपनियों को अब आपके बारे में और अधिक डेटा एकत्र करने की जरूरत होगी. बच्चों की आयु सत्यापन के लिए माता-पिता को सरकारी पहचानपत्र जमा करना होगा. सहमति प्रबंधकों को सात वर्षों तक हर सहमति का विस्तृत लॉग बनाए रखना होगा. आपके अपना अकाउंट बंद करने के बाद भी कंपनियों को कम से कम एक वर्ष तक "ट्रैफ़िक डेटा एंड प्रोसेसिंग लॉग" रखना होगा. इससे मेटा कंटेंट यानी आपके डेटा के बारे में डेटा का विशाल नया डेटाबेस बनता है जो हैकर्स के लिए आकर्षक लक्ष्य बन सकता है. नियम सुरक्षा उपायों को अनिवार्य करते हैं लेकिन जैसा हमने वैश्विक स्तर पर देखा है, कोई भी प्रणाली अभेद्य नहीं है.

सेवाओं से इनकार : कंपनियों के पास अब सेवाओं से इनकार करने का एक कानूनी तौर पर स्वीकृत कारण है: “आपने पर्याप्त सहमति प्रदान नहीं की,” और इसे वे अपना हथियार बना सकती है. हालांकि नियम कहते हैं कि सहमति वापसी सहमति देने जितना ही आसान होना चाहिए, लेकिन वे कंपनियों को बाद में सेवाएं देने से मना करने से नहीं रोकते.

मान लीजिए कि आप "सेवा सुधार" उद्देश्यों के लिए किसी फ़ूड डिलीवरी ऐप के साथ स्थान डेटा साझा करने से इनकार करते हैं. ऐप कानूनी तौर पर आपको सेवा देने से मना कर सकता है, यह दावा करते हुए कि उसके संचालन के लिए लोकेशन डेटा "जरूरी" है. जरूरी और सुविधाजनक डेटा संग्रह के बीच की सीमा निराशाजनक ढंग से अस्पष्ट बनी हुई है, जिससे कंपनियों को यूजर्स पर जरूरत से ज़्यादा डेटा साझा करने का दबाव बनाने की काफी छूट मिल जाती है.

लागू करने पर आने वाला खर्च : इन नियमों के लिए विशाल तकनीकी और प्रशासनिक ढांचे की जरूरत होगी- सहमति प्रबंधन प्रणालियां, डेटा सुरक्षा अधिकारी, ऑडिट तंत्र और ब्रीच रिस्पांस टीम. बड़ी तकनीकी कंपनियां इसे मैनेज कर सकती हैं. लेकिन भारतीय स्टार्टअप और छोटे व्यवसायों के लिए अनुपालन पर आने वाली लागत बहुत ज्यादा हो सकती है. इस बढ़े खर्च का असर, ज्यादा कीमत, कम मुफ्त सेवाओं या इनोवेशन में कमी के रूप में सामने आ सकता है.

सरकारी स्तर पर छूट एक बड़ा मुद्दा : जहां नागरिकों को सख्त सहमति अनिवार्यता का सामना करना पड़ेगा, वहीं सरकारी संस्थाओं को “भारत की संप्रभुता और अखंडता” और “राज्य की सुरक्षा” के नाम पर व्यापक छूट हासिल है, जो नियमों में परिभाषित नहीं है. मूल अधिनियम की धारा 17 सरकार को किसी भी सरकारी एजेंसी को एक साधारण अधिसूचना के जरिये पूरे ढांचे से छूट प्रदान करती है.

यह असमानता चिंताजनक है. आपके डेटा को निजी कंपनियों से व्यापक सुरक्षा की आवश्यकता होती है, लेकिन सरकारी एजेंसियां बिना किसी समान सुरक्षा उपायों के अस्पष्ट राष्ट्रीय सुरक्षा आधार पर उस तक पहुंच सकती हैं. नियमों में यह स्पष्ट नहीं किया गया है कि सुरक्षा के लिए क्या खतरा है या सरकारी डेटा तक पहुंच के लिए न्यायिक निगरानी की आवश्यकता क्या है.

अगली चुनौती केवल इन नियमों को लागू करना नहीं है, बल्कि यह सुनिश्चित करना भी है कि ये वास्तव में नागरिकों की सुरक्षा करने वाली हों. इसमें कोई नया डिजिटल भेदभाव उत्पन्न होने का खतरा न हो और निजी डेटा कम विनियमित या अधिक जोखिम वाले क्षेत्र तक न पहुंचे. इन नियमों की सफलता आखिरकार उनके टेक्स्ट पर नहीं बल्कि इस पर निर्भर करेगी कि क्या वे भारत के विविधता भरे डिजिटल ईको-सिस्टम की अव्यवस्थित, जटिल वास्तविकता को बदल पाएंगे.