DPDP Act: भारत में बढ़ाई कंपनियों की चिंता! 'लॉफुल पर्पज' की उलझन और भारी खर्च बना सिरदर्द

रेगुलेटरी बदलाव और बढ़ी कंपनियाँ

भारत की डिजिटल इकोनॉमी तेजी से बढ़ रही है, और अब यह एक ऐसे मुकाम पर है जहाँ मजबूत जवाबदेही की मांग की जा रही है। भारत के करीब एक ट्रिलियन डॉलर के डिजिटल मार्केट में काम कर रही कंपनियों के लिए, डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 (DPDP Act) एक जटिल ऑपरेशनल चुनौती पेश कर रहा है, जो केवल निर्धारित पेनल्टीज़ से कहीं बढ़कर है।

'लॉफुल पर्पज' की अस्पष्टता: कंप्लायंस का जाल

DPDP एक्ट में डेटा प्रोसेसिंग के लिए 'लॉफुल पर्पज' की परिभाषा – यानी 'जो कानून द्वारा स्पष्ट रूप से निषिद्ध न हो' – कंपनियों के लिए एक बड़ा लीगल ग्रे एरिया साबित हो रही है। यह व्यापक, नकारात्मक रूप से परिभाषित परिभाषा डेटा प्रोटेक्शन बोर्ड के लिए व्याख्या की काफी गुंजाइश छोड़ती है, जिससे कंपनियाँ अनपेक्षित देनदारियों में फंस सकती हैं। ऊपरी तौर पर लचीलापन प्रदान करने के बावजूद, यह अस्पष्टता एक बड़ा कंप्लायंस रिस्क पैदा करती है, क्योंकि कुछ डेटा उपयोगों की वैधता पूर्व-निर्धारित कानूनी सीमाओं के बजाय रेगुलेटरी फैसलों से ही स्पष्ट हो पाएगी। यह जीडीपीआर (GDPR) जैसे नियमों के विपरीत है, जो अक्सर सहमति से परे प्रोसेसिंग के लिए स्पष्ट कानूनी आधारों पर निर्भर करते हैं। 'गुड फेथ' जैसी शर्तों पर स्पष्ट दिशानिर्देशों की कमी जवाबदेही और संभावित निवारण तंत्र को और कम करती है, जिससे डेटा फिड्यूशियरीज के लिए अनिश्चितता बढ़ जाती है।

'सेवन पिलर्स' का बोझ: डेटा सिक्योरिटी को लागू करना

एक्ट के सेक्शन 8(5) के तहत 'उचित सुरक्षा उपाय' (reasonable security safeguards) का आदेश, जिसे DPDP रूल्स 2025 में विस्तार से बताया गया है, एक महत्वपूर्ण ऑपरेशनल और फाइनेंशियल बोझ डालता है। ये सात स्तंभ – व्यापक डेटा सुरक्षा, कड़े एक्सेस कंट्रोल, रियल-टाइम मॉनिटरिंग, बिजनेस कंटिन्यूटी, एक साल तक लॉग रिटेंशन, डेटा प्रोसेसर के लिए कॉन्ट्रैक्टुअल ऑब्लिगेशन्स, और प्रभावी टेक्निकल/ऑर्गेनाइजेशनल उपाय – टेक्नोलॉजी और प्रोसेस में बड़े निवेश की मांग करते हैं। कंपनियों, खासकर एसएमई (SMEs) के लिए, एन्क्रिप्शन, मल्टी-फैक्टर ऑथेंटिकेशन, रोल-बेस्ड एक्सेस कंट्रोल और मजबूत बैकअप सिस्टम में निवेश काफी महंगा है। अनुमान है कि कंप्लायंस की लागत ऑपरेशनल बजट को 10-30% तक बढ़ा सकती है, जिसमें एसएमई को बड़े ओवरहॉल की आवश्यकता होने पर प्रतिशत के हिसाब से और भी अधिक वृद्धि का सामना करना पड़ सकता है। यह इंफ्रास्ट्रक्चर मांग भारत के बढ़ते साइबर सिक्योरिटी मार्केट को बढ़ावा दे रही है, जिसके 2030 तक $12.9 बिलियन तक पहुँचने का अनुमान है। हालांकि, तत्काल चुनौती अपफ्रंट कैपिटल एक्सपेंडिचर और निरंतर रखरखाव में है, जो छोटे खिलाड़ियों के लिए इनोवेशन में बाधा डाल सकती है।

वैश्विक तालमेल, भारतीय बारीकियां: DPDP का बेंचमार्किंग

हालांकि DPDP एक्ट मुख्य सिद्धांतों – जैसे सहमति, पारदर्शिता और सुरक्षा उपाय – में यूरोपीय संघ के जीडीपीआर (GDPR) और कैलिफ़ोर्निया के सीसीपीए (CCPA) जैसे वैश्विक डेटा प्राइवेसी फ्रेमवर्क के साथ तालमेल बिठाता है, यह अपनी अलग विशेषताएं प्रस्तुत करता है। जीडीपीआर के विपरीत, DPDP में संवेदनशील डेटा के लिए विशिष्ट श्रेणियां नहीं हैं, और यह सभी व्यक्तिगत डेटा पर समान मानक लागू करता है। इसका सहमति-केंद्रित शासन उल्लेखनीय है, जिसमें जीडीपीआर की तुलना में प्रोसेसिंग के लिए कम वैकल्पिक कानूनी आधार हैं। एक्ट की एक्स्ट्राटैरिटोरियल रीच (extraterritorial reach) व्यापक है, जिसमें भारत में सामान या सेवाओं की पेशकश से संबंधित डेटा को प्रोसेस करने वाली विदेशी कंपनियाँ भी शामिल हैं। पेनल्टीज़, हालांकि ₹250 करोड़ तक पर्याप्त हैं, जीडीपीआर के रेवेन्यू-बेस्ड फाइन से अलग तरह से संरचित हैं। वैश्विक सर्वोत्तम प्रथाओं और भारतीय विशिष्टताओं के इस मिश्रण के लिए अंतर्राष्ट्रीय व्यवसायों को सावधानीपूर्वक नेविगेट करने की आवश्यकता है।

फॉरेंसिक बियर केस: ₹250 करोड़ के फाइन से परे जोखिम

एक्ट के कड़े वाइसियस लायबिलिटी (vicarious liability) प्रावधानों का मतलब है कि डेटा फिड्यूशियरीज, डेटा प्रोसेसर द्वारा की गई ब्रीच (breach) के लिए उत्तरदायी रहेंगे, जिसके लिए "वाटरटाइट" वेंडर कॉन्ट्रैक्ट की आवश्यकता होती है। यह कंपनियों पर तीसरे पक्ष के विक्रेताओं की कठोरता से जाँच करने की भारी जिम्मेदारी डालता है। इसके अलावा, भारत के डेटा प्रोटेक्शन बोर्ड की स्थापना के बावजूद, इसकी स्वायत्तता और प्रवर्तन की मात्रा को संभालने की क्षमता पर सवाल उठाए गए हैं, जो सक्रिय निगरानी को सीमित कर सकता है। बोर्ड की केंद्रीकृत संरचना, उप-राष्ट्रीय शाखाओं के बिना, पूरे भारत के नागरिकों के लिए पहुंच संबंधी चिंताएँ भी बढ़ा सकती है। भारत के डेटा सुरक्षा कानूनों का ऐतिहासिक विकास, खंडित आईटी एक्ट 2000 से लेकर वर्तमान व्यापक ढांचे तक, न्यायिक व्याख्या और वैश्विक रेगुलेटरी रुझानों से प्रेरित यात्रा को उजागर करता है। हालांकि, राष्ट्रीय सुरक्षा और कानून प्रवर्तन के लिए व्यापक छूट और कुछ अमेरिकी कानूनों के विपरीत, डेटा प्रिंसिपल्स के लिए निजी कार्रवाई के अधिकार (private right of action) की अनुपस्थिति के कारण संभावित सरकारी ओवररीच के बारे में चिंताएं बनी हुई हैं।

भविष्य का दृष्टिकोण: बढ़ी हुई प्राइवेसी के साथ भारत के डिजिटल विकास का नेविगेशन

भारत की डिजिटल इकोनॉमी महत्वपूर्ण वृद्धि के लिए तैयार है, जिसके 2026 तक जीडीपी में 20% योगदान करने का अनुमान है। DPDP एक्ट, अपनी कंप्लायंस चुनौतियों के बावजूद, विश्वास और पारदर्शिता को बढ़ावा देने के इरादे से है, जो इस ट्रिलियन-डॉलर मार्केट में निरंतर विकास के लिए आवश्यक तत्व हैं। भारत में साइबर सिक्योरिटी मार्केट नियामक जनादेशों, जैसे DPDP एक्ट, से प्रेरित होकर मजबूत विस्तार का अनुभव कर रहा है, जो समाधान प्रदाताओं के लिए अवसर पैदा कर रहा है। विश्लेषकों को नए सिस्टम और प्रक्रियाओं की आवश्यकता के कारण डेटा फिड्यूशियरीज के लिए ऑपरेशनल लागत में महत्वपूर्ण वृद्धि देखने की उम्मीद है। एक्ट का उद्देश्य अधिक जवाबदेह डिजिटल इकोसिस्टम बनाना है, जो संभावित रूप से भारत की वैश्विक डिजिटल इकोनॉमी में एक विश्वसनीय भागीदार के रूप में स्थिति को मजबूत करेगा, बशर्ते कि कंपनियाँ अंतर्निहित कंप्लायंस जटिलताओं और अस्पष्टताओं का प्रभावी ढंग से प्रबंधन कर सकें।