Whalesbook
ਇਹ ਨਿਯਮ ਭਾਰਤ ਦੇ ਡਿਜੀਟਲ ਬਾਜ਼ਾਰ ਵਿੱਚ ਕੰਪਨੀਆਂ ਲਈ ਇੱਕ ਗੰਭੀਰ ਚੁਣੌਤੀ ਪੇਸ਼ ਕਰ ਰਹੇ ਹਨ, ਜੋ ਕਿ ਸਿਰਫ ਨਿਰਧਾਰਤ ਜੁਰਮਾਨਿਆਂ ਤੋਂ ਕਿਤੇ ਵੱਧ ਹੈ। ਡਿਜੀਟਲ ਪਰਸਨਲ ਡਾਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ ਐਕਟ, 2023 (DPDP Act) ਦੇ ਤਹਿਤ 'ਕਾਨੂੰਨੀ ਉਦੇਸ਼' (lawful purpose) ਲਈ ਡਾਟਾ ਪ੍ਰੋਸੈਸਿੰਗ ਦੀ ਪਰਿਭਾਸ਼ਾ, ਜਿਸ ਵਿੱਚ ਕਿਹਾ ਗਿਆ ਹੈ ਕਿ ਇਹ 'ਕਾਨੂੰਨ ਦੁਆਰਾ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਮਨ੍ਹਾ ਨਹੀਂ ਹੈ', ਕਾਰੋਬਾਰਾਂ ਲਈ ਇੱਕ ਵੱਡਾ ਕਾਨੂੰਨੀ ਗ੍ਰੇ-ਏਰੀਆ (legal grey area) ਬਣ ਗਈ ਹੈ। ਇਹ ਵਿਆਪਕ, ਨਕਾਰਾਤਮਕ ਪਰਿਭਾਸ਼ਾ ਡਾਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ ਬੋਰਡ (Data Protection Board) ਦੁਆਰਾ ਅਚਾਨਕ ਲਗਾਈਆਂ ਜਾ ਸਕਣ ਵਾਲੀਆਂ ਦੇਣਦਾਰੀਆਂ (liabilities) ਲਈ ਕਾਫੀ ਗੁੰਜਾਇਸ਼ ਛੱਡਦੀ ਹੈ। ਜਦੋਂ ਕਿ ਇਹ ਲਚਕਤਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਜਾਪਦਾ ਹੈ, ਇਹ ਅਸਪੱਸ਼ਟਤਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਕੰਪਲਾਈਂਸ ਜੋਖਮ (compliance risk) ਪੈਦਾ ਕਰਦੀ ਹੈ, ਕਿਉਂਕਿ ਕੁਝ ਡਾਟਾ ਵਰਤੋਂ ਦੀ ਕਾਨੂੰਨੀਤਾ ਪੂਰਵ-ਨਿਰਧਾਰਤ ਕਾਨੂੰਨੀ ਸੀਮਾਵਾਂ ਦੀ ਬਜਾਏ ਰੈਗੂਲੇਟਰੀ ਫੈਸਲਿਆਂ (regulatory rulings) ਦੁਆਰਾ ਹੀ ਸਪੱਸ਼ਟ ਹੋ ਸਕਦੀ ਹੈ। ਇਹ GDPR ਵਰਗੇ ਨਿਯਮਾਂ ਦੇ ਉਲਟ ਹੈ, ਜੋ ਸਹਿਮਤੀ (consent) ਤੋਂ ਪਰ੍ਹੇ ਪ੍ਰੋਸੈਸਿੰਗ ਲਈ ਅਕਸਰ ਸਪੱਸ਼ਟ ਕਾਨੂੰਨੀ ਆਧਾਰਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। 'ਸਦਭਾਵਨਾ' (good faith) ਵਰਗੇ ਸ਼ਬਦਾਂ 'ਤੇ ਸਪੱਸ਼ਟ ਦਿਸ਼ਾ-ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਘਾਟ ਜਵਾਬਦੇਹੀ (accountability) ਅਤੇ ਸੰਭਾਵੀ ਸੁਧਾਰ (redress mechanisms) ਨੂੰ ਹੋਰ ਘਟਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਡਾਟਾ ਫਿਡਿਊਸ਼ੀਅਰੀਜ਼ (Data Fiduciaries) ਲਈ ਅਨਿਸ਼ਚਿਤਤਾ ਵਧ ਜਾਂਦੀ ਹੈ।
'ਸੱਤ ਸਤੰਭਾਂ' ਦਾ ਬੋਝ: ਡਾਟਾ ਸੁਰੱਖਿਆ ਨੂੰ ਆਪਰੇਸ਼ਨਲ ਬਣਾਉਣਾ
ਐਕਟ ਦੀ ਧਾਰਾ 8(5) ਤਹਿਤ 'ਵਾਜਬ ਸੁਰੱਖਿਆ ਪ੍ਰਬੰਧ' (reasonable security safeguards) ਦਾ ਆਦੇਸ਼, ਜੋ ਕਿ DPDP ਰੂਲਜ਼ 2025 ਦੁਆਰਾ ਵਿਸਤ੍ਰਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਵੱਡਾ ਆਪਰੇਸ਼ਨਲ ਅਤੇ ਵਿੱਤੀ ਬੋਝ ਪਾਉਂਦਾ ਹੈ। ਇਹ ਸੱਤ ਥੰਮ੍ਹ - ਵਿਆਪਕ ਡਾਟਾ ਸੁਰੱਖਿਆ, ਸਖ਼ਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ (access controls), ਰੀਅਲ-ਟਾਈਮ ਨਿਗਰਾਨੀ (monitoring), ਕਾਰੋਬਾਰ ਨਿਰੰਤਰਤਾ (business continuity), ਇੱਕ ਸਾਲ ਦੇ ਲਾਗ ਰਿਟੈਨਸ਼ਨ (log retention), ਡਾਟਾ ਪ੍ਰੋਸੈਸਰਾਂ ਲਈ ਸੰਕਲਪੀ ਜ਼ਿੰਮੇਵਾਰੀਆਂ (contractual obligations), ਅਤੇ ਪ੍ਰਭਾਵੀ ਤਕਨੀਕੀ/ਸੰਗਠਨਾਤਮਕ ਉਪਾਅ - ਲਈ ਤਕਨਾਲੋਜੀ ਅਤੇ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਵੱਡੇ ਨਿਵੇਸ਼ ਦੀ ਲੋੜ ਹੈ। ਕਾਰੋਬਾਰਾਂ, ਖਾਸ ਕਰਕੇ ਛੋਟੇ ਅਤੇ ਮੱਧਮ ਆਕਾਰ ਦੇ ਉਦਯੋਗਾਂ (SMEs) ਲਈ, ਐਨਕ੍ਰਿਪਸ਼ਨ (encryption), ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (multi-factor authentication), ਰੋਲ-ਬੇਸਡ ਐਕਸੈਸ ਕੰਟਰੋਲ (role-based access controls) ਅਤੇ ਮਜ਼ਬੂਤ ਬੈਕਅੱਪ ਸਿਸਟਮ ਲਾਗੂ ਕਰਨ ਦੀ ਲਾਗਤ ਕਾਫੀ ਜ਼ਿਆਦਾ ਹੈ। ਅੰਦਾਜ਼ੇ ਦੱਸਦੇ ਹਨ ਕਿ ਕੰਪਲਾਈਂਸ ਲਾਗਤਾਂ ਆਪਰੇਸ਼ਨਲ ਬਜਟਾਂ ਨੂੰ 10% ਤੋਂ 30% ਤੱਕ ਵਧਾ ਸਕਦੀਆਂ ਹਨ, ਜਦੋਂ ਕਿ SMEs ਨੂੰ ਵੱਡੇ ਸੁਧਾਰਾਂ ਦੀ ਲੋੜ ਪੈਣ 'ਤੇ ਇਹ ਪ੍ਰਤੀਸ਼ਤਤਾ ਹੋਰ ਵੀ ਵੱਧ ਹੋ ਸਕਦੀ ਹੈ। ਇਸ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਮੰਗ ਭਾਰਤ ਦੇ ਤੇਜ਼ੀ ਨਾਲ ਵਧ ਰਹੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਬਾਜ਼ਾਰ (cybersecurity market) ਦਾ ਮੁੱਖ ਚਾਲਕ ਹੈ, ਜਿਸ ਦੇ 2030 ਤੱਕ $12.9 ਬਿਲੀਅਨ ਤੱਕ ਪਹੁੰਚਣ ਦਾ ਅਨੁਮਾਨ ਹੈ। ਹਾਲਾਂਕਿ, ਤੁਰੰਤ ਚੁਣੌਤੀ ਅਗਾਊਂ ਪੂੰਜੀ ਖਰਚ (capital expenditure) ਅਤੇ ਚੱਲ ਰਹੇ ਰੱਖ-ਰਖਾਅ (maintenance) ਵਿੱਚ ਹੈ, ਜੋ ਛੋਟੇ ਖਿਡਾਰੀਆਂ ਲਈ ਨਵੀਨਤਾ ਨੂੰ ਹੌਲੀ ਕਰ ਸਕਦਾ ਹੈ।
ਗਲੋਬਲ ਸਮਾਨਤਾ, ਭਾਰਤੀ ਸੂਖਮਤਾਵਾਂ: DPDP ਦੀ ਤੁਲਨਾ
ਜਦੋਂ ਕਿ DPDP ਐਕਟ ਆਪਣੇ ਮੁੱਖ ਸਿਧਾਂਤਾਂ - ਜਿਵੇਂ ਕਿ ਸਹਿਮਤੀ, ਪਾਰਦਰਸ਼ਤਾ (transparency), ਅਤੇ ਸੁਰੱਖਿਆ ਉਪਾਅ - ਵਿੱਚ EU ਦੇ GDPR ਅਤੇ ਕੈਲੀਫੋਰਨੀਆ ਦੇ CCPA ਵਰਗੇ ਗਲੋਬਲ ਡਾਟਾ ਗੋਪਨੀਯਤਾ ਫਰੇਮਵਰਕ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਇਹ ਆਪਣੀਆਂ ਵਿਲੱਖਣ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਪੇਸ਼ ਕਰਦਾ ਹੈ। GDPR ਦੇ ਉਲਟ, DPDP ਕੋਲ ਸੰਵੇਦਨਸ਼ੀਲ ਡਾਟਾ ਲਈ ਕੋਈ ਖਾਸ ਸ਼੍ਰੇਣੀਆਂ ਨਹੀਂ ਹਨ, ਸਾਰੇ ਨਿੱਜੀ ਡਾਟਾ 'ਤੇ ਇਕ ਸਮਾਨ ਮਿਆਰ ਲਾਗੂ ਹੁੰਦੇ ਹਨ। ਇਸਦੀ ਸਹਿਮਤੀ-ਕੇਂਦ੍ਰਿਤ ਸ਼ਾਸਨ (consent-centric regime) ਨੋਟ ਕਰਨ ਯੋਗ ਹੈ, ਜਿਸ ਵਿੱਚ GDPR ਦੇ ਮੁਕਾਬਲੇ ਪ੍ਰੋਸੈਸਿੰਗ ਲਈ ਘੱਟ ਵਿਕਲਪਕ ਕਾਨੂੰਨੀ ਆਧਾਰ ਹਨ। ਐਕਟ ਦੀ ਬਾਹਰੀ ਪਹੁੰਚ (extraterritorial reach) ਵਿਆਪਕ ਹੈ, ਜੋ ਭਾਰਤ ਵਿੱਚ ਵਸਤੂਆਂ ਜਾਂ ਸੇਵਾਵਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਨਾਲ ਸਬੰਧਤ ਡਾਟਾ ਪ੍ਰੋਸੈਸ ਕਰਨ ਵਾਲੀਆਂ ਵਿਦੇਸ਼ੀ ਕੰਪਨੀਆਂ ਨੂੰ ਵੀ ਕਵਰ ਕਰਦੀ ਹੈ। ਜੁਰਮਾਨੇ, ਭਾਵੇਂ ₹250 ਕਰੋੜ ਤੱਕ ਮਹੱਤਵਪੂਰਨ ਹਨ, GDPR ਦੇ ਮਾਲੀਆ-ਆਧਾਰਿਤ ਜੁਰਮਾਨਿਆਂ ਤੋਂ ਵੱਖਰੇ ਢੰਗ ਨਾਲ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਗਲੋਬਲ ਸਰਬੋਤਮ ਅਭਿਆਸਾਂ (best practices) ਅਤੇ ਭਾਰਤੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਇਸ ਮਿਸ਼ਰਣ ਨੂੰ ਅੰਤਰਰਾਸ਼ਟਰੀ ਕਾਰੋਬਾਰਾਂ ਲਈ ਧਿਆਨ ਨਾਲ ਨੈਵੀਗੇਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।
ਫੋਰੈਂਸਿਕ ਬੇਅਰ ਕੇਸ: ₹250 ਕਰੋੜ ਦੇ ਜੁਰਮਾਨੇ ਤੋਂ ਪਰ੍ਹੇ ਦੇ ਜੋਖਮ
ਐਕਟ ਦੀ ਸਖ਼ਤ ਪਾਰਾ-ਗ੍ਰਾਫਟ ਦੇਣਦਾਰੀ (vicarious liability) ਵਿਵਸਥਾਵਾਂ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਡਾਟਾ ਫਿਡਿਊਸ਼ੀਅਰੀਜ਼, ਡਾਟਾ ਪ੍ਰੋਸੈਸਰਾਂ ਦੁਆਰਾ ਹੋਣ ਵਾਲੀਆਂ ਉਲੰਘਣਾਂ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਰਹਿੰਦੇ ਹਨ, ਜਿਸ ਲਈ 'ਵਾਟਰਟਾਈਟ' (watertight) ਵਿਕਰੇਤਾ ਇਕਰਾਰਨਾਮੇ (vendor contracts) ਜ਼ਰੂਰੀ ਹਨ। ਇਹ ਤੀਜੀ-ਧਿਰ ਦੇ ਵਿਕਰੇਤਾਵਾਂ ਦੀ ਸਖ਼ਤੀ ਨਾਲ ਜਾਂਚ ਕਰਨ ਦਾ ਬੇਅੰਤ ਜ਼ਿੰਮੇਵਾਰੀ ਕੰਪਨੀਆਂ 'ਤੇ ਪਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਭਾਰਤ ਦਾ ਡਾਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ ਬੋਰਡ, ਸਥਾਪਿਤ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਆਪਣੀ ਖੁਦਮੁਖਤਿਆਰੀ (autonomy) ਅਤੇ ਲਾਗੂਕਰਨ ਦੀ ਮਾਤਰਾ ਨੂੰ ਸੰਭਾਲਣ ਦੀ ਸਮਰੱਥਾ ਬਾਰੇ ਸਵਾਲਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰ ਰਿਹਾ ਹੈ, ਜੋ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸਰਗਰਮ ਨਿਗਰਾਨੀ (proactive oversight) ਨੂੰ ਸੀਮਤ ਕਰ ਸਕਦਾ ਹੈ। ਬੋਰਡ ਦੀ ਕੇਂਦਰੀਕ੍ਰਿਤ ਬਣਤਰ, ਉਪ-ਰਾਸ਼ਟਰੀ ਸ਼ਾਖਾਵਾਂ (sub-national branches) ਤੋਂ ਬਿਨਾਂ, ਪੂਰੇ ਭਾਰਤ ਦੇ ਨਾਗਰਿਕਾਂ ਲਈ ਪਹੁੰਚਯੋਗਤਾ (accessibility) ਸੰਬੰਧੀ ਚਿੰਤਾਵਾਂ ਵੀ ਖੜ੍ਹੀ ਕਰ ਸਕਦੀ ਹੈ। ਭਾਰਤ ਦੇ ਡਾਟਾ ਸੁਰੱਖਿਆ ਕਾਨੂੰਨਾਂ ਦਾ ਇਤਿਹਾਸਕ ਵਿਕਾਸ, ਫੁੱਟੇ ਹੋਏ IT ਐਕਟ 2000 ਤੋਂ ਲੈ ਕੇ ਮੌਜੂਦਾ ਵਿਆਪਕ ਢਾਂਚੇ ਤੱਕ, ਇੱਕ ਯਾਤਰਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ ਜੋ ਅਦਾਲਤੀ ਵਿਆਖਿਆ (judicial interpretation) ਅਤੇ ਗਲੋਬਲ ਰੈਗੂਲੇਟਰੀ ਰੁਝਾਨਾਂ ਦੁਆਰਾ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਰਾਸ਼ਟਰੀ ਸੁਰੱਖਿਆ ਅਤੇ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ (law enforcement) ਲਈ ਵਿਆਪਕ ਛੋਟਾਂ (exemptions) ਅਤੇ ਕੁਝ ਅਮਰੀਕੀ ਕਾਨੂੰਨਾਂ ਦੇ ਉਲਟ, ਡਾਟਾ ਪ੍ਰਿੰਸੀਪਲਾਂ (data principals) ਲਈ ਨਿੱਜੀ ਕਾਰਵਾਈ ਦੇ ਅਧਿਕਾਰ (private right of action) ਦੀ ਗੈਰ-ਮੌਜੂਦਗੀ ਕਾਰਨ ਸੰਭਾਵੀ ਸਰਕਾਰੀ ਦੁਰਵਰਤੋਂ (government overreach) ਬਾਰੇ ਚਿੰਤਾਵਾਂ ਬਰਕਰਾਰ ਹਨ।
ਭਵਿੱਖ ਦਾ ਦ੍ਰਿਸ਼ਟੀਕੋਣ: ਵਧੀਆਂ ਗੋਪਨੀਯਤਾ ਨਾਲ ਭਾਰਤ ਦੇ ਡਿਜੀਟਲ ਵਿਕਾਸ ਨੂੰ ਨੈਵੀਗੇਟ ਕਰਨਾ
ਭਾਰਤ ਦੀ ਡਿਜੀਟਲ ਆਰਥਿਕਤਾ ਜ਼ਬਰਦਸਤ ਵਿਕਾਸ ਲਈ ਤਿਆਰ ਹੈ, ਜਿਸ ਦੇ 2026 ਤੱਕ GDP ਦਾ 20% ਯੋਗਦਾਨ ਪਾਉਣ ਦਾ ਅਨੁਮਾਨ ਹੈ। DPDP ਐਕਟ, ਇਸ ਦੀਆਂ ਕੰਪਲਾਈਂਸ ਚੁਣੌਤੀਆਂ ਦੇ ਬਾਵਜੂਦ, ਭਰੋਸਾ ਅਤੇ ਪਾਰਦਰਸ਼ਤਾ ਪੈਦਾ ਕਰਨ ਦਾ ਇਰਾਦਾ ਰੱਖਦਾ ਹੈ, ਜੋ ਇਸ ਇੱਕ ਟ੍ਰਿਲੀਅਨ-ਡਾਲਰ ਬਾਜ਼ਾਰ ਵਿੱਚ ਟਿਕਾਊ ਵਿਕਾਸ ਲਈ ਜ਼ਰੂਰੀ ਤੱਤ ਹਨ। ਭਾਰਤ ਦਾ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਬਾਜ਼ਾਰ ਮਜ਼ਬੂਤ ਵਿਸਥਾਰ ਦਾ ਅਨੁਭਵ ਕਰ ਰਿਹਾ ਹੈ, ਜਿਸ ਨੂੰ DPDP ਐਕਟ ਵਰਗੇ ਰੈਗੂਲੇਟਰੀ ਆਦੇਸ਼ਾਂ ਦੁਆਰਾ ਚਲਾਇਆ ਜਾ ਰਿਹਾ ਹੈ, ਜੋ ਹੱਲ ਪ੍ਰਦਾਤਾਵਾਂ (solution providers) ਲਈ ਮੌਕੇ ਪੈਦਾ ਕਰ ਰਿਹਾ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਕ ਨਵੇਂ ਸਿਸਟਮ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਲੋੜ ਕਾਰਨ ਡਾਟਾ ਫਿਡਿਊਸ਼ੀਅਰੀਜ਼ ਲਈ ਆਪਰੇਸ਼ਨਲ ਲਾਗਤਾਂ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਵਾਧੇ ਦੀ ਉਮੀਦ ਕਰਦੇ ਹਨ। ਐਕਟ ਦਾ ਉਦੇਸ਼ ਇੱਕ ਵਧੇਰੇ ਜਵਾਬਦੇਹ ਡਿਜੀਟਲ ਈਕੋਸਿਸਟਮ ਬਣਾਉਣਾ ਹੈ, ਜੋ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਭਾਰਤ ਦੀ ਇੱਕ ਭਰੋਸੇਮੰਦ ਭਾਈਵਾਲ ਵਜੋਂ ਸਥਿਤੀ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰੇ, ਜੇਕਰ ਕਾਰੋਬਾਰ ਅੰਦਰੂਨੀ ਕੰਪਲਾਈਂਸ ਗੁੰਝਲਾਂ ਅਤੇ ਅਸਪੱਸ਼ਟਤਾਵਾਂ ਦਾ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਪ੍ਰਬੰਧਨ ਕਰ ਸਕਦੇ ਹਨ।