Whalesbook
ਨਵਾਂ ਨਿਯਮ: ਭਾਰਤ ਵਿੱਚ ਡਾਟਾ ਰਿਟੈਨਸ਼ਨ ਦੀ 1 ਸਾਲ ਦੀ ਲਾਜ਼ਮੀ ਮਿਆਦ
ਭਾਰਤ ਦੇ ਡਿਜੀਟਲ ਪਰਸਨਲ ਡਾਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ (DPDP) ਐਕਟ ਦੇ ਤਹਿਤ ਜਾਰੀ ਕੀਤੇ ਗਏ ਨਵੇਂ ਨਿਯਮਾਂ ਨੇ ਸਪੱਸ਼ਟ ਕਰ ਦਿੱਤਾ ਹੈ ਕਿ ਹੁਣ ਨਿੱਜੀ ਡਾਟਾ, ਟ੍ਰੈਫਿਕ ਡਾਟਾ ਅਤੇ ਲੌਗਜ਼ ਨੂੰ ਲਾਜ਼ਮੀ ਤੌਰ 'ਤੇ ਘੱਟੋ-ਘੱਟ 1 ਸਾਲ ਤੱਕ ਸਾਂਭ ਕੇ ਰੱਖਣਾ ਹੋਵੇਗਾ। ਇਹ ਨਿਯਮ DPDP ਐਕਟ ਦੇ ਅਸਲ ਉਦੇਸ਼, ਜੋ ਕਿ ਡਾਟਾ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਰੱਖਣਾ ਸੀ, ਤੋਂ ਇੱਕ ਵੱਡਾ ਮੋੜ ਹੈ। ਮਾਹਰਾਂ ਅਤੇ ਆਲੋਚਕਾਂ ਦਾ ਕਹਿਣਾ ਹੈ ਕਿ ਇਹ ਕਾਨੂੰਨ ਨੂੰ ਡਾਟਾ ਸੁਰੱਖਿਆ ਤੋਂ ਹਟਾ ਕੇ ਸਰਕਾਰੀ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਇਸ ਤੱਕ ਪਹੁੰਚ ਵਧਾਉਣ ਵੱਲ ਲੈ ਜਾ ਰਿਹਾ ਹੈ। ਇਹ ਨਿਯਮ ਕੰਪਨੀਆਂ ਨੂੰ ਉਹ ਡਾਟਾ ਵੀ ਰੱਖਣ ਲਈ ਮਜਬੂਰ ਕਰਦਾ ਹੈ ਜੋ ਉਹ ਆਮ ਤੌਰ 'ਤੇ ਮਿਟਾ ਦਿੰਦੀਆਂ ਸਨ ਜਾਂ ਅਗਿਆਤ (Anonymize) ਕਰ ਦਿੰਦੀਆਂ ਸਨ, ਭਾਵੇਂ ਉਨ੍ਹਾਂ ਦੇ ਮੌਜੂਦਾ ਪ੍ਰਾਈਵੇਸੀ ਸਿਸਟਮ ਇਸਦੇ ਅਨੁਕੂਲ ਨਾ ਹੋਣ। ਇਹ ਕੰਪਨੀਆਂ ਲਈ ਇੱਕ ਵੱਡੀ ਓਪਰੇਸ਼ਨਲ ਰੁਕਾਵਟ ਹੈ ਅਤੇ ਇਸ ਨਾਲ ਡਾਟਾ ਪ੍ਰਾਈਵੇਸੀ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਵਰਤੀਆਂ ਜਾ ਰਹੀਆਂ ਵਿਧੀਆਂ ਨੂੰ ਛੱਡਣਾ ਪੈ ਸਕਦਾ ਹੈ।
ਪ੍ਰਾਈਵੇਸੀ-ਬਾਏ-ਡਿਜ਼ਾਈਨ (Privacy by Design) ਨੂੰ ਧੱਕਾ?
ਅੱਜ ਦੇ ਡਿਜੀਟਲ ਸਿਸਟਮਾਂ ਵਿੱਚ, ਪ੍ਰਾਈਵੇਸੀ ਨੂੰ ਸਿਸਟਮ ਦੇ ਮੂਲ ਡਿਜ਼ਾਈਨ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸਦੇ ਤਹਿਤ ਡਾਟਾ ਨੂੰ ਸੋਰਸ 'ਤੇ ਹੀ ਅਗਿਆਤ ਕਰਨਾ, ਡਾਟਾ ਨੂੰ ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਹੀ ਵਰਤਣਾ ਅਤੇ ਆਟੋਮੈਟਿਕ ਡਿਲੀਸ਼ਨ ਵਰਗੀਆਂ ਵਿਧੀਆਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਤਾਂ ਜੋ ਪ੍ਰਾਈਵੇਸੀ ਦੇ ਜੋਖਮਾਂ ਨੂੰ ਘੱਟ ਕੀਤਾ ਜਾ ਸਕੇ। Apple ਵਰਗੀਆਂ ਕੰਪਨੀਆਂ ਲੋਕਲ ਡਿਫਰੈਂਸ਼ੀਅਲ ਪ੍ਰਾਈਵੇਸੀ (Local Differential Privacy) ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ, ਅਤੇ Google ਫੈਡਰੇਟਡ ਲਰਨਿੰਗ (Federated Learning) ਵਰਗੇ ਤਰੀਕੇ ਵਰਤਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਡਾਟਾ ਯੂਜ਼ਰ ਦੇ ਡਿਵਾਈਸ 'ਤੇ ਹੀ ਰਹਿੰਦਾ ਹੈ। DPDP ਨਿਯਮਾਂ ਦਾ ਇਹ 1 ਸਾਲ ਦਾ ਰਿਟੈਨਸ਼ਨ ਮੈਂਡੇਟ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਇਨ੍ਹਾਂ ਅੰਦਰੂਨੀ ਪ੍ਰਾਈਵੇਸੀ ਵਿਧੀਆਂ ਨੂੰ ਚੁਣੌਤੀ ਦਿੰਦਾ ਹੈ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਕੰਪਨੀਆਂ ਨੂੰ ਪਛਾਣਯੋਗ ਲੌਗਜ਼ (Identifiable Logs) ਰੱਖਣੇ ਪੈਣਗੇ ਜੋ ਉਹ ਸ਼ਾਇਦ ਆਟੋਮੈਟਿਕਲੀ ਡਿਲੀਟ ਕਰ ਦਿੰਦੀਆਂ। ਇਹ ਇੱਕ ਮੁਸ਼ਕਲ ਸਥਿਤੀ ਪੈਦਾ ਕਰਦਾ ਹੈ ਜਿੱਥੇ ਪ੍ਰਾਈਵੇਸੀ ਦਾ ਨੁਕਸਾਨ ਹੁੰਦਾ ਹੈ ਅਤੇ ਪਾਲਣਾ (Compliance) ਦੇ ਖਰਚੇ ਵੱਧ ਜਾਂਦੇ ਹਨ। ਇਹ ਨਿਯਮ ਡਾਟਾ ਹੈਂਡਲਿੰਗ ਸਿਸਟਮਾਂ ਵਿੱਚ ਵੱਡੇ ਬਦਲਾਅ ਲਿਆ ਸਕਦੇ ਹਨ, ਜਿਸ ਲਈ ਨਵੇਂ ਇਨਫ్రాਸਟਰਕਚਰ ਅਤੇ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਭਾਰੀ ਨਿਵੇਸ਼ ਦੀ ਲੋੜ ਪਵੇਗੀ। ਡਾਟਾ ਮਿਨੀਮਾਈਜ਼ੇਸ਼ਨ ਵਰਗੇ ਸਿਧਾਂਤਾਂ ਤੋਂ ਹਟ ਕੇ, ਜੋ ਕਿ GDPR ਵਰਗੇ ਗਲੋਬਲ ਸਟੈਂਡਰਡਜ਼ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ, ਇੱਕ ਲਾਜ਼ਮੀ ਰਿਟੈਨਸ਼ਨ ਰੂਲ ਲਾਗੂ ਕਰਨਾ ਖਪਤਕਾਰਾਂ ਦੇ ਭਰੋਸੇ ਅਤੇ ਪ੍ਰਾਈਵੇਸੀ ਦੇ ਜੋਖਮਾਂ ਨੂੰ ਪ੍ਰਬੰਧਿਤ ਕਰਨ ਲਈ ਨੁਕਸਾਨਦੇਹ ਮੰਨਿਆ ਜਾ ਰਿਹਾ ਹੈ।
ਭਾਰਤ ਦੇ ਨਿਯਮ ਗਲੋਬਲ ਪ੍ਰਾਈਵੇਸੀ ਰੁਝਾਨਾਂ ਨਾਲ ਟਕਰਾਅ ਵਿੱਚ
ਭਾਰਤ ਦੇ DPDP ਐਕਟ ਦਾ ਇਹ ਲਾਜ਼ਮੀ ਡਾਟਾ ਰਿਟੈਨਸ਼ਨ ਨਿਯਮ, ਯੂਰਪੀਅਨ ਯੂਨੀਅਨ ਦੇ GDPR ਵਰਗੇ ਡਾਟਾ ਮਿਨੀਮਾਈਜ਼ੇਸ਼ਨ ਅਤੇ ਪ੍ਰਾਈਵੇਸੀ-ਬਾਏ-ਡਿਜ਼ਾਈਨ ਦੇ ਗਲੋਬਲ ਰੁਝਾਨਾਂ ਦੇ ਉਲਟ ਹੈ। ਜਦੋਂ ਕਿ GDPR, ਅਜਿਹੇ ਦੇਸ਼ਾਂ ਵਿੱਚ ਡਾਟਾ ਟ੍ਰਾਂਸਫਰ ਨੂੰ ਰੋਕਦਾ ਹੈ ਜਿੱਥੇ ਨਾਕਾਫੀ ਸੁਰੱਖਿਆ ਹੁੰਦੀ ਹੈ, ਪਰ ਇਹ ਖਾਸ ਉਦੇਸ਼ਾਂ ਤੋਂ ਇਲਾਵਾ ਹੋਰ ਲੋੜਾਂ ਲਈ ਰਿਟੈਨਸ਼ਨ ਪੀਰੀਅਡ ਨੂੰ ਲਾਜ਼ਮੀ ਨਹੀਂ ਕਰਦਾ। ਭਾਰਤ ਦਾ ਪਹੁੰਚ, ਖਾਸ ਕਰਕੇ 1 ਸਾਲ ਦਾ ਰਿਟੈਨਸ਼ਨ ਰੂਲ, ਸਰਕਾਰੀ ਪਹੁੰਚ ਨੂੰ ਆਸਾਨ ਬਣਾਉਣ ਵੱਲ ਝੁਕਿਆ ਹੋਇਆ ਲੱਗਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਭਾਵੀ ਨਿਗਰਾਨੀ (Surveillance) ਬਾਰੇ ਚਿੰਤਾਵਾਂ ਵਧ ਗਈਆਂ ਹਨ। DPDP ਐਕਟ ਦੀ ਪਾਲਣਾ ਕਾਰੋਬਾਰਾਂ ਲਈ ਇੱਕ ਵੱਡਾ ਕੰਮ ਹੈ; ਅੰਦਾਜ਼ਾ ਹੈ ਕਿ ਕੰਸੈਂਟ ਸਿਸਟਮ, ਡਾਟਾ ਰਿਟੈਨਸ਼ਨ ਅਤੇ ਬ੍ਰੀਚ ਰਿਪੋਰਟਿੰਗ ਲਈ ਬਜਟ 10% ਤੋਂ 30% ਤੱਕ ਵਧ ਸਕਦਾ ਹੈ। ਭਾਰਤ ਵਿੱਚ ਕੰਮ ਕਰ ਰਹੀਆਂ ਮਲਟੀਨੈਸ਼ਨਲ ਕੰਪਨੀਆਂ ਅਤੇ ਗਲੋਬਲ ਸੈਂਟਰਾਂ ਲਈ, ਭਾਰਤ ਦੇ ਨਿਯਮਾਂ ਨੂੰ GDPR ਵਰਗੇ ਗਲੋਬਲ ਫਰੇਮਵਰਕ ਨਾਲ ਮੇਲਣਾ ਗੁੰਝਲਦਾਰੀ ਅਤੇ ਲਾਗਤਾਂ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ। ਕਈ ਭਾਰਤੀ ਕੰਪਨੀਆਂ ਨੂੰ ਕਾਨੂੰਨ ਨੂੰ ਸਮਝਣ ਅਤੇ ਨਵੇਂ ਪ੍ਰਾਈਵੇਸੀ ਟੂਲ ਅਪਣਾਉਣ ਵਿੱਚ ਵੀ ਮੁਸ਼ਕਲ ਆ ਰਹੀ ਹੈ, ਜਿਸ ਕਾਰਨ ਬਹੁਤ ਸਾਰੇ ਅਜੇ ਵੀ ਆਪਣੀ ਕੰਪਲਾਇੰਸ ਯੋਜਨਾਬੰਦੀ ਵਿੱਚ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ 'ਤੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, GDPR ਦੇ ਉਲਟ, DPDP ਐਕਟ ਵਿੱਚ ਡਾਟਾ ਪ੍ਰਿੰਸੀਪਲਾਂ (Data Principals) ਨੂੰ ਹੋਏ ਨੁਕਸਾਨ ਲਈ ਮੁਆਵਜ਼ਾ ਦੇਣ ਦੇ ਪ੍ਰਬੰਧ ਸ਼ਾਮਲ ਨਹੀਂ ਹਨ। ਅਦਾਲਤਾਂ ਵਿੱਚ ਚੱਲ ਰਹੀਆਂ ਕਾਨੂੰਨੀ ਚੁਣੌਤੀਆਂ, ਜਿਸ ਵਿੱਚ ਸੁਪਰੀਮ ਕੋਰਟ ਸਾਹਮਣੇ ਇੱਕ ਸੰਵਿਧਾਨਕ ਚੁਣੌਤੀ ਵੀ ਸ਼ਾਮਲ ਹੈ, ਐਕਟ ਦੀਆਂ ਵਿਆਪਕ ਡਾਟਾ ਪਹੁੰਚ ਪਾਬੰਦੀਆਂ ਅਤੇ ਪਾਰਦਰਸ਼ਤਾ 'ਤੇ ਇਸਦੇ ਪ੍ਰਭਾਵ 'ਤੇ ਸਵਾਲ ਉਠਾਉਂਦੀਆਂ ਹਨ।
ਨਿਵੇਸ਼ਕਾਂ ਦੀ ਚਿੰਤਾ: ਕੰਪਲਾਇੰਸ ਖਰਚੇ ਵਧਣ ਦਾ ਡਰ
DPDP ਨਿਯਮ ਭਾਰਤ ਦੀ ਡਿਜੀਟਲ ਅਰਥਚਾਰੇ ਦੀ ਆਕਰਸ਼ਕਤਾ ਅਤੇ ਨਿਵੇਸ਼ਕਾਂ ਦੇ ਭਰੋਸੇ ਨੂੰ ਵੀ ਪ੍ਰਭਾਵਿਤ ਕਰਦੇ ਹਨ। ਲਗਭਗ 71% ਭਾਰਤੀ ਕੰਪਨੀਆਂ ਮੰਨਦੀਆਂ ਹਨ ਕਿ ਉਹ DPDP ਐਕਟ ਨੂੰ ਸਮਝਣ ਵਿੱਚ ਸੰਘਰਸ਼ ਕਰ ਰਹੀਆਂ ਹਨ, ਅਤੇ ਬਹੁਤ ਸਾਰੀਆਂ ਕੋਲ ਅਪਡੇਟਡ ਪ੍ਰਾਈਵੇਸੀ ਪਾਲਿਸੀਆਂ ਨਹੀਂ ਹਨ। ਕੰਪਲਾਇੰਸ ਦੇ ਖਰਚੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਹਨ, ਕੁਝ ਫਰਮਾਂ ਨੂੰ ਪਹਿਲੇ ਸਾਲ ਵਿੱਚ ਹੀ ਆਪਣੇ ਮਾਲੀਏ (Revenue) ਦੇ 10% ਤੋਂ ਵੱਧ ਖਰਚ ਆਉਣ ਦੀ ਉਮੀਦ ਹੈ। InsurTech ਵਰਗੇ ਵਿਸ਼ੇਸ਼ ਖੇਤਰਾਂ ਲਈ, ਜੋ ਕਿ ਬਹੁਤ ਸੰਵੇਦਨਸ਼ੀਲ ਡਾਟਾ ਨਾਲ ਕੰਮ ਕਰਦੇ ਹਨ, ਸਿਰਫ ਪਹਿਲੇ ਸਾਲ ਵਿੱਚ ਹੀ ਕੰਪਲਾਇੰਸ ਖਰਚੇ ₹1.5 ਕਰੋੜ ਤੋਂ ₹5 ਕਰੋੜ+ ਤੱਕ ਹੋ ਸਕਦੇ ਹਨ। ਇਹ ਵੱਡੇ ਨਿਵੇਸ਼ ਅਤੇ ਅਨਿਸ਼ਚਿਤ ਨਿਯਮ ਨਿਵੇਸ਼ਕਾਂ ਨੂੰ ਨਿਰਾਸ਼ ਕਰ ਸਕਦੇ ਹਨ ਜਾਂ ਕੰਪਨੀਆਂ ਨੂੰ ਆਪਣੇ ਬਿਜ਼ਨਸ ਮਾਡਲਾਂ 'ਤੇ ਮੁੜ ਵਿਚਾਰ ਕਰਨ ਲਈ ਮਜਬੂਰ ਕਰ ਸਕਦੇ ਹਨ। ਲਾਜ਼ਮੀ ਰਿਟੈਨਸ਼ਨ, ਸਰਕਾਰ ਦੀ ਵਿਆਪਕ ਡਾਟਾ ਪਹੁੰਚ ਸ਼ਕਤੀਆਂ ਦੇ ਨਾਲ (ਜਿਸਦੀ ਹੁਣ ਅਦਾਲਤਾਂ ਦੁਆਰਾ ਸਮੀਖਿਆ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ), ਡਾਟਾ ਤੱਕ ਲਗਾਤਾਰ ਸਰਕਾਰੀ ਪਹੁੰਚ ਨੂੰ ਆਮ ਬਣਾ ਸਕਦਾ ਹੈ। ਇਹ ਡਿਜੀਟਲ ਸਿਸਟਮ ਡਿਜ਼ਾਈਨ ਨੂੰ ਪ੍ਰਾਈਵੇਸੀ ਦੀ ਬਜਾਏ ਨਿਗਰਾਨੀ ਨੂੰ ਤਰਜੀਹ ਦੇਣ ਵੱਲ ਲੈ ਜਾ ਸਕਦਾ ਹੈ। ਇਹ ਰਾਹ ਭਾਰਤ ਦੇ ਗਲੋਬਲ ਡਿਜੀਟਲ ਅਰਥਚਾਰੇ ਦੇ ਨੇਤਾ ਬਣਨ ਦੇ ਟੀਚੇ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾ ਸਕਦਾ ਹੈ, ਕਿਉਂਕਿ ਆਰਥਿਕ ਪੂੰਜੀ ਲਈ ਭਰੋਸਾ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੈ।