Menu Toggle
More
    Close

    डिज़ाइन द्वारा विश्वास का निर्माण: भारत के डिजिटल भविष्य के लिए डीपीडीपी की तैयारी

    Publish Date: September 12, 2025

    डिजिटल परिदृश्य में बदलाव

    हर बार जब हम टिकट बुक करते हैं, कोई सरकारी फ़ॉर्म भरते हैं, या ऑनलाइन कोई सार्वजनिक सेवा लेते हैं, तो हम अपने बारे में कुछ निजी जानकारी साझा करते हैं – जैसे अपना नाम, फ़ोन नंबर, आधार, या कभी-कभी अपनी खाने-पीने की पसंद, मेडिकल या वित्तीय रिकॉर्ड भी। यही बात हमारे साथी यात्रियों या परिवार के सदस्यों के लिए भी सच है। लंबे समय तक, इस डेटा काआदान-प्रदान चुपचाप, बिना किसी सार्वजनिक जाँच के होता रहा, लेकिन दुनिया डिजिटल युग के जोखिमों और ज़िम्मेदारियों के प्रति जागरूक हो रही थी।

    लेकिन जैसे-जैसे डिजिटल फ़ुटप्रिंट बढ़े, चिंताएँ भी बढ़ती गईं। दुनिया भर की सरकारें और नागरिक एक साधारण सा सवाल पूछने लगे: इस डेटा को कौन नियंत्रित करता है, और इसका इस्तेमाल कैसे किया जा रहा है? इस सवाल ने कानूनी और नीतिगत प्रतिक्रियाओं की एक लहर पैदा कर दी। संयुक्त राज्य अमेरिका ने 1974 में गोपनीयता अधिनियम पारित किया, उसके बाद स्वास्थ्य और वित्त के लिए क्षेत्रीय कानून बनाए गए। यूरोप में, स्वीडन और जर्मनी ने 1970 के दशक में राष्ट्रीय डेटा संरक्षण कानूनों का बीड़ा उठाया, जिसकी परिणति 1995 के यूरोपीय संघ के डेटा संरक्षण निर्देश और बाद में 2018 के GDPR के रूप में हुई – जो दुनिया का पहला व्यापक, लागू करने योग्य और विश्व स्तर पर प्रभावशाली गोपनीयता कानून था।

    भारत भी इन घटनाक्रमों पर गहरी नज़र रखते हुए अपनी राह खुद बना रहा था। सूचना प्रौद्योगिकी अधिनियम, 2000 ने डिजिटल जवाबदेही के लिए पहला ढाँचा प्रदान किया, जिसे बाद में आईटी (उचित सुरक्षा पद्धतियाँ एवं प्रक्रियाएँ और संवेदनशील व्यक्तिगत डेटा या सूचना) नियम, 2011 द्वारा और मज़बूत किया गया। असली मोड़ 2017 में सुप्रीम कोर्ट के पुट्टस्वामी फ़ैसले के साथ आया, जिसने निजता को मौलिक अधिकार घोषित किया। इसके तुरंत बाद, श्रीकृष्ण समिति की रिपोर्ट ने एक समर्पित क़ानून की नींव रखी। वर्षों के परामर्श, प्रारूपण और विचार-विमर्श के बाद डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) अधिनियम, 2023 बना—जो डिजिटल युग की चुनौतियों के प्रति भारत की व्यापक प्रतिक्रिया है। अब, डीपीडीपी नियम, 2025 के प्रारूप के साथ, ध्यान सिद्धांत से हटकर व्यवहार पर केंद्रित हो गया है।

    यह ब्लॉग सिर्फ़ क़ानून के निर्देशों के बारे में ही नहीं है बल्कि इस बारे में भी है कि कैसे सरकारी संस्थाएँ, डिजिटल सेवा प्रदाता और डेवलपर इन विचारों को आत्मसात कर सकते हैं। सिर्फ़ अनुपालन के लिए नहीं, बल्कि ऐसे प्लेटफ़ॉर्म बनाने के लिए जिन पर नागरिक वास्तव में भरोसा कर सकें। ख़ासकर वे नागरिक जो दशकों से इस तरह के डेटा के मंथन में लगे हुए हैं।

    डीपीडीपी अधिनियम आपसे क्या अपेक्षा करता है: सीपीआरडीजी के बारे में सोचें

    यदि हमें डीपीडीपी अधिनियम की अपेक्षाओं को एक सरल संक्षिप्त रूप में बताना हो, तो उसका अर्थ होगा :

    • सहमति
      कार्रवाई: नागरिकों से वैध, सूचित और स्पष्ट सहमति प्राप्त करें, उसे सरल भाषा में प्रस्तुत करें, रिकॉर्ड रखें और आसानी से वापस लेने की अनुमति दें।
    • उद्देश्य सीमा
      कार्रवाई: संग्रह से पहले विशिष्ट उद्देश्य बताएँ, केवल उसी उद्देश्य के लिए प्रक्रिया करें, अवधारण अवधि निर्धारित करें, और यदि उद्देश्य बदलता है तो नई सहमति लें।
    • डेटा प्रिंसिपल (नागरिक) के अधिकार
      कार्रवाई: सरल कार्यप्रवाह और स्पष्ट समय-सीमा के साथ सभी अधिकारों को सक्षम करें। इनमें सूचित किए जाने का अधिकार, पहुँच का अधिकार, सुधार का अधिकार, उद्देश्य समाप्त होने या सहमति वापस लेने पर मिटाने का अधिकार, सहमति वापस लेने का अधिकार, शिकायत निवारण का अधिकार, और जहाँ लागू हो, इन अधिकारों का प्रयोग करने के लिए किसी अन्य व्यक्ति को नामित करने का अधिकार शामिल है।
    • डेटा सुरक्षा
      कार्रवाई: डेटा को स्थिर और पारगमन में सुरक्षित रखें, आवश्यकता के आधार पर पहुँच को प्रतिबंधित करें, लॉग बनाए रखें, नियंत्रणों का परीक्षण करें, और आवश्यकतानुसार उल्लंघनों की रिपोर्ट करें।
    • शिकायत निवारण
      कार्रवाई: नामित संपर्क के साथ एक आसान, उत्तरदायी चैनल प्रदान करें, समय-सीमा प्रकाशित करें, समाधानों पर नज़र रखें और प्रत्येक शिकायत से सीखें।

    आइए प्रत्येक को अलग-अलग समझें।

    सहमति कानून का मूल है।

    ऑक्सफोर्ड डिक्शनरी के अनुसार, इसका अर्थ है “किसी चीज़ के होने की अनुमति, विशेष रूप से जानबूझकर और स्वेच्छा से दी गई अनुमति।”

    डीपीडीपी अधिनियम इसे “डेटा प्रिंसिपल की इच्छाओं का कोई भी स्वतंत्र रूप से दिया गया, विशिष्ट, सूचित और स्पष्ट संकेत, एक स्पष्ट सकारात्मक कार्रवाई द्वारा, निर्दिष्ट उद्देश्य के लिए उसके व्यक्तिगत डेटा के प्रसंस्करण के लिए सहमति दर्शाता है” के रूप में परिभाषित करता है।

    सरल शब्दों में: सहमति को मान लिया जाना चाहिए या बारीक अक्षरों में छिपाया नहीं जाना चाहिए। यदि आप किसी नागरिक से व्यक्तिगत डेटा एकत्र कर रहे हैं, तो उन्हें स्पष्ट रूप से पता होना चाहिए कि वे किस बात पर और क्यों सहमत हो रहे हैं।

    उद्देश्य सीमा इसी पर आधारित है। आप व्यक्तिगत डेटा का उपयोग केवल उसी उद्देश्य के लिए कर सकते हैं जिसके लिए आपने इसे एकत्र किया था। यदि उद्देश्य बदलता है, तो नई सहमति की आवश्यकता होती है।

    डेटा प्रिंसिपल (नागरिकों) के अधिकारों में अपने डेटा तक पहुँचने, उसे सही करने, या कुछ मामलों में उसे हटाने का अनुरोध करने की क्षमता शामिल है। इन अधिकारों का सम्मान किया जाना चाहिए और उन्हें आसानी से सक्षम किया जाना चाहिए।

    डेटा सुरक्षा पर कोई समझौता नहीं किया जा सकता। जब आप व्यक्तिगत डेटा एकत्र करते हैं, तो आप केवल जानकारी संग्रहीत नहीं कर रहे होते, बल्कि विश्वास भी बनाए रख रहे होते हैं। कानून संगठनों से अपेक्षा करता है कि वे उल्लंघनों को रोकें, पहुँच को प्रतिबंधित करें और सुरक्षित भंडारण सुनिश्चित करें।

    और अंत में, शिकायत निवारण। नागरिकों को पता होना चाहिए कि अगर कुछ गड़बड़ हो जाए तो किससे संपर्क करें। व्यक्तिगत डेटा को संभालने वाली प्रत्येक डिजिटल सेवा में शिकायतों का जवाब देने के लिए एक समर्पित तंत्र होना चाहिए।

    कानून से कार्रवाई तक: प्रारूप नियम क्या कहते हैं

    यहाँ तक कि यह अधिनियम नींव रखता है, प्रारूप नियम (2025) इस ढाँचे को जीवंत बनाते हैं। ये नियम विस्तार से बताते हैं कि कैसे:

    • मान्य सहमति तंत्र तैयार करें
    • सख्त समय-सीमा के भीतर उल्लंघनों की सूचना दें
    • नागरिक डेटा अनुरोधों का जवाब दें
    • संभाले गए डेटा की प्रकृति और मात्रा के आधार पर सुरक्षा उपाय लागू करें।

    ये नियम अनुपालन के विभिन्न स्तरों के लिए भी जगह बनाते हैं, जो इस बात पर निर्भर करता है कि आप सीमित डेटा संभालने वाला एक छोटा विभाग हैं या देशव्यापी पहुँच वाला एक बड़े पैमाने का डेटा स्वामी।
    सरल शब्दों में कहें तो, मसौदा नियम यह समझते हैं कि एक ही नियम सभी के लिए काम नहीं करेगा। ये नियम यह अपेक्षा करते हैं कि प्रत्येक संस्था एक वास्तविक शुरुआत करे और फ़िलहाल, हम बस उनके आधिकारिक तौर पर DPDP नियम बनने का इंतज़ार कर रहे हैं।

    शुरुआत करने के लिए एक आसान ब्लूप्रिंट

    इसे असली अनुपालन मैराथन से पहले अपने वार्म-अप लैप की तरह समझें। इसे जटिल बनाने की ज़रूरत नहीं है – यहाँ एक आसान 6-चरणीय ब्लूप्रिंट दिया गया है जिससे कोई भी सरकारी कार्यालय या डिजिटल सेवा प्रदाता शुरुआत कर सकता है।

    शुरू करने से पहले: अपने उद्देश्य की सूची बनाएँ।

    लिख लें कि आपको प्रत्येक डेटा बिंदु की आवश्यकता क्यों है। अगर आप किसी फ़ील्ड को स्पष्ट रूप से उचित नहीं ठहरा सकते, तो उसे इकट्ठा न करें।

    • जानें कि आप क्या इकट्ठा करते हैं – अगर आपको नहीं पता कि आपकी अलमारियों में क्या है, तो आप उसकी सुरक्षा कैसे करेंगे?
      एक त्वरित आंतरिक समीक्षा करें। आप कौन-सा व्यक्तिगत डेटा इकट्ठा कर रहे हैं? यह कहाँ संग्रहीत है? किसकी पहुँच है?
    • अपने सहमति फ़ॉर्म की जाँच करें – अगर कोई इसे समझ नहीं सकता, तो बारीक अक्षरों में लिखी जानकारी ठीक नहीं है।
      वे स्पष्ट हैं? क्या वे स्थानीय भाषाओं में उपलब्ध हैं? क्या नागरिक बाद में अपनी सहमति वापस ले सकते हैं? अगर नहीं, तो उन्हें दोबारा लिखें।
    • डेटा संग्रहण को सीमित रखें – जो डेटा आप कभी नहीं लेते, वह कभी चोरी नहीं हो सकता।
      केवल वही मांगें जिसकी आपको ज़रूरत है। उदाहरण के लिए, अगर मोबाइल नंबर पर्याप्त है, तो आधार या पैन कार्ड पर ज़ोर न दें। कम संग्रह करने से आपके अनुपालन जोखिम में भी कमी आती है।
    • अपने सिस्टम को सुरक्षित रखें – अगर खिड़कियाँ पूरी तरह खुली हों, तो दरवाज़े पर लगे ताले का कोई मतलब नहीं है।
      डेटा को न केवल आराम की स्थिति में, बल्कि परिवहन के दौरान भी सुरक्षित रखना चाहिए। एक्सेस कंट्रोल, एन्क्रिप्शन का इस्तेमाल करें और सभी संवेदनशील गतिविधियों को रिकॉर्ड करें। सिस्टम जितना सुरक्षित होगा, भरोसा उतना ही मज़बूत होगा।
    • नियमित रूप से स्व-ऑडिट करें – घर में पानी भरने से पहले टपकते नल को ठीक कर दें।
      किसी उल्लंघन या शिकायत का इंतज़ार न करें। हर कुछ महीनों में आंतरिक जाँच करवाएँ। अपने कार्यों का दस्तावेज़ीकरण करें, कमियों को दूर करें और सुधार करते रहें।
    • एक संपर्क व्यक्ति नियुक्त करें – एक दरवाज़ा, एक घंटी, नागरिकों के लिए दस्तक देना आसान बनाएँ।
      हर प्लेटफ़ॉर्म पर डेटा से संबंधित प्रश्नों या शिकायतों के लिए एक ही संपर्क बिंदु होना चाहिए। नागरिकों को अपनी बात कहने के लिए संघर्ष नहीं करना चाहिए।

    एनआईसी की भूमिका: गोपनीयता-प्रधान डिजिटल भारत को सक्षम बनाना

    भारत सरकार के प्रमुख प्रौद्योगिकी प्रवर्तक के रूप में, एनआईसी न केवल स्वयं को डीपीडीपी अनुपालन के लिए तैयार कर रहा है, बल्कि दूसरों को भी ऐसा करने में सक्षम बना रहा है। विभागों और डिजिटल टीमों की सहायता के लिए एक व्यापक डीपीडीपी अनुपालन ढाँचा विकसित किया जा रहा है। इसमें उपयोग के लिए तैयार सहमति टेम्पलेट, जोखिम जाँच सूचियाँ, आदर्श शिकायत कार्यप्रवाह, और बहुत कुछ शामिल है।
    यह केवल बॉक्स पर टिक करने के बारे में नहीं है। यह ऐसी प्रणालियाँ बनाने के बारे में है जहाँ व्यक्तिगत डेटा सुरक्षा एक बाद की बात नहीं, बल्कि एक डिज़ाइन सिद्धांत है।

    डेटा एक ज़िम्मेदारी भी है, सिर्फ़ एक संपत्ति नहीं

    नागरिकों का व्यक्तिगत डेटा न केवल ज़िम्मेदारी से एकत्र किया जाना चाहिए; बल्कि उसे सावधानीपूर्वक संरक्षित भी किया जाना चाहिए। इसे विभिन्न प्लेटफ़ॉर्म, विभागों और समय के पार, लंबी और सुरक्षित यात्रा करने की अनुमति दी जानी चाहिए। हमारे पास मौजूद हर रिकॉर्ड उस नागरिक का प्रतिनिधित्व करता है जिसने डिजिटल प्रणाली में अपना विश्वास रखा है। हमारा काम उस विश्वास का सम्मान करना है।

    भारत की डिजिटल यात्रा के इस नए अध्याय में कदम रखते हुए, आइए अनुपालन को बोझ न समझें। आइए इसे विश्वसनीयता बनाने, बेहतर श्रोता, बेहतर डिज़ाइनर और सबसे बढ़कर, डेटा के बेहतर संरक्षक बनने के अवसर के रूप में देखें।

    क्योंकि अंतत : डेटा सुरक्षा केवल एक नीति नहीं है। यह एक वादा है।