2
/ 12
Min Read
नए डिजिटल गोपनीयता नियमों की अधिसूचना के बाद, इंटरनेट-संचालित भारतीय व्यवसाय अनुपालन के लिए संघर्ष कर रहे हैं। स्वाभाविक रूप से, नए नियमों के कार्यान्वयन में कुछ चुनौतियां हैं, हालांकि इन्हें चरणों में लागू किया जाएगा। हालांकि, विशेषज्ञों का मानना है कि लंबे समय में अनुपालन जल्द ही केवल प्रतिष्ठा और व्यावसायिक जोखिम संबंधी आवश्यकताओं से आगे बढ़ सकता है।
इससे पहले कि हम आगे बढ़ें, नए अधिनियम और नियमों पर एक अद्यतन जानकारी 3 दिसंबर को लोकसभा में केंद्रीय इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी राज्य मंत्री जितिन प्रसाद द्वारा प्रस्तुत की गई है।
प्रस्तुतीकरण के अनुसार, डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 (डीपीडीपी अधिनियम) और डिजिटल व्यक्तिगत डेटा संरक्षण नियम, 2025 को अधिसूचित कर दिया गया है और ये नियम और अधिनियम संबंधित प्रावधानों के कार्यान्वयन के लिए समय-सीमा प्रदान करते हैं। इसके अलावा, नियमों के प्रावधान के तहत एक डिजिटल डेटा संरक्षण बोर्ड को भी अधिसूचित किया गया है।
नोट में आगे कहा गया है कि अधिनियम और नियम स्टार्ट-अप्स और कुछ डेटा फ़िड्यूशरीज के लिए एक सरलीकृत अनुपालन ढांचे का प्रावधान करते हैं। अधिनियम और नियम सरकार को उन क्षेत्राधिकारों को अधिसूचित करने का प्रावधान करते हैं जहां व्यक्तिगत डेटा के हस्तांतरण को प्रतिबंधित किया जा सकता है।
इसमें आगे कहा गया है "सरकार नागरिकों को उनके अधिकारों और जिम्मेदारियों के बारे में शिक्षित करके डीपीडीपी अधिनियम के बारे में व्यापक जागरूकता और उसे अपनाना सुनिश्चित कर रही है। कार्यशालाओं, सम्मेलनों, विशेषज्ञ सत्रों और डिजिटल आउटरीच अभियानों सहित क्षमता निर्माण की पहल भी की जा रही है।"
डीपीडीपी अधिनियम: तत्काल प्रभाव
डीपीडीपी अधिनियम और नियमों को भारत के अपने जीडीपीआर-समकक्ष के रूप में देखें। इन कानूनों का उद्देश्य डिजिटल व्यक्तिगत डेटा के उपयोग के ढांचे को सरल बनाना है जो नागरिक-केंद्रित हो और नवाचार का समर्थन करता हो।
डीपीडीपी अधिनियम अगस्त 2023 में संसद में पारित किया गया था, जबकि मसौदा नियम जनवरी में परामर्श के लिए जारी किए गए थे। इस ढाँचे का उद्देश्य डिजिटल व्यक्तिगत डेटा की सुरक्षा के लिए समग्र होना है, जिसमें ऐसे डेटा को संभालने वाली संस्थाओं (डेटा फ़िड्यूशरीज़) के दायित्वों और व्यक्तियों (डेटा प्रिंसिपल) के अधिकारों और कर्तव्यों को निर्धारित किया गया है।
नियमों के अनुसार, डेटा फिड्यूशरीज को व्यक्ति (डेटा प्रिंसिपल) को सरल तरीके से सहमति की सूचना प्रदान करना अनिवार्य है। उन्हें संभावित डेटा उल्लंघनों को रोकने के लिए डेटा मास्किंग, एन्क्रिप्शन और अन्य जैसे उचित सुरक्षा उपाय लागू करने का भी दायित्व है। डेटा उल्लंघनों और हमलों से प्रभावित संस्थाओं को प्रभावित व्यक्तियों और डेटा सुरक्षा बोर्ड (DPB) को तुरंत सूचित करना अनिवार्य है।
हालांकि नए गोपनीयता नियम निजी नागरिकों को सुधार और विलोपन जैसे अधिकारों से सशक्त बनाते हैं, लेकिन भारत में संचालित वैश्विक व्यवसायों सहित इंटरनेट-संचालित व्यवसायों के लिए, यह एक बहुत बड़ा मोड़ है। उन्हें जो कुछ क्रांतिकारी बदलाव करने होंगे, उनमें एक सहमति संरचना स्थापित करना शामिल है, जिसका अर्थ है सामान्य पूर्व-चिह्नित बॉक्स या बंडल अनुमतियों से कहीं अधिक सूक्ष्म कुछ बनाना। ये सहमति स्पष्ट और उचित रूप से सूचित होनी चाहिए। अभी तक, बहुत से व्यवसायों के पास इस प्रकार की संरचना नहीं है।
इसके अलावा व्यवसायों को डेटा जीवनचक्र प्रबंधन के लिए एक अलग संरचना बनानी होगी क्योंकि नियम उद्देश्य पूरा होने के बाद डेटा को मिटाना अनिवार्य बनाते हैं। अब इसके लिए बड़ी कंपनियों, जिनका उपयोगकर्ता आधार बड़ा है, के लिए एक अलग वर्कफ्लो की आवश्यकता होने की संभावना है।
एक और क्षेत्र जिस पर इंटरनेट व्यवसायों को तत्काल ध्यान देने की आवश्यकता होगी, वह है डेटा उल्लंघनों पर तुरंत अलर्ट देने की व्यवस्था स्थापित करना। व्यवसायों को इस बात के लिए भी तैयार रहना होगा कि उन्हें महत्वपूर्ण डेटा प्रत्ययी के रूप में वर्गीकृत किया जाए, जिसका अर्थ है कि कंपनी पर वार्षिक डेटा सुरक्षा प्रभाव आकलन, स्वतंत्र ऑडिट, एल्गोरिथम जोखिम आकलन और कुछ श्रेणियों के लिए संभावित डेटा स्थानीयकरण आवश्यकताओं जैसे बढ़े हुए दायित्व लागू होंगे। इससे अनुपालन लागत में भारी वृद्धि होती है।
अंत में शिकायत निवारण तंत्र है जिसके लिए एक समर्पित प्रणाली की आवश्यकता होती है जहां उपयोगकर्ता शिकायत दर्ज कर सकें और उन्हें निर्धारित समय सीमा के भीतर जवाब देना होगा। आजकल अधिकांश कंपनियों के पास यह बुनियादी ढांचा नहीं है।
अनुपालन को प्राथमिकता देने और तकनीक को लागू करने की आवश्यकता
जैसा कि ऊपर बताया गया है, गोपनीयता शासन इंटरनेट व्यवसायों के लिए न्यूनतम स्तर पर बने रहने की संभावना नहीं है, बल्कि यह संगठनों के लिए दीर्घकालिक रणनीति के रूप में भी विकसित होगा। ईवाई ने एक ब्लॉग पोस्ट में लिखा "मजबूत गोपनीयता प्रशासन कार्यक्रम बनाना न केवल प्रतिष्ठा और व्यावसायिक जोखिम की आवश्यकता है, बल्कि भविष्य के पारदर्शी और दीर्घकालिक टिकाऊ संगठन के निर्माण का भी अभिन्न अंग है।"
हालांकि हमने जरूरत और दूर की जाने वाली तत्काल कमियों पर चर्चा की है, फिर भी यह समझना जरूरी है कि इसे कैसे, और अपेक्षाकृत तेज गति से, हकीकत बनाया जा सकता है। क्या तकनीक इसमें मदद कर सकती है?
गार्टनर की विश्लेषक अपेक्षा कौशिक का कहना है कि सही गवर्नेंस तकनीकों में निवेश करने से सभी आकार के व्यवसायों के लिए डीपीडीपी अनुपालन को अधिक प्रबंधनीय और लागत प्रभावी बनाया जा सकता है। 2028 तक, गवर्नेंस तकनीकें नियामक अनुपालन लागत में 20% की कमी लाएंगी, जिससे रणनीतिक विकास पहलों में 10% अधिक निवेश संभव होगा।
उन्होंने आगे कहा "इसका मतलब है कि अनुपालन का मतलब सिर्फ जुर्माने से बचना नहीं है, बल्कि यह नवाचार और व्यावसायिक विकास के लिए संसाधनों को मुक्त करने का एक अवसर है। दूरदर्शी संगठन तेजी से विकसित हो रहे नियामक परिदृश्य में प्रतिस्पर्धी और चुस्त बने रहने के लिए इन दक्षताओं का लाभ उठाएंगे।"
रेडैक्टो के, को-फाउंडर और सीपीओ शशांक करिंचेटी के अनुसार, डीपीडीपी अनुपालन को बड़े पैमाने पर टिकाऊ बनाने के लिए प्रौद्योगिकी ही एकमात्र तरीका है, और कोई भी व्यक्ति लाखों उपयोगकर्ताओं की सहमति को मैन्युअल रूप से प्रबंधित नहीं कर सकता है या हजारों डेटा तत्वों में अवधारण समयसीमा को ट्रैक नहीं कर सकता है।
सबसे पहले सहमति प्रबंधन प्लेटफॉर्म जो संग्रह, सत्यापन, अद्यतन, नवीनीकरण और वापसी को संभालते हैं। इन्हें पूर्ण मेटाडेटा के साथ सहमति कलाकृतियों को उत्पन्न करने, उन्हें सुरक्षित रूप से संग्रहीत करने, उपयोगकर्ता डैशबोर्ड प्रदान करने की आवश्यकता होती है जहां व्यक्ति अपनी सहमति का इतिहास देख सकते हैं और प्राथमिकताओं को संशोधित कर सकते हैं, और सहमति में परिवर्तन होने पर वास्तविक समय में डेटा फिड्यूसरीज को सचेत कर सकते हैं।
दूसरा, डेटा डिस्कवरी और क्लासिफिकेशन टूल जो आपके सिस्टम को स्कैन करते हैं, यह पहचानते हैं कि आपके पास कौन सा व्यक्तिगत डेटा है। वह कहां संग्रहीत है, किसकी पहुंच है और वह आपके इंफ्रास्ट्रक्चर में कैसे प्रवाहित होता है। यह डेटा-मैपिंग अभ्यासों के लिए मूलभूत है।" करिंचेटी ने एंटरप्रेन्योर इंडिया को बताया।
उन्होंने आगे बताया कि व्यवसायों को विभिन्न प्रकार की तकनीकी प्रणालियां अपनानी होंगी। इसमें एक स्वचालित डेटा जीवनचक्र प्रबंधन शामिल है जो आवश्यकता पड़ने पर डेटा संग्रह, अवधारण और विलोपन को बेहतर ढंग से ट्रैक करने में मदद कर सकता है। हालांकि, इस आर्किटेक्चर के लिए विशेष प्रणालियों की आवश्यकता होगी, विशेष रूप से बड़े डेटालोड वाले सिस्टम के लिए जो वास्तविक समय में उपयोगकर्ता अधिग्रहण, अवधारण और परिवर्तन की निगरानी कर सकें।
एक अन्य तकनीकी रूप से सक्षम प्लेटफॉर्म उल्लंघन का पता लगाने और प्रतिक्रिया के लिए हो सकता है, जो वास्तविक समय में अनधिकृत पहुँच की निगरानी करता है, घटनाओं की त्वरित जांच करता है और उल्लंघन की प्रकृति और पैमाने पर रिपोर्ट तैयार करने की प्रक्रिया को स्वचालित करता है।
इसी तरह, व्यवसाय शिकायत प्रबंधन प्रणालियां स्थापित करने के लिए तकनीक का उपयोग करने पर विचार कर सकते हैं जहां उपयोगकर्ता शिकायतें दर्ज कर सकते हैं, समाधान की स्थिति पर नजर रख सकते हैं, निर्धारित समय-सीमा के भीतर प्रतिक्रियाएं प्राप्त कर सकते हैं और अनसुलझे मुद्दों को आगे बढ़ा सकते हैं। इसके लिए डेटा सुरक्षा अधिकारी वर्कफ़्लो के साथ एकीकरण की आवश्यकता होगी। महत्वपूर्ण डेटा फ़िड्यूशरीज़ के लिए, DPIA स्वचालन उपकरण जो वार्षिक प्रभाव आकलन करने, निष्कर्षों का दस्तावेज़ीकरण करने, एल्गोरिथम जोखिमों का आकलन करने और बोर्ड प्रस्तुत करने के लिए ऑडिट रिपोर्ट तैयार करने में मदद करते हैं।
उन्होंने आगे कहा "आर्किटेक्चर का सिद्धांत गोपनीयता-द्वारा-डिजाइन है - प्रत्येक API कॉल में सहमति जांच का निर्माण करें, डेटा न्यूनीकरण को डिफ़ॉल्ट बनाएं, डेटाबेस स्तर पर उद्देश्य सीमा लागू करें, और व्यक्तिगत डेटा को आराम और पारगमन में एन्क्रिप्ट करें। अनुपालन को तथ्य के बाद लागू नहीं किया जा सकता है, इसे शुरू से ही आपके तकनीकी आर्किटेक्चर में अंतर्निहित होना चाहिए।"
जब आप देखते हैं कि व्यवसाय DPDP अनुपालन में क्यों संघर्ष करते हैं, तो मूल चुनौती वास्तव में बहुत सरल है: उनके ग्राहकों का व्यक्तिगत डेटा हर जगह मौजूद है। मैं इसे "व्यक्तिगत डेटा फैलाव" समस्या कहता हूं। वर्षों से, कंपनियों ने ग्राहकों की भारी मात्रा में जानकारी एकत्रित की है जो विभिन्न प्रणालियों में बिखरी हुई है, ऐप्स, डेटाबेस, लॉग, डेटा लेक, एनालिटिक्स टूल, CRM प्लेटफॉर्म, लॉग, बैकअप, यहां तक कि तृतीय-पक्ष सेवाएं भी।
सुरक्षा और गोपनीयता प्लेटफ़ॉर्म, स्काईफ़्लो, डीपीडीपी अनुपालन के लिए तकनीक-सक्षम समाधान बनाने की दिशा में आगे बढ़ने वाली पहली कंपनियों में से एक है। इनसाइट पार्टनर्स जैसी कंपनियों के सहयोग से, इस कंपनी ने एक डीपीडीपी डेटा प्राइवेसी वॉल्ट प्लेटफ़ॉर्म बनाया है जो उद्यमों को नियमों का पालन करते हुए व्यक्तिगत डेटा की विशेष रूप से सुरक्षा करने, उसके उपयोग को नियंत्रित करने और सुरक्षित एआई नवाचार को गति देने में मदद करता है।
कंपनी ने बताया कि व्यक्तिगत डेटा अब हर उत्पाद, निर्णय और एआई वर्कफ़्लो में प्रवाहित होता है, और इस प्रक्रिया में अनगिनत प्रणालियों में कॉपी हो जाता है। यह "व्यक्तिगत डेटा फैलाव" ऐप डेटाबेस, लॉग, एनालिटिक्स वेयरहाउस, SaaS टूल, रिपोर्ट, डेटा लेक और एआई प्रशिक्षण पाइपलाइनों में दिखाई देता है।
कंपनी ने आगे कहा कि यह एक बढ़ता हुआ जोखिम है और 2024 के प्रोटिविटी-सीआईआई सर्वेक्षण का हवाला दिया, जिसमें कहा गया है कि केवल 24% भारतीय संगठन उभरती प्रौद्योगिकियों द्वारा उत्पन्न गोपनीयता चुनौतियों के लिए तैयार महसूस करते हैं। इसका परिणाम खंडित डेटा है जिसे पारंपरिक सुरक्षा मॉडलों के साथ एआई के लिए नियंत्रित करना, संरक्षित करना या सुरक्षित रूप से उपयोग करना लगभग असंभव है।
स्काईफ्लो डेटा प्राइवेसी वॉल्ट प्लेटफॉर्म, डेटास्टोर्स, एजेंटों और मॉडलों में डेटा के प्रवाह को सुरक्षित करते हुए, एक केंद्रीकृत डेटा प्राइवेसी वॉल्ट में संवेदनशील ग्राहक डेटा को अलग और संरक्षित करके इस चुनौती का समाधान करता है। स्काईफ्लो का प्लेटफॉर्म डीपीडीपी नियमों की तकनीकी आवश्यकताओं को पूरा करने के लिए एक वास्तुशिल्प आधार प्रदान करता है, जिसके लिए सिस्टम-स्तरीय कार्रवाई की आवश्यकता होती है और पूरे जीवनचक्र में व्यक्तिगत डेटा की सुरक्षा की जाती है।
एंटरप्रेन्योर इंडिया के साथ बातचीत करते हुए स्काईफ्लो एशिया-प्रशांत के बिक्री प्रमुख दीपक अन्नामलाई ने कहा कि पिछले कुछ वर्षों में कंपनियों ने ग्राहकों की भारी मात्रा में जानकारी एकत्रित की है, जो विभिन्न प्रणालियों - ऐप्स, डेटाबेस, लॉग्स, डेटा लेक, एनालिटिक्स टूल, सीआरएम प्लेटफॉर्म, लॉग्स, बैकअप्स, यहां तक कि तृतीय-पक्ष सेवाओं में बिखरी हुई है।
"अच्छी खबर यह है कि समस्या का समाधान भी सरल है। जब व्यवसाय वृद्धिशील पैच से अधिक बुनियादी दृष्टिकोण अपनाते हैं, तो अनुपालन काफ़ी आसान हो जाता है। व्यक्तिगत डेटा को हर जगह रखने के बजाय, कंपनियों को इसे अलग-थलग करने और सुरक्षा व प्रबंधन के लिए ऐसे सिस्टम इस्तेमाल करने के बारे में सोचना चाहिए जो अनुपालन सुनिश्चित करने के लिए मानवीय स्मृति पर निर्भर न हों। और इसे प्राथमिकता क्यों दें? क्योंकि विश्वास ही नई खाई है। जब ग्राहकों को विश्वास होता है कि आप उनके डेटा का ध्यानपूर्वक उपयोग करते हैं, तो वे किसी भी छूट या सुविधा से ज्यादा वफ़ादार होते हैं" उन्होंने आगे कहा।
तकनीक के उपयोग के संबंध में अन्नामलाई ने आधार डेटा वॉल्ट के साथ समानताएं बताईं, जिससे आधार सुरक्षा और उपयोग की समस्या को हल करने में मदद मिली।
उन्होंने आगे कहा "समाधान प्राप्त करने के लिए, सिद्धांत स्पष्ट हैं: खोजें, अलग करें, सुरक्षित रखें और नियंत्रित करें। डेटा गोपनीयता वॉल्ट, जैसे कि आधार डेटा वॉल्ट ने आधार सुरक्षा और उपयोग की समस्या को कैसे हल किया, उद्यमों के लिए इस समस्या को तेजी से हल कर रहा है, जो इंजीनियरिंग, कानूनी, अनुपालन, डेटा, एआई और सुरक्षा टीमों जैसे कई हितधारकों को संतुष्ट करता है, जबकि अधिकारियों और बोर्ड के लिए कंपनी के भविष्य को मापना आसान बनाता है।"
छोटी कंपनियां किस प्रकार अनुपालन में शामिल हो सकती हैं, इस पर स्काईफ्लो के कार्यकारी अधिकारी ने बताया कि कम विरासत और फैलाव तथा कम गतिशील हिस्से उन्हें उन कंपनियों की तुलना में लाभ देते हैं, जिनके पास अनुपालन के विभिन्न पहलुओं से निपटने के लिए कार्यप्रवाह और सिलो का जटिल जाल होता है।
रेडैक्टो के करिंचेटी ने कहा "छोटी फर्मों के लिए, चुनौती बड़े उद्यमों से अलग होती है। उनके पास तकनीकी ऋण वाली 30 साल पुरानी विरासत प्रणालियां नहीं होतीं। 50 लोगों वाला एक स्टार्टअप कई कोर सिस्टम वाले बैंक की तुलना में सहमति प्रबंधन को तेजी से लागू कर सकता है। वे गोपनीयता-द्वारा-डिजाइन सिद्धांतों का उपयोग करके पहले दिन से ही अपने उत्पाद में अनुपालन को शामिल कर सकते हैं।" हालांकि, करिंचेटी ने छोटी कंपनियों के लिए गैर-समान अवसर उपलब्ध होने के बारे में भी चिंता जताई, क्योंकि उनकी उच्च स्तरीय संसाधनों तक पहुंच नहीं हो सकती।
उन्होंने कहा, "छोटी कंपनियों के पास समर्पित अनुपालन दल या डेटा संरक्षण अधिकारी नहीं होते हैं। लेकिन यहीं पर प्रौद्योगिकी प्लेटफ़ॉर्म मदद करते हैं। सब कुछ शुरू से बनाने के बजाय, वे सहमति प्रबंधन प्रणालियों का उपयोग कर सकते हैं जो एपीआई के माध्यम से एकीकृत होती हैं, पूर्ण सहमति जीवनचक्र को संभालती हैं और स्वचालित रूप से ऑडिट ट्रेल्स बनाए रखती हैं।"
उन्होंने चेतावनी देते हुए कहा "जरूरी बात यह है कि अभी शुरुआत करें। अपने डेटा प्रवाह का नक्शा बनाएं, समझें कि आप कौन-सा व्यक्तिगत डेटा और क्यों इकट्ठा कर रहे हैं, सहमति संग्रह इंटरफेस लागू करें और अपनी उल्लंघन प्रतिक्रिया पुस्तिका बनाएं। समय सीमा के नज़दीक आने तक इंतजार न करें।"
गार्टनर के कौशिक के अनुसार, छोटी कंपनियों के पास गोपनीयता के साथ-साथ डेटा अखंडता पर ध्यान केंद्रित करके डेटा संरक्षण में सुधार करने का वास्तविक अवसर है।
उन्होंने बताया "2028 तक, डेटा अखंडता पर केंद्रित डेटा सुरक्षा में निवेश गोपनीयता के स्तर के बराबर पहुंच जाएगा। यह बदलाव प्रतिस्पर्धा के स्तर को समान बनाने में मदद करेगा, जिससे छोटे और मध्यम आकार के उद्यम नियामक आवश्यकताओं को पूरा कर सकेंगे और अपने ग्राहकों के डेटा की सुरक्षा बड़े उद्यमों की तरह ही कर सकेंगे। डेटा अखंडता में शुरुआती निवेश लचीलापन और विश्वास बनाने के लिए महत्वपूर्ण होगा।"
तकनीक ही रास्ता है
हालांकि बड़ी कंपनियों या अच्छी तरह से वित्त पोषित स्टार्टअप्स के लिए इन तकनीकों को तुरंत लागू करना अपेक्षाकृत आसान है, लेकिन अनुपालन की बेहतर स्थिति तब होगी जब इन विशिष्ट तकनीकों को आसान पहुंच और बेहद कम लागत के माध्यम से लोकतांत्रिक बनाया जाएगा। यह भी बहुत कम संभावना है कि कंपनियां इन डेटासेट्स की मैन्युअल स्कैवेंजिंग और प्रबंधन को प्राथमिकता देंगी। हालांकि, स्वचालित सहमति प्रबंधन प्लेटफॉर्म, डेटा डिस्कवरी समाधान और एकीकृत शिकायत प्रणाली जैसी प्रणालियां, मानवीय निगरानी के साथ उन कंपनियों के लिए इसे बेहद आसान बना देंगी जो अनुपालन करना चाहती हैं और गैर-अनुपालन के कारण नियामकों द्वारा किसी भी दंडात्मक कार्रवाई से बचना चाहती हैं।
