आईटी मंत्रालय के डेटा संरक्षण परामर्श में स्थानीयकरण के लिए रिलायंस जियो चमगादड़

3 जनवरी को सार्वजनिक परामर्श के लिए जारी किए गए DPDP नियम, DPDP अधिनियम को लागू करने के लिए महत्वपूर्ण हैं, जिसे अगस्त 2023 में सूचित किया गया था, लेकिन इसे लागू किया जाना बाकी है।

मंगलवार को आयोजित एक परामर्श के दौरान, टेल्को के कार्यकारी ने एक समिति के निर्माण के लिए कंपनी के समर्थन को आवाज दी, जो केंद्र को सिफारिशें कर सकती है कि किस प्रकार के व्यक्तिगत डेटा को भारत के बाहर स्थानांतरित नहीं किया जाना चाहिए और सिफारिश की कि समिति के सदस्यों के नाम होने चाहिए सार्वजनिक रूप से, लोगों ने इस मामले से अवगत कराया।

मंगलवार को परामर्श में मौजूद कम से कम एक वकील ने कहा कि स्थानीयकरण जनादेश मूल वायरस है (मूल अधिनियम के दायरे से अधिक)। DPDP अधिनियम केंद्र को भारत के बाहर क्षेत्रों को ब्लैकलिस्ट करने की अनुमति देता है जहां व्यक्तिगत डेटा को स्थानांतरित नहीं किया जा सकता है।

यह अक्टूबर में इंडिया मोबाइल कांग्रेस के उद्घाटन पर रिलायंस जियो चेयरपर्सन आकाश अंबानी के बयान के साथ संरेखित करता है, जब उन्होंने केंद्र से राष्ट्रीय डेटा सेंटर नीति के मसौदे को अपडेट करने के लिए कहा था ताकि भारतीय डेटा भारतीय केंद्रों में बना रहे। जनवरी में, अंबानी ने कहा था कि कंपनी जामनगर में एआई इन्फ्रास्ट्रक्चर स्थापित कर रही थी। जामनगर के लिए योजना बनाई गई डेटा सेंटर कथित तौर पर क्षमता से देश में सबसे बड़ा होने जा रहा है।

मंगलवार का परामर्श दिल्ली (14 जनवरी), मुंबई (20 जनवरी), बैंगलोर (25 जनवरी), हैदराबाद (13 फरवरी), और चेन्नई (17 फरवरी) में परामर्श के बाद मेटिटी द्वारा आयोजित मसौदा नियमों पर छठा था। कम से कम दो और परामर्श – कोलकाता और गुवाहाटी में – पाइपलाइन में हैं।

बैठक, जो तीन घंटे से अधिक समय तक चली, शुरू में इसके लिए राज्य मंत्री, जीटिन प्रसाद, और फिर आईटी सचिव एस कृष्णन द्वारा अध्यक्षता की गई थी। उनके साथ अतिरिक्त सचिव और UIDAI के सीईओ भुवनेश कुमार और मीटी के साइबर कानून समूह के समन्वयक दीपक गोयल थे। उपस्थिति में हितधारकों में मेटा, Google, अमेज़ॅन, इन्फोसिस, Jio, उद्योग निकायों NASSCOM और DSCI (भारत की डेटा सुरक्षा परिषद), लॉ फर्म ट्राईगल और Ikigai के अधिकारियों और परामर्श फर्मों को क्वांटम हब और संवाद शामिल थे।

बच्चों के डेटा और सत्यापन योग्य माता -पिता की सहमति (वीपीसी) से संबंधित मुद्दों पर लंबाई पर चर्चा की गई, क्योंकि मीटी के अधिकारियों ने हितधारकों को बताया कि उन्होंने अनिवार्य पहचान सत्यापन को मान्यता दी है कि ऑनलाइन रिक्त स्थान और डेटा अधिकतमकरण से व्यक्तियों को बहिष्कृत किया जा सकता है। उन्होंने कहा कि उन्होंने इसे उद्योग में छोड़ दिया था ताकि यह पता लगाया जा सके कि इसे कैसे लागू किया जाए।

कुमार ने ऊपर उद्धृत लोगों के अनुसार कहा कि मसौदा नियम उपयोगकर्ता द्वारा अल्पसंख्यक/बहुमत के आत्म-घोषणा पर निर्भर करते हैं और एक वयस्क और एक बच्चे के बीच संबंध स्थापित करने की आवश्यकता नहीं है; एक वयस्क के लिए एक बच्चे की ओर से सहमति देने के लिए, केवल वयस्क के बहुमत को स्थापित करने की आवश्यकता है, न कि उनकी पहचान।

UIDAI के सीईओ ने स्टेकहोल्डर्स को यह भी बताया कि सरकार मेटी के डिगिलोकर के माध्यम से माता -पिता की सहमति को टोकन करने पर काम कर रही है, जिसका उपयोग डेटा फ़िड्यूसियरी द्वारा एक विकल्प के रूप में किया जा सकता है। उन्होंने कहा कि एक आधार-आधारित या एक डिजिटल पब्लिक इन्फ्रास्ट्रक्चर (डीपीआई) समाधान वीपीसी को स्केल पर करने के लिए अगले दो वर्षों में संभव हो सकता है। कम से कम एक हितधारक ने कहा कि टोकन के साथ मुद्दे फिनटेक अंतरिक्ष में बने रहे हैं और सत्यापित माता -पिता की सहमति बहुत कठिन है। एक अन्य ने टोकन के माध्यम से वीपीसी के लिए एक सैंडबॉक्स दृष्टिकोण का सुझाव दिया।

मेटा के कार्यकारी ने कहा कि सरकारी आईडी की सत्यापन एक घिनौना मुद्दा है, जैसा कि केवाईसी-आधारित साइबर क्राइम्स की चौंका देने वाली संख्या से स्पष्ट है। उन्होंने कहा कि यदि भारत सरकार सरकारी आईडी को मज़बूती से सत्यापित नहीं कर सकती है, तो निजी कंपनियों में से एक, जो ऊपर उद्धृत लोगों में से एक हो सकता है।

कंपनियों ने व्यक्तिगत डेटा उल्लंघन के लिए रिपोर्टिंग आवश्यकताओं में विश्राम के लिए भी कहा, यह कहते हुए कि उपयोगकर्ताओं को सूचना केवल उन उल्लंघनों के लिए की जानी चाहिए जो उच्च जोखिम वाले हैं या उपयोगकर्ताओं को सामग्री नुकसान पहुंचाते हैं। उन्होंने सरकार से यह भी विचार करने के लिए कहा कि क्या उपचारात्मक उपायों के बाद उल्लंघन के बारे में जानकारी उपयोगकर्ताओं को भेजी जा सकती है। कंपनियों ने कहा कि चूंकि एक व्यक्तिगत डेटा ब्रीच की परिभाषा इतनी व्यापक है, तकनीकी रूप से, यदि डेटा फ़िड्यूसरी का एक कर्मचारी अपना लैपटॉप खो देता है, तो यह एक उल्लंघन की राशि भी होगी और उपयोगकर्ताओं को और डेटा सुरक्षा बोर्ड को एक रिपोर्ट की आवश्यकता होगी। ।

हितधारकों ने नियम 22 की गुंजाइश के लिए भी कहा, जो डेटा फिद्यूसरी या मध्यस्थ को केंद्र सरकार से किसी भी जानकारी की मांगों के बारे में खुलासे करने से रोकता है, इसके दुरुपयोग को रोकने के लिए कम किया जाता है। अधिकारियों ने कहा कि सरकार केवल अन्य कानूनों के तहत अनुमति दी गई जानकारी के लिए पूछ सकती है। हितधारकों ने अन्य कानूनों को नियमों में स्पष्ट रूप से परिभाषित करने के लिए कहा। वैश्विक क्षमता केंद्रों (GCCs) ने इस नियम से इस तथ्य का हवाला देते हुए छूट मांगी कि वे विदेशी नागरिकों के व्यक्तिगत डेटा को संसाधित करते हैं।

इन्फोसिस के एक कार्यकारी ने कहा कि सरकार द्वारा “वैध उपयोग” सहित व्यक्तिगत डेटा के सभी उपयोगों को उपयोगकर्ता से सहमति की आवश्यकता होनी चाहिए। अन्य लोगों ने विरासत डेटा (अधिनियम के कार्यान्वयन से पहले एकत्र और संसाधित डेटा) के आसपास अनुपालन के लिए कहा। संसाधित व्यक्तिगत डेटा और इसके उद्देश्यों की एक आइटम सूची के साथ एक नोटिस भेजने के बजाय, कुछ हितधारकों ने व्यक्तिगत डेटा के निरंतर प्रसंस्करण के लिए समेकित नोटिस के लिए कहा।

अधिनियम और ड्राफ्ट नियमों के तहत, उपयोगकर्ताओं के डेटा को सुरक्षित रूप से संसाधित करने के लिए प्राथमिक जिम्मेदारी डेटा फ़िड्यूसरी के साथ निहित है, न कि डेटा प्रोसेसर के साथ। बैंगलोर परामर्श में, हितधारकों ने कहा कि यह एक ऐसा संबंध मानता है जहां डीएफ हमेशा प्रोसेसर की तुलना में अधिक शक्तिशाली होता है, लेकिन हमेशा ऐसा नहीं होता है। उदाहरण के लिए, एक छोटी D2C वेबसाइट और AWS के बीच, बहुत कुछ नहीं है कि वेबसाइट एक समझौते पर बातचीत करने के लिए कर सकती है, और बड़े प्रोसेसर को अधिक जिम्मेदारी ग्रहण करना चाहिए।