डेटा गोपनीयता और सहमति क्या है?
ऐतिहासिक पृष्ठभूमि
मुख्य प्रावधान
13 points- 1.
सूचित सहमति सबसे जरूरी है। लोगों को ये साफ-साफ बताया जाना चाहिए कि कौन सा डेटा इकट्ठा किया जा रहा है, इसका इस्तेमाल कैसे किया जाएगा, और किसके साथ शेयर किया जाएगा, इससे *पहले* कि वे अपनी सहमति दें। इसका मतलब है कि जानकारी को 30 पेज के नियमों और शर्तों के डॉक्यूमेंट में छुपाना काफी नहीं है। उदाहरण के लिए, अगर कोई फिटनेस ऐप आपकी लोकेशन डेटा को ट्रैक करना चाहता है, तो उसे साफ-साफ बताना होगा कि उसे उस डेटा की जरूरत क्यों है (जैसे, सटीक वर्कआउट ट्रैकिंग देने के लिए) और इसका इस्तेमाल कैसे किया जाएगा (जैसे, विज्ञापनदाताओं को नहीं बेचा जाएगा)।
- 2.
उद्देश्य सीमा का मतलब है कि निजी डेटा को सिर्फ खास, स्पष्ट और जायज उद्देश्यों के लिए ही इकट्ठा और इस्तेमाल किया जा सकता है। आप एक कारण से डेटा इकट्ठा नहीं कर सकते और फिर बिना नई सहमति लिए इसे किसी और चीज के लिए इस्तेमाल नहीं कर सकते। सोचिए एक अस्पताल आपकी मेडिकल हिस्ट्री इलाज के लिए इकट्ठा करता है। फिर वो आपकी इजाजत के बिना उस डेटा को मार्केटिंग के लिए किसी दवा कंपनी को नहीं बेच सकता।
- 3.
डेटा मिनिमाइजेशन का मतलब है कि सिर्फ वही डेटा इकट्ठा करना जो बताए गए उद्देश्य के लिए बिल्कुल जरूरी है। अगर किसी ऑनलाइन रिटेलर को आपको रसीद भेजने के लिए सिर्फ आपके ईमेल एड्रेस की जरूरत है, तो उसे आपका फोन नंबर या जन्मतिथि नहीं मांगनी चाहिए। इससे डेटा उल्लंघन और दुरुपयोग का खतरा कम होता है।
- 4.
पहुंच का अधिकार लोगों को किसी संगठन द्वारा रखे गए अपने निजी डेटा तक पहुंचने का अनुरोध करने की इजाजत देता है। इससे वे डेटा की सटीकता को वेरिफाई कर सकते हैं और ये सुनिश्चित कर सकते हैं कि इसे कानूनी रूप से प्रोसेस किया जा रहा है। उदाहरण के लिए, आप फेसबुक से आपके बारे में इकट्ठा किए गए सभी डेटा की एक कॉपी देने के लिए कह सकते हैं।
- 5.
सुधार का अधिकार लोगों को गलत या अधूरी निजी जानकारी को सही करने का अधिकार देता है। अगर किसी बैंक के पास आपका गलत पता है, तो आपको इसे सही कराने का अधिकार है।
- 6.
मिटाने का अधिकार (भूल जाने का अधिकार) लोगों को कुछ खास परिस्थितियों में अपने निजी डेटा को हटाने का अनुरोध करने की इजाजत देता है, जैसे कि जब डेटा उस उद्देश्य के लिए जरूरी नहीं रह जाता जिसके लिए इसे इकट्ठा किया गया था, या जब व्यक्ति अपनी सहमति वापस ले लेता है। हालांकि, ये अधिकार पूरी तरह से नहीं है और इसमें कुछ अपवाद हो सकते हैं, जैसे कि जब डेटा कानूनी अनुपालन के लिए जरूरी हो।
- 7.
डेटा सुरक्षा के लिए संगठनों को निजी डेटा को अनधिकृत पहुंच, उपयोग या प्रकटीकरण से बचाने के लिए उचित तकनीकी और संगठनात्मक उपाय करने की जरूरत होती है। इसमें एन्क्रिप्शन, एक्सेस कंट्रोल और नियमित सुरक्षा ऑडिट जैसे उपाय शामिल हैं। आपकी क्रेडिट कार्ड की जानकारी को ऑनलाइन स्टोर करने वाली कंपनी को इसे हैकर्स से बचाने के लिए एन्क्रिप्शन का इस्तेमाल करना चाहिए।
- 8.
जवाबदेही डेटा प्राइवेसी कानूनों का पालन करने के लिए संगठनों पर जिम्मेदारी डालती है। इसमें डेटा प्रोसेसिंग गतिविधियों का रिकॉर्ड रखना, डेटा सुरक्षा प्रभाव आकलन करना और एक डेटा सुरक्षा अधिकारी नियुक्त करना शामिल है। GDPR के तहत, कंपनियां गैर-अनुपालन के लिए भारी जुर्माना भर सकती हैं, जो उनके वैश्विक वार्षिक कारोबार का 4% तक हो सकता है।
- 9.
सीमा पार डेटा ट्रांसफर अक्सर ये सुनिश्चित करने के लिए प्रतिबंधित होते हैं कि निजी डेटा को उन देशों में ट्रांसफर करते समय सुरक्षित रखा जाए जिनके डेटा सुरक्षा मानक अलग-अलग हैं। उदाहरण के लिए, EU के पास यूरोपीय आर्थिक क्षेत्र के बाहर के देशों में डेटा ट्रांसफर करने पर सख्त नियम हैं, जब तक कि वे देश डेटा सुरक्षा का पर्याप्त स्तर प्रदान नहीं करते हैं।
- 10.
डेटा की विशेष श्रेणियां, जैसे कि स्वास्थ्य जानकारी, बायोमेट्रिक डेटा और राजनीतिक राय, अपनी संवेदनशील प्रकृति के कारण सख्त सुरक्षा उपायों के अधीन हैं। इस प्रकार के डेटा को प्रोसेस करने के लिए आम तौर पर स्पष्ट सहमति की जरूरत होती है और अक्सर तब तक प्रतिबंधित किया जाता है जब तक कि कोई खास कानूनी आधार न हो।
- 11.
स्वचालित निर्णय लेने और प्रोफाइलिंग तेजी से आम हो रहे हैं, लेकिन डेटा प्राइवेसी कानूनों के लिए अक्सर पारदर्शिता और मानवीय हस्तक्षेप के अधिकार की जरूरत होती है जब निर्णय पूरी तरह से स्वचालित प्रोसेसिंग पर आधारित होते हैं और लोगों पर इसका महत्वपूर्ण प्रभाव पड़ता है। उदाहरण के लिए, अगर कोई AI एल्गोरिदम आपको लोन देने से इनकार करता है, तो आपको ये समझने का अधिकार हो सकता है कि क्यों और किसी इंसान से निर्णय की समीक्षा कराने का अधिकार हो सकता है।
- 12.
'नोटिस और पसंद' ढांचा, हालांकि पुराना है, फिर भी प्रासंगिक है। इसका मतलब है कि लोगों को डेटा संग्रह प्रथाओं के बारे में नोटिस दिया जाना चाहिए और उनके पास भाग लेने या न करने का विकल्प होना चाहिए। हालांकि, GDPR जैसे आधुनिक कानून अधिक सक्रिय और बारीक सहमति पर जोर देते हैं।
- 13.
भारत में, 'उचित सुरक्षा प्रथाओं और प्रक्रियाओं' की अवधारणा का अक्सर इस्तेमाल किया जाता है। इसका मतलब है कि कंपनियों को डेटा की सुरक्षा के लिए उचित कदम उठाने चाहिए, लेकिन विशिष्ट उपाय हमेशा कानून में स्पष्ट रूप से परिभाषित नहीं होते हैं, जिससे कुछ अस्पष्टता होती है।
दृश्य सामग्री
Key Aspects of Data Privacy and Consent
Overview of the core components of data privacy and the importance of informed consent.
Data Privacy and Consent
- ●Informed Consent
- ●Individual Rights
- ●Legal Framework
- ●Accountability
Evolution of Data Privacy Laws in India
Key milestones in the development of data privacy legislation in India.
भारत की एक व्यापक डेटा संरक्षण कानून की यात्रा विभिन्न समितियों, मसौदों और वापसी द्वारा चिह्नित की गई है, जो व्यक्तिगत अधिकारों के साथ नवाचार को संतुलित करने की जटिलताओं को दर्शाती है।
- 2000सूचना प्रौद्योगिकी अधिनियम, 2000: डेटा सुरक्षा और साइबर अपराध के लिए बुनियादी कानूनी ढांचा प्रदान करता है।
- 2012जस्टिस ए.पी. शाह समिति की रिपोर्ट: एक व्यापक डेटा संरक्षण कानून की आवश्यकता पर प्रकाश डालती है।
- 2017जस्टिस बी.एन. श्रीकृष्ण समिति: व्यक्तिगत डेटा संरक्षण विधेयक का पहला मसौदा तैयार करती है।
- 2019व्यक्तिगत डेटा संरक्षण विधेयक, 2019: लोकसभा में पेश किया गया, लेकिन आलोचना और संशोधनों का सामना करना पड़ा।
- 2022व्यक्तिगत डेटा संरक्षण विधेयक की वापसी: सरकार एक अधिक व्यापक ढांचा पेश करने के लिए विधेयक वापस लेती है।
- 2023डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023: संसद द्वारा पारित, डिजिटल व्यक्तिगत डेटा प्रसंस्करण पर ध्यान केंद्रित करता है।
- 2026अल्बानियाई अभिनेता ने एआई में पहचान के 'दुरुपयोग' पर सरकार पर मुकदमा किया: एआई के युग में डेटा गोपनीयता और सहमति में चल रही चुनौतियों पर प्रकाश डाला।
हालिया विकास
9 विकासIn 2023, the Indian government withdrew the Personal Data Protection Bill, citing the need for a more comprehensive legal framework that addresses the evolving digital landscape. This led to the introduction of a new bill, the Digital Personal Data Protection Bill, 2023.
The Digital Personal Data Protection Bill, 2023, focuses on the processing of digital personal data and establishes obligations for data fiduciaries (organizations that process data) and rights for data principals (individuals whose data is processed).
The Digital Personal Data Protection Act, 2023 was passed by both houses of Parliament in August 2023 and received Presidential assent, becoming law. It is expected to be implemented in phases.
The new law introduces a concept of 'deemed consent' in certain situations, such as when data is processed for legitimate business purposes, raising concerns about the scope of individual control over their data.
The government has been actively promoting the development of indigenous data storage and processing infrastructure to ensure data sovereignty and reduce reliance on foreign entities.
The Supreme Court of India has repeatedly affirmed the right to privacy as a fundamental right under Article 21 of the Constitution, influencing the development of data protection laws in the country.
Several high-profile data breaches and cyberattacks in recent years have highlighted the need for stronger data protection measures in India.
The Reserve Bank of India (RBI) has issued guidelines on data localization, requiring certain financial institutions to store data within India's borders.
The Ministry of Electronics and Information Technology (MeitY) has been working on developing a national data governance framework to promote data sharing and innovation while ensuring data privacy and security.
विभिन्न समाचारों में यह अवधारणा
1 विषयसामान्य प्रश्न
61. डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 में 'डीम्ड कंसेंट' का नियम है। ये साफ़ तौर पर दी गई कंसेंट से कैसे अलग है, और इससे लोगों की डेटा प्राइवेसी पर क्या असर पड़ सकता है?
साफ़ तौर पर दी गई कंसेंट का मतलब है कि कोई व्यक्ति अपनी मर्ज़ी से डेटा इस्तेमाल करने की इजाज़त दे। लेकिन 'डीम्ड कंसेंट' में कुछ खास हालात में बिना साफ़ इजाज़त के भी डेटा इस्तेमाल किया जा सकता है। इसमें 'वैध कारोबारी मकसद' के लिए डेटा इस्तेमाल करना भी शामिल है। इससे लोगों का अपने डेटा पर कंट्रोल कम हो सकता है, क्योंकि कंपनियां कह सकती हैं कि डेटा का इस्तेमाल 'वैध मकसद' के लिए हो रहा है, भले ही व्यक्ति को इसकी पूरी जानकारी न हो या वो इससे सहमत न हो।
2. MCQ में, डेटा प्राइवेसी कानूनों के तहत 'राइट टू इरेज़र' को लेकर क्या आम गलती होती है?
सबसे आम गलती ये है कि 'राइट टू इरेज़र' (या 'राइट टू बी फॉरगॉटन') को पूरी तरह से सही मान लिया जाता है। जबकि लोग डेटा हटाने के लिए कह सकते हैं, लेकिन ये अधिकार पूरी तरह से सही नहीं है। इसके कुछ अपवाद हैं, जैसे कि जब कानूनी तौर पर डेटा की ज़रूरत हो या बोलने और जानकारी पाने की आज़ादी के अधिकार का इस्तेमाल करना हो। एक MCQ में ये गलत तरीके से कहा जा सकता है कि कोई संगठन अनुरोध पर डेटा को *ज़रूर* हटा देगा, बिना इन अपवादों का ज़िक्र किए। हमेशा उन विकल्पों को देखें जो सीमाओं को मानते हैं।
परीक्षा युक्ति
राइट टू इरेज़र के अपवादों को याद रखें: कानूनी तौर पर ज़रूरी, बोलने की आज़ादी। अगर कोई MCQ इनका ज़िक्र नहीं करता है, तो ये शायद एक जाल है।
3. डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 में नियमों का पालन न करने पर भारी जुर्माने का ज़िक्र है। ये जुर्माने कितने हो सकते हैं, और ये नियम क्यों ज़रूरी है?
हालांकि सही आंकड़े अभी बताए जाने बाकी हैं, डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 में नियमों का पालन न करने पर ₹250 करोड़ तक का जुर्माना लगाया जा सकता है। ये नियम इसलिए ज़रूरी है क्योंकि ये डेटा में सेंध लगने और गलत इस्तेमाल के खिलाफ एक मज़बूत रोक है, जो संगठनों को डेटा सुरक्षा को प्राथमिकता देने और डेटा प्राइवेसी के नियमों का पालन करने के लिए बढ़ावा देता है। ऐसे जुर्माने के बिना, नियमों का पालन ढीला हो सकता है, जिससे लोगों के लिए ज़्यादा खतरे हो सकते हैं।
परीक्षा युक्ति
जुर्माने का *मकसद* याद रखें: रोकना। इससे MCQ में उन विकल्पों को हटाने में मदद मिलती है जो सिर्फ कमाई पर ध्यान देते हैं।
4. डेटा मिनिमाइज़ेशन एक ज़रूरी नियम है। क्या आप किसी कंपनी का एक असली उदाहरण दे सकते हैं जिसने इस नियम का पालन नहीं किया, और इसके क्या नतीजे हुए?
मान लीजिए एक ऑनलाइन रिटेलर ग्राहकों को अपनी जन्मतिथि और फोन नंबर देने के लिए कहता है, जबकि सिर्फ ईमेल एड्रेस से ही खरीदारी की रसीद भेजी जा सकती है। ये डेटा मिनिमाइज़ेशन का उल्लंघन है। अगर इस रिटेलर के डेटा में सेंध लगती है, तो जन्मतिथि और फोन नंबर के उजागर होने से ग्राहकों के लिए पहचान की चोरी और फ़िशिंग हमलों का खतरा बढ़ जाता है। इसके नतीजों में कंपनी की बदनामी, ग्राहकों का भरोसा खोना और कानूनी कार्रवाई (अधिकार क्षेत्र और लागू कानूनों के आधार पर) शामिल हो सकते हैं।
5. डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 में 'डीम्ड कंसेंट' के नियम के खिलाफ आलोचक क्या सबसे मज़बूत तर्क देते हैं, और सरकार इस आलोचना का जवाब कैसे दे सकती है?
आलोचकों का तर्क है कि 'डीम्ड कंसेंट' सूचित सहमति के नियम को कमज़ोर करता है, जिससे संगठनों को व्यक्तिगत सहमति के बिना भी व्यक्तिगत डेटा प्रोसेस करने की इजाज़त मिल सकती है, खासकर 'वैध कारोबारी मकसद' की व्यापक व्याख्याओं के तहत। इससे लोगों की आज़ादी और अपने डेटा पर कंट्रोल कम हो सकता है। सरकार ये तर्क देकर जवाब दे सकती है कि 'डीम्ड कंसेंट' कुशल कारोबारी कामकाज और इनोवेशन के लिए ज़रूरी है, और दुरुपयोग को रोकने के लिए सुरक्षा उपाय मौजूद हैं, जैसे कि डेटा प्रोसेसिंग के तरीकों में पारदर्शिता और लोगों को ऑप्ट-आउट करने की क्षमता। वे ये भी कह सकते हैं कि डेटा प्रोटेक्शन बोर्ड 'डीम्ड कंसेंट' के इस्तेमाल की निगरानी और नियमन करेगा।
6. इन्फॉर्मेशन टेक्नोलॉजी एक्ट, 2000 भी डेटा सुरक्षा से जुड़ा है। डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, पर्सनल डेटा की सुरक्षा में IT एक्ट से कैसे मज़बूत या अलग है?
IT एक्ट, 2000 मुख्य रूप से डेटा सुरक्षा और साइबर अपराध पर ध्यान केंद्रित करता है, जिसमें डेटा प्राइवेसी को सीधे तौर पर संबोधित करने वाले सीमित नियम हैं। डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023, एक ज़्यादा व्यापक ढांचा देता है जिसे खास तौर पर पर्सनल डेटा की सुरक्षा के लिए बनाया गया है। ये सूचित सहमति, उद्देश्य सीमा, डेटा मिनिमाइज़ेशन और डेटा प्रिंसिपल के अधिकारों (एक्सेस, सुधार, हटाने का अधिकार) जैसे ज़रूरी नियम पेश करता है। इसके अलावा, ये नियमों का पालन कराने और कानून को लागू करने के लिए एक डेटा प्रोटेक्शन बोर्ड बनाता है, जो IT एक्ट में नहीं है। इस तरह DPDP एक्ट डेटा सुरक्षा के लिए IT एक्ट के सुरक्षा-केंद्रित दृष्टिकोण की तुलना में ज़्यादा मज़बूत और अधिकार-आधारित दृष्टिकोण पेश करता है।
परीक्षा युक्ति
*दायरे* पर ध्यान दें: IT एक्ट = सुरक्षा, DPDP एक्ट = प्राइवेसी + अधिकार। इससे परीक्षा के सवालों में उन्हें अलग करने में मदद मिलती है।