अधिकांश ने यह माना कि प्रबंधक जो डेटा प्रिंसिपल (जिस व्यक्ति के लिए व्यक्तिगत डेटा से संबंधित हैं) द्वारा प्रदान की गई सहमति को उन तरीकों से मानते हैं, जिसमें डेटा का उपयोग किया जा सकता है।
ALSO READ: मिंट व्याख्याकार: डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, इट्स रूल्स और रोडब्लॉक
बल में यूरोप के सामान्य डेटा संरक्षण विनियमन जैसे शानदार कानूनों के साथ, दुनिया भर के संस्थाओं ने डेटा फ़िड्यूसियों (व्यक्तिगत डेटा प्रोसेसिंग के उद्देश्य और साधनों को निर्धारित करने वाली संस्थाओं को निर्धारित करने वाली संस्थाओं) को उस सहमति का प्रबंधन करने में मदद की है, जो उन्हें संचालित करने की आवश्यकता है। अधिकांश अंतरराष्ट्रीय वेबसाइटें इन संस्थाओं पर भरोसा करती हैं कि वे न केवल अपनी गोपनीयता नीति की शर्तों के साथ आपके समझौते को रिकॉर्ड करें, बल्कि कुकीज़ को प्रबंधित करने और सूचनाओं को सक्षम करने के लिए आपको डैशबोर्ड भी प्रदान करें।
इस जनवरी में, भारत के ड्राफ्ट DPDP नियम सार्वजनिक परामर्श के लिए जारी किए गए थे, अंत में स्पष्ट करते हुए कि सरकार के मन में क्या था। अब यह स्पष्ट हो गया है कि DPDP अधिनियम के तहत सहमति प्रबंधकों के पास केवल उन तरीकों से सहमति देने की तुलना में बहुत कुछ है, जिनमें व्यक्तिगत डेटा का उपयोग किया जा सकता है।
उन्हें डेटा फ़िड्यूसियों के बीच डेटा ट्रांसफर की सुविधा के लिए एक डिजिटल आर्किटेक्चर भी स्थापित करना होगा, जबकि यह सुनिश्चित करना होगा कि अंतर्निहित जानकारी की गोपनीयता भारत के डिजिटल सार्वजनिक बुनियादी ढांचे के डिजाइन के अनुरूप एक तरह से संरक्षित है।
ALSO READ: डिजिटल पब्लिक इन्फ्रास्ट्रक्चर को वैश्विक बनाने के लिए भारत की ड्राइव: स्टॉक लेने का समय
DPDP नियमों के नियम 4 के तहत, एक सहमति प्रबंधक को एक इंटरऑपरेबल प्लेटफ़ॉर्म सेट करना होगा, जिस पर डेटा प्रिंसिपल निर्धारित डेटा सुरक्षा मानकों के अनुरूप एक तरह से सहमति दे सकते हैं, प्रबंधित कर सकते हैं, समीक्षा कर सकते हैं।
इस प्लेटफ़ॉर्म को डेटा पोर्टेबिलिटी की सुविधा प्रदान करनी होगी, या तो सीधे डेटा प्रिंसिपल (या आप उपयोगकर्ता) से अनुरोध करने वाली इकाई तक या डेटा फ़िड्यूसरी से जो आपके लिए उस इकाई के लिए व्यक्तिगत डेटा बनाए रखता है। बेहतर तरीके से यह बताने के लिए कि यह सब कैसे काम करेगा, नियमों में कुछ चित्र प्रदान किए गए हैं।
पहले एक ऐसी स्थिति को संदर्भित करता है जहां एक दिया गया डेटा फ़िड्यूसरी व्यक्तिगत डेटा तक पहुंच चाहता है जिसे डेटा प्रिंसिपल ने डिजिटल लॉकर सिस्टम में संग्रहीत किया है (जैसे, कहते हैं, भारत का डिगिलोकर वॉलेट)। इस मामले में, सहमति प्रबंधक की भूमिका आपके लिए डेटा-एक्सेस अनुरोध को अग्रेषित करने के लिए होगी, और, आपकी सहमति के साथ, आपके डिजिटल लॉकर में व्यक्तिगत डेटा तक डेटा फ़िड्यूसरी की पहुंच को सक्षम करें।
दूसरा चित्रण व्यक्तिगत डेटा को संदर्भित करता है जो वर्तमान में एक डेटा फ़िड्यूसरी (एक बैंक) के नियंत्रण में है जो एक और डेटा फ़िड्यूसरी (एक नया ऋणदाता) का उपयोग करना चाहता है। इस उदाहरण में, ऋणदाता सहमति प्रबंधक को उस डेटा के लिए एक अनुरोध भेजता है, जो तब आपको डेटा प्रिंसिपल को अग्रेषित करता है। यदि डेटा प्रिंसिपल नए ऋणदाता को उसके व्यक्तिगत डेटा तक पहुंच देने के लिए सहमत होता है, तो सहमति प्रबंधक डेटा-होल्डिंग बैंक को इस सहमति को बताता है, यह निर्देश देता है कि वह अन्य ऋणदाता को व्यक्तिगत डेटा तक पहुंच प्रदान करे।
ALSO READ: भारत के डिजिटल डेटा प्रोटेक्शन रूल्स: हिट्स एंड मिस्स की एक कहानी
इन चित्रणों (और नियम 4) से, यह स्पष्ट है कि सहमति प्रबंधकों को डिजिटल डेटा पोर्टेबिलिटी इन्फ्रास्ट्रक्चर में रखना होगा जो एक डिजिटल स्टोर से दूसरे में व्यक्तिगत डेटा के बंटवारे को अनलॉक कर देगा, ताकि इसका उपयोग उपयोग की एक विस्तृत श्रृंखला के लिए किया जा सके। मामले। इस तरह से वर्णित, DPDP अधिनियम के तहत सहमति प्रबंधकों को वित्तीय क्षेत्र में खाता एग्रीगेटर्स द्वारा पेश किए गए लोगों से अलग डेटा पोर्टेबिलिटी सेवाएं करने की उम्मीद है।
इस बिंदु को रेखांकित करने के लिए, नियम यह निर्धारित करते हैं कि एक सहमति प्रबंधक द्वारा सुविधा प्रदान की गई सभी डेटा साझा करने को इस तरह से होना चाहिए कि स्थानांतरित किए जा रहे डेटा पैकेज की सामग्री इस प्रबंधक को दिखाई नहीं देनी चाहिए।
डेटा ट्रांसफर के लिए यह डेटा-ब्लाइंड दृष्टिकोण खाता एग्रीगेटर सिस्टम की प्राथमिक विशेषताओं में से एक है और इसे उस वास्तुकला के सीधे संदर्भ में पेश किया गया है। जिनमें से सभी यह सुझाव देते हैं कि सरकार केवल खाता एग्रीगेटर्स जैसी संस्थाओं को नए गोपनीयता कानून के तहत सहमति प्रबंधकों के रूप में पंजीकृत करने की अनुमति देगी।
ALSO READ: डिजिटल पब्लिक इन्फ्रास्ट्रक्चर को वैश्विक बनाने के लिए भारत की ड्राइव: स्टॉक लेने का समय
भारत का डेटा सशक्तिकरण और संरक्षण वास्तुकला (DEPA), जिस पर खाता एग्रीगेटर सिस्टम आधारित है, को अक्सर डिजिटल सहमति प्रबंधन ढांचे के रूप में संदर्भित किया गया है। मैंने लंबे समय से इस आधार पर इस लक्षण वर्णन का विरोध किया है कि डेप सहमति का प्रबंधन करने की तुलना में बहुत अधिक करता है। यहां तक कि अगर यह डेटा ट्रांसफर के लिए सहमति प्राप्त करने के लिए एक डिजिटल सहमति आर्टिफैक्ट का उपयोग करता है, तो DEPA डेटा पोर्टेबिलिटी को सक्षम करता है। इसे सिर्फ एक डिजिटल सहमति प्रबंधन ढांचा कहना वह सब कम करता है जो इसके लिए खड़ा है।
यह DEPA का यह बोलचाल का संदर्भ है जिसने किसी तरह DPDP अधिनियम में अपना रास्ता पाया है।
डीईपीए फ्रेमवर्क को वैधानिक वैधता प्रदान करने के प्रयास में, सरकार ने अधिनियम में सहमति प्रबंधकों के लिए एक संदर्भ डाला, यह महसूस करते हुए कि डेटा सुरक्षा की दुनिया में, इस शब्द का एक बहुत अलग अर्थ है।
जब डेटा व्यवसायों ने डीपीडीपी अधिनियम में शब्द देखा, तो उनमें से कई अधिनियम के तहत पंजीकरण के लिए अर्हता प्राप्त करने के लिए पूरी तरह से नए व्यवसाय प्रसाद के साथ आए। उस भ्रम को अब उन नियमों से आराम करने के लिए रखा गया है जो स्पष्ट करते हैं कि ‘सहमति प्रबंधक’ शब्द का अर्थ है कि सरकार इन प्रबंधकों को विनियमित करने का इरादा कैसे रखती है।
मुझे खुशी है कि DPDP अधिनियम तकनीकी-कानूनी समाधानों को वैध बनाता है जो भारत के डिजिटल सार्वजनिक बुनियादी ढांचे द्वारा संभव बनाया गया है। हमारे डिजिटल डेटा पोर्टेबिलिटी आर्किटेक्चर के लिए नियामक ढांचे के रूप में नए कानून की सेवा के साथ, डेटा साझाकरण न केवल अर्थव्यवस्था के वित्तीय क्षेत्र के भीतर, बल्कि उन सभी क्षेत्रों में हो सकता है जिन्होंने डीईपीए को लागू किया है।
लेखक ट्रिलगल में एक भागीदार और ‘द थर्ड वे: इंडियाज़ रिवोल्यूशनरी एप्रोच टू डेटा गवर्नेंस’ के लेखक हैं। उनका एक्स हैंडल @matthan है।
