-
CENTRES
Progammes & Centres
Location
बच्चों का डिजिटल डेटा लगातार बढ़ रहा है लेकिन उसकी सुरक्षा अब तक कमजोर और बिखरी हुई थी. DPDP नियम 2025 इसी समस्या को ठीक करने आए हैं जो बच्चों का डेटा लेने से पहले अभिभावक की सहमति और सख़्त सुरक्षा अनिवार्य करते हैं. अब देखना यह है कि स्कूल और एडटेक कंपनियां इन्हें लागू करने की तैयारी अगले 18 महीनों में कितनी अच्छी तरह करती हैं.
Image Source: Getty Images
पिछले सप्ताह इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) नियम, 2025 को अधिसूचित किया. ये नियम उस समय लागू हुए हैं, जब बच्चों की डिजिटल मौजूदगी किसी भी रेगुलेटरी सिस्टम की तुलना में ज़्यादा तेज़ी से बढ़ रही है. एडटेक (एजुकेशन टेक्नोलॉजी) एवं स्कूल ERP (एंटरप्राइज़ रिसोर्स प्लानिंग) सिस्टम से लेकर गेमिंग ऐप, सोशल मीडिया और डिजिटल खिलौनों तक बच्चे भारी मात्रा में डेटा उत्पन्न करते हैं. अभिभावक अक्सर इसके नतीजों को समझने में नाकाम रहते हैं और कभी-कभी तो उन्हें इसके होने का भी पता नहीं होता.
अभी तक इस डेटा का नियंत्रण बंटी हुई गाइडलाइन, कमज़ोर समझौते वाली व्यवस्था और असमान संस्थागत क्षमता से होता रहा है. औपचारिक रूप से DPDP नियमों की अधिसूचना एक निर्णायक बदलाव के बारे में बताती है जिसमें स्कूल-कॉलेज, एडटेक कंपनियों और शिक्षा बोर्ड को एक राष्ट्रीय अनुपालन के ढांचे के भीतर रखा गया है. इसके बावजूद सवाल बना हुआ है कि ये कानून बच्चों के डेटा की सुरक्षा कितने प्रभावी ढंग से करेगा, विशेष रूप से उस समय जब ज़मीनी तौर-तरीकों और जागरूकता के आधार पर इसका परीक्षण होगा?
“DPDP एक्ट बच्चों के व्यवहार पर नज़र रखने और बच्चों के हिसाब से विज्ञापन पर रोक लगाता है.”
DPDP एक्ट 2023 सभी डिजिटल डेटा पर लागू होता है जिनमें कागज़ी रिकॉर्ड शामिल हैं जिन्हें बाद में डिजिटाइज़ किया जाता है और ये बच्चों के डेटा की प्रोसेसिंग के लिए एक ऊंचा मानक स्थापित करता है. डेटा जमा करने वाले किसी भी संगठन (स्कूल या एडटेक कंपनियां) को डेटा फिड्युशियरी कहा जाता है. उसे 18 साल से कम उम्र के किसी भी व्यक्ति का व्यक्तिगत डेटा इकट्ठा करने या इस्तेमाल करने से पहले उसके अभिभावक से लिखित मंज़ूरी लेनी होगी. ये विशेष रूप से महत्वपूर्ण है क्योंकि ऑनलाइन दुनिया में बच्चे आजकल लगातार डिजिटल निगरानी का अनुभव करते हैं. एडटेक कंपनियां स्क्रीन टाइम, क्लिक, कीस्ट्रोक और क्विज़ में प्रदर्शन पर नज़र रखती हैं. गेमिंग ऐप लोकेशन, डिवाइस की पहचान, बर्ताव के पैटर्न और दोस्तों के नेटवर्क का पता लगाते हैं. स्कूल होमवर्क जमा करने से लेकर ऑनलाइन परीक्षा तक- हर किसी चीज़ के लिए तीसरे पक्ष पर निर्भरता बढ़ा रहे हैं. लेकिन इसके लिए साइबर सुरक्षा के उपाय अक्सर बहुत कम होते हैं.
“इससे ये विचार मज़बूत होता है कि वाणिज्यिक हित किसी बच्चे के सुरक्षित डिजिटल वातावरण के अधिकार को प्रभावित नहीं कर सकते.”
डेटा फिड्युशियरी बच्चों के डेटा को संभालते समय अधिक सुरक्षा उपाय लागू करने के लिए भी ज़िम्मेदार होगा. उसे ये सुनिश्चित करना होगा कि डेटा को केवल आवश्यक एवं निर्धारित उद्देश्यों के लिए ही प्रोसेस किया जाए और तीसरे पक्ष से डेटा साझा करते समय पारदर्शिता बरती जाए. DPDP एक्ट बच्चों के व्यवहार पर नज़र रखने और बच्चों के हिसाब से विज्ञापन पर रोक लगाता है. इससे ये विचार मज़बूत होता है कि वाणिज्यिक हित किसी बच्चे के सुरक्षित डिजिटल वातावरण के अधिकार को प्रभावित नहीं कर सकते. ये बच्चों को निष्क्रिय डेटा विषय की जगह सुरक्षित अधिकार धारक बनाता है.
DPDP एक्ट के तहत एक डेटा प्रोटेक्शन बोर्ड का भी गठन किया जाएगा ताकि नियमों के अनुपालन पर नज़र रखी जा सके, उल्लंघनों की जांच की जाए और बच्चों की डेटा प्राइवेसी से जुड़े उल्लंघनों के लिए जुर्माना लगाया जा सके.
MeitY ने चरणबद्ध कार्यान्वयन के साथ DPDP नियमों को अधिसूचित किया है. डेटा प्रोटेक्शन बोर्ड से जुड़े नियम जहां तुरंत लागू हो गए हैं, वहीं कंसेंट मैनेजर (यानी वैसी संस्थाएं जो यूज़र को मंज़ूरी देने, संभालने और वापस लेने की अनुमति देंगी) के लिए नियम 12 महीनों के बाद लागू होंगे. डेटा फिड्युशियरी के लिए ज़्यादातर ज़िम्मेदारियां (जिनमें अभिभावक से लिखित सहमति, सुरक्षा उपाय, उल्लंघन की अधिसूचना, कम से कम डेटा इकट्ठा करने और बच्चों के डेटा को प्रोसेस करने से जुड़ी पाबंदियां शामिल हैं) 18 महीनों के बाद लागू होंगी. इसका मतलब है कि ये कानून बच्चों के अधिकार को मौजूदा समय में मान्यता तो देता है लेकिन पूरी तरह कानूनी संरक्षण 18 महीने की अवधि समाप्त होने से पहले लागू नहीं होगा.
“MeitY ने चरणबद्ध कार्यान्वयन के साथ DPDP नियमों को अधिसूचित किया है.”
इसे नियमों को अपनाने में कमज़ोरी के रूप में नहीं देखा जाना चाहिए बल्कि तैयारी की अवधि के रूप में देखा जाना चाहिए जिससे संस्थानों को नियमों के मुताबिक ढलने के लिए समय मिलता है. भारत में डिजिटल शिक्षा के लिए तैयारी का स्तर काफी अनियमित है. कुछ चुनिंदा, फंड के मामले में भरपूर स्कूल जहां मज़बूत IT सुरक्षा और साइबर सुरक्षा प्रोटोकॉल का दावा करते हैं, वहीं ज़्यादातर संस्थानों (विशेष रूप से अर्ध-शहरी और ग्रामीण स्कूलों के साथ कुछ छोटी एडटेक कंपनियां) में इन ज़रूरी उपायों की कमी है. इसलिए DPDP एक्ट की प्रभावशीलता नियमों पर कम और इस बात पर ज़्यादा निर्भर करेगी कि स्कूल, कंपनियां, राज्य सरकारें और अभिभावक अगले 18 महीनों में क्या करते हैं.
तीन फैक्टर नतीजे तय करेंगे. पहला, अपने बच्चों के डेटा की सुरक्षा के लिए जानकार प्रहरी के रूप में काम करने की अभिभावकों की क्षमता और इच्छा. 2025 के एक सर्वे से पता चला कि 60 प्रतिशत अभिभावकों ने दावा किया कि वो आइडेंटिटी थेफ्ट जैसे ख़तरों के प्रति जागरूक है लेकिन इसके बावजूद केवल 42.7 प्रतिशत ने ही नियमित रूप से प्राइवेसी सेटिंग में फेरबदल किया और लगभग एक-तिहाई ने उन्हें कभी इस्तेमाल ही नहीं किया जो सोच और सुरक्षा के कदमों के बीच बहुत अधिक अंतर के बारे में बताता है. घरेलू सर्वे से ये भी पता चला है कि अक्सर बच्चे ही परिवार के लिए ऑनलाइन सर्विस की शुरुआत और उपयोग करते हैं जबकि होना इसके उलट चाहिए. इस तरह डेटा अधिकार, ऑनलाइन सुरक्षा और ज़िम्मेदार तकनीक को लेकर माता-पिता की जागरूकता उनकी भागीदारी की रीढ़ की हड्डी है. सरकार को साक्षरता और स्वास्थ्य जागरूकता अभियानों की तर्ज पर राज्य शिक्षा विभागों के साथ देशव्यापी डिजिटल पेरेंटिंग अवेयरनेस कैंपेन चलाने की ज़रूरत है. डेटा अधिकारों, ऐप के सुरक्षित उपयोग और साइबर घटनाओं की जानकारी देने को लेकर छोटे, स्थानीय भाषा में इन्फोग्राफिक्स और रेडियो पर प्रचार की आवश्यकता है. पेरेंट-टीचर मीटिंग के दौरान स्कूल स्तर पर डेटा साक्षरता के सत्रों का लाभ उठाया जाना चाहिए ताकि अभिभावकों को प्राइवेसी सेटिंग, डेटा साझा करने के तरीकों और शिकायत के समाधान के विकल्पों के बारे में बताया जा सके.
दूसरा, स्कूल अक्सर बिना उचित छानबीन के डिजिटल काम-काज किसी वेंडर को आउटसोर्स कर देते हैं. अगले 18 महीनों में उन्हें ये ज़रूर पता लगाना चाहिए कि छात्रों का डेटा कहां इकट्ठा होता है और कहां जाता है, वेंडर के साथ कॉन्ट्रैक्ट पर फिर से बात करनी चाहिए, सुरक्षित डेटा स्टोरेज सुनिश्चित करना चाहिए और शिक्षकों को डेटा जोखिम का पता लगाने के लिए ट्रेनिंग देनी चाहिए. देशव्यापी शिक्षक प्रशिक्षण कार्यक्रमों में डिजिटल पढ़ाई, डेटा प्राइवेसी और तकनीक के नैतिक उपयोग को मूल योग्यता के रूप में शामिल किया जाना चाहिए. NCERT (राष्ट्रीय शैक्षिक अनुसंधान और प्रशिक्षण परिषद) और SCERT पासवर्ड मैनेजमेंट, सुरक्षित कंटेंट साझा करने और क्लासरूम में सहमति जमा करने जैसे विषयों पर द्विभाषी छोटे कोर्स चलाने के लिए एडटेक कंपनियों के साथ साझेदारी कर सकते हैं. ज़िम्मेदारी से डेटा संभालने और साइबर सुरक्षा पर सर्टिफिकेट को स्कूल के प्रिंसिपल के लिए ज़रूरी बनाया जा सकता है जिसे इन 18 महीनों के भीतर पूरा करना होगा. एडटेक और गेमिंग प्लैटफॉर्म को बाद में अधिक खर्च करके बदलाव से परहेज करने के लिए बच्चों के प्रोडक्ट को प्राइवेसी के हिसाब से तैयार करना चाहिए. सरकार को स्कूलों और छोटे कारोबार के हिसाब से सरल खाका और जांच की सूची जारी करनी चाहिए.
“ ये कानून बच्चों के अधिकार को मौजूदा समय में मान्यता तो देता है लेकिन पूरी तरह कानूनी संरक्षण 18 महीने की अवधि समाप्त होने से पहले लागू नहीं होगा.”
तीसरा, प्रभावी कार्यान्वयन डेटा प्रोटेक्शन बोर्ड की स्वायत्तता, साधन के मामले में संपन्नता और पहुंच पर निर्भर करेगा. बोर्ड को साइबर सुरक्षा और प्राइवेसी विशेषज्ञ जैसी प्रतिभाओं को शामिल करना चाहिए. आंतरिक डिजिटल फोरेंसिक यूनिट बनाकर उनकी मदद करनी चाहिए. ये यूनिट लीक की जांच करने, बिना अनुमति एक्सेस का पता लगाने और एल्गोरिदमिक प्रोफाइलिंग की पड़ताल करने में सक्षम हो. यूरोपियन यूनियन के GDPR (जनरल डेटा प्रोटेक्शन रेगुलेशन) की तरह DPDP नियमों को पूरी तरह लागू करने से पहले सेक्टर के हिसाब से गाइडलाइन और जांच के प्रोटोकॉल, चेकलिस्ट या ऑडिट टेम्पलेट के द्वारा समर्थन की आवश्यकता है. बोर्ड तक पहुंचने का तरीका भारत में उपभोक्ता फोरम की तर्ज पर होना चाहिए क्योंकि वहां तक पहुंच आसान है, कोई डर नहीं है, पैसा कम खर्च होता है, बिना वकील के भी शिकायत कर सकते हैं और हर तरह की शिकायत का जवाब मिलता है.
DPDP अधिनियम सही संरचना प्रदान करता है लेकिन सुरक्षा वास्तविक तब होगी, जब संस्थान अगले 18 महीनों का इस्तेमाल गंभीरता से तैयारी के लिए करेंगे. अगर इस समय का उपयोग सार्थक तैयारी के लिए किया जाता है तो इससे बच्चों के डिजिटल डेटा की सुरक्षा के लिए एक मज़बूत डेटा संरक्षण प्रणाली स्थापित की जा सकती है.
The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.
Arpan Tulsyan is a Senior Fellow at ORF’s Centre for New Economic Diplomacy (CNED). With 16 years of experience in development research and policy advocacy, Arpan ...
Read More +
PREV
