DPDP चे नियम आणि बालकांच्या डेटा सुरक्षेचे भविष्य

Image Source: Getty Images

मागील आठवड्यात इलेक्ट्रॉनिक्स आणि माहिती तंत्रज्ञान मंत्रालयाने (मिनिस्ट्री ऑफ इलेक्ट्रॉनिक्स अँड इन्फॉर्मेशन टेक्नॉलॉजी-MeitY) डिजिटल वैयक्तिक डेटा संरक्षण (डिजिटल पर्सनल डेटा प्रोटेक्शन-DPDP) नियम, 2025 अधिसूचित केले. हे नियम अशा वेळी लागू झाले आहेत, जेव्हा मुलांची डिजिटल उपस्थिती कोणत्याही विद्यमान नियामक यंत्रणेच्या क्षमतेपेक्षा अधिक वेगाने वाढत आहे. एडटेक प्लॅटफॉर्म्स, शाळांचे ERP (एंटरप्राइझ रिसोर्स प्लॅनिंग) सिस्टिम्स, गेमिंग अ‍ॅप्स, सोशल मीडिया आणि डिजिटल खेळणी, या सर्व माध्यमांतून मुले प्रचंड प्रमाणात डेटा निर्माण करत आहेत. अनेकदा पालकांना या डेटाचे परिणाम समजत नाहीत आणि कधी कधी हा डेटा अस्तित्वात आहे, याचीही त्यांना कल्पना नसते.

आत्तापर्यंत, हा डेटा तुटपुंज्या मार्गदर्शक तत्त्वांद्वारे, कमकुवत करारात्मक व्यवस्थांद्वारे आणि असमान संस्थात्मक क्षमतांद्वारे नियंत्रित केला जात होता. DPDP नियमांची अधिकृत अधिसूचना हा एक निर्णायक टप्पा आहे, ज्यामुळे शाळा, महाविद्यालये, एडटेक कंपन्या आणि शिक्षण मंडळे थेट राष्ट्रीय अनुपालन चौकटीत येतात. तरीही, प्रश्न कायम आहे प्रत्यक्ष वापरात असलेल्या पद्धती आणि जागरूकतेच्या कसोटीवर हे कायदे मुलांच्या डेटाचे संरक्षण कितपत प्रभावीपणे करू शकतील?

मुलांना कोणती संरक्षणे दिली जातात?

DPDP कायदा 2023 सर्व डिजिटल डेटावर लागू होतो, त्यात नंतर डिजिटायझेशन केलेल्या कागदी नोंदींचाही समावेश आहे, आणि तो मुलांच्या डेटाच्या प्रक्रियेसाठी उच्च दर्जाची मानके निश्चित करतो. कोणतीही संस्था, शाळा किंवा एडटेक कंपनी जी डेटा संकलित करते, तिला ‘डेटा फिड्युशियरी’ असे संबोधले जाते. 18 वर्षांखालील कोणत्याही व्यक्तीचा वैयक्तिक डेटा संकलित किंवा वापरण्यापूर्वी अशा संस्थेला सत्यापित म्हणजेच व्हेरिफाएबल पालकांची संमती घेणे बंधनकारक आहे. हे विशेषतः महत्त्वाचे आहे, कारण आजची मुले ऑनलाइन जगात सातत्याने डिजिटल देखरेखीचा अनुभव घेत आहेत. एडटेक कंपन्या स्क्रीन टाइम, क्लिक, कीस्ट्रोक्स आणि क्विझमधील कामगिरीवर लक्ष ठेवतात. गेमिंग अ‍ॅप्स स्थान माहिती, उपकरण ओळख क्रमांक (device identifiers), वर्तनाचे पॅटर्न्स आणि मित्रांचे नेटवर्क गोळा करतात. शाळा गृहपाठ सादरीकरणापासून ते ऑनलाइन परीक्षा घेण्यापर्यंत सर्व गोष्टींसाठी वाढत्या प्रमाणात तृतीय-पक्ष (थर्ड पार्टी) विक्रेत्यांवर अवलंबून आहेत आणि अनेकदा अत्यल्प सायबर सुरक्षा उपायांसह.

मुलांचा डेटा हाताळताना डेटा फिड्युशियरीवर अधिक कडक सुरक्षा उपाय अंमलात आणण्याची जबाबदारी असते. यामध्ये केवळ आवश्यक आणि स्पष्टपणे निश्चित केलेल्या उद्दिष्टांसाठीच डेटा प्रक्रिया करणे, तसेच तृतीय पक्षांसोबत डेटा शेअर करताना पारदर्शकता राखणे यांचा समावेश होतो. DPDP कायदा बालकांसाठी वर्तनाधारित ट्रॅकिंग आणि लक्षित जाहिरातींवरही बंदी घालतो, ज्यामुळे व्यावसायिक हितसंबंध बालकांच्या सुरक्षित डिजिटल वातावरणाच्या अधिकारावर प्राधान्य घेऊ शकत नाहीत, हा मूलभूत सिद्धांत अधोरेखित होतो. त्यामुळे मुले केवळ निष्क्रिय डेटा वापरकर्ता न राहता, संरक्षण प्राप्त अधिकारधारक ठरतात.

DPDP कायद्यान्वये अनुपालनावर देखरेख ठेवण्यासाठी, उल्लंघनांची चौकशी करण्यासाठी आणि बालकांच्या डेटा गोपनीयतेशी संबंधित नियमभंगासाठी दंड ठोठावण्यासाठी डेटा संरक्षण मंडळ (डेटा प्रोटेक्शन बोर्ड) स्थापन केले जाईल. यामुळे अनेक संस्थांना त्यांच्या विद्यमान पद्धतींचे लेखापरीक्षण करावे लागेल, संमती फॉर्म्सची पुनर्रचना करावी लागेल, तसेच विविध प्रणालींमध्ये शिकणाऱ्यांची माहिती कशी संकलित व शेअर केली जाते याचा पुनर्विचार करावा लागेल.

हे संरक्षण केव्हा लागू होईल?

MeitY ने DPDP नियम टप्प्याटप्प्याने लागू करण्याची अधिसूचना दिली आहे. डेटा संरक्षण मंडळाशी संबंधित नियम तात्काळ लागू झाले असले, तरी संमती व्यवस्थापकांशी (Consent Managers) संबंधित नियम जे वापरकर्त्यांना संमती देणे, व्यवस्थापित करणे आणि मागे घेणे याची सुविधा देतील, हे नियम 12 महिन्यांनंतर अंमलात येतील. डेटा फिड्युशियरींसाठीच्या बहुतेक जबाबदाऱ्या, जसे की सत्यापित पालक संमती, सुरक्षा उपाय, डेटा उल्लंघनाची सूचना देणे, डेटा मर्यादित ठेवणे (डेटा मिनिमायझेशन), आणि बालकांच्या डेटाच्या प्रक्रियेवरील निर्बंध, हे सर्व 18 महिन्यांनंतर लागू होतील. याचा अर्थ असा की कायदा आजच बालकांच्या अधिकारांना मान्यता देतो, परंतु संपूर्ण कायदेशीर संरक्षण 18 महिन्यांच्या कालावधीच्या अखेरीसच अंमलयोग्य होईल.

हा नियम स्वीकारताना कमकुवतपणा म्हणून न पाहता, संस्थांना जुळवून घेण्यासाठी दिलेली एक तयारीची संधी म्हणून पाहिला गेला पाहिजे. भारतात डिजिटल शिक्षणासाठीची तयारी अत्यंत असमान आहे. काही मोजक्या, भरपूर निधी असलेल्या शाळांकडे मजबूत IT प्रशासन आणि सक्षम सायबर सुरक्षा प्रोटोकॉल्स आहेत; मात्र बहुतांश संस्था विशेषतः निमशहरी आणि ग्रामीण भागातील शाळा तसेच लहान एडटेक कंपन्या या मूलभूत उपायांपासून वंचित आहेत. त्यामुळे DPDP कायद्याची परिणामकारकता नियमांपेक्षा कमी, आणि येत्या 18 महिन्यांत शाळा, कंपन्या, राज्य सरकारे आणि पालक काय कृती करतात यावर अधिक अवलंबून असेल.

मुलांच्या संरक्षणासाठी DPDPA किती प्रभावी ठरेल?

या कायद्याचा परिणाम तीन प्रमुख घटकांवर अवलंबून असेल. पहिला घटक म्हणजे पालकांची क्षमता आणि इच्छाशक्ती, ते आपल्या मुलांच्या डेटासाठी सुजाण पहारेकरी म्हणून कितपत भूमिका बजावतात. 2025 मधील एका सर्वेक्षणानुसार, ओळख चोरीसारख्या (आयडेंटिटी थेफ्ट) जोखमींबाबत 60 टक्के पालकांनी जागरूकता असल्याचे सांगितले असले, तरी केवळ 42.7 टक्के पालक नियमितपणे गोपनीयता (प्रायव्हसी) सेटिंग्ज बदलतात, आणि जवळपास एकतृतीयांश पालक कधीच त्यांचा वापर करत नाहीत. यामुळे समज आणि संरक्षणात्मक कृती यांमधील मोठी दरी स्पष्ट होते. घरगुती सर्वेक्षणांमधून असेही दिसून आले आहे की अनेकदा कुटुंबासाठी ऑनलाइन सेवांची ओळख करून देणे आणि त्या वापरणे हे पालकांऐवजी मुलेच करतात. त्यामुळे डेटा अधिकार, ऑनलाइन सुरक्षितता आणि जबाबदार तंत्रज्ञान वापर याविषयी पालकांची जागरूकता ही त्यांच्या सक्रीय आणि सुजाण सहभागाची पायाभरणी आहे. राज्य शिक्षण विभागांच्या सहकार्याने सरकारने साक्षरता व आरोग्य जनजागृती मोहिमांच्या धर्तीवर देशव्यापी ‘डिजिटल पॅरेंटिंग जनजागृती मोहीम’ राबवणे आवश्यक आहे. शिकणाऱ्यांच्या डेटा अधिकारांवर, सुरक्षित अ‍ॅप वापरावर आणि सायबर घटनांची तक्रार कशी करावी यावर स्थानिक भाषांतील लघु इन्फोग्राफिक्स आणि रेडिओ कार्यक्रमांची गरज आहे. पालक-शिक्षक बैठकीदरम्यान शाळा-स्तरीय डेटा साक्षरता सत्रांचा वापर करून गोपनीयता सेटिंग्ज, डेटा शेअरिंग पद्धती आणि तक्रार निवारण पर्याय पालकांना समजावून सांगितले पाहिजेत.

दुसरा घटक म्हणजे शाळांकडून डिजिटल सेवा विक्रेत्यांकडे पुरेशी तपासणी न करता काम सोपवण्याची पद्धत. पुढील 18 महिन्यांत शाळांनी विद्यार्थ्यांचा डेटा कुठे आणि कसा संकलित होतो, तो कुठे प्रवाहित होतो याचा नकाशा तयार करणे, विक्रेत्यांसोबतचे करार पुनःसंशोधित करणे, सुरक्षित डेटा साठवण सुनिश्चित करणे, आणि शिक्षकांना डेटा जोखमी ओळखण्याचे प्रशिक्षण देणे आवश्यक आहे. देशव्यापी शिक्षक-प्रशिक्षण कार्यक्रमांमध्ये डिजिटल अध्यापन, डेटा गोपनीयता आणि तंत्रज्ञानाचा नैतिक वापर या मुख्य कौशल्यांचा समावेश असला पाहिजे. NCERT (राष्ट्रीय शैक्षणिक संशोधन व प्रशिक्षण परिषद) आणि SCERTs यांनी एडटेक कंपन्यांच्या सहकार्याने पासवर्ड व्यवस्थापन, सुरक्षित सामग्री शेअरिंग आणि वर्गात संमती संकलन यांसारख्या विषयांवर द्विभाषिक सूक्ष्म अभ्यासक्रम (मायक्रो कोर्सेस) विकसित करावेत. जबाबदार डेटा हाताळणी आणि सायबर सुरक्षिततेचे प्रमाणपत्र शाळांच्या मुख्याध्यापकांसाठी अनिवार्य करण्यात येऊ शकते, आणि ते या 18 महिन्यांच्या कालावधीत पूर्ण करणे बंधनकारक असावे. एडटेक आणि गेमिंग प्लॅटफॉर्म्सनी भविष्यातील खर्चिक पुनर्रचनेपासून बचाव करण्यासाठी ‘प्रायव्हसी-बाय-डिझाइन’ तत्त्वांनुसार बालकांसाठीची उत्पादने पुन्हा डिझाइन करणे आवश्यक आहे. तसेच सरकारने शाळा आणि लघु व्यवसायांसाठी सुलभ नमुने (टेम्प्लेट्स) आणि तपासणी यादी (चेकलिस्ट) प्रसिद्ध कराव्यात.

तिसरा घटक म्हणजे डेटा संरक्षण मंडळाची (डेटा प्रोटेक्शन बोर्ड) स्वायत्तता, संसाधनक्षमता आणि सर्वसामान्यांसाठीची सुलभ उपलब्धता यांवर प्रभावी अंमलबजावणी अवलंबून असेल. नियामक संस्थेत सायबर सुरक्षा तज्ज्ञ आणि गोपनीयता अभियंते (प्रायव्हसी इंजिनियर्स) यांसारखे विशेष कौशल्य असलेले मनुष्यबळ असणे आवश्यक आहे. तसेच डेटा गळतीची चौकशी करणे, अनधिकृत प्रवेशाचा मागोवा घेणे आणि अल्गोरिदमिक प्रोफाइलिंगचे परीक्षण करणे शक्य होईल, अशी अंतर्गत डिजिटल फॉरेन्सिक युनिट उभारण्याचीही गरज आहे. युरोपियन युनियनच्या GDPR (जनरल डेटा प्रोटेक्शन रेग्युलेशन)प्रमाणेच, DPDP नियमांची अंमलबजावणीयोग्यता सुरू होण्यापूर्वी क्षेत्रनिहाय मार्गदर्शक तत्त्वे, तपासणी प्रोटोकॉल्स, चेकलिस्ट्स किंवा लेखापरीक्षण (ऑडिट) नमुने यांची जोड देणे आवश्यक आहे. याशिवाय, डेटा संरक्षण मंडळाची रचना भारतातील ग्राहक मंचांप्रमाणे सुलभ, भीतीमुक्त, कमी खर्चिक, वकिलांशिवाय वापरता येण्यासारखी आणि दैनंदिन तक्रारींवर तत्पर प्रतिसाद देणारी असली पाहिजे.

DPDP कायदा योग्य अशी संरचनात्मक चौकट प्रदान करतो; मात्र संरक्षण प्रत्यक्षात तेव्हाच साकार होईल, जेव्हा संस्था येत्या 18 महिन्यांचा कालावधी गांभीर्याने तयारीसाठी वापरतील. जर हा कालावधी अर्थपूर्ण आणि परिणामकारक तयारीसाठी वापरण्यात आला, तर बालकांच्या डिजिटल डेटाचे संरक्षण करणारी एक मजबूत आणि विश्वासार्ह डेटा संरक्षण व्यवस्था उभी राहू शकते.

अर्पण तुलस्यान ह्या ऑब्झर्व्हर रिसर्च फाउंडेशनमध्ये सेंटर फॉर न्यू इकॉनॉमिक डिप्लोमसीच्या (CNED) सिनियर फेलो आहेत.

• Privacy & Data Protection
• Education in India
• India
• children’s data protection
• children’s digital surveillance
• cybersecurity in education
• data fiduciaries
• data protection board
• digital parenting awareness
• DPDP Rules 2025
• EdTech data privacy
• Education in India
• India
• parental consent
• Privacy & Data Protection
• privacy safeguards
• privacy-by-design
• school data governance
• vendor due diligence

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.

PREV NEXT