வரைவு டிஜிட்டல் தனிநபர் தரவு பாதுகாப்பு (Draft Digital Personal Data Protection (DPDP)) விதிகளுக்கான பதில் பெரும்பாலும் நேர்மறையானதாகவே உள்ளது. ஏனெனில், விதிகள் குறைவான பரிந்துரைக்கப்பட்ட, கொள்கைகள் சார்ந்த அணுகுமுறையை எடுக்கின்றன.
ஜனவரி 3, 2025 அன்று, மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகம் (Ministry of Electronics and Information Technology (MeitY)) மிகவும் எதிர்பார்க்கப்பட்ட வரைவு டிஜிட்டல் தனிப்பட்ட தரவு பாதுகாப்பு (Draft Digital Personal Data Protection (DPDP)) விதிகளை வெளியிட்டது. டிஜிட்டல் தனிநபர் தரவை ஒழுங்குபடுத்துவதில் இந்தியாவிற்கு இது ஒரு முக்கியமான தருணமாகும். இந்த நடவடிக்கை DPDP சட்டம், 2023 நிறைவேற்றப்பட்டதைத் தொடர்ந்து, தனிப்பட்ட தரவைப் பாதுகாப்பதற்கான அதன் கட்டமைப்பை செயல்படுத்துவதற்கு இந்தியா தீவிரமாகக் கொண்டுவருகிறது.
வரைவு விதிகள் முந்தைய தனிப்பட்ட தரவு பாதுகாப்பு மசோதாவிலிருந்து ஒரு மாற்றத்தைக் குறிக்கின்றன. இந்த மசோதா மிகவும் கட்டுப்படுத்தப்பட்டதாகவும் தொழில்துறை நலன்களுக்கு எதிரானதாகவும் விமர்சிக்கப்பட்டது. இது கிட்டத்தட்ட ஒரு பத்தாண்டு காலமாக பல சுற்று கட்டமைப்பு மற்றும் ஆலோசனைகளை மேற்கொண்டது. இருப்பினும், குழுக்கள் மற்றும் அரசாங்க பங்குதாரர்கள் இது பொருத்தமானதல்ல என்று முடிவு செய்த பின்னர் அது இறுதியில் திரும்பப் பெறப்பட்டது.
இதற்கு நேர்மாறாக, வரைவு டிஜிட்டல் தனிப்பட்ட தரவு பாதுகாப்பு (Draft Digital Personal Data Protection (DPDP)) சட்டம் மற்றும் அதனுடன் இணைந்த விதிகளுக்கான நேர்மறையான பதில், வணிகங்களுடனான உரையாடல்கள் மற்றும் ஊடக முழு அறிக்கையில் பிரதிபலிக்கிறது. வரைவு விதிகளின் குறைவான பரிந்துரைக்கப்பட்ட, கொள்கை அடிப்படையிலான அணுகுமுறையிலிருந்து உருவாகிறது.
"பிரஸ்ஸல்ஸ் விளைவு" (Brussels Effect) இன் கீழ் ஒழுங்குபடுத்துவதற்கான முந்தைய அவசரத்துடன் ஒப்பிடும்போது இந்தியா மிகவும் நடைமுறையான அணுகுமுறையை எடுத்துள்ளது. இந்த அணுகுமுறையில், உலகளாவிய டிஜிட்டல் விதிகள் ஐரோப்பிய ஒன்றியத்தின் (EU) தலையீட்டு ஒழுங்குமுறை பாணியை பிரதிபலித்தன. ஐரோப்பிய ஒன்றியத்தின் (EU) பொதுத் தரவு பாதுகாப்பு ஒழுங்குமுறை (General Data Protection Regulation (GDPR)) ஒரு காலத்தில் தனியுரிமை நிபுணர்களால் ஒரு உயர் தரமாகப் பார்க்கப்பட்டது. இருப்பினும், இப்போது எதிர்பாராத விளைவுகளுக்காக விமர்சனங்களை எதிர்கொள்கிறது.
பொது தரவு பாதுகாப்பு ஒழுங்குமுறை (GDPR) நன்கு வளப்படுத்தப்பட்ட நிறுவனங்களை ஆதரித்தது. அதனுடன், சிறிய நிறுவனங்களை நசுக்கியது மற்றும் இணையத்தில் பொதுமக்களின் நம்பிக்கையை பெரிதும் மேம்படுத்தத் தவறிவிட்டது. இந்தியாவின் மிகவும் அளவிடப்பட்ட அணுகுமுறை ஐரோப்பாவின் தலையீட்டுக் கொள்கைகளுக்கு ஒரு புத்துணர்ச்சியூட்டும் மாற்றீட்டை வழங்குகிறது.
நடைமுறைவாதம் மற்றும் நெகிழ்வுத்தன்மை போன்ற வெற்றிகள்
வரைவு விதிகளின் முக்கிய அம்சங்களில் ஒன்று, அறிவிப்பு மற்றும் ஒப்புதலுக்கான அவற்றின் கொள்கைகள் சார்ந்த கட்டமைப்பாகும். மறைமுகத் தரவு சேகரிப்பு, எல்லை தாண்டிய தரவு பரிமாற்றங்கள் மற்றும் தானாக முடிவெடுத்தல் போன்ற சிக்கலான தேவைகளைக் கொண்ட GDPR போலல்லாமல், இந்தியாவின் விதிகள் எளிமை மற்றும் தெளிவில் கவனம் செலுத்துகின்றன. இந்த அணுகுமுறை "ஒப்புதல் சோர்வை" (consent fatigue) குறைக்க உதவுகிறது. ஐரோப்பாவில், தரவு செயலாக்கத்தின் இருப்பிடம் போன்ற தேவையற்ற விவரங்களால் பயனர்கள் அதிகமாக உள்ளனர். இது நடைமுறை பயன்பாட்டில் குறைவாக உள்ளது.
டிஜிட்டல் தனிப்பட்ட தரவுப் பாதுகாப்புச் சட்டத்தைப் புரிந்துகொள்ளுதல்
2023-ம் ஆண்டில், ஐரோப்பிய ஆணையம் குக்கீ உறுதிமொழி முன்முயற்சியை (Cookie Pledge Initiative) அறிமுகப்படுத்தியது. நிலையான ஒப்புதல் பாப்-அப்கள் (pop-ups) மீதான வளர்ந்து வரும் விரக்தியை நிவர்த்தி செய்வதற்காக இது செய்யப்பட்டது. இருப்பினும், பயனர் இடைமுகங்கள் மற்றும் ஒப்புதல் வழிமுறைகளை ஒழுங்குபடுத்துவதற்கு ஐரோப்பிய ஒன்றியம் குறைவான ஊடுருவும் அணுகுமுறையைப் பயன்படுத்தியிருந்தால் இந்த மாற்றம் தேவைப்பட்டிருக்காது. இந்த உறுதிமொழியின் உருவாக்கம் கடுமையான விதிமுறைகளால் ஏற்படும் சுமைகளைக் காட்டுகிறது.
இந்தியாவின் வரைவு டிஜிட்டல் தனிப்பட்ட தரவு பாதுகாப்பு (DPDP) விதிகள் செயல்முறைகளை விட விளைவுகளில் கவனம் செலுத்துவதன் மூலம் இந்த ஆபத்துகளைத் தவிர்த்து, வணிகங்களையும் நுகர்வோரையும் தேவையற்ற சிக்கல்களில் மூழ்கடிக்காமல் பயனர்களுக்கு அதிகாரம் அளிக்கின்றன. திருத்தம், அழித்தல், நியமித்தல், ஒப்புதலைத் திரும்பப் பெறுதல் மற்றும் நிறுவனங்களிடமிருந்து தகவல்களைப் பெறுதல் ஆகியவற்றில் பயனர்கள் தங்கள் உரிமைகளைப் பயன்படுத்த நிறுவனங்கள் எவ்வாறு உதவ வேண்டும் என்று விதிகள் ஆணையிடுவதைத் தவிர்க்கின்றன.
பயன்பாடுகள் மற்றும் வலைத்தளங்களில் தொடர்புடைய தகவல்களை வெளியிடுவது மட்டுமே அவர்களுக்கு தேவைப்படுகிறது. இதற்கு மாறாக, நிறுவனங்கள் இந்த தகவலை பயனர்களுக்கு வாய்வழியாக வழங்க வேண்டிய நிகழ்வுகள் உட்பட, ஒத்த தகவல்கள் எவ்வாறு வழங்கப்பட வேண்டும் என்பது குறித்து பொது தரவு பாதுகாப்பு ஒழுங்குமுறை (GDPR) பரிந்துரைக்கப்படுகிறது. ஒரு பயன்பாடு அல்லது வலைத்தளத்தின் வடிவமைப்பு அல்லது பயனர் இடைமுகத்தின் ஒவ்வொரு அம்சத்தையும் அரசு ஏன் கட்டளையிட வேண்டும்? இந்தியாவின் அணுகுமுறை, அதிர்ஷ்டவசமாக, வணிக சுயாட்சி மற்றும் புதுமைகளை மதிக்கிறது.
குழந்தைகளின் தனிப்பட்ட தரவை செயலாக்குவதற்கு மற்ற வகை தரவு செயலாக்கத்துடன் ஒப்பிடும்போது கடுமையான பாதுகாப்பு தேவைப்படுகிறது. இது, விதிகளில் கோடிட்டுக் காட்டப்பட்டுள்ளது. இருப்பினும், அதிகமான குழந்தைகள் ஆன்லைனில் டிஜிட்டல் தொழில்நுட்பங்களில் ஈடுபடுவதால், குறிப்பிட்ட சூழல்களில் மதிப்புமிக்க கண்காணிப்பு மற்றும் தடங்கண்காணிப்பு போன்ற சில நடவடிக்கைகளிலிருந்து அவர்கள் அதிகளவில் பயனடைகிறார்கள்.
எடுத்துக்காட்டாக, கூடுதல் வகுப்புகள் மற்றும் தொழில் பயிற்சி சேவைகள் உள்ளிட்ட கல்வி நிறுவனங்கள் நடத்தை தொடர்பான கவனிப்பு மற்றும் கண்காணிப்பைப் பயன்படுத்துகின்றன. இவை மாணவர்களின் கல்வி செயல்திறனை அடிப்படையாகக் கொண்ட இலக்கு ஆதரவை வழங்க உதவுகின்றன. கற்பித்தலைத் தனிப்பயனாக்கவும் முடிவுகளை மேம்படுத்தவும் கற்றல் மேலாண்மை அமைப்புகள் பயன்படுத்தப்படுகின்றன. இது விதிகள் சில தொழில்களுக்கு விலக்குகளை அனுமதிக்கின்றன. கல்வி நிறுவனங்கள், சுகாதார நிறுவனங்கள், சுகாதார வழங்குநர்கள் மற்றும் குழந்தை பராமரிப்பு மையங்கள் சில வழிகாட்டுதல்களைப் பின்பற்றும் வரை, கண்காணிப்பு மற்றும் தடங்கண்காணிப்புக்கு பெற்றோரின் ஒப்புதலைப் பெற வேண்டியதில்லை. இந்த விலக்கு விதிகள் இந்தத் தொழில்களின் குறிப்பிட்ட தேவைகளைப் புரிந்துகொள்கின்றன என்பதைக் காட்டுகிறது. இது கவனமாக கொள்கை வகுப்பை பிரதிபலிக்கிறது.
வரைவு விதிகளில் சில குறைபாடுகள் உள்ளன. எல்லை தாண்டிய தரவு ஓட்டங்களை கட்டுப்படுத்துவதில் உள்ள சிக்கலானத் தன்மை மற்றும் தெளிவின்மை ஒரு பிரச்சினையாக உள்ளது. குறிப்பிடத்தக்க தரவு நம்பகத்தன்மையாளர்கள் (Significant Data Fiduciaries (SDF)) என்று அழைக்கப்படும் பெரிய நிறுவனங்கள், சட்டத்தின் உண்மையான எல்லைக்கு அப்பாற்பட்ட தரவு உள்ளூர்மயமாக்கல் விதிகளை எதிர்கொள்ளக்கூடும்.
DPDP சட்டம் அரசாங்கம் தனிப்பட்ட தரவு பரிமாற்றங்களை கட்டுப்படுத்த அனுமதிக்கிறது. அதே வேளையில், குறிப்பிட்ட அறிவிக்கப்பட்ட நாடுகளுக்கு அத்தகைய நடவடிக்கையை அது கட்டுப்படுத்துகிறது. தரவு பரிமாற்றங்களுக்கான தளர்வான விதிகளை சிறிய நிறுவனங்கள் பயன்படுத்திக் கொள்ளும் அபாயம் உள்ளது. இது நியாயமற்ற போட்டிக்கு வழிவகுக்கும். இந்த முரண்பாடுகள் முதலீட்டை ஊக்கப்படுத்தாமல் வணிகங்களை இந்தியாவை விட்டு வெளியேறத் தள்ளக்கூடும்.
தரவு உள்ளூர்மயமாக்கல் விதி, விசாரணைகளுக்காக எல்லை தாண்டிய தரவை அணுகும்போது சட்ட அமலாக்க நிறுவனங்கள் எதிர்கொள்ளும் சிரமங்களிலிருந்து வருகிறது. இந்த நிறுவனங்களுக்கு தரவை அணுக வேண்டியிருந்தாலும், ஒரு துறை சார்ந்த உள்ளூர்மயமாக்கல் அணுகுமுறை பொதுவான ஒன்றைவிட மிகவும் பயனுள்ளதாக இருக்கும்.
2018-ம் ஆண்டு இந்திய ரிசர்வ் வங்கியின் கட்டணத் தரவை உள்ளூர்மயமாக்குவதற்கான விதி ஒரு சிறந்த எடுத்துக்காட்டு ஆகும். இது நிதித் துறையில் கவனம் செலுத்தியது மற்றும் அதிக இடையூறுகளை ஏற்படுத்தாமல் தொழில்துறை மீதான கவலைகளை நிவர்த்தி செய்தது. தனிப்பட்ட தரவுகளுக்கான இதேபோன்ற அணுகுமுறை பாதுகாப்பு மற்றும் வணிக போட்டித்தன்மையை சமநிலைப்படுத்தும்.
சில பகுதிகளுக்கு இன்னும் தெளிவு தேவை. தரவு செயலாக்கம் பற்றிய தகவல்களைக் கோரும் பயனர்கள் முறையானவர்களா என்பதைச் சரிபார்க்க வணிகங்களுக்கு பாதுகாப்புகள் தேவை. இந்தத் தேவை பொது தரவு பாதுகாப்பு ஒழுங்குமுறையில் (GDPR) அங்கீகரிக்கப்பட்டுள்ளது. இருப்பினும், இந்தியாவின் வரைவு விதிகள் (draft rules) வணிகங்கள் தொடர்ந்து தகவல் கோரிக்கைகளை எதிர்கொள்ளும் சூழ்நிலைகளை நிவர்த்தி செய்யவில்லை.
அதிகப்படியான அல்லது ஆதாரமற்ற கோரிக்கைகளுக்கு வணிகங்கள் நியாயமான கட்டணம் வசூலிக்கவும் அவர்கள் அனுமதிப்பதில்லை. மற்றொரு நிச்சயமற்ற தன்மை என்னவென்றால், அரசாங்கத்தால் முக்கியமான வணிகத் தரவை அணுக முடியுமா என்பதுதான். அப்படியானால், போட்டியாளர்களிடமிருந்து இந்தத் தகவலை அது எவ்வாறு பாதுகாக்கும்? அது ஒரு வர்த்தக ரகசியமாக இருந்தால் என்ன செய்வது? இந்த இடைவெளிகள் நடைமுறை ஒருமைப்பாட்டை கவனமாக பரிசீலிக்க வேண்டியதன் அவசியத்தைக் காட்டுகின்றன.
எதிர்காலம் என்ன?
ஐபிஎம் நிறுவனத்தின் படி, தரவு மீறல்களால் 2024-ம் ஆண்டில் இந்திய வணிகங்களுக்கு சராசரியாக ₹19.5 கோடி ($2.35 மில்லியன்) இழப்பு ஏற்பட்டது. தரவு பாதுகாப்பு சட்டங்களுடன் இணங்குவது வணிகத்தின் மீதான நற்பெயரைப் பாதுகாப்பதற்கும், தொடர்ச்சியை உறுதி செய்வதற்கும் ஒரு ஒழுங்குமுறை கடமையாக மட்டுமல்லாமல் இன்றியமையாததாகக் கருதப்பட வேண்டும்.
எதிர்கால சட்டங்களில் குடிமக்களின் தனியுரிமையைப் பாதுகாக்க, அறிவிப்பு மற்றும் ஒப்புதல் வழிமுறைகளை மட்டுமே நம்பியிருப்பதைத் தாண்டி இந்தியா செல்ல வேண்டும். அறிவிப்பு மற்றும் ஒப்புதல் மருத்துவத் துறையிலிருந்து வருகிறது. அங்கு அவை கட்டுப்படுத்தப்பட்ட அமைப்புகளில் சிறப்பாக செயல்படுகின்றன. இருப்பினும், மால்கள், விமான நிலையங்கள் அல்லது கடற்கரைகள் போன்ற இடங்களில், தனிநபர்கள் ஒப்புதல் அளிக்க வாய்ப்பு குறைவு. இணைய உலகம் அல்லது பொருட்களின் இணையம் (Internet of Things), 5G மற்றும் செயற்கை நுண்ணறிவு ஆகியவற்றின் வளர்ச்சியுடன், தரவு சேகரிப்பு வேகமாக வளர்ந்து வருகிறது. ஒப்புதல் என்ற தவறான கொள்கையை மட்டுமே நம்பியிருக்காத தனியுரிமை கட்டமைப்புகளை இந்தியா கற்பனை செய்ய வேண்டும்.
பொது ஆலோசனைகள் வரைவு விதிகளைச் செம்மைப்படுத்துவதால், கட்டமைப்பை நெகிழ்வானதாக வைத்திருப்பது மற்றும் தொழில்துறை சார்ந்த தேவைகளைக் கருத்தில் கொள்வது முக்கியம். இந்த அணுகுமுறை புதுமை, பொருளாதார வளர்ச்சி மற்றும் தனிநபர் உரிமைகளை சமநிலைப்படுத்த உதவும். இதை பல அதிகார வரம்புகள் வெற்றிகரமாக அடையவில்லை.
விவான் சரண் கோன் ஆலோசனைக் குழுவில் தொழில்நுட்பக் கொள்கை நிபுணர். சிருஷ்டி ஜோஷி கோன் ஆலோசனைக் குழுவில் தொழில்நுட்ப கொள்கை நிபுணராக உள்ளார்.