बच्चों के सोशल मीडिया, गेमिंग प्लेटफॉर्म से जुड़ने के लिए माता-पिता की सहमति ज़रूरी: मसौदा Digital Personal Protection Rules में प्रस्ताव

इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ने शुक्रवार (3 जनवरी) को डिजिटल व्यक्तिगत डेटा सुरक्षा अधिनियम 2023 के तहत मसौदा नियमों को सार्वजनिक टिप्पणियों के लिए अधिसूचित किया।

मसौदे में अन्य बातों के अलावा, बच्चों के व्यक्तिगत डेटा को संसाधित करने के लिए डेटा-फ़िड्यूशियरी के लिए माता-पिता की सहमति अनिवार्य करने का प्रस्ताव है। डेटा-फ़िड्युसरी में सोशल मीडिया मध्यस्थ, ई-कॉमर्स कंपनियाँ, गेमिंग प्लेटफ़ॉर्म आदि शामिल हैं।

नियमों में कहा गया:

"डेटा फ़िड्युसरी यह सुनिश्चित करने के लिए उचित तकनीकी और संगठनात्मक उपाय अपनाएगा कि बच्चे के किसी भी व्यक्तिगत डेटा के प्रसंस्करण से पहले माता-पिता की सत्यापन योग्य सहमति प्राप्त की जाए। यह जांचने के लिए उचित परिश्रम करेगा कि माता-पिता के रूप में खुद को पहचानने वाला व्यक्ति एक वयस्क है, जिसे भारत में वर्तमान में लागू किसी भी कानून के अनुपालन के संबंध में आवश्यक होने पर पहचाना जा सकता है, जिसके संदर्भ में -

(1) डेटा फ़िड्युसरी के पास उपलब्ध पहचान और आयु का विश्वसनीय विवरण।

(2) स्वेच्छा से पहचान और आयु का विवरण या उसी से जुड़ा वर्चुअल टोकन प्रदान किया गया, जिसे कानून या केंद्र सरकार या राज्य सरकार द्वारा ऐसे विवरणों के रखरखाव के लिए सौंपा गया या ऐसे जारी करने के लिए ऐसी इकाई द्वारा नियुक्त या अनुमति प्राप्त व्यक्ति द्वारा जारी किया गया। इसमें डिजिटल लॉकर सेवा प्रदाता द्वारा सत्यापित और उपलब्ध कराए गए ऐसे विवरण या टोकन शामिल हैं।"

नियम निम्नलिखित उदाहरण देते हैं:

C एक बच्ची है, P उसका अभिभावक है और DF एक डेटा फिड्युसरी है। C के व्यक्तिगत डेटा को प्रोसेस करके DF के ऑनलाइन प्लेटफ़ॉर्म पर C का उपयोगकर्ता खाता बनाया जाना है।

केस 1: C DF को सूचित करती है कि वह एक बच्ची है। DF अपनी वेबसाइट, ऐप या अन्य उचित माध्यमों से C के माता-पिता को अपनी पहचान बताने में सक्षम बनाएगा। P खुद को माता-पिता के रूप में पहचानती है और DF को सूचित करती है कि वह DF के प्लेटफ़ॉर्म पर रजिस्टर्ड यूजर है। उसने पहले DF को अपनी पहचान और आयु का विवरण उपलब्ध कराया है। अपने यूजर अकाउंट के निर्माण के लिए C के व्यक्तिगत डेटा को प्रोसेस करने से पहले DF यह पुष्टि करने के लिए जांच करेगा कि उसके पास P की विश्वसनीय पहचान और आयु का विवरण है।

केस 2: C DF को सूचित करती है कि वह बच्ची है। DF अपनी वेबसाइट, ऐप या अन्य उचित माध्यमों से C के माता-पिता को अपनी पहचान बताने में सक्षम बनाएगा। P खुद को माता-पिता के रूप में पहचानती है और DF को सूचित करती है कि वह खुद DF के प्लेटफ़ॉर्म पर रजिस्टर्ड यूडर नहीं है। C के यूजर अकाउंट के निर्माण के लिए उसके व्यक्तिगत डेटा को संसाधित करने से पहले, डीएफ, कानून या सरकार द्वारा उक्त विवरणों के रखरखाव के लिए सौंपी गई इकाई द्वारा जारी पहचान और आयु विवरण या उसी से मैप किए गए वर्चुअल टोकन के संदर्भ में, यह जांच करेगा कि P पहचान योग्य वयस्क है। P डिजिटल लॉकर सेवा प्रदाता की सेवाओं का उपयोग करके स्वेच्छा से ऐसे विवरण उपलब्ध करा सकता है।

केस 3: P खुद को सी के माता-पिता के रूप में पहचानती है और डीएफ को सूचित करती है कि वह डीएफ के प्लेटफॉर्म पर रजिस्टर्ड यूजर है। उसने पहले डीएफ को अपनी पहचान और आयु विवरण उपलब्ध कराया है। C के यूजर अकाउंट के निर्माण के लिए उसके व्यक्तिगत डेटा को संसाधित करने से पहले, डीएफ यह पुष्टि करने के लिए जांच करेगा कि उसके पास P की विश्वसनीय पहचान और आयु विवरण है।

केस 4: P खुद को सी के माता-पिता के रूप में पहचानती है और डीएफ को सूचित करती है कि वह खुद डीएफ के प्लेटफॉर्म पर रजिस्टर्ड यूजर नहीं है। C के यूजर अकाउंट के निर्माण के लिए उसके व्यक्तिगत डेटा को संसाधित करने से पहले, डीएफ, कानून या सरकार द्वारा उक्त विवरणों के रखरखाव के लिए सौंपी गई इकाई द्वारा जारी पहचान और आयु विवरण या उसी से मैप किए गए वर्चुअल टोकन के संदर्भ में, यह जांच करेगा कि P पहचान योग्य वयस्क है। P डिजिटल लॉकर सेवा प्रदाता की सेवाओं का उपयोग करके स्वेच्छा से ऐसे विवरण उपलब्ध करा सकता है।

एक डेटा फिड्युसरी खुद को दिव्यांग व्यक्ति के वैध अभिभावक के रूप में पहचानने वाले व्यक्ति से सत्यापन योग्य सहमति प्राप्त करते समय यह सत्यापित करने के लिए उचित परिश्रम करेगा कि ऐसे अभिभावक को न्यायालय, नामित प्राधिकारी या स्थानीय स्तर की समिति द्वारा संरक्षकता के लिए लागू कानून के तहत नियुक्त किया गया।

हालांकि, माता-पिता की सहमति पर जनादेश डेटा फिड्युसरी पर लागू नहीं होता है, जो स्वास्थ्य पेशेवर, मानसिक स्वास्थ्य पेशेवर हैं, या शैक्षणिक संस्थानों द्वारा नियुक्त हैं।

सहमति के लिए नोटिस

नियमों में डेटा फिड्युसरी द्वारा उपयोगकर्ताओं (डेटा प्रिंसिपल) की सूचित सहमति प्राप्त करने के लिए उनके व्यक्तिगत डेटा को संसाधित करने के लिए दिए जाने वाले नोटिस की सामग्री को भी निर्दिष्ट किया गया। नोटिस में स्पष्ट और सरल भाषा में डेटा प्रिंसिपल को उसके व्यक्तिगत डेटा के प्रसंस्करण के लिए विशिष्ट और सूचित सहमति देने में सक्षम बनाने के लिए आवश्यक विवरणों का उचित विवरण दिया जाना चाहिए, जिसमें कम से कम, -

(i) ऐसे व्यक्तिगत डेटा का एक मदवार विवरण।

(ii) ऐसे प्रसंस्करण द्वारा प्रदान की जाने वाली वस्तुओं या सेवाओं या उपयोगों का निर्दिष्ट उद्देश्य और एक मदवार विवरण।

सहमति वापस लेने के लिए संचार लिंक भी दिया जाना चाहिए।

प्रत्येक डेटा फिड्युसरी अपनी वेबसाइट या ऐप पर प्रमुखता से प्रकाशित करेगा और अधिनियम के तहत डेटा प्रिंसिपल के अधिकारों के प्रयोग के लिए संचार के प्रत्येक उत्तर में डेटा सुरक्षा अधिकारी की व्यावसायिक संपर्क जानकारी, यदि लागू हो, या कोई व्यक्ति जो डेटा फिड्युसरी की ओर से डेटा प्रिंसिपल के व्यक्तिगत डेटा के प्रसंस्करण के बारे में प्रश्नों का उत्तर देने में सक्षम हो, उसका उल्लेख करेगा।

प्रत्येक डेटा फिड्युसरी और सहमति प्रबंधक अपनी वेबसाइट या ऐप या दोनों पर, जैसा भी मामला हो, डेटा प्रिंसिपल की शिकायतों का जवाब देने के लिए अपनी शिकायत निवारण प्रणाली के तहत अवधि प्रकाशित करेगा। भारत के बाहर व्यक्तिगत डेटा का प्रसंस्करण सरकार द्वारा लगाए गए प्रतिबंधों के अधीन है।

डेटा फिड्युसरी द्वारा संसाधित व्यक्तिगत डेटा का भारत के बाहर किसी भी देश या क्षेत्र में स्थानांतरण - (ए) भारत के क्षेत्र के भीतर; या (बी) भारत के क्षेत्र के बाहर डेटा प्रिंसिपल को भारत के क्षेत्र के भीतर माल या सेवाओं की पेशकश से संबंधित किसी भी गतिविधि के संबंध में इस प्रतिबंध के अधीन है कि डेटा फिड्युसरी ऐसी आवश्यकताओं को पूरा करेगा, जो केंद्र सरकार सामान्य या विशेष आदेश द्वारा किसी विदेशी राज्य को या ऐसे राज्य के नियंत्रण में किसी व्यक्ति या संस्था या किसी एजेंसी को ऐसे व्यक्तिगत डेटा उपलब्ध कराने के संबंध में निर्दिष्ट कर सकती है।

मसौदा नियमों पर आपत्तियां और सुझाव 18 फरवरी तक MyGov की वेबसाइट (https://mygov.in) पर प्रस्तुत किए जा सकते हैं।