भारत का DPDP अधिनियम: दुनिया के सबसे बड़े डिजिटल बाज़ार के लिए कुकी सहमति
भारत ने 2023 में Digital Personal Data Protection Act (DPDP Act) पारित किया था, और अब इसे लागू करने वाले नियम प्रभावी हो चुके हैं। 85 करोड़ से अधिक इंटरनेट उपयोगकर्ताओं के साथ, भारत ऐसा बाज़ार है जिसे कोई भी वैश्विक प्रकाशक, विज्ञापनदाता या SaaS ऑपरेटर नज़रअंदाज़ करने का जोखिम नहीं उठा सकता — और DPDP अधिनियम ऐसी सहमति संबंधी बाध्यताएँ लाता है जो GDPR, CCPA और अन्य ढाँचों से अर्थपूर्ण रूप से अलग हैं जिन्हें आप पहले से सपोर्ट कर रहे हो सकते हैं।
यह गाइड समझाता है कि DPDP अधिनियम कुकीज़ और ट्रैकिंग पहचानकर्ताओं को कैसे मानता है, यह किन पर लागू होता है, और भारतीय उपयोगकर्ताओं के लिए अनुपालन‑युक्त सहमति अनुभव कैसा दिखता है।
DPDP अधिनियम किन पर लागू होता है
DPDP अधिनियम भारत के भीतर डिजिटल व्यक्तिगत डे��ा के प्रोसेसिंग को नियंत्रित करता है, साथ ही भारत के बाहर होने वाली उस प्रोसेसिंग को भी जो भारत में व्यक्तियों को वस्तुएँ या सेवाएँ प्रदान करने से संबंधित हो। व्यवहार में, यदि आपकी वेबसाइट भारतीय उपयोगकर्ताओं के लिए सुलभ है और आप उसके माध्यम से व्यक्तिगत डेटा एकत्र करते हैं — जिनमें कुकीज़, SDKs, पिक्सेल या फिंगरप्रिंटिंग के ज़रिए एकत्र डेटा भी शामिल है — तो यह अधिनियम लगभग निश्चित रूप से आप पर लागू होता है।
अधिनियम दो प्रमुख भूमिकाओं का उपयोग करता है: Data Fiduciary (जो GDPR के controller के समकक्ष है) और Data Processor। सबसे बड़े कुछ ऑ��रेटरों को Significant Data Fiduciaries के रूप में नामित किया जा सकता है, जिससे अतिरिक्त दायित्व शुरू हो जाते हैं, जैसे Data Protection Impact Assessment करना और भारत में निवास करने वाले Data Protection Officer की नियुक्ति।
DPDP अधिनियम कुकीज़ और ट्रैकर्स को कैसे देखता है
ePrivacy Directive के विपरीत, DPDP अधिनियम कुकीज़ को अलग श्रेणी के रूप में नहीं देखता। इसके बजाय, यह किसी भी डिजिटल व्यक्तिगत डेटा के प्रोसेसिंग को विनियमित करता है। इसका मतलब है कि कुकीज़, डिवाइस पहचानकर्ता, IP पते, advertising IDs और hashed emails — जब वे सीधे या परोक्ष रूप से किसी पहचाने जा सकने वाले व्यक्ति से जुड़े हों — तो सभी इसके दायरे में आते हैं।
प्रकाशकों के लिए निहितार्थ सीधा है: यदि आपकी साइट पर कोई कुकी या टैग व्यक्तिगत डेटा के एकत्रीकरण या साझा करने का कारण बनता है, तो आपके पास वैध कानूनी आधार होना चाहिए। DPDP अधिनियम के तहत यह आधार लगभग हमेशा सहमति होता है, कुछ सीमित अपवादों के साथ जिन्हें अधिनियम में "legitimate uses" के रूप में परिभाषित किया गया है।
वैध सहमति कैसी दिखती है
DPDP अधिनियम सहमति के लिए उच्च मानक तय करता है। सहमति स्वतंत्र, विशिष्ट, सूचित, बिना शर्त और स्पष्ट होनी चाहिए, और इसे किसी स्पष्ट सकारात्मक कार्रवा�� के माध्यम से व्यक्त किया जाना चाहिए। पहले से टिक किए गए बॉक्स, केवल ब्राउज़िंग जारी रखने से मानी गई सहमति, और ऐसे "cookie wall" डिज़ाइन जो एक्सेस को स्वीकार करने की शर्त से जोड़ते हैं — ये सभी इन आवश्यकताओं के अनुरूप नहीं हैं।
सहमति UX के लिए दो अतिरिक्त DPDP‑विशिष्ट नियम महत्वपूर्ण हैं:
- आइटमाइज़्ड नोटिस: सहमति से पहले या सहमति के समय, आपको उपयोगकर्ता को एक स्पष्ट नोटिस देना होगा जिसमें एकत्र किए जा रहे डेटा की पहचान, प्रोसेसिंग के उद्देश्य, और यह बताया गया हो कि उपयोगकर्ता सहमति कैसे वापस ले सकता है या Data Protection Board of India के पास शिकायत कैसे दर्ज कर सकता है।
- सरल भाषा और बहुभाषी सपोर्ट: नोटिस अंग्रेज़ी में और भारत की 22 अनुसूचित भाषाओं में से उपयोगकर्ता द्वारा चुनी गई किसी भी भाषा में उपलब्ध होना चाहिए। ऐसा CMP जो सहमति सामग्री को हिंदी, तमिल, बांग्ला, मराठी और अन्य प्रमुख भाषाओं में प्रस्तुत नहीं कर सकता, उसे अनुपालन में कठिनाई होगी।
बच्चों का डेटा और अभिभावकीय सहमति
DPDP अधिनियम 18 वर्ष से कम आयु के किसी भी व्यक्ति को बच्चा मानता है और उनके व्यक्तिगत डेटा को प्रोसेस करने से पहले सत्यापन‑योग्य अभिभावकीय सहमति की आवश्यकता रखता है। यह बच्चों पर लक्षित व्यवहारिक मॉनिटरिंग और लक्षित विज्ञापन को भी प्रतिबंधित करता है। कोई भी वेबसाइट जो भारत में नाबालिगों के लिए सुलभ है — जो व्यवहार में लगभग हर साइट है — उसे आयु‑सत्यापन या जोखिम‑आधारित रणनीति अपनानी होगी, और जहाँ अभिभावकीय सहमति न हो वहाँ ट्रैकिंग स्क्रिप्ट्स को ब्लॉक करने में सक्षम होना होगा।
वे उपयोगकर्ता अधिकार जो आपका CMP सपोर्ट करे
भारत में Data Principals (उपयोगकर्ता) के पास कुछ अधिकार हैं जिन्हें आपकी सहमति और प्रेफ़रेंस लेयर के माध्यम से क्रियान्वित किया जा सकना चाहिए:
- एक्सेस का अधिकार — उनके व्यक्तिगत डेटा के प्रोसेस किए जा र���े सारांश तक पहुँच पाने का।
- सुधार और मिटाने का अधिकार — अपने डेटा को ठीक कराने और हटवाने का।
- सहमति वापस लेने का अधिकार — किसी भी समय, उतनी ही आसानी से जितनी आसानी से दी गई थी।
- नामांकन का अधिकार — मृत्यु या अक्षमता की स्थिति में अपने अधिकारों का प्रयोग करने के लिए किसी अन्य व्यक्ति को नामित करने का।
- शिकायत निवारण का अधिकार — पहले Data Fiduciary के साथ, और फिर Data Protection Board of India के साथ।
एक अनुपालन‑युक्त CMP को स्थायी प्रेफ़रेंस लिंक दिखाना चाहिए, एक‑क्लिक सहमति वापसी सपोर्ट करनी चाहिए, और सहमति इवेंट्स को इस तरह लॉग करना चाहिए कि जाँच के दौरान अनुरोध पर उन्हें प्रस्तुत किया जा सके।
सीमापार डेटा ट्रांसफ़र
DPDP अधिनियम अंतरराष्ट्रीय ट्रांसफ़र के लिए "निगेटिव लिस्ट" दृष्टिकोण अपनाता है: व्यक्तिगत डेटा को भारत के बाहर ट्रांसफ़र किया जा सकता है, जब तक कि गंतव्य देश को केंद्र सरकार द्वारा विशेष रूप से प्रतिबंधित न किया गया हो। यह GDPR के adequacy regime की तुलना में अधिक उदार है, लेकिन फिर भी आपको यह दस्तावेज़ करना चाहिए कि भारतीय उपयोगकर्ताओं का डेटा किन तृतीय देशों में जाता है, और प्रकाशित प्रतिबंध सूची की निगरानी करन��� चाहिए।
दंड और प्रवर्तन
DPDP अधिनियम के तहत वित्तीय दंड काफ़ी बड़े हैं। Data Protection Board उचित सुरक्षा उपाय न अपनाने पर ₹250 करोड़ (लगभग 30 मिलियन अमेरिकी डॉलर) तक का जुर्माना लगा सकता है, और बच्चों से संबंधित दायित्वों को पूरा न करने पर ₹200 करोड़ तक का। सहमति से जुड़े उल्लंघन — जिनमें गैर‑अनुपालन बैनर के ज़रिए सहमति एकत्र करना भी शामिल है — पर प्रति उल्लंघन ₹50 करोड़ तक का जुर्माना लगाया जा सकता है।
अपने CMP में DPDP‑अनुपालन सहमति लागू करना
- भारतीय उपयोगकर्ताओं की जियो‑डिटेक्शन करें और GDPR बैनर को दोहरान��� के बजाय DPDP‑विशिष्ट सहमति टेम्पलेट लागू करें। आवश्यक नोटिस सामग्री और भाषा विकल्प अलग हैं।
- नोटिस को कई भारतीय भाषाओं में प्रस्तुत करें। कम से कम हिंदी और अंग्रेज़ी सपोर्ट करें, और अपने ट्रैफ़िक वितरण के आधार पर क्षेत्रीय भाषाएँ जोड़ें।
- सभी गैर‑आवश्यक ट्रैकर्स को डिफ़ॉल्ट रूप से ब्लॉक करें। विज्ञापन, एनालिटिक्स और थर्ड‑पार्टी SDKs को केवल स्पष्ट सहमति के बाद ही लोड करें।
- उद्देश्यों को स्पष्ट रूप से अलग‑अलग रखें। विज्ञापन, एनालिटिक्स और पर्सनलाइज़ेशन को एक ही "accept" कार्रवाई में न बाँधे��, यदि कोई उपयोगकर्ता इनमें से कुछ के लिए सहमति देना चाहे और कुछ के लिए नहीं।
- सहमति और वापसी इवेंट्स को लॉग करें — टाइमस्टैम्प, दिखाए गए नोटिस के सटीक वर्शन और उपयोगकर्ता की भाषा पसंद के साथ — ताकि नियामकीय जाँच के दौरान आप अनुपालन का सबूत दे सकें।
- हर पेज पर एक स्पष्ट प्रेफ़रेंस लिंक दें जो उपयोगकर्ताओं को किसी भी समय सहमति की समीक्षा, अपडेट या वापसी की सुविधा दे।
DPDP बनाम GDPR: व्यावहारिक अंतर
- "Legitimate interests" आधार नहीं है। DPDP अधिनियम GDPR की तरह legitimate interests को सामान्य कानूनी आधार के रूप में नहीं मा���ता। सहमति का महत्व ज़्यादा है, इसलिए UX डिज़ाइन और भी अहम हो जाता है।
- बच्चों पर कड़े नियम। डिजिटल सहमति की आयु 18 वर्ष है, 13 या 16 नहीं, और नाबालिगों पर लक्षित विज्ञापन को स्पष्ट रूप से प्रतिबंधित किया गया है।
- बहुभाषी नोटिस की आवश्यकता DPDP अधिनियम के लिए विशिष्ट है और केवल अंग्रेज़ी‑मात्र बैनर से पूरी नहीं हो सकती।
- Significant Data Fiduciary से जुड़े दायित्व उच्च‑जोखिम ऑपरेटरों के लिए अनुपालन की दूसरी परत बनाते हैं, जिसका GDPR में सीधा समकक्ष नहीं है।
निष्कर्ष
DPDP अधिनियम भारत को आधुनिक वैश्विक डेटा सुरक्षा परिदृश्य में उसकी अपनी विशिष्ट पहचान के साथ लाता है — सहमति‑प्रथम, डिज़ाइन से ही बहुभाषी, और असाधारण रूप से नाबालिगों की सुरक्षा पर केंद्रित। जो प्रकाशक और प्लेटफ़ॉर्म पहले से GDPR‑ग्रेड CMP चला रहे हैं, उन्हें एक शुरुआती बढ़त ज़रूर है, लेकिन फिर भी उन्हें DPDP आवश्यकताओं को पूरा करने के लिए बैनर सामग्री, भाषा सपोर्ट, आयु‑संबंधी हैंडलिंग और लॉगिंग में समायोजन करने होंगे। भारत को "सिर्फ एक और GDPR जुरिस्डिक्शन" मानना, Data Protection Board के सामने पहुँचने का सबसे तेज़ रास्ता है।