अपने डिजिटल व्यक्तिगत डेटा संरक्षण नियमों के मसौदे के माध्यम से बच्चों को ऑनलाइन सुरक्षित करने का भारत का महत्वाकांक्षी प्रयास एक अस्थिर नींव पर आधारित है: यह बच्चों पर स्वेच्छा से यह घोषणा करने पर निर्भर करता है कि वे कम उम्र के हैं और यह मानते हैं कि माता-पिता के पास उच्च स्तर की डिजिटल साक्षरता है, जिससे एक जटिल सत्यापन प्रणाली शुरू हो जाती है जिसे विशेषज्ञ कहते हैं ‘कहना’ स्वाभाविक रूप से त्रुटिपूर्ण है फिर भी सर्वोत्तम उपलब्ध विकल्प हो सकता है।
नियम, वर्तमान में 18 फरवरी तक सार्वजनिक परामर्श के लिए शुक्रवार को जारी एक मसौदा, अपने नागरिकों की डिजिटल गोपनीयता की रक्षा के लिए भारत के अब तक के सबसे व्यापक प्रयास का प्रतिनिधित्व करता है, और बच्चों के लिए विशिष्ट सुरक्षा निर्धारित करता है।
वे 18 वर्ष से कम उम्र के उपयोगकर्ताओं के लिए माता-पिता की सहमति को अनिवार्य करते हैं, अपरिभाषित तंत्र के माध्यम से अभिभावकों की पहचान को सत्यापित करने के लिए प्लेटफार्मों की आवश्यकता होती है, और नाबालिगों के व्यवहार पर नज़र रखने पर रोक लगाते हैं। लेकिन विशेषज्ञों का कहना है कि इन कड़े उपायों की प्रभावशीलता बच्चों पर स्वेच्छा से खुद को नाबालिग के रूप में पहचानने के लिए भरोसा करने पर निर्भर करती है, जो पहुंच और गोपनीयता को संरक्षित करते हुए ऑनलाइन युवा उपयोगकर्ताओं की सुरक्षा में मूलभूत चुनौतियों को उजागर करती है।
“बुनियादी सवाल यह है कि अगर मैं अपनी सही उम्र नहीं बताऊं तो क्या होगा? पूरा तंत्र कैसे काम करेगा?” प्रौद्योगिकी वकील गौरी गोखले ने भारत के नए डेटा संरक्षण ढांचे के सामने आने वाली मुख्य चुनौती पर प्रकाश डालते हुए पूछा।
डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट की धारा 9 के तहत, डेटा फिड्यूशरीज़ को 18 वर्ष से कम उम्र के किसी भी व्यक्ति के डेटा को संसाधित करने से पहले माता-पिता या वैध अभिभावकों से “सत्यापन योग्य सहमति” प्राप्त करनी होगी। यह अनुभाग उन डेटा को संसाधित करने पर भी प्रतिबंध लगाता है जो बच्चों को नुकसान पहुंचा सकते हैं, उन्हें विज्ञापनों के साथ लक्षित करना, या ट्रैकिंग करना उनका व्यवहार. इन दायित्वों का पालन न करने पर डेटा प्रोटेक्शन बोर्ड तक का जुर्माना लगा सकता है ₹200 करोड़. हालाँकि रूपरेखा व्यापक है, इसका कार्यान्वयन एक महत्वपूर्ण कमजोरी से शुरू होता है: स्व-घोषणा।
एजेडबी एंड पार्टनर्स में पार्टनर अपराजिता राणा ने कहा, “यह आम तौर पर काम नहीं कर सकता है क्योंकि कौन इसे मना करेगा, जिससे बच्चों के लिए एक सुरक्षित ऑनलाइन वातावरण प्रदान करने का सरकार का घोषित उद्देश्य विफल हो जाएगा।” “एकमात्र परिदृश्य जहां यह काम करता है वह यह है कि खाता बनाते समय माता-पिता या तो बच्चे के साथ बैठे हों, या उनकी ओर से खाता बनाते हों।”
इस व्यवस्था के साथ दूसरी महत्वपूर्ण समस्या यह है कि यह मानता है कि माता-पिता हमेशा अपने बच्चों की तुलना में अधिक डिजिटल रूप से साक्षर होते हैं और अपने बच्चों की ओर से सूचित सहमति दे सकते हैं। ऑनलाइन सुरक्षा के लिए हेल्पलाइन चलाने वाले गैर सरकारी संगठन रति फाउंडेशन के सह-संस्थापक सिद्धार्थ पी ने कहा, “हमारे शोध से पता चला है कि डिजिटल साक्षरता असंतुलन उन परिवारों में मौजूद है जहां बच्चे माता-पिता की तुलना में अधिक डिजिटल साक्षरता दिखाते हैं और भुगतान सेवाओं जैसी बुनियादी डिजिटल सेवाएं संचालित करते हैं।” कहा।
मसौदा नियम बच्चों के डेटा की सुरक्षा के लिए दुनिया के सबसे कड़े दृष्टिकोणों में से एक का प्रतिनिधित्व करते हैं, जिसमें 18 वर्ष से कम उम्र के उपयोगकर्ताओं के लिए माता-पिता की सहमति की आवश्यकता होती है। संयुक्त राज्य अमेरिका के बच्चों की ऑनलाइन गोपनीयता सुरक्षा नियम (सीओपीपीए) 13 वर्ष से कम उम्र के बच्चे को परिभाषित करता है जबकि यूरोप का सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) सदस्य राज्यों को 13 से 16 वर्ष के बीच डिजिटल सहमति की आयु परिभाषित करने की अनुमति देता है।
यहां तक कि प्रमुख प्लेटफार्मों ने भी आयु सत्यापन में अंतर्निहित चुनौतियों और प्रभावी आयु सत्यापन और डेटा न्यूनतमकरण के सिद्धांत के बीच किए गए व्यापार-बंद को स्वीकार किया है। मेटा के सुरक्षा के वैश्विक प्रमुख, एंटीगोन डेविस ने नवंबर में एचटी से बात करते हुए इसे “पूरे उद्योग के लिए एक चुनौती” के रूप में वर्णित किया था, जहां “कोई भी आयु तंत्र पूरी तरह से काम नहीं करता है।” इंस्टाग्राम का वर्तमान दृष्टिकोण कई तरीकों को जोड़ता है – मूल आयु घोषणाओं से लेकर फोटो आईडी और वीडियो सेल्फी तक – और यहां तक कि उम्र से संबंधित संकेतों के लिए सार्वजनिक पोस्ट का विश्लेषण भी करता है, जैसे कि जन्मदिन की शुभकामनाएं जो बताई गई उम्र के विपरीत हो सकती हैं। हालाँकि, मेटा ने बच्चों के आयु मूल्यांकन के लिए व्यवहार संबंधी डेटा का उपयोग करने की छूट मांगी थी, प्रस्तावित नियम केवल वयस्कता की पुष्टि के लिए अनुमति देते हैं।
सिद्धार्थ ने बताया कि उम्र सीमा तय करने से एक तरफ डिजिटल पहुंच और गोपनीयता और दूसरी तरफ सुरक्षा के बीच टकराव हो सकता है। “भारत में डिजिटल विभाजन प्रचलित है, विशेषकर लैंगिक आधार पर। हमारे शोध से पता चलता है कि लड़कियों को डिजिटल सेवाओं और उपकरणों तक बहुत कम पहुंच मिलती है। उम्र सीमा अनुमति मांगने वाले व्यवहार को संहिताबद्ध करती है जो लड़कियों में एक सामाजिक अपेक्षा है। इसलिए जब ऐसे तंत्र स्थापित होते हैं, तो परिवार के भीतर भी निगरानी होती है। इससे लड़कियों को डिजिटल क्षेत्र से बाहर किया जा सकता है,” उन्होंने कहा।
तकनीकी चुनौती
एज गेटिंग, उम्र के आधार पर सेवाओं तक पहुंच को प्रतिबंधित करने की प्रक्रिया, साधारण पॉप-अप से लेकर उपयोगकर्ताओं को उनकी उम्र की पुष्टि करने के लिए सरकारी आईडी या चेहरे की स्कैनिंग और बायोमेट्रिक्स से जुड़ी जटिल आयु सत्यापन प्रणालियों तक हो सकती है।
सत्यापन योग्य माता-पिता की सहमति के लिए, प्लेटफ़ॉर्म को चार कार्य पूरे करने होंगे: यह निर्धारित करना कि उपयोगकर्ता बच्चा है या नहीं, किसी वयस्क की पहचान सत्यापित करना, उनके बीच संबंध स्थापित करना और वयस्क की सहमति का रिकॉर्ड बनाए रखना।
सत्यापन प्रक्रिया कई रास्ते और चुनौतियाँ पैदा करती है।
फेसबुक जैसे प्रमुख प्लेटफार्मों के लिए, मौजूदा वयस्क उपयोगकर्ताओं का डेटा माता-पिता की पहचान को सत्यापित कर सकता है। लेकिन छोटे प्लेटफार्मों को भारी बोझ का सामना करना पड़ता है, उन्हें या तो सरकारी आईडी एकत्र करने या डीपीडीपी नियमों में प्रस्तावित तीसरे पक्ष के डिजिटल लॉकर सेवा प्रदाताओं (डीएलएसपी) के साथ एकीकृत करने की आवश्यकता होती है।
“बिग टेक को यहां फायदा है। छोटे डेटा फ़िड्यूशियरी के लिए इन उपायों को अपनाना और डीएलएसपी तक पहुंच कठिन हो सकती है क्योंकि उन्हें अधिक मजबूत सुरक्षा उपायों की आवश्यकता होगी, जिससे अल्पावधि में देरी हो सकती है, हालांकि कुल मिलाकर यह उपयोगकर्ता की गोपनीयता के लिए अच्छा है, ”राणा ने कहा। असमानता प्रतिस्पर्धा और कार्यान्वयन व्यवहार्यता के बारे में चिंता पैदा करती है।
सरकार ने इन चुनौतियों को स्वीकार किया है. सोशल मीडिया कंपनियों के साथ जुलाई में हुई बैठक में इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय के वरिष्ठ अधिकारियों ने तकनीकी व्यवहार्यता के साथ बाल संरक्षण को संतुलित करने की आवश्यकता पर जोर दिया। मामले से वाकिफ एक अधिकारी ने शनिवार को एचटी को बताया कि सरकार परामर्श प्रक्रिया के जरिए समाधान की उम्मीद कर रही है।
तकनीकी सीमाएँ इन चुनौतियों को बढ़ा देती हैं। भारत सरकार के डीएलएसपी, डिजिलॉकर के कामकाज से परिचित एक दूसरे सरकारी अधिकारी ने शनिवार को कहा, “आयु सत्यापन के लिए अभी तक कोई समाधान नहीं है जिससे एक साथ व्यक्ति की पहचान नहीं हो सके।”
यहां तक कि डिजिलॉकर के एपीआई के माध्यम से बुनियादी आयु सत्यापन में भी नाम शामिल करना आवश्यक है, क्योंकि परिवार के कई सदस्य डिवाइस साझा कर सकते हैं।
नियम स्वास्थ्य सेवा प्रदाताओं, शैक्षणिक संस्थानों और बाल देखभाल केंद्रों सहित कुछ क्षेत्रों के लिए छूट प्रदान करते हैं। हालाँकि, इन छूटों ने उनके दायरे और निहितार्थों के बारे में चिंताएँ बढ़ा दी हैं।
कई विशेषज्ञों ने एचटी को बताया, “धारा 9(3) को आदर्श रूप से दो भागों में विभाजित करने की आवश्यकता है ताकि डीएफ को लक्षित विज्ञापनों पर प्रतिबंधों से अनावश्यक रूप से छूट न मिले, यहां तक कि उन्हें उपयोगकर्ताओं की उम्र का आकलन करने के लिए ऑनलाइन व्यवहार की निगरानी करने की भी अनुमति है।” “अगर 16 साल की लड़की स्त्री रोग विशेषज्ञ के पास जाती है, तो उसे माता-पिता की सहमति की आवश्यकता हो सकती है, लेकिन यह स्वास्थ्य सेवा संस्थान को विज्ञापनों के साथ उसे लक्षित करने की अनुमति कैसे देता है?” राणा से पूछा.
कुछ विशेषज्ञों ने अधिक सूक्ष्म और श्रेणीबद्ध दृष्टिकोण की वकालत की। ट्राइलीगल के पार्टनर निखिल नरेंद्रन ने पूछा, “जानकारी के लिए बनाई गई गैर-दखल देने वाली वेबसाइटों के लिए, सत्यापन योग्य माता-पिता की सहमति की आवश्यकता क्यों होनी चाहिए।”
द क्वांटम हब कंसल्टिंग की संस्थापक भागीदार अपराजिता भारती ने सुझाव दिया कि समाचार वेबसाइटों को डेटा फिड्यूशियरी के रूप में कार्य करते समय माता-पिता की सहमति की आवश्यकताओं से छूट दी जानी चाहिए, भले ही वे बच्चों के व्यवहार की निगरानी नहीं कर सकते या उन्हें विज्ञापनों के साथ लक्षित नहीं कर सकते।
यह ढांचा अप्रत्याशित डेटा निहितार्थ भी बनाता है। माता-पिता और बच्चे के खातों को जोड़ने से सत्यापित माता-पिता के ऑनलाइन व्यवहार के बारे में नए डेटासेट उत्पन्न होते हैं। राणा ने बताया, “इस पर कोई प्रतिबंध नहीं है कि माता-पिता के खातों से जुड़े इस डेटा को डीएफ द्वारा कैसे मुद्रीकृत किया जा सकता है।”
गोखले ने कहा कि न तो कानून और न ही प्रस्तावित नियम विभिन्न डेटासेट का उपयोग करके डेटा साझाकरण, संवर्धन और क्रॉस-विश्लेषण से जुड़ी समस्याओं का समाधान करते हैं।
नियमों में उद्देश्य-आधारित छूट ने अतिरिक्त बहस छेड़ दी है। राणा के अनुसार दो छूटें – भारतीय कानून के तहत बच्चे के हित में शक्ति का प्रयोग करना और हानिकारक जानकारी को रोकना – “अत्यंत व्यापक” हैं।
“यह कौन निर्धारित करता है कि बच्चे के लिए क्या हानिकारक है? क्या बलात्कार या दंगे जैसी हिंसक घटना के बारे में तथ्यात्मक खबरें किसी किशोरी की भलाई के लिए हानिकारक हैं? क्या बच्चों को राजनीतिक सामग्री, षड्यंत्र के सिद्धांतों या गलत सूचनाओं तक पहुंच नहीं मिलनी चाहिए? सरकार को उन नुकसानों के वर्गों को परिभाषित करने की आवश्यकता है जिनसे वे बच्चों को बचाने की कोशिश कर रहे हैं ताकि सुरक्षित इंटरनेट बनाने के प्रयास में, शैक्षिक और ऐतिहासिक जानकारी तक पहुंच पर अंकुश न लगाया जाए।
यहां तक कि सीधी-सादी दिखने वाली छूटें भी जटिल सवाल खड़े करती हैं। नियम ईमेल खाता निर्माण को माता-पिता की सहमति की आवश्यकताओं से छूट देते हैं, लेकिन जैसा कि गोखले ने बताया: “आज, जब आप एक ईमेल खाते के लिए साइन अप करते हैं, तो आप एक साथ संबद्ध सेवाओं के लिए भी साइन अप कर रहे होते हैं। आप उन्हें कैसे अलग करते हैं?” उदाहरण के लिए, जीमेल के लिए साइन अप करने पर उपयोगकर्ता Google मानचित्र, यूट्यूब और अन्य Google सेवाओं के लिए साइन अप होते हैं।
राणा ने कहा कि Google और Microsoft जैसी कंपनियों को उन डीलिंक्ड खातों पर विचार करना पड़ सकता है जो केवल उस उपयोगकर्ता के लिए ईमेल सेवाएं प्रदान करते हैं, जो साइन अप करते समय घोषणा करते हैं कि वे नाबालिग हैं।
भारती ने हालांकि कहा कि यह छूट स्कूलों को स्कूल के डोमेन पर छात्रों के लिए ईमेल पते बनाने की अनुमति देने के लिए मौजूद है। लेकिन उसने पूछा कि क्या छूट से Google को स्कूल द्वारा नाबालिग को सौंपे गए जीमेल खाते में विज्ञापन दिखाने की अनुमति मिल जाएगी।
डिजिटल लॉकर सेवा प्रदाताओं (डीएलएसपी) पर नियमों की निर्भरता को व्यावहारिक बाधाओं का भी सामना करना पड़ सकता है। 2016 से डिजिटल लॉकर प्राधिकरण के अस्तित्व के बावजूद, वर्तमान में कोई भी डिजिटल लॉकर इसकी निर्देशिका में सूचीबद्ध नहीं है। वास्तविक दुनिया के अनुप्रयोगों में सीमाएँ दिखाई देती हैं: “यही कारण है कि APAAR आईडी के लिए माता-पिता की सहमति लेने का दायित्व स्कूलों को हस्तांतरित कर दिया गया है, और स्कूल इस सहमति को कागजी सहमति प्रपत्रों के माध्यम से मैन्युअल रूप से ले रहे हैं। डिजीलॉकर की कार्यप्रणाली से अवगत और ऊपर उद्धृत अधिकारी ने कहा, एपीएआर आईडी बनाने के लिए डिजीलॉकर में रिकॉर्ड तक पहुंचने के लिए कोई वर्चुअल टोकन उत्पन्न नहीं किया जा रहा है।
नियमों में अस्पष्टता का मतलब है कि विशेषज्ञों में इस बात पर मतभेद है कि इंटरनेट पर हर किसी के लिए आयु सत्यापन आवश्यक है या नहीं।
गोखले के लिए, प्रभावी सत्यापन योग्य सहमति का अर्थ है कि आयु सत्यापन को सभी के लिए लागू करने की आवश्यकता है। “फिर गुमनामी अतीत की बात है,” उसने कहा।
हालाँकि, राणा का कहना है कि चुनौतियों के बावजूद, अपूर्ण समाधान आवश्यक हो सकते हैं।
“हालांकि यह सच है कि प्रश्न में बच्चे के लिए गुमनामी – अपने खाते को एक वयस्क खाते से जोड़ने के कारण – और जुड़े हुए माता-पिता या अभिभावक की गुमनामी खत्म हो गई है क्योंकि उन्हें वास्तव में अपनी उम्र और पहचान साबित करनी होती है और यह एक अपूर्ण तंत्र है शुरुआत से, यह शायद एकमात्र ऐसा तंत्र है जो डिजिटल सेवाओं का उपयोग करने वाले प्रत्येक व्यक्ति की गोपनीयता को नष्ट नहीं करता है। राणा ने बताया, “वह विकल्प जहां हर किसी को इंटरनेट का उपयोग करने से पहले किसी औपचारिक तरीके से अपनी पहचान सत्यापित करनी होती है, जोखिम भरा है।”
