डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम: ऑनलाइन गेमिंग मध्यस्थों पर प्रभाव जानें – News18

जैसे-जैसे दुनिया तेजी से अपनी गतिविधियों को ऑनलाइन स्थानांतरित कर रही है, भारत खुद को डेटा गोपनीयता और सुरक्षा चुनौतियों के चौराहे पर पाता है। एक समर्पित डेटा संरक्षण कानून के अभाव में, भारत में इसकी आवश्यकता पहले से कहीं अधिक स्पष्ट होती जा रही थी। डीपीडीपीए की अधिसूचना इस प्रयास में एक महत्वपूर्ण मील का पत्थर दर्शाती है, जो प्रत्येक ऑनलाइन मध्यस्थ के डिजिटल व्यक्तिगत डेटा को एकत्र करने, संसाधित करने, साझा करने और संग्रहीत करने के तरीके में महत्वपूर्ण बदलाव लाती है।

डीपीडीपीए भारत के ऑनलाइन गेमिंग मध्यस्थों (ओजीआई) के उभरते पारिस्थितिकी तंत्र पर भी प्रभाव डालेगा, जिसने हाल के वर्षों में जबरदस्त वृद्धि और क्षमता दिखाई है। भारत में ऑनलाइन गेमिंग में उल्लेखनीय वृद्धि देखी गई है, जो 1990 के दशक की शुरुआत में सरल एकल-खिलाड़ी गेम से विकसित होकर 2022 में 2.9 बिलियन डॉलर के संपन्न उद्योग में बदल गया है। नीति निर्माताओं और रणनीतिकारों द्वारा इसे एक आशाजनक क्षेत्र माना जा रहा है, अनुमानों से पता चलता है कि यह 8.6 बिलियन डॉलर से अधिक हो सकता है। 2027, 28 प्रतिशत की प्रभावशाली सीएजीआर के साथ। यह लेख ऑनलाइन गेमिंग की गतिशील दुनिया पर डीपीडीपीए के दूरगामी प्रभाव पर प्रकाश डालता है।

ऑनलाइन गेमिंग प्लेटफ़ॉर्म और व्यक्तिगत डेटा के साथ उनका जुड़ाव

डीपीडीपीए के संभावित निहितार्थों का व्यापक रूप से आकलन करने के लिए, ऑनलाइन गेमिंग अनुप्रयोगों द्वारा नियमित रूप से एकत्र किए गए व्यक्तिगत डेटा की व्यापक श्रृंखला की जांच करना आवश्यक है, जिसे आधिकारिक तौर पर ऑनलाइन गेमिंग मध्यस्थों के रूप में जाना जाता है। इनमें से कुछ डेटा एप्लिकेशन की कार्यक्षमता के लिए अपरिहार्य है, जबकि कुछ टुकड़े नियामक आवश्यकताओं द्वारा अनिवार्य हैं। आइए कुछ सबसे महत्वपूर्ण डेटा फ़ील्ड पर ध्यान दें जो ओजीआई इन गेमिंग एप्लिकेशन के उपयोगकर्ताओं से एकत्र करते हैं।

आमतौर पर ओजीआई द्वारा एकत्र किए गए व्यक्तिगत डेटा की प्रमुख श्रेणियां:

• गेमिंग उपयोगकर्ता की व्यक्तिगत जानकारी (पीआई) डेटा: नाम, उम्र, लिंग, चित्र, मोबाइल नंबर और ईमेल पता।
• अपने ग्राहक को जानें (केवाईसी) डेटा: बैंक खाता संख्या, स्थायी खाता संख्या (पैन) (छवि), आधार संख्या (छवि) और एकीकृत भुगतान इंटरफ़ेस (UPI) वर्चुअल भुगतान पता (VPA)।
• तकनीकी/डिवाइस डेटा: उपयोगकर्ता का ग्लोबल पोजिशनिंग सिस्टम (जीपीएस) स्थान, इंटरनेट प्रोटोकॉल (आईपी) पता, डिवाइस/मोबाइल की अंतरराष्ट्रीय मोबाइल उपकरण पहचान (आईएमईआई) और मीडिया एक्सेस कंट्रोल (मैक) पता।
• वित्तीय और लेनदेन डेटा: फंड का डेबिट/क्रेडिट, जीत की निकासी और इन-गेम खरीदारी।
• गेमिंग व्यवहार डेटा: खेले गए खेल, अवधि, खेलने की आवृत्ति और उपयोगकर्ता योग्यता (जीत और हार)।
• संचार डेटा: इन-गेम चैट संदेश, वॉयस या वीडियो चैट रिकॉर्डिंग, मैसेजिंग इतिहास, मित्र और संपर्क सूचियां इत्यादि।

ओजीआई के लिए पालन करने योग्य चार सिद्धांत

डेटा न्यूनीकरण: इस सिद्धांत के लिए ओजीआई को डेटा एकत्र करने और संग्रहीत करने की आवश्यकता होती है जो गेमिंग उद्देश्यों के लिए सख्ती से आवश्यक है और दुरुपयोग या अनधिकृत पहुंच के जोखिम को कम करता है। ओजीआई को चाहिए:

• प्रत्येक डेटा फ़ील्ड एकत्र करने के विशिष्ट उद्देश्य का आकलन करें और पहचानें।
• वैकल्पिक व्यक्तिगत डेटा के संग्रह की समीक्षा करें और संभवतः उसे बंद कर दें जो उनकी सेवाओं के लिए आवश्यक नहीं हो सकता है।
• गेमिंग क्षेत्र के लिए चित्रण: लिंग संबंधी जानकारी एकत्र करना आवश्यक नहीं हो सकता है (जिसका गेम के नतीजे पर कोई असर नहीं पड़ता है)। इस प्रकार, ओजीआई उपयोगकर्ता की लिंग संबंधी जानकारी एकत्र करना बंद कर सकता है।

डेटा प्रतिधारण/हटाना: इस सिद्धांत के लिए ओजीआई को व्यक्तिगत डेटा को केवल उस उद्देश्य को पूरा करने के लिए आवश्यक अवधि तक बनाए रखने की आवश्यकता है जिसके लिए इसे एकत्र या संसाधित किया गया था। दूसरी ओर, यदि डेटा प्रिंसिपल ऐसा करना चुनते हैं, तो डेटा हटाने की आवश्यकता के लिए ओजीआई को डेटा हटाने के अनुरोधों को निष्पादित करने की आवश्यकता होती है।

गेमिंग क्षेत्र के लिए चित्रण: ओजीआई को डेटा प्रिंसिपल को अपने खाते को स्थायी रूप से हटाने का अनुरोध करने में सक्षम बनाने के लिए एक प्रक्रिया लागू करने की आवश्यकता होगी, जिसमें डेटा प्रिंसिपल से संबंधित सभी व्यक्तिगत डेटा, डेटा लॉग और निजी कुंजी को स्थायी रूप से हटाना होगा।

उपयोगकर्ताओं से विस्तृत डेटा सहमति: इस सिद्धांत के लिए ओजीआई को अपने व्यक्तिगत डेटा को एकत्र करने, संसाधित करने, संग्रहीत करने या साझा करने से पहले उपयोगकर्ताओं से स्पष्ट सहमति प्राप्त करने की आवश्यकता होती है और अब वे एक व्यापक या एक बार की सहमति पर भरोसा नहीं कर सकते हैं। उनको जरूर:

• सहमति प्राप्त करने से पहले या उसके दौरान डेटा प्रिंसिपल को उस उद्देश्य को समझाते हुए नोटिस भेजें जिसके लिए डेटा एकत्र किया जा रहा है। व्यक्तिगत डेटा की प्रत्येक श्रेणी या तत्व के लिए अलग-अलग सहमति लें।
• उपयोगकर्ताओं की सहमति का स्पष्ट और श्रवण योग्य रिकॉर्ड बनाए रखें।
• उपयोगकर्ताओं को विशिष्ट डेटा श्रेणियों के लिए सहमति अस्वीकार करने का विकल्प प्रदान करें।

गेमिंग क्षेत्र के लिए चित्रण: 1. ओजीआई को ओजीआई द्वारा एकत्र और/या उत्पन्न किए गए प्रत्येक डिजिटल व्यक्तिगत डेटा के लिए विस्तृत और स्पष्ट सहमति प्राप्त करने की आवश्यकता होगी। उदाहरण के लिए, उपयोगकर्ता अपने स्थान का खुलासा करना चुन सकते हैं लेकिन अपने लिंग का नहीं, इस स्थिति में, ओजीआई के पास उपयोगकर्ताओं को चुनिंदा सहमति प्रदान करने की कार्यक्षमता होनी चाहिए।

2. ऐसे मामलों में जहां डेटा प्रिंसिपल (गेमर) नाबालिग है, ओजीआई को नाबालिग के माता-पिता/अभिभावक से सहमति की दूसरी परत प्राप्त करने के लिए प्रक्रियाओं को लागू करने की आवश्यकता होगी।

डाटा सुरक्षा: डीपीडीपीए व्यक्तिगत डेटा को उल्लंघनों और साइबर हमलों से सुरक्षित रखने के लिए कड़े सुरक्षा उपाय लागू करता है। हालाँकि कई ओजीआई के पास पहले से ही डेटा सुरक्षा उपाय मौजूद हो सकते हैं, उन्हें निम्नलिखित पर विचार करने की आवश्यकता हो सकती है:

तीसरे पक्ष की भागीदारी: यदि ओजीआई सहमति ढांचे को संभालने के लिए तीसरे पक्ष के ‘डेटा प्रोसेसर’ या ‘सहमति प्रबंधक’ को नियुक्त करना चुनते हैं, तो उन्हें यह सुनिश्चित करना होगा कि ये संस्थाएं डेटा-हैंडलिंग प्रक्रिया में कमजोरियों को रोकने के लिए मजबूत सुरक्षा प्रोटोकॉल का भी पालन करें।

वित्तीय दंड: अधिनियम अपर्याप्त सुरक्षा उपायों के कारण डेटा उल्लंघनों के मामले में बिचौलियों के लिए महत्वपूर्ण वित्तीय दंड का प्रावधान करता है। इसलिए, संभावित वित्तीय देनदारियों से बचने के लिए ओजीआई को नियमित रूप से अपनी साइबर सुरक्षा नीतियों और प्रथाओं का मूल्यांकन और वृद्धि करनी चाहिए।

गेमिंग क्षेत्र के लिए चित्रण: ओजीआई को यह सुनिश्चित करना होगा कि यदि गेम इंजन, गेम प्रोसेसर या गेम डेवलपर को डिजाइन करने के लिए किसी तीसरे पक्ष के साथ कोई डेटा बिंदु साझा किया जाता है, तो ऐसी सभी संस्थाओं को डीपीडीपीए दिशानिर्देशों का पालन करना आवश्यक होगा।

सीमा पार डेटा प्रोसेसिंग और साझाकरण: ओजीआई के लिए, यह अनुपालन का एक महत्वपूर्ण पहलू है। कई ऑनलाइन गेमिंग प्लेटफ़ॉर्म डेटा सेंटर और क्लाउड सेवाओं का उपयोग करते हैं, और जो डेटा वे संभालते हैं उसे भारत के अंदर या बाहर स्थानों पर संग्रहीत किया जा सकता है। डीपीडीपीए के तहत:

• व्यक्तिगत डेटा का सीमा-पार साझाकरण सरकारी अधिसूचनाओं के अधीन है, जो कुछ देशों में डेटा स्थानांतरण को सीमित करता है।
• ओजीआई को यह सुनिश्चित करने की आवश्यकता है कि क्लाउड इंफ्रास्ट्रक्चर के भीतर डेटा की कोई अनजाने या अनधिकृत आवाजाही न हो। इसके लिए सावधानीपूर्वक डेटा प्रबंधन और निगरानी की आवश्यकता होती है।
• ओजीआई द्वारा उपयोग की जाने वाली आपदा रिकवरी (डीआर) साइट को अधिनियम के तहत ब्लैकलिस्ट किए गए किसी भी क्षेत्राधिकार में भौतिक रूप से स्थित नहीं होना चाहिए, क्योंकि इससे एक महत्वपूर्ण अनुपालन जोखिम पैदा हो सकता है।

गेमिंग क्षेत्र के लिए चित्रण: उदाहरण के लिए, यदि कोई ओजीआई किसी ऐसे सेवा प्रदाता की सेवाओं का उपयोग कर रहा है जिसके सर्वर का भौतिक स्थान ब्लैकलिस्टेड देश के अधिकार क्षेत्र में है, तो ओजीआई को अधिनियम के प्रावधानों का अनुपालन करने के लिए अपनी डेटा होस्टिंग और भंडारण रणनीति पर पुनर्विचार करने की आवश्यकता हो सकती है।

डीपीडीपीए डिजिटल युग में व्यक्तिगत डेटा की सुरक्षा में एक महत्वपूर्ण क्षण का प्रतिनिधित्व करता है। इसका ऑनलाइन गेमिंग प्लेटफ़ॉर्म पर गहरा प्रभाव पड़ा है, अब उद्योग एक व्यापक गेमिंग अनुभव प्रदान करने और उपयोगकर्ताओं की संवेदनशील जानकारी की सुरक्षा के बीच संतुलन बनाने का प्रयास कर रहा है। जबकि अनुपालन से कुछ चुनौतियाँ और लागतें आई हैं, यह गेमर्स और उनके पसंदीदा प्लेटफार्मों के बीच अधिक पारदर्शिता और विश्वास को भी बढ़ावा देगा। जैसे-जैसे ऑनलाइन गेमिंग का विकास जारी है, वैसे-वैसे हमारे डेटा की सुरक्षा के लिए उपाय भी किए जा रहे हैं, इसके लिए डीपीडीपीए और दुनिया भर में इसी तरह के कानून को धन्यवाद।

(धर्मेंद्र झाम्ब पार्टनर-बिजनेस कंसल्टिंग हैं, और अरिंदम दास ग्रांट थॉर्नटन भारत में निदेशक-बिजनेस कंसल्टेंसी हैं)