India's Non-Personal Data (NPD) framework

India's Non-Personal Data (NPD) framework

Knowledge repo, archives and collaborations

Latest:

  1. Video of talk by Usha Ramanathan on Eminent Domain and how this applies to data regulations in India
  2. NPD primer in Bengali: https://hasgeek.com/PrivacyMode/non-personal-data/sub/smssttigt-tthyer-prstaabit-kaatthaamo-gorraar-ktha-EGuxrZPF9k99WAia3FFADU

About the Non-Personal Data (NPD) framework for India: Non-personal data (NPD) is defined as anything which is not personal data. Read primer on NPD in English, Hindi and Malayalam for a quick understanding how NPD will be regulated in India.

The Committee of Experts (CoE), led by Kris Gopalakrishnan, prepared the first version of the NPD framework in July 2020. Based on the feedback received, the CoE released V2 of the NPD framework in December 2020.

Community submissions to improve the NPD framework for India: NPD Week was conducted to draw recommendations from the community on what apsects of the NPD framework should be revised, with practical suggestions. At the end of NPD Week, a document of community recommendations was drawn up. View final recommendations (PDF) for NPD V2.
These recommendations were submitted to the CoE and MeITY on 31 January 2021.

NPD Survey: Between November 2020 and January 2021, Privacy Mode’s research team interviewed 50 respondents from startup, engineering, product and investor communities to understand their concerns with the Non-Personal Data Report V1 and NPD Report V2. View the report (PDF)


Recap of NPD Week: Between 22 and 29 January, concerns were articulated with respect to NPD’s potential impact around privacy. These concerns were on issues of:

Contact details: For inquiries, call 7676332020 or email privacymode@hasgeek.com. Follow #PrivacyMode on Twitter

Community Partners

The Centre for Internet and Society Data Meet Scribble Data Data Governance Network Upekkha SMC Project

Hosted by

Deep dives into privacy and security, and understanding needs of the Indian tech ecosystem through guides, research, collaboration, events and conferences. Sponsors: Privacy Mode’s programmes are sponsored by: more
Gyan Tripathi

Gyan Tripathi

@tripathigyan

भारत सरकार द्वारा प्रस्तावित गैर-व्यक्तिगत डाटा (एन पी डी) ढांचा पर एक प्राइमर

Submitted Feb 8, 2021

डाटा को एक जोखिम कारक के रूप में देखा जाता है, जिसे व्यक्तिगत गोपनीयता की सुरक्षा के लिए नियंत्रित / शासित किया जाना चाहिए। आम तौर पर यह डाटा किसी व्यक्ति विशेष से जुड़ा होता है, जिसे हम व्यक्तिगत डाटा कहते हैं।

गैर-व्यक्तिगत डाटा (एन पी डी) वह डाटा है जो किसी व्यक्ति से सीधे तौर पर नहीं जुड़ा है। सड़कों पर ट्रैफिक का डाटा, एन पी डी का एक उदाहरण हैं। इसमें शहर में ट्रैफिक पैटर्न, एक बिंदु से दूसरे बिंदु तक जाने में कितना समय लगता है, आदि शामिल हैं। ऊबर जैसी कंपनियां अपने प्लेटफॉर्म पर यह जानकारी एकत्र करती है क्योंकि उनके पास ग्राहक हैं जो यह डाटा उनको देते हैं। इसी एकत्रित डाटा और इस डाटा से मिलने वाली अंतर्दृष्टियों और सूचनाओं को एन पी डी कहा जाएगा । यह डाटा अन्य कम्पनिओं से प्रतिस्पर्धा में ऊबर को लाभ देता है। इस तरह के उदाहरण अन्य कई क्षेत्रों में जैसे ई-कॉमर्स, फूड डिलीवरी आदि में पाए जा सकते हैं।

एन पी डी के कुछ पहलू पर्सनल डाटा प्रोटेक्शन बिल (पी डी पी बी) 2019 में पहले से मौजूद हैं, जहाँ प्रावधान है कि सरकार एन पी डी को कुछ विकासात्मक और योजनात्मक उद्देश्यों के लिए मांग सकती है। कंपनियों को, एन पी डी संरक्षण कानून लागू होने से पहले ही, इस एन पी डी रिपोर्ट के बारे में संज्ञान लेना चाहिए। यह इसलिए जरूरी है क्योंकि एन पी डी संरक्षण कानून के अनुपालन में, कंपनियों को अभी तक के मौजूदा तंत्रों/प्रणालियों और व्यावसायिक प्रक्रियाओं को एक नए सिरे से संगठित करना होगा। नए एन पी डी विनियमन से कई स्टार्टअप्स की अपने उत्पाद बाज़ार में उतारने की रणनीति भी प्रभावित होगी, विशेष कर वह स्टार्टअप्स जो उच्च-वृद्धि वाली श्रेणी में आते है।

एन पी डी की श्रेणियाँ

सार्वजनिक एन पी डी - यह या तो सरकार द्वारा बनाई गई है या करदाता द्वारा अदा किये गए पैसे से वित्त पोषित है, जिस पर समाज का अधिकार है। सरकार के सार्वजनिक डाटा पोर्टल data.gov.in पर उपलब्ध सभी डाटा समूह इसी श्रेणी में आते हैं। इस डाटा को सार्वजनिक एन पी डी के रूप में मान्यता देकर, सरकार अन्य विभागों को अपने डाटा समूह खोलने के लिए प्रोत्साहित करती है, जो बाद में नवाचार के लिए उपयोग किए जा सकते हैं।

निजी एन पी डी - कंपनियों और स्टार्टअप्स का है, जिसे उन्हें मूल रूप में, प्रतिस्पर्धियों के साथ या सरकार के साथ साझा करने की आवश्यकता हो सकती है। एन पी डी रिपोर्ट जान-बूझकर मूल रूप और संसाधित डाटा के बारे में अस्पष्ट है। हालांकि एल्गोरिदम और स्वामित्व डाटा को निजी एन पी डी के तहत साझा नहीं किया जाना है, पर फिर भी मूल रुपी डाटा प्रारूप से भी कंपनियों के बारे में बहुत सी जानकारी स्पष्ट हो सकती है।

सामुदायिक एन पी डी - निवासी कल्याण संघ (रेजिडेंट वेलफेयर एसोसिएशन या आर डब्ल्यू ए), जनजातियाँ, किसी गांव के लोग, या किसी घटना से प्रभावित लोगों का समूह, विकासात्मक उद्देश्यों से अपने बारे में एन पी डी की मांग कर सकता है। ऐसी सम्भावना है की इस श्रेणी के एन पी डी के उद्देश्य और इस पर अनुमति के बारे में एक ही समुदाय के सदस्यों में विवाद हो सकता है। प्रत्येक समुदाय की परस्पर विरोधी मांगों को पूरा करने को लेकर कंपनियों के लिए भ्रामक स्थितियाँ पैदा हो सकती हैं।

एन पी डी विनियमन के लिए सबसे कारगर तर्क बड़ी तकनीकी कंपनियों को नियंत्रित करना है। सरकार बड़ी कंपनियों से अपने डाटा समूह और उनसे मिलने वाली जानकारियों और अंतर्दृष्टियों को खोलने और छोटे खिलाड़ियों के साथ साझा करने से प्रतिस्पर्धात्मक लाभ पैदा करने की उम्मीद करती है, जिससे बराबर की प्रतिस्पर्धा करने के लिए एक स्तरीय क्षेत्र का निर्माण होगा।

एन पी डी विनियमन का एक अन्य उद्देश्य सार्वजनिक भलाई को बढ़ावा देना है। एन पी डी के तहत बड़ी कंपनियों द्वारा एकत्रित अनामी डाटा समूह का ‘समुदायों’ द्वारा विकास के लिए उपयोग किया जाएगा। डाटा साझा करने का उद्देश्य “भारत में नागरिकों और समुदायों के लिए आर्थिक लाभ” उत्पन्न करने के साथ-साथ यह भी सुनिश्चित करना है कि "एन पी डी को संसाधित करने से लाभ न केवल उन संगठनों को प्राप्त होता है जो इस तरह के डाटा को एकत्रित करते हैं, बल्कि भारत और उस समुदाय को भी प्राप्त हो जो आमतौर पर इस डाटा का उत्पादन करते हैं। ”

हालांकि, एन पी डी रिपोर्ट कंपनियों को कॉपीराइट अधिनियम के तहत अपने स्वामित्व वाले डाटा समूह की सुरक्षा करने की अनुमति देती है, जिससे उन डाटा समूहों की संख्या और गुणवत्ता कम हो जाती है, जिन्हें अन्यथा सार्वजनिक भलाई के लिए साझा किया जा सकता था ।

एन पी डी का विनियमन:

एन पी डी को पारंपरिक रूप से अभी तक विनियमित नहीं किया गया है। कंपनियों के पास व्यक्तिगत डाटा को विनियमित करने और जोखिम का आकलन कर के घरेलू एवं अंतरराष्ट्रीय अनुपालन की आवश्यकताओं को पूरा करने की प्रक्रियाएं मौजूद हैं। अब, कंपनियों को यही जोखिम आकलन और अनुपालन एन पी डी के लिए करना होगा ।
एन पी डी कंपनियों के अंदर स्वतंत्र रूप से उपयोग किया जाता है, और सार्वजनिक डोमेन में उपलब्ध है। यह बात एन पी डी के अनुपालन को और जटिल बनाती है, और ज़्यादातर कम्पनियाँ इसके लिए बिलकुल भी तैयार नहीं हैं।

एन पी डी अनुपालन के कुछ महत्वपूर्ण पहलू नीचे दिए गए हैं:

डाटा साझा करना: कंपनियों को अपना डाटा अन्य कंपनियों के साथ, या सरकार के साथ साझा करना होगा। सरकार, बदले में, यह तय करेगी कि वह किन संस्थाओं के साथ एन पी डी साझा करेगी। मौजूदा एन पी डी रिपोर्ट इस बारे में स्पष्ट नहीं है कि कंपनियों को किन परिस्थितियों में यह डाटा और किन परिस्थितियों में उस डाटा से जुडी अंतर्दृष्टियों अथवा सूचनाओं को सरकार के साथ साझा करना पड़ेगा।

डाटा व्यवसाय पंजीकरण की आवश्यकता: एक निश्चित माप से ऊपर के सभी व्यवसायों को भारत में डाटा व्यवसाय के रूप में पंजीकरण करना होगा। कंपनियों के लिए डाटा व्यवसाय के रूप में पंजीकरण करने की सीमाएं सकल राजस्व, उपभोक्ताओं / घरों / उपकरणों की संख्या, उपभोक्ता जानकारी से राजस्व का प्रतिशत जैसे मानदंडों के आधार पर निर्धारित की जाएंगी।

डाटा व्यवसाय के रूप में पंजीकरण करने के लिए, कंपनियों को व्यवसाय आई डी, व्यवसाय नाम, संबंधित ब्रांड नाम, डाटा ट्रैफ़िक का अनुमान और संचयी डाटा जैसे उपयोगकर्ताओं की संख्या, रिकॉर्ड और डाटा का अनुमान; डाटा व्यवसाय की प्रकृति, डाटा संग्रह के प्रकार, एकत्रीकरण, समूहन, प्रसंस्करण, उपयोग, बिक्री, डाटा-आधारित सेवाओं का विकास, आदि जानकारियां देनी होंगी।

डाटा व्यवसाय के रूप में पंजीकृत होने से कंपनियों के रिकॉर्ड का रखरखाव बढ़ेगा, जो प्रत्येक कंपनी को एन पी डी साझाकरण के तहत अपने डाटा को सुलभ बनाने के लिए करना होगा।

अधि डाटा निर्देशिका योगदान: डाटा व्यवसायों को गैर-व्यक्तिगत डाटा प्राधिकरण (एन पी डी ए) के साथ उनके द्वारा एकत्र किए गए डाटा प्रकार पर अधि डाटा साझा करना होगा। यह अधि डाटा निर्देशिका सार्वजनिक अनुमति के तहत उपलब्ध होगी।

उच्च मूल्य डाटा समूह (HVD) ऐसे डाटा समूह सेट हैं जो सार्वजनिक संपत्ति हैं, और इससे समुदाय को लाभ होगा। एच वी डी में पूर्व निर्धारित डाटा प्रकार हैं। डाटा संरक्षक के रूप में एक सरकारी या गैर-लाभकारी निजी संगठन एन पी डी ए से एच वी डी के निर्माण का अनुरोध कर सकता है। रिपोर्ट में मूल रूप, समूहित और अनुमानित डाटा स्तर पर एच वी डी बनाने के लिए एकत्र की जाने वाली एन पी डी की बारीकियों का सुझाव दिया गया है।

डाटा संरक्षक सरकारी या गैर-लाभकारी निजी संगठन हो सकते हैं, जिसमें धारा 8 कंपनियां शामिल हैं। वे एच वी डी के निर्माण, रखरखाव और साझाकरण के लिए जिम्मेदार हैं।
किसी समुदाय के सदस्यों का एक समूह भी मिल कर डाटा संरक्षक बनाना और एच वी डी की मेजबानी कर सकता है।

डाटा संरक्षकों पर समुदाय के प्रति ‘सावधानी एवं देख-रेख का दायित्व’ होगा, जिसके अंतर्गत उन्हें यह ध्यान रखना होगा कि एच वी डी का प्रयोग केवल समुदाय के हित में हो रहा है और एन पी डी से वापस व्यक्तियों की पहचान जैसे हानिकारक काम ना हों।

डाटा संसाधक ऐसी कंपनियां हैं जो डाटा संरक्षक की ओर से एन पी डी को संसाधित करती हैं, उदाहरण के लिए, सी एस पी, एस ए ए एस प्रदाता, आदि। डाटा संसाधक अपने ग्राहकों से संबंधित अधि डाटा साझा करने के लिए बाध्य नहीं हैं।

डाटा अनुरोधकर्ता: केवल भारत में पंजीकृत सार्वजनिक या निजी संगठन एच वी डी में निहित डाटा समूह की अनुमति के लिए डाटा संरक्षक का अनुरोध कर सकते हैं। व्यक्तिगत रूप में कोई डाटा अनुरोधकर्ता नहीं हो सकता।

डाटा स्वामी: एन पी डी की पहली पुनरावृत्ति डाटा स्वामी को संबंधित व्यक्ति, संस्था या समुदाय के रूप में परिभाषित करती है, जिनसे डाटा संबंधित है। संशोधित एन पी डी रिपोर्ट में डाटा स्वामी को हटा दिया गया है जिसके अनुसार एक बार किसी भी व्यक्तिगत डाटा को अनामित किया जाता है, या यदि डाटा किसी व्यक्ति (यातायात विवरण, प्राकृतिक घटना) के अलावा अन्य जानकारी से संबंधित है, तो कोई डाटा स्वामी संबद्ध नहीं है। समुदाय एन पी डी अधिकारों का प्रयोग कर सकता है, एन पी डी के लिए व्यक्तिगत अधिकारों को रद्द किया जाता है।

एन पी डी ए वैध डाटा साझाकरण अनुरोधों को सुगम बनाएगा, डाटा शेयरिंग व्यवस्था को विनियमित और प्रबंधित करेगा, और बाजार की विफलताओं को दूर करेगा। एन पी डी ए में व्यवसायों, पर्सनल डाटा प्रोटेक्शन अथॉरिटी (डी पी ए), कॉम्पिटिशन कमीशन ऑफ़ इंडिया (सी सी आई) आदि के प्रतिनिधि होंगे। क्षैत्रिक नियामक एन पी डी ए द्वारा विकसित विनिमयों के ऊपर अतिरिक्त डाटा विनियम बना सकते हैं।

प्रतिस्पर्धात्मक लाभ और नवाचार का क्षरण:

एन पी डी डाटा समूह हमें बता सकते है कि कंपनियां कैसे काम करती हैं और उन्हें अपने प्रतिद्वंद्वियों के मुकाबले क्या प्रतिस्पर्थी फायदे हैं। उदाहरण के लिए, ऊबर एन पी डी को देखकर अपनी सवारी मूल्य निर्धारण संरचना निर्धारित करता है। यह प्रतिस्पर्धात्मक लाभ तब मिट जाएगा जब सरकारें बड़ी कंपनियों को अपने एन पी डी को छोटे खिलाड़ियों के साथ साझा करने के लिए बाध्य करेंगी।

संरक्षकों और सरकार की भूमिका डाटा पारिस्थितिक तंत्र में बढ़ेगी - डाटा तक पहुंच के लिए, गारंटीदाता के रूप में, यह निश्चित करने के लिए कि डाटा सत्यापित है और वास्तव में सार्वजनिक भलाई में योगदान दे रहा है, और विवादों को हल करने के लिए - जिससे प्रवर्तन के दौरान घर्षण हो सकता है। पी डी पी विधेयक के तहत, गोपनीयता और सुरक्षा के आधार पर, समान मुद्दों के लिए संरक्षकों और सरकार की भूमिका पहले से ही मध्यस्थों के रूप में बहुत बढ़ गई है।

इसके अलावा, डाटा से प्राप्त जानकारी और उस जानकारी पर पहुंचने के लिए उपयोग की जाने वाली प्रक्रियाओं के बीच अंतर करना मुश्किल है, जिसमें मूल रूप डाटा का उपयोग भी शामिल है। एन पी डी रिपोर्ट अंतर्दृष्टियों और मूल रूप डाटा के बीच अस्पष्ट तरीके से घूमती रहती है।

एन पी डी रिपोर्ट में उल्लेख किया गया है कि कंपनियां सरकार के साथ डाटा साझा करेंगी, और सरकार तय करेगी कि किस संस्थान के साथ कौन सा डाटा साझा किया जाना है। यह सरकार को पारिस्थितिकी तंत्र में नियंत्रण और निगरानी की हिस्सेदारी देता है।

इसलिए प्रस्तावित एन पी डी ढांचा भारत में डाटा पारिस्थितिकी तंत्र को एक नए सिरे से आकार देगा।

Comments

{{ gettext('Login to leave a comment') }}

{{ gettext('Post a comment…') }}
{{ gettext('New comment') }}
{{ formTitle }}

{{ errorMsg }}

{{ gettext('No comments posted yet') }}

Hosted by

Deep dives into privacy and security, and understanding needs of the Indian tech ecosystem through guides, research, collaboration, events and conferences. Sponsors: Privacy Mode’s programmes are sponsored by: more