Aspirant Academy

विज्ञान एवं प्रौद्योगिकी

साइबर सुरक्षा एवं डेटा गोपनीयता

भारतीय विज्ञान: वैज्ञानिकों का योगदान, संस्थाएँ, रोबोटिक्स, नैनोतकनीक, क्वांटम कंप्यूटिंग, सरकारी नीतियाँ, डिजिटल इंडिया, साइबर सुरक्षा एवं डेटा गोपनीयता

पेपर II · इकाई 2 अनुभाग 8 / 13 0 PYQ 38 मिनट
विषय पूर्वावलोकन विषय सूची

सार्वजनिक अनुभाग पूर्वावलोकन

साइबर सुरक्षा एवं डेटा गोपनीयता

7.1 कानूनी ढाँचा

सूचना प्रौद्योगिकी अधिनियम, 2000

भारत का मूलभूत साइबर कानून, जो इलेक्ट्रॉनिक लेन-देन को कानूनी मान्यता प्रदान करने हेतु अधिनियमित किया गया। प्रमुख प्रावधान:

  • धारा 43: अनधिकृत पहुँच, क्षति, या डेटा डाउनलोड हेतु क्षतिपूर्ति
  • धारा 65: कंप्यूटर स्रोत कोड से छेड़छाड़ (3 वर्ष कारावास/₹2 लाख जुर्माना)
  • धारा 66: कंप्यूटर संबंधित अपराध (3 वर्ष कारावास/₹5 लाख जुर्माना)
  • धारा 66A: आपत्तिजनक ऑनलाइन संदेश — सर्वोच्च न्यायालय ने श्रेया सिंघल बनाम भारत संघ (2015) में असंवैधानिक रूप से अस्पष्ट और अभिव्यक्ति की स्वतंत्रता का उल्लंघन मानते हुए निरस्त किया
  • धारा 66C: पहचान चोरी (3 वर्ष/₹1 लाख)
  • धारा 66D: कंप्यूटर द्वारा प्रतिरूपण से धोखाधड़ी (3 वर्ष/₹1 लाख)
  • धारा 66E: गोपनीयता का उल्लंघन (3 वर्ष/₹2 लाख)
  • धारा 66F: साइबर आतंकवाद (आजीवन कारावास तक)
  • धारा 67: ऑनलाइन अश्लील सामग्री; धारा 67A: यौन रूप से स्पष्ट सामग्री
  • धारा 69: सूचना को इंटरसेप्ट, मॉनिटर और डिक्रिप्ट करने की शक्ति
  • धारा 70: संरक्षित प्रणाली; धारा 70B: CERT-In राष्ट्रीय नोडल एजेंसी के रूप में

IT (संशोधन) अधिनियम, 2008: साइबर आतंकवाद, डेटा संरक्षण और इलेक्ट्रॉनिक साक्ष्य के प्रावधान जोड़े; धारा 66A (बाद में निरस्त) और धारा 66F शामिल किए।

राष्ट्रीय साइबर सुरक्षा नीति 2013

भारत की पहली समर्पित साइबर सुरक्षा नीति। प्रमुख उद्देश्य:

  • सुरक्षित साइबर पारिस्थितिकी तंत्र का निर्माण
  • 2018 तक 5,00,000 साइबर सुरक्षा पेशेवर विकसित करना
  • NTRO के अंतर्गत राष्ट्रीय महत्वपूर्ण सूचना अवसंरचना संरक्षण केंद्र (NCIIPC) स्थापित करना
  • 24×7 साइबर घटना प्रतिक्रिया क्षमता का निर्माण
  • स्वदेशी सुरक्षा उत्पाद और सेवाएँ विकसित करना

नोट: इस नीति को संशोधित किया जा रहा है — एक नई राष्ट्रीय साइबर सुरक्षा रणनीति तैयार हो रही है (2023–24) क्योंकि 2013 की नीति पुरानी हो चुकी है।

CERT-In (कंप्यूटर इमरजेंसी रिस्पॉन्स टीम — इंडिया)

  • IT अधिनियम 2000 की धारा 70B के तहत स्थापित
  • साइबर घटनाओं की सूचना एकत्र, विश्लेषण और प्रसारित करने का अधिदेश
  • साइबर सुरक्षा कमजोरियों पर परामर्शी, अलर्ट और दिशानिर्देश जारी करती है
  • अप्रैल 2022 निर्देश (विवादास्पद): साइबर घटनाओं की 6 घंटे में अनिवार्य रिपोर्टिंग (EU GDPR में 72 घंटे); 180 दिनों का अनिवार्य लॉग प्रतिधारण; VPN प्रदाताओं द्वारा 5 वर्ष तक उपयोगकर्ता लॉग रखना अनिवार्य; क्लाउड सेवाओं हेतु अनिवार्य KYC।

NCIIPC (राष्ट्रीय महत्वपूर्ण सूचना अवसंरचना संरक्षण केंद्र)

  • महत्वपूर्ण सूचना अवसंरचना (CII) के संरक्षण हेतु राष्ट्रीय नोडल एजेंसी
  • NTRO (राष्ट्रीय तकनीकी अनुसंधान संगठन), PMO के अंतर्गत संचालित
  • CII क्षेत्र: विद्युत, बैंकिंग, दूरसंचार, परिवहन, सरकार, स्वास्थ्य

साइबर सुरक्षित भारत पहल

  • जनवरी 2018 में MeitY द्वारा NASSCOM और DSCI के साथ साझेदारी में प्रारंभ
  • उद्देश्य: साइबर अपराध पर जागरूकता फैलाना और सरकार में मुख्य सूचना सुरक्षा अधिकारियों (CISOs) एवं IT कर्मचारियों की क्षमता निर्माण
  • 12,000+ सरकारी अधिकारियों हेतु 112+ कार्यशालाएँ आयोजित

7.2 डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023

भारत का पहला व्यापक डेटा गोपनीयता कानून अगस्त 2023 में 6 वर्ष से अधिक के प्रारूपण के बाद अधिनियमित हुआ (न्यायमूर्ति बी.एन. श्रीकृष्ण समिति ने 2018 में अपनी रिपोर्ट और मसौदा विधेयक प्रस्तुत किया; इसके बाद विभिन्न मसौदे आए)।

प्रमुख परिभाषाएँ

  • व्यक्तिगत डेटा: किसी पहचान योग्य व्यक्ति के बारे में कोई भी डेटा
  • डेटा प्रिंसिपल: वह व्यक्ति जिससे व्यक्तिगत डेटा संबंधित है (डेटा विषय)
  • डेटा फिड्यूशरी: वह इकाई जो प्रसंस्करण के उद्देश्य और साधन निर्धारित करती है (डेटा नियंत्रक)
  • महत्वपूर्ण डेटा फिड्यूशरी (SDF): डेटा मात्रा, संवेदनशीलता, राष्ट्रीय सुरक्षा प्रभावों के आधार पर सरकार द्वारा अधिसूचित बड़े पैमाने के डेटा प्रोसेसर

डेटा प्रिंसिपल के अधिकार

  1. डेटा प्रसंस्करण के बारे में जानकारी प्राप्त करने का अधिकार
  2. व्यक्तिगत डेटा में सुधार और विलोपन का अधिकार
  3. शिकायत निवारण का अधिकार
  4. मृत्यु/अक्षमता की स्थिति में किसी अन्य व्यक्ति को नामित करने का अधिकार

डेटा फिड्यूशरी के दायित्व

  1. केवल विशिष्ट, स्पष्ट और वैध उद्देश्यों हेतु डेटा संग्रह (उद्देश्य सीमा)
  2. केवल बताए गए उद्देश्य हेतु आवश्यक डेटा संग्रह (डेटा न्यूनीकरण)
  3. डेटा की सटीकता सुनिश्चित करना
  4. डेटा को केवल आवश्यक अवधि तक संग्रहीत करना (भंडारण सीमा)
  5. सुरक्षा उपाय लागू करना
  6. डेटा उल्लंघन की स्थिति में डेटा संरक्षण बोर्ड और प्रभावित उपयोगकर्ताओं को सूचित करना

भारतीय डेटा संरक्षण बोर्ड

  • शिकायतों के समाधान और दंड लगाने हेतु न्यायिक निकाय
  • अधिकतम दंड: एकल उल्लंघन हेतु ₹250 करोड़; प्रणालीगत विफलताओं हेतु ₹500 करोड़ (मूल रूप से; विशिष्ट राशियाँ नियमों द्वारा अधिसूचित)

सीमा-पार डेटा स्थानांतरण

  • व्यक्तिगत डेटा केंद्र सरकार द्वारा पर्याप्त डेटा संरक्षण वाले देशों (श्वेतसूचीबद्ध देशों) को स्थानांतरित किया जा सकता है
  • कोई व्यापक डेटा स्थानीयकरण आवश्यकता नहीं (PDP बिल 2019 के मसौदे के विपरीत)

छूट

  • राष्ट्रीय सुरक्षा और सार्वजनिक व्यवस्था हेतु प्रसंस्करण
  • अनुसंधान, अभिलेखन, सांख्यिकी उद्देश्य
  • बच्चों का डेटा — सत्यापन योग्य अभिभावकीय सहमति आवश्यक; बच्चों का व्यवहार लक्ष्यीकरण वर्जित

EU GDPR से तुलना

GDPR के विपरीत, DPDP अधिनियम में गैर-भारतीय नियंत्रकों हेतु क्षेत्रातीत प्रावधान नहीं है; अधिकतम दंड कम है; और पूर्ण स्वतंत्रता वाला पृथक पर्यवेक्षी प्राधिकरण नहीं है (डेटा संरक्षण बोर्ड की स्वतंत्रता पर प्रश्न उठाए गए हैं)।

7.3 भारत में उभरते साइबर खतरे

  • रैनसमवेयर: AIIMS दिल्ली साइबर हमला (नवंबर 2022) — 5 दिनों तक सर्वर ठप, संभावित रूप से 3–4 करोड़ रोगियों का डेटा उजागर; संदिग्ध चीन-जुड़ा APT (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह।
  • राज्य-प्रायोजित हमले: CERT-In ने 2022 में 13.91 लाख साइबर सुरक्षा घटनाएँ दर्ज कीं, 2021 से 40% की वृद्धि।
  • सोशल इंजीनियरिंग/विशिंग: फोन-आधारित पहचान चोरी द्वारा UPI और बैंकिंग धोखाधड़ी, जिसकी वार्षिक लागत ₹1,750 करोड़ (RBI अनुमान 2023)।
  • डीपफेक: AI-जनित सिंथेटिक मीडिया का धोखाधड़ी, राजनीतिक दुष्प्रचार में बढ़ता उपयोग। MeitY ने सेलिब्रिटी डीपफेक विवाद के बाद नवंबर 2023 में डीपफेक पर परामर्शी जारी की।