भारत के डिजिटल रेगुलेटरी फ्रेमवर्क में ओटीटी (OTT) मैसेजिंग प्लेटफॉर्म एक विशिष्ट और जटिल स्थिति में हैं. ये प्लेटफॉर्म एक साथ कम्युनिकेशन सर्विस प्रोवाइडर, बड़े पैमाने पर कंटेंट इंटरमीडियरी और पर्सनल डेटा के प्रोसेसर के रूप में काम करता है. यही कारण है कि इन पर दो अलग-अलग रेगुलेटरी फ्रेमवर्क समानांतर रूप से लागू होते हैं. पहला- डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 (DPDP) और दूसरा, सूचना प्रौद्योगिकी अधिनियम, 2000 (IT Act) के साथ दिशानिर्देश.
ओटीटी प्लेटफॉर्म्स के सामने चुनौती केवल कानूनों को समझने की नहीं है, बल्कि दोनों का एक साथ पालन करने की है, ताकि न तो गोपनीयता (Privacy) के नियमों का उल्लंघन हो और न ही ‘सेफ हार्बर’ (Safe Harbour) सुरक्षा समाप्त हो. भरूचा एंड पार्टनर्स के कौशिक मोइत्रा के मुताबिक, भारत इस समय बदलाव के दौर से गुजर रहा है, जहां दोनों कानून विकसित हो रहे हैं. DPDP व्यवस्था: इसे अलग-अलग फेज में लागू किया जा रहा है. 13 नवंबर 2025 से डेटा प्रोटेक्शन बोर्ड और बुनियादी ढांचा प्रभावी हो गया है. नवंबर 2026 में ‘कंसेंट मैनेजर’ के नियम आएंगे और सबसे जरूरी अनुपालन (जैसे- नोटिस, सहमति, डेटा प्रिंसिपल के अधिकार और बच्चों के डेटा की सुरक्षा) 13 मई 2027 से लागू होंगे.
15 नवंबर 2025 से आईटी नियमों में संशोधन किया गया है. नियम 3(1)(d) में बदलाव के तहत अब केवल अदालती आदेशों या अधिकृत सरकारी सूचनाओं तक सीमित माना जाएगा. ओटीटी प्लेटफॉर्म सबसे पहले इस दोहरे दबाव को महसूस करेंगे क्योंकि वे मेटाडेटा, लॉग्स और उपयोगकर्ता जानकारी को संभालते हैं. इसके दो मुख्य प्वाइंट्स हैं पारदर्शिता और शिकायत निवारण. दोनों कानून पारदर्शिता की मांग करते हैं. आईटी नियम प्राइवेसी पॉलिसी पब्लिश करने और शिकायत अधिकारी नियुक्त करने को अनिवार्य बनाते हैं. वहीं DPDP कानून स्पष्ट नोटिस और सहमति (Consent) तंत्र और डेटा प्रिंसिपल्स के लिए निवारण की मांग करता है.
आईटी नियम विशेषकर सोशल मीडिया इंटरमीडियरीज के लिए कुछ परिस्थितियों में मैसेज के प्रथम प्रवर्तक (First Originator) की पहचान करने की मांग करते हैं, जो प्लेटफॉर्म को डेटा सुरक्षित रखने और ट्रेसिबिलिटी तंत्र बनाने के लिए प्रोत्साहित करता है. इसके उलट DPDP कानून डेटा रिडक्शन (कम से कम डेटा जुटाना) और उद्देश्य सीमा (Purpose Limitation) पर जोर देता है. यानी, एक कानून जांच के लिए डेटा रखने को कहता है, जबकि दूसरा कानून गोपनीयता के लिए डेटा हटाने को कहता है.
प्लेटफॉर्म्स को दो अलग-अलग कार्यक्रम बनाने के बजाय एक इंटीग्रेटेड ऑपरेटिंग मॉडल बनाना चाहिए. इसमें जिम्मेदारी की तीन मुख्य बातें होना चाहिए. पहला- कंटेंट और सिक्योरिटी: इसमें आईटी नियमों के तहत शिकायतों का आकलन और कार्रवाई किया जाए. दूसरा- डेटा वैलिडिटी: जो DPDP अनुपालन, कंसेंट मैनेजमेंट और डेटा प्रतिधारण (Retention) की समय-सीमा तय करे. तीसरा- कानूनी प्रक्रिया: जो सरकारी आदेशों और कोर्ट के निर्देशों की पुष्टि करे.
प्लेटफॉर्म्स को उत्पीड़न, धोखाधड़ी या बाल सुरक्षा जैसे मामले के लिए एक ‘निर्णय मैट्रिक्स’ (Decision Matrix) तैयार करना चाहिए, जिसमें यह पहले से तय हो कि किस डेटा को जमा किया जाएगा. क्या कार्रवाई होगी और डेटा को कब तक सुरक्षित रखा जाएगा.
ओटीटी मैसेजिंग प्लेटफॉर्म्स के लिए अनुपालन अब समानांतर चेकलिस्ट नहीं हो सकता. उन्हें एक ऐसी संतुलित व्यवस्था की आवश्यकता है जो कानूनी आदेशों पर तेजी से कार्रवाई कर सके. साथ ही डेटा न्यूनीकरण के सिद्धांतों का कड़ाई से पालन करे. यदि वे इन दोनों दायित्वों में सामंजस्य स्थापित करने में सफल नहीं होते हैं तो वे एक तरफ अपनी इंटरमीडियरी सुरक्षा (सेफ हार्बर) खोने का जोखिम उठाएंगे और दूसरी तरफ DPDP के तहत भारी जुर्माने का शिकार बन सकते हैं
