आप अकेले नहीं हैं — अभी किसी से बात करें

मुफ्त, गोपनीय, 24/7। अगर आप तुरंत खतरे में हैं, तो कॉल करें 112.

सभी सहायता विकल्प — महिला, साइबर अपराध और आपातकाल
loantrap.org
Report
← सभी लेखRead in English →

Scams & Frauds

लोन ऐप आपके डेटा का दुरुपयोग कैसे करते हैं — और आपके DPDP अधिकार

सरल भाषा में एक मार्गदर्शिका कि कुछ डिजिटल उधार ऐप कर्ज़दारों का डेटा कैसे इकट्ठा और दुरुपयोग करते हैं, और इसे रोकने के लिए DPDP अधिनियम 2023 और RBI के डिजिटल उधार निर्देशों के तहत आपके पास कौन-से अधिकार हैं।

जब आप कोई लोन ऐप डाउनलोड करते हैं और "अनुमति दें" पर टैप करते हैं, तो अक्सर आप अपने नाम और PAN से कहीं ज़्यादा सौंप रहे होते हैं। भारत में कई कर्ज़दारों को, उत्पीड़न शुरू होने के बाद ही पता चलता है कि किसी ऐप ने उनकी पूरी संपर्क सूची, फोटो गैलरी, लोकेशन और डिवाइस की जानकारी कॉपी कर ली है। यह लेख सरल भाषा में समझाता है कि डेटा का दुरुपयोग आम तौर पर कैसे होता है, कानून असल में क्या कहता है, और जवाब देने के लिए आप कौन-से ठोस अधिकार इस्तेमाल कर सकते हैं। पैसे उधार लेकर आपने कोई ग़लती नहीं की है। असली कर्ज़ चुकाना और उत्पीड़न बर्दाश्त करने से इनकार करना — ये दो अलग-अलग बातें हैं — और दूसरी बात को लेकर कानून मज़बूती से आपके साथ है।

लोन ऐप असल में क्या इकट्ठा करते हैं — और यह क्यों मायने रखता है

एक वाजिब डिजिटल ऋणदाता को किसी कर्ज़ का आकलन करने और उसकी सेवा देने के लिए केवल सीमित जानकारी की ज़रूरत होती है: आपकी पहचान (KYC), आपकी चुकाने की क्षमता, और आपसे संपर्क करने का एक तरीका। समस्याएँ तब शुरू होती हैं जब कोई ऐप ऐसी अनुमतियाँ माँगता है जिनका उधार देने से कोई लेना-देना नहीं।

आम तौर पर ज़रूरत से ज़्यादा डेटा इकट्ठा करने में शामिल है:

  • पूरी संपर्क सूची — आपके फोन में सहेजा हर नाम और नंबर।
  • फोटो गैलरी और मीडिया — निजी तस्वीरें, जिन्हें बाद में धमकाने या एडिट करके दुरुपयोग किया जा सकता है।
  • कॉल लॉग और SMS — आपके रिश्तों और दूसरे ऋणदाताओं का नक़्शा बनाने के लिए।
  • रियल-टाइम लोकेशन — KYC की ज़रूरत से कहीं ज़्यादा।
  • डिवाइस पहचानकर्ता (identifiers) — आपको अलग-अलग ऐप में ट्रैक करने के लिए।

यह क्यों मायने रखता है, इसकी वजह सीधी है। एक बार आपके संपर्क और तस्वीरें किसी रिकवरी एजेंट के सर्वर पर पहुँच जाएँ, तो वे दबाव के औज़ार बन जाते हैं। कर्ज़दार बताते हैं कि एजेंट उनके नियोक्ता, रिश्तेदारों और पड़ोसियों को कॉल करते हैं, कभी-कभी एडिट की गई तस्वीरों या झूठे दावों के साथ। यह वसूली नहीं है; यह डेटा का हथियार के रूप में इस्तेमाल है। RBI का ढाँचा ठीक इसी को रोकने के लिए लिखा गया था, और वैसा ही डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 भी था।

अगर आप पक्का नहीं हैं कि जिस ऐप ने आपको उधार दिया वह कोई विनियमित संस्था है भी या नहीं, तो आगे बढ़ने से पहले क्या देखना है यह समझने में हमारा /check उपकरण आपकी मदद कर सकता है।

RBI के डिजिटल उधार नियम आपके डेटा के बारे में क्या कहते हैं

RBI के डिजिटल उधार निर्देश (Digital Lending Directions) विनियमित ऋणदाताओं और उनके लिए काम करने वाले ऐप पर साफ़ सीमाएँ तय करते हैं। कुछ सिद्धांत ख़ास तौर पर ध्यान देने लायक़ हैं और इन्हें अपने शब्दों में जानना उपयोगी है:

  1. डेटा इकट्ठा करना ज़रूरत-आधारित होना चाहिए। कोई ऐप केवल वही इकट्ठा कर सकता है जो कर्ज़ देने के लिए सचमुच ज़रूरी है, और केवल आपकी स्पष्ट, पूर्व सहमति से। आपके संपर्कों या गैलरी को थोक में हड़प लेना ज़रूरत-आधारित नहीं है।
  2. संपर्क, कॉल लॉग और गैलरी जैसे फोन संसाधनों तक कोई पहुँच नहीं। निर्देश ख़ास तौर पर ऐप को इन तक पहुँचने से रोकते हैं, सिवाय कुछ सँकरे, एक-बार के अपवादों के, जैसे सहमति से लिया गया KYC के लिए कैमरा।
  3. आप सहमति देने से इनकार कर पाएँ या उसे वापस ले पाएँ। सहमति किसी अनुमति-स्क्रीन में दबा हुआ, छिपा हुआ, सब-कुछ-या-कुछ-नहीं वाला टॉगल नहीं हो सकती।
  4. अनुमति से अधिक कोई डेटा ऐप या उसके सर्वर पर संग्रहीत न हो। ख़ास तौर पर बायोमेट्रिक डेटा संग्रहीत नहीं किया जाना चाहिए।
  5. साफ़ खुलासा। ऋणदाता को आपको एक मुख्य तथ्य विवरण (Key Fact Statement) और गोपनीयता नीति के ज़रिए बताना चाहिए कि कौन डेटा इकट्ठा कर रहा है, किस उद्देश्य से, और किसके साथ साझा किया जाता है।

इन नियमों के साथ चलने वाली उचित व्यवहार संहिता (Fair Practices Code) के तहत, वसूली शालीन रहनी चाहिए। आपको शर्मिंदा करने के लिए तीसरे पक्ष को कॉल करना, अजीब घंटों में लोगों से संपर्क करना, या धमकाने के लिए आपकी तस्वीरों का इस्तेमाल करना — ये सब उस दायरे से बाहर हैं जिसकी किसी भी विनियमित ऋणदाता को इजाज़त है।

एक "डेटा प्रिंसिपल" के रूप में आपके DPDP अधिनियम 2023 के अधिकार

DPDP अधिनियम 2023 आपको एक डेटा प्रिंसिपल (data principal) मानता है — वह व्यक्ति जिसके बारे में डेटा है — और ऋणदाता को एक डेटा प्रत्ययी (data fiduciary) मानता है। यह ढाँचा आपको ख़ास, इस्तेमाल करने योग्य अधिकार देता है। इन्हें इस्तेमाल करने के लिए आपको वकील होने की ज़रूरत नहीं; एक साफ़ लिखित अनुरोध काफ़ी है।

  • सूचना और सूचित सहमति का अधिकार। ऋणदाता को आपको, इकट्ठा करने से पहले या उसी समय, बताना चाहिए कि वह कौन-सा व्यक्तिगत डेटा ले रहा है और किस उद्देश्य से। सहमति मुक्त, ख़ास और अस्पष्टता-रहित होनी चाहिए — कर्ज़ को नाकाबिल-ए-इस्तेमाल बनाकर ज़बरदस्ती निकाली गई नहीं।
  • जानकारी तक पहुँच का अधिकार। आप ऋणदाता से उसके पास मौजूद अपने व्यक्तिगत डेटा का सारांश और उसे कैसे संसाधित किया गया है, माँग सकते हैं।
  • सुधार और मिटाने का अधिकार। आप ऋणदाता से ग़लत डेटा सुधारने और ऐसे व्यक्तिगत डेटा को मिटाने के लिए कह सकते हैं जो उस उद्देश्य के लिए ज़रूरी न रह जाए जिसके लिए इकट्ठा किया गया था। एक बार कर्ज़ बंद हो जाए और रखे रहने का कोई कानूनी कारण न हो, तो आप अपने संपर्क और मीडिया हटाने के लिए कह सकते हैं।
  • शिकायत निवारण का अधिकार। हर डेटा प्रत्ययी को शिकायत करने का एक सुलभ तरीका देना चाहिए। ऋणदाता को एक उचित, तय अवधि के भीतर जवाब देना चाहिए।
  • नामांकन का अधिकार। आप किसी और व्यक्ति को नामांकित कर सकते हैं जो असमर्थ होने की स्थिति में आपके अधिकारों का प्रयोग कर सके।

ख़ास तौर पर, यह अधिनियम यह भी माँग करता है कि सहमति को उतनी ही आसानी से वापस लिया जा सके जितनी आसानी से दी गई थी। तो अगर आपने ऑनबोर्डिंग के दौरान संपर्क-सूची तक पहुँच के लिए सहमति दी थी, तो आप बाद में वह सहमति लिखित में वापस ले सकते हैं, और ऋणदाता को उससे जुड़ा संसाधन रोकना होगा।

अपने अधिकारों का प्रयोग कैसे करें, क़दम-दर-क़दम

आपको उत्पीड़न के बढ़ने का इंतज़ार नहीं करना है। जल्दी और लिखित में काम करना एक रिकॉर्ड बनाता है। यहाँ एक शांत, व्यावहारिक क्रम है।

1. पहले सबूत संभालें। कुछ भी बदलने से पहले, ऐप के अनुमति अनुरोधों, किसी भी धमकी भरे संदेश, आपके संपर्कों को आई कॉलों, और कर्ज़ के मुख्य तथ्य विवरण के स्क्रीनशॉट लें। एक साधारण, तारीख़ वाला फ़ोल्डर काफ़ी है। अगर आप इसे एक साथ सुरक्षित जगह रखना चाहते हैं, तो हमारा /locker समझाता है कि ऐसे रिकॉर्ड कैसे व्यवस्थित और संग्रहीत करें।

2. अपने फोन पर ऐप की अनुमतियाँ रद्द करें। अपने फोन की सेटिंग्स में जाएँ और ऐप की संपर्कों, तस्वीरों, SMS और लोकेशन तक पहुँच बंद कर दें। इससे जो पहले ही लिया जा चुका है वह नहीं मिटता, लेकिन आगे इकट्ठा करना रुक जाता है।

3. शिकायत अधिकारी को एक लिखित डेटा अनुरोध भेजें। हर विनियमित ऋणदाता को एक शिकायत अधिकारी नियुक्त करना ही होता है। उन्हें लिखें और साफ़-साफ़ बताएँ: आप अपने संपर्कों, मीडिया और दूसरे ग़ैर-ज़रूरी डेटा तक पहुँच की सहमति वापस लेते हैं; आप DPDP अधिनियम के तहत उस डेटा को मिटाने का अनुरोध करते हैं; और आप लिखित पुष्टि माँगते हैं। इसे तथ्यपरक और भावनारहित रखें।

4. अनदेखी होने पर नियामक तक आगे बढ़ें। अगर ऋणदाता उचित जवाब नहीं देता, तो आप cms.rbi.org.in पर RBI लोकपाल (Ombudsman) से शिकायत कर सकते हैं, और ऋणदाता या ऐप के आचरण को RBI सचेत (Sachet) पोर्टल (sachet.rbi.org.in) पर उठा सकते हैं, जो अनधिकृत संस्थाओं और शिकायतों की रिपोर्ट करने के लिए है।

5. आपराधिक दुरुपयोग की रिपोर्ट करें। अगर आपके डेटा का इस्तेमाल आपको, आपके परिवार को धमकाने के लिए, या तस्वीरों को एडिट (morph) करने के लिए किया जाता है, तो यह भारतीय न्याय संहिता (Bharatiya Nyaya Sanhita) के तहत आपराधिक क्षेत्र में चला जाता है। इसकी रिपोर्ट राष्ट्रीय साइबर अपराध रिपोर्टिंग पोर्टल (cybercrime.gov.in) पर करें या 1930 पर कॉल करें। अगर उत्पीड़न किसी महिला को निशाना बनाता है, तो राष्ट्रीय महिला आयोग (National Commission for Women, NCW) भी शिकायतें लेता है।

अगर आप पक्का नहीं हैं कि इनमें से कौन-सा रास्ता आपकी स्थिति में फ़िट बैठता है, तो /help पर मौजूद मार्गदर्शन आपके साथ जो हो रहा है उसके आधार पर विकल्पों को समझाता है।

सहमति स्क्रीन: अगली बार किस बात पर नज़र रखें

रोकथाम भी सुरक्षा का हिस्सा है। आगे किसी भी लोन ऐप की अनुमतियाँ स्वीकार करने से पहले, सहमति स्क्रीन पर रुकें। तीन सवाल पूछें: क्या इस ऐप को मुझे कर्ज़ देने के लिए सचमुच इसकी ज़रूरत है? क्या मैं यह अनुमति देने से इनकार करके भी आगे बढ़ सकता हूँ? क्या कोई साफ़ गोपनीयता नीति है जिसमें ऋणदाता और शिकायत अधिकारी का नाम हो? अगर ऐप उधार देने से पहले आपके संपर्कों और गैलरी तक सब-कुछ-या-कुछ-नहीं वाली पहुँच के लिए मजबूर करता है, तो यह पीछे हटने का संकेत है। एक असली, विनियमित ऋणदाता को आपकी चुकाने की क्षमता आँकने के लिए आपके दोस्तों के फोन नंबर की ज़रूरत नहीं होती।

यह नोट करना भी मददगार है कि असली विनियमित ऋणदाता कौन है, बनिस्बत उस ऐप ब्रांड के जो आपकी स्क्रीन पर है। कई ऐप केवल सामने का हिस्सा होते हैं; कर्ज़ किसी NBFC या बैंक के पास होता है। विनियमित संस्था का नाम जानना आपको बताता है कि शिकायतें कहाँ भेजनी हैं और कौन-सी लोकपाल योजना लागू होती है।

आप बेबस नहीं हैं

डेटा का दुरुपयोग गहराई से तकलीफ़देह लग सकता है, ख़ासकर जब आपके अपने लोगों के पास कॉल आने लगें। शर्मिंदा या डरा हुआ महसूस करना स्वाभाविक है। लेकिन आपके डेटा का दुरुपयोग ऋणदाता या एजेंट की ग़लती है, आपकी नहीं। DPDP अधिनियम 2023 और RBI के निर्देश इसीलिए मौजूद हैं क्योंकि नियामकों ने ठीक इसी पैटर्न को पहचाना और उसे रोकने का फ़ैसला किया। आपके संपर्क, आपकी तस्वीरें और आपकी गरिमा संरक्षित श्रेणियाँ हैं, और आपके पास नामित, लिखित अधिकार हैं कि इन्हें मिटाने और अकेला छोड़ने की माँग कर सकें।

इसे एक-एक क़दम लें: संभालें, रद्द करें, लिखित में अनुरोध करें, फिर आगे बढ़ें। हर क़दम एक रिकॉर्ड बनाता है जो आपकी स्थिति को मज़बूत करता है। और अगर औपचारिक मदद में ख़र्च आड़े आता है, तो NALSA और आपके ज़िला विधिक सेवा प्राधिकरण (DLSA) के ज़रिए मुफ़्त कानूनी सहायता उपलब्ध है — हमारा /legal-aid पृष्ठ बताता है कि उन तक कैसे पहुँचें।

यह सामान्य जानकारी है, कानूनी सलाह नहीं। कानून और नियामक प्रक्रियाएँ बदल सकती हैं, और आपकी ख़ास स्थिति अलग हो सकती है। अपने ख़ास मामले की सलाह के लिए, NALSA/DLSA के ज़रिए मुफ़्त कानूनी सहायता या किसी योग्य पेशेवर पर विचार करें।

अक्सर पूछे जाने वाले सवाल

क्या कोई लोन ऐप कानूनी रूप से मेरे संपर्कों और तस्वीरों तक पहुँच सकता है?
RBI के डिजिटल उधार निर्देशों (Digital Lending Directions) के तहत, किसी विनियमित ऋणदाता का ऐप केवल वही डेटा इकट्ठा कर सकता है जो ज़रूरत-आधारित हो और आपकी स्पष्ट सहमति से लिया गया हो। आप पर दबाव डालने के लिए आपकी पूरी संपर्क सूची, गैलरी या कॉल लॉग तक पहुँचना कर्ज़ की सेवा देने की कोई वाजिब ज़रूरत नहीं है। आप ऐसी अनुमतियाँ देने से इनकार कर सकते हैं, और अगर डेटा बिना असली सहमति के लिया गया हो तो आप शिकायत कर सकते हैं।
DPDP अधिनियम के तहत मेरा मिटाने का अधिकार (right to erasure) क्या है?
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023 (Digital Personal Data Protection Act 2023) आपको, एक डेटा प्रिंसिपल (data principal) के रूप में, यह अधिकार देता है कि आप अपने व्यक्तिगत डेटा के सुधार और मिटाने की माँग करें, जब वह उस उद्देश्य के लिए ज़रूरी न रह जाए जिसके लिए इकट्ठा किया गया था। यह माँग आप ऋणदाता के शिकायत अधिकारी को लिखित में करते हैं और, अगर अनदेखी हो, तो डेटा संरक्षण बोर्ड (Data Protection Board) के चालू होने पर वहाँ आगे बढ़ा सकते हैं।
किसी लोन ऐप ने मेरे परिवार और संपर्कों को संदेश भेजे। मैं क्या कर सकता हूँ?
आपको शर्मिंदा करने या दबाव डालने के लिए आपके रिश्तेदारों या संपर्कों से संपर्क करना RBI के उचित व्यवहार संहिता (Fair Practices Code) द्वारा वर्जित है और यह उत्पीड़न है। स्क्रीनशॉट सुरक्षित रखें, ऋणदाता के पास लिखित शिकायत दर्ज करें, cms.rbi.org.in के ज़रिए RBI लोकपाल (Ombudsman) से शिकायत करें, और अगर इसमें धमकियाँ शामिल हों तो cybercrime.gov.in या 1930 हेल्पलाइन पर डेटा के दुरुपयोग की रिपोर्ट करें।
✓ योग्य अधिवक्ताओं द्वारा समीक्षितअंतिम अद्यतन 2026-06-13। यह सामान्य जानकारी है, कानूनी सलाह नहीं।