২৯ এপ্রিল ২০২৬-এ, ইউরোপীয় কমিশন ডিপিপি রেজিস্টার সম্পর্কিত বাস্তবায়ন বিধিমালা খসড়া এবং একই সঙ্গে চার সপ্তাহের পরামর্শগ্রহণ সময়সীমা শুরু করেছে। ২৭ মে ২০২৬ পর্যন্ত, ইউরোপীয় ইউনিয়ন এবং এর বাইরে যেকোনো ব্যক্তি বা প্রতিষ্ঠান ‘Have Your Say’ পোর্টালের মাধ্যমে মতামত জমা দিতে পারে। জমা দেওয়া মতামতগুলো সর্বজনীন, প্রতিটি একটি নাম বা প্রতিষ্ঠানের স্বাক্ষরসহ, এবং সেগুলো আনুষ্ঠানিকভাবে নিয়মের চূড়ান্ত সংস্করণে অন্তর্ভুক্ত করা হবে।
আমরা এখানে ব্লগে খসড়াটি বিস্তারিতভাবে আলোচনা করেছি। আমরা এই পোস্টটি উৎসর্গ করছি সেই প্রশ্নের জন্য যে আমরা কমিশনকে কী উত্তর লিখেছিলাম।
আমরা কেন চারটি পৃথক জমা দিয়েছিলাম
পোর্টালটি প্রতি জমা ৪,০০০ অক্ষর গ্রহণ করে। আমরা আমাদের সমস্ত বিষয়বস্তু একটি দীর্ঘ জমাতে সংকুচিত করতে পারতাম। কমিশনের কর্মীদের জন্য - যারা মে মাসে কয়েক ডজন জমা পড়া প্রস্তাবনা পর্যালোচনা করবেন - এটি পড়া আরও কঠিন এবং উদ্ধৃতি দেওয়া আরও জটিল হতো। চারটি পৃথক জমা পৃথকভাবে সর্বজনীন তালিকায় খুঁজে পাওয়া যায়, এবং প্রতিটিকে অন্য পয়েন্টগুলোকে প্রভাবিত না করে স্বতন্ত্রভাবে গ্রহণ বা প্রত্যাখ্যান করা যায়।
আমরা নিম্নলিখিত চারটি বিষয় জমা দিয়েছি:
১. DPP পরিষেবা প্রদানকারীদের জন্য ন্যূনতম প্রয়োজনীয়তা নির্ধারণ
খসড়া বিধিমালা সঠিকভাবে বিকেন্দ্রীকৃত মডেলটি উপস্থাপন করেছে: DPP ডেটা অর্থনৈতিক অপারেটর বা তাদের DPP পরিষেবা প্রদানকারীর কাছে সংরক্ষিত থাকে; কমিশনের রেজিস্টার কেবলমাত্র রেফারেন্সগুলো সংরক্ষণ করে। অনুমোদিত প্রদানকারীদের একটি আনুষ্ঠানিক তালিকা DPP পরিষেবা প্রদানকারীদের জন্য কল্পনা করা হয়েছে (ESPR-এর অনুচ্ছেদ 2(32))।
এতে যা অনুপস্থিত তা হলো একটি সংজ্ঞা যে একজন সেবা প্রদানকারীকে এই তালিকায় অন্তর্ভুক্ত হতে এবং তাতে থাকতে আসলে কী করতে হবে। ধারণা করা হচ্ছে, মূল ESPR বিধিবিধির ধারা ৪ অনুযায়ী একটি ডেলিগেটেড অ্যাক্টে বিষয়বস্তুগত বাধ্যবাধকতাগুলো নির্ধারণ করা হবে। তবে, এই ডেলিগেটেড অ্যাক্ট প্রকাশের আগেই রেজিস্টারটি চালু করা হবে।
আমাদের প্রস্তাব: এই বাস্তবায়ন বিধিমালায় সরাসরি সেবা প্রদানকারীদের জন্য ন্যূনতম মানদণ্ড নির্ধারণ করুন, অথবা একটি বাধ্যতামূলক সময়সীমা নির্ধারণ করুন যার মধ্যে ডেলিগেটেড অ্যাক্ট জমা দিতে হবে। প্রস্তাবিত ন্যূনতম প্রয়োজনীয়তাগুলি হল:
- প্রতি মাসে সর্বনিম্ন ৯৯.৫ শতাংশ পাবলিক DPP রিড ইন্টারফেসের উপলব্ধতা
- একটি সার্ভিস-লেভেল এগ্রিমেন্ট যা নির্দিষ্ট করবে একটি নতুন DPP সংস্করণকে ব্যাকআপে কত দ্রুত অন্তর্ভুক্ত করতে হবে (প্রস্তাব: ২৪ ঘন্টার মধ্যে অথবা প্রযুক্তিগতভাবে সম্ভব হলে রিয়েল-টাইমে)
- সেবা প্রদানকারীর দ্বারা ইনকামিং সংস্করণগুলির বাধ্যতামূলক ক্রিপ্টোগ্রাফিক যাচাইকরণ
- অর্থনৈতিক অপারেটরের পাবলিক কী-গুলি একটি মানসম্মত পথ (RFC 8615, প্রস্তাব
/.well-known/dpp-keys/) অনুযায়ী প্রকাশ - প্রদানকারীর ব্যর্থতার ক্ষেত্রে DPP ডেটা সুশৃঙ্খলভাবে অন্য প্রদানকারীর কাছে স্থানান্তরিত হয় তা নিশ্চিত করার জন্য একটি সংজ্ঞায়িত পরিবর্তন এবং দেউলিয়া প্রক্রিয়া
এই বাধ্যবাধকতাগুলো একটি সুনামধন্য প্রদানকারীর জন্য কোনো খরচই আনে না - কারণ তারা এমনিতেই এগুলো পূরণ করে - তবে এটি কম খরচের প্রদানকারীদের মধ্যে সর্বনিম্ন মানের প্রতিযোগিতা (race to the bottom) প্রতিরোধ করে, যা শেষ পর্যন্ত তালিকাটিকে দুর্বল করে।
২. নিবন্ধিত DPP-গুলির দীর্ঘমেয়াদী যাচাইযোগ্যতা
ধারা ৯(৪) নিবন্ধন সনদের প্রাপ্যতা ৯০ ক্যালেন্ডার দিনের মধ্যে সীমাবদ্ধ করে। এই সময়ের মধ্যে, অনুরোধের ভিত্তিতে রেজিস্টার সনদটি পুনরায় জারি করবে। দৈনন্দিন কার্যক্রমের জন্য এটি ঠিক আছে, তবে এটি অন্তর্নিহিত DPP বাধ্যবাধকতার জীবনচক্রের সাথে সামঞ্জস্যপূর্ণ নয়: অনুচ্ছেদ 10(3) নিবন্ধনের পর থেকে 10 বছরের মান সংরক্ষণকাল নির্ধারণ করে, যখন খাত-নির্দিষ্ট আইন আরও দীর্ঘ সময়ের প্রয়োজন হতে পারে।
২০৩২ সালে কোনো বাজার তদারকি কর্তৃপক্ষ, শুল্ক কর্মকর্তা, পুনর্ব্যবহারকারী বা গবেষককে যাচাই করতে সক্ষম হতে হবে যে ২০২৬ সালে নিবন্ধিত একটি DPP প্রকৃতপক্ষে নিবন্ধিত ছিল, এর জন্য তাদের মূল অর্থনৈতিক অপারেটর এখনও বিদ্যমান আছে এবং নতুন সার্টিফিকেট অনুরোধ করতে সক্ষম কিনা তার ওপর নির্ভর করতে হবে না।
আমাদের দুইটি প্রস্তাব বাস্তবায়ন করা সহজ:
- স্পষ্টভাবে জানিয়ে দিন যে কমিশন দ্বারা যোগ্যতা অর্জন ও সিলকৃত প্রুফ বাইটগুলো অর্থনৈতিক অপারেটর বা সেবা প্রদানকারী দ্বারা ক্যাশ, সংরক্ষণ ও পুনর্বিতরণ করা যেতে পারে। eIDAS প্রবিধানের ধারা ৩৫(২)-এর অধীনে যোগ্য সীল অখণ্ডতা এবং উৎসের অনুমান বহন করে, বাইটগুলো যেখানেই অবস্থিত হোক না কেন।
- নিবন্ধন কেন্দ্রে একটি সর্বজনীন, অ-প্রমাণীকৃত যাচাই এন্ডপয়েন্ট, যা একটি নিবন্ধন আইডির জন্য স্বাক্ষরিত প্রতিক্রিয়া প্রদান করে। বর্তমানে, যেকোনো তৃতীয় পক্ষের যাচাইয়ের জন্য অর্থনৈতিক অপারেটরকে পদক্ষেপ নিতে হয় - ইস্যুকারীর মেয়াদ শেষের পরেও টিকে থাকতে হবে এমন একটি প্রমাণপত্রের জন্য এটি সঠিক পদ্ধতি নয়।
এছাড়াও, আমরা হ্যাশ জেনারেটশনকে নির্ধারণাত্মকভাবে সংজ্ঞায়িত করার প্রস্তাব দিয়েছি: হ্যাশ ফাংশন হিসেবে SHA-256, সিরিয়ালাইজেশন হিসেবে JSON ক্যানোনিক্যালাইজেশন স্কিম (RFC 8785), স্বাক্ষর ব্লকের বাইরে। W3C ইকোসিস্টেমে, এটি eddsa-jcs-2022 ক্রিপ্টোস্যুট, যা Transpareo সরাসরি স্বাক্ষরের জন্য ব্যবহার করে। এই পিনিং স্পেসিফিকেশন ছাড়া, দুইটি সার্ভিস প্রোভাইডার একই DPP-কে ভিন্ন হ্যাশে সিরিয়ালাইজ করবে, এবং রেজিস্ট্রেশন সার্টিফিকেটে হ্যাশ ফিল্ডটি পুনরুৎপাদনযোগ্য হবে না।
৩. আর্টিকেল ১৭-কে পাবলিক DPP ডেটায় অ্যাক্সেস সীমিত করা উচিত নয়
ধারা ১৭-এ ‘বিশাল পরিমাণ ডেটা ডাউনলোড’কে রেজিস্টারের সম্ভাব্য অপব্যবহার হিসেবে উল্লেখ করা হয়েছে। রেজিস্টারে সংরক্ষিত প্রশাসনিক মেটাডেটা (পরিচয়, লগ, অডিট ট্রেইল) সংক্রান্ত ক্ষেত্রে এটি সঠিক - এগুলো ব্যাপক ডাউনলোডের আওতায় পড়ার কথা নয়।
তবে, প্রস্তুতকারক বা পরিষেবা প্রদানকারীর কাছে থাকা পাবলিক DPP ডেটা ঠিক সেই ক্ষেত্র, যা ESPR ব্যাপকভাবে প্রবেশযোগ্য করতে চায়। পণ্য বহরের গঠনমূলক তথ্য আহরণকারী পুনর্ব্যবহারকারীরা; টেকসইতার দাবির আড়াআড়ি বিশ্লেষণকারী গবেষকরা; বাজার তদারকি যা তুলনামূলক বিশ্লেষণ করে - এগুলো সবই পাবলিক DPP স্তর থেকে ‘বিশাল ডেটা ডাউনলোড’-এর রূপ এবং এগুলোই সেই উদ্দেশ্যমূলক ব্যবহারের ধরন যার জন্য এই প্রবিধান প্রণয়ন করা হয়েছে।
আমাদের প্রস্তাব হলো অনুচ্ছেদ ১৭-এ একটি ব্যাখ্যামূলক বাক্য সংযোজন, যা ডেটা নিবন্ধনের পরিধি সীমিত করে এবং DPP ডেটার ক্ষেত্রে প্রাসঙ্গিক খাত-নির্দিষ্ট ডেলিগেটেড আইনসমূহের দিকে নির্দেশ করে। অন্যথায়, সেবা প্রদানকারীরা চালু করার সময় একটি পছন্দ সম্মুখীন হবে: হয় সতর্কতামূলক ব্যবস্থা হিসেবে জনসাধারণের প্রবেশাধিকারের হার কঠোরভাবে সীমিত করা - যার ফলে ভোক্তা অভিজ্ঞতা নষ্ট হবে - অথবা এটিকে উন্মুক্ত রাখা এবং পরে অনুচ্ছেদ 17-এর অর্থ অনুযায়ী অপব্যবহার হিসেবে শ্রেণীবদ্ধ হওয়ার ঝুঁকি নেওয়া।
৪. লঞ্চের আগে OpenAPI স্পেসিফিকেশন এবং স্যান্ডবক্স প্রকাশ করুন
ধারা ৩(খ) নিবন্ধনের জন্য একটি API-এর প্রয়োজন। ধারা ৮(৫) এটিকে নিবন্ধনের জন্য দুটি চ্যানেলের একটি হিসেবে নির্ধারণ করে। তবে, বিধিমালা API চুক্তি কখন প্রকাশ করতে হবে সে সম্পর্কে কিছুই বলে না।
নিবন্ধন কর্মপ্রবাহ স্বয়ংক্রিয় করার জন্য যারা কাজ করছেন - প্রতিটি পরিষেবা প্রদানকারী এবং বড় ক্যাটালগযুক্ত প্রতিটি অর্থনৈতিক অপারেটর - তাদের API স্পেসিফিকেশন লঞ্চের অনেক আগে থেকেই প্রয়োজন, যাতে তারা এটি বাস্তবায়ন করতে পারে এবং একটি লাইভ এন্ডপয়েন্টে পরীক্ষা করতে পারে। নিয়মাবলী কার্যকর হওয়ার ঠিক আগের সপ্তাহে স্পেসিফিকেশন খুঁজে বের করতে বাধ্য করা হলে ইকোসিস্টেমের সকল প্রদানকারীর উপর ইন্টিগ্রেশন ঝুঁকি স্থানান্তরিত হয়।
অতএব আমরা প্রস্তাব করেছি:
- বিধি বলবৎ হওয়ার কমপক্ষে আট সপ্তাহ আগে একটি OpenAPI 3.1 স্পেসিফিকেশন প্রকাশ করা - ১৯ জুলাই ২০২৬-এ লঞ্চের জন্য, এর অর্থ হবে ২৪ মে ২০২৬-এর মধ্যে।
- একটি সমান্তরাল স্যান্ডবক্স পরিবেশ, যার মাধ্যমে সেবা প্রদানকারী এবং প্রস্তুতকারকরা অনুচ্ছেদ ৮(৬) স্বয়ং-যাচাইয়ের জন্য ইন্টিগ্রেশন এবং পরীক্ষা করতে পারে
- Semver ব্যবহার করে একটি সংস্করণ নীতি, কমপক্ষে ১৮ মাসের অবচয়নের সময়সীমা সহ
অতিরিক্ত ডিজাইন প্রস্তাবনা: নিবন্ধন কলগুলির জন্য idempotency কী, বড় ক্যাটালগের জন্য ব্যাচ নিবন্ধন, ওয়েবহুক কলব্যাকের সাথে অ্যাসিঙ্ক্রোনাস নিবন্ধন, এবং স্বয়ংক্রিয় যাচাইকরণ ব্যর্থ হওয়ার ক্ষেত্রে মেশিন-রিডেবল ত্রুটি কোড।
আমরা কেন এটি করছি
পরামর্শ একটি পয়েন্ট সংগ্রহের খেলা নয়। যদি প্রতিটি জমা চূড়ান্ত সংস্করণে একটি বাক্যকে আরও সুনির্দিষ্ট করতে সাহায্য করে, তবে তা তার উদ্দেশ্য সফল করেছে। কমিশন প্রকৃতপক্ষে এই অবদানগুলো পড়ে - ESPR প্রক্রিয়া থেকে প্রাপ্ত অভিজ্ঞতাই দেখায় যে, প্রযুক্তিগতভাবে সঠিক প্রস্তাবনাগুলো প্রায়ই চূড়ান্ত পাঠ্যে তাদের ছাপ রেখে যায়।
যাই হোক, ভর্তি প্রক্রিয়া প্রকাশিত হওয়া মাত্রই আমরা DPP পরিষেবা প্রদানকারীদের তালিকায় অন্তর্ভুক্তির জন্য আবেদন করব। অতএব, যে নিয়মের অধীনে আমরা প্রতিযোগিতা করি তা সুনির্দিষ্ট এবং একটি সমতল ক্ষেত্র নির্ধারণ করে, তা আমাদের সরাসরি স্বার্থে। এই চারটি দাখিলই আমাদের নিশ্চিত করার একটি বাস্তব উপায় যে তালিকাটি শুধুমাত্র একটি বিপণন লেবেলে পরিণত হবে না।
কিভাবে অংশগ্রহণ করবেন
মতামত গ্রহণের সময়সীমা ২৭ মে ২০২৬ পর্যন্ত খোলা থাকবে। মতামত ইউরোপীয় ইউনিয়নের যেকোনো সরকারি ভাষায় জমা দেওয়া যেতে পারে; আপনাকে পোর্টালে নিবন্ধন করতে হবে, এবং আপনার মতামত সর্বজনীনভাবে দৃশ্যমান হবে। যেকেউ DPP ইস্যু বা যাচাই করবে - প্রস্তুতকারক, সেবা প্রদানকারী, পুনর্ব্যবহারকারী, সরকারি কর্তৃপক্ষ - তাদের অন্তত Have Your Say-এ এই উদ্যোগ সম্পর্কে পড়া উচিত।law/better-regulation/have-your-say/initiatives/14382-Digital-product-passport-rules-for-service-providers_en)। এমনকি একটি সংক্ষিপ্ত, প্রযুক্তিগতভাবে সঠিক জমাও পার্থক্য তৈরি করে।
আমাদের যাচাইকরণ টুল Transpareo টাইম মেশিন ইতিমধ্যেই ওপেন-সোর্স অনুশীলনে পয়েন্ট 2-এ উল্লিখিত যাচাইকরণ প্রয়োজনীয়তা পূরণ করে: যে কেউ স্বতন্ত্রভাবে Transpareo DPP যাচাই করতে চাইলে আজই এই টুল ব্যবহার করে করতে পারে, কমিশনের রেজিস্টারে আনুষ্ঠানিকভাবে প্রতিষ্ঠিত কোনো যাচাইকরণ এন্ডপয়েন্টের জন্য অপেক্ষা না করেই।