अपनी राय दें: हमने डीपीपी रजिस्टर विनियमन के संबंध में यूरोपीय आयोग को क्या लिखा।
ब्लॉगविनियमन08/05/2026

अपनी राय दें: हमने डीपीपी रजिस्टर विनियमन के संबंध में यूरोपीय आयोग को क्या लिखा।

खुली परामर्श प्रक्रिया में चार प्रस्तुतियाँ: डीपीपी सेवा प्रदाता दायित्वों की परिभाषा पर, दीर्घकालिक सत्यापनीयता पर, अनुच्छेद 17 के तहत डेटा साझाकरण पर, और कानून लागू होने से पहले एपीआई के प्रकाशन पर।

29 अप्रैल 2026 को, यूरोपीय आयोग ने [डीपीपी रजिस्टर पर मसौदा कार्यान्वयन विनियमन] प्रकाशित किया।law/better-regulation/have-your-say/initiatives/14382-Digital-product-passport-rules-for-service-providers_en) और, साथ ही, एक चार-सप्ताह की परामर्श अवधि शुरू की। 27 मई 2026 तक, यूरोपीय संघ और उससे बाहर का कोई भी व्यक्ति या संगठन ‘हैव योर से’ पोर्टल के माध्यम से अपनी प्रतिक्रिया जमा कर सकता है। प्रस्तुतियाँ सार्वजनिक होती हैं, प्रत्येक पर एक नाम या संगठन के साथ हस्ताक्षर किए जाते हैं, और उन्हें विनियमन के अंतिम संस्करण में आधिकारिक तौर पर शामिल किया जाएगा।

हमने यहाँ ब्लॉग पर मसौदे पर विस्तार से चर्चा की है। हम इस पोस्ट को इस सवाल को समर्पित कर रहे हैं कि हमने आयोग को क्या जवाब लिखा।

हमने चार अलग-अलग प्रस्तुतियाँ क्यों दीं

पोर्टल प्रति प्रस्तुति 4,000 अक्षर स्वीकार करता है। हम अपने सभी बिंदुओं को एक लंबी प्रस्तुति में संपीड़ित कर सकते थे। मई में दर्जनों प्रस्तुतियाँ पढ़ने वाले आयोग के कर्मचारियों के लिए इसे पढ़ना अधिक कठिन होता और इससे उद्धरण देना भी मुश्किल होता। चार अलग-अलग प्रस्तुतियाँ सार्वजनिक सूची में अलग से पाई जा सकती हैं, और अन्य बिंदुओं को प्रभावित किए बिना, प्रत्येक पर अलग से प्रतिक्रिया दी जा सकती है - या उसे अस्वीकार किया जा सकता है।

हमने निम्नलिखित चार विषय प्रस्तुत किए:

1. डीपीपी सेवा प्रदाताओं के लिए न्यूनतम आवश्यकताओं को परिभाषित करना

मसौदा विनियमन सही ढंग से विकेंद्रीकृत मॉडल को निर्धारित करता है: DPP डेटा आर्थिक ऑपरेटर या उनके DPP सेवा प्रदाता के पास होता है; आयोग का रजिस्टर केवल संदर्भों को संग्रहीत करता है। DPP सेवा प्रदाताओं के लिए अधिकृत प्रदाताओं की एक आधिकारिक सूची की परिकल्पना की गई है (ESPR का अनुच्छेद 2(32))।

जो बात गायब है, वह यह परिभाषा है कि इस सूची में शामिल होने और उसमें बने रहने के लिए एक सेवा प्रदाता को वास्तव में क्या करना होगा। संभवतः, मुख्य ESPR विनियमन की धारा 4 के अनुसार एक प्रत्यायित अधिनियम में सारभूत दायित्वों को निर्धारित किया जाएगा। हालाँकि, इस प्रत्यायित अधिनियम के प्रकाशित होने से पहले ही रजिस्टर लॉन्च कर दिया जाएगा।

हमारा प्रस्ताव: या तो इस कार्यान्वयन विनियमन में सीधे सेवा प्रदाताओं के लिए न्यूनतम मानदंड निर्धारित करें, या एक बाध्यकारी समय-सीमा निर्दिष्ट करें जिसके भीतर प्रत्यायित अधिनियम प्रस्तुत किया जाना चाहिए। प्रस्तावित न्यूनतम आवश्यकताओं में शामिल हैं:

  • सार्वजनिक डीपीपी रीड इंटरफ़ेस की प्रति माह कम से कम 99.5 प्रतिशत उपलब्धता
  • एक सेवा-स्तर का समझौता जो यह निर्दिष्ट करता है कि एक नए डीपीपी संस्करण को बैकअप में कितनी जल्दी शामिल किया जाना चाहिए (प्रस्ताव: 24 घंटे या वास्तविक समय में, जहां तकनीकी रूप से संभव हो)
  • सेवा प्रदाता द्वारा इनकमिंग संस्करणों का अनिवार्य क्रिप्टोग्राफिक सत्यापन
  • एक मानकीकृत पथ (RFC 8615, प्रस्ताव /.well-known/dpp-keys/) के तहत आर्थिक ऑपरेटर की सार्वजनिक कुंजियों का प्रकाशन
  • एक परिभाषित परिवर्तन और दिवालियापन प्रक्रिया यह सुनिश्चित करने के लिए कि प्रदाता की विफलता की स्थिति में DPP डेटा को एक अन्य प्रदाता में व्यवस्थित तरीके से स्थानांतरित किया जाए

ये दायित्व एक प्रतिष्ठित प्रदाता के लिए निःशुल्क हैं - वे वैसे भी उनका पालन करते हैं - लेकिन कम लागत वाले प्रदाताओं के बीच सबसे नीचें स्तर की होड़ को रोकते हैं, जो अंततः सूची को कमजोर कर देती है।

2. पंजीकृत डीपीपी की दीर्घकालिक सत्यापनीयता

अनुच्छेद 9(4) पंजीकरण के प्रमाण की उपलब्धता को 90 कैलेंडर दिनों तक सीमित करता है। इस अवधि के भीतर, पंजीकरण प्राधिकरण अनुरोध पर प्रमाण को फिर से उत्पन्न करेगा। यह दिन-प्रतिदिन के कामकाज के लिए ठीक है, लेकिन यह अंतर्निहित डीपीपी दायित्व के जीवनचक्र के अनुरूप नहीं है: अनुच्छेद 10(3) पंजीकरण से 10 साल की मानक प्रतिधारण अवधि निर्धारित करता है, जबकि क्षेत्र-विशिष्ट कानूनों में लंबी अवधियों की आवश्यकता हो सकती है।

2032 में एक बाज़ार निगरानी प्राधिकरण, एक सीमा शुल्क अधिकारी, एक पुनर्चक्रणकर्ता या एक शोधकर्ता यह सत्यापित करने में सक्षम होना चाहिए कि 2026 में पंजीकृत एक डीपीपी वास्तव में पंजीकृत था, इसके लिए उन्हें मूल आर्थिक ऑपरेटर के अभी भी मौजूद होने और एक नया प्रमाणपत्र अनुरोध करने में सक्षम होने पर निर्भर रहने की आवश्यकता नहीं होनी चाहिए।

हमारे दो प्रस्ताव लागू करने में सरल हैं:

  • इसे स्पष्ट रूप से स्पष्ट करें कि प्रमाण बाइट्स, जिन्हें आयोग द्वारा प्रमाणित और सील किया गया है, उन्हें आर्थिक ऑपरेटर या सेवा प्रदाता द्वारा कैश, संग्रहीत और पुनर्वितरित किया जा सकता है। eIDAS विनियमन के अनुच्छेद 35(2) के तहत योग्य सील में अखंडता और उत्पत्ति की धारणा शामिल होती है, चाहे बाइट्स कहीं भी स्थित हों।
  • रजिस्टर पर एक सार्वजनिक, अप्रमाणीकृत सत्यापन एंडपॉइंट जो एक पंजीकरण आईडी के लिए एक हस्ताक्षरित प्रतिक्रिया लौटाता है। वर्तमान में, किसी भी तीसरे पक्ष के सत्यापन के लिए आर्थिक ऑपरेटर को कार्रवाई करने की आवश्यकता होती है - यह एक ऐसे प्रमाण दस्तावेज़ के लिए गलत दृष्टिकोण है जिसे जारीकर्ता की मृत्यु के बाद भी जीवित रहना चाहिए।

इसके अतिरिक्त, हमने हैश जेनरेशन को निर्धारणात्मक रूप से परिभाषित करने का प्रस्ताव दिया है: हैश फ़ंक्शन के रूप में SHA-256, JSON कैनोनाइज़ेशन स्कीम (RFC 8785)⁠ को सीरियलाइज़ेशन के रूप में, सिग्नेचर ब्लॉक के बाहर। W3C इकोसिस्टम में, यह क्रिप्टोसुइट eddsa-jcs-2022 है, जिसका उपयोग Transpareo सीधे हस्ताक्षर करने के लिए करता है। इस पिनिंग विनिर्देशन के बिना, दो सेवा प्रदाता एक ही DPP को अलग-अलग हैश में सीरियलाइज़ करेंगे, और पंजीकरण प्रमाणपत्र में हैश फ़ील्ड पुन: उत्पन्न करने योग्य नहीं होगा।

3. लेख 17 को सार्वजनिक DPP डेटा तक पहुंच को प्रतिबंधित नहीं करना चाहिए

धारा 17 रजिस्टर के संभावित दुरुपयोग के रूप में ‘विशाल डेटा डाउनलोड’ का हवाला देती है। यह स्वयं रजिस्टर में संग्रहीत प्रशासनिक मेटाडेटा (पहचान, लॉग, ऑडिट ट्रेल) के संबंध में सही है - ये विशाल डाउनलोड में शामिल नहीं होने चाहिए।

हालाँकि, निर्माता या सेवा प्रदाता के पास मौजूद सार्वजनिक डीपीपी डेटा ठीक वही क्षेत्र है जिसे ईएसपीआर व्यापक रूप से सुलभ बनाने का लक्ष्य रखता है। पुनर्चक्रक जो उत्पाद बेड़े पर संघटन डेटा निकालते हैं; शोधकर्ता जो स्थिरता के दावों का क्रॉस-विश्लेषण करते हैं; बाज़ार निगरानी जो तुलनात्मक विश्लेषण करती है - ये सभी सार्वजनिक DPP परत से ‘विशाल डेटा डाउनलोड’ के रूप हैं और ये सभी इच्छित उपयोग हैं जिनके लिए विनियम का मसौदा तैयार किया गया था।

हमारा प्रस्ताव अनुच्छेद 17 में एक स्पष्टीकरण देने वाला वाक्य है जो डेटा पंजीकरण के दायरे को सीमित करता है और DPP डेटा के लिए, संबंधित क्षेत्र-विशिष्ट प्रत्यायित अधिनियमों का संदर्भ देता है। अन्यथा, सेवा प्रदाताओं को लॉन्च के समय एक विकल्प का सामना करना पड़ेगा: या तो सावधानी के तौर पर सार्वजनिक पहुँच के लिए एक्सेस दरों को आक्रामक रूप से सीमित करना - जिससे उपभोक्ता अनुभव खराब होगा - या इसे खुला छोड़ना और बाद में अनुच्छेद 17 के अर्थ के भीतर दुरुपयोग के रूप में वर्गीकृत होने का जोखिम उठाना।

4. लॉन्च से पहले OpenAPI विनिर्देश और सैंडबॉक्स प्रकाशित करें

अनुच्छेद 3(ख) पंजीकरण के लिए एक एपीआई की आवश्यकता है। अनुच्छेद 8(5) इसे पंजीकरण के लिए दो चैनलों में से एक के रूप में नामित करता है। हालांकि, विनियमन इस बारे में कुछ नहीं कहता है कि एपीआई अनुबंध कब प्रकाशित किया जाना है।

पंजीकरण वर्कफ़्लो को स्वचालित करने वाले किसी भी व्यक्ति - प्रत्येक सेवा प्रदाता और एक बड़े कैटलॉग वाले प्रत्येक आर्थिक ऑपरेटर - को इसे लागू करने और एक लाइव एंडपॉइंट पर इसका परीक्षण करने के लिए लॉन्च से बहुत पहले एपीआई विनिर्देश की आवश्यकता होती है। नियम के लागू होने से पहले वाले सप्ताह में विनिर्देश खोजने का बोझ पूरे इकोसिस्टम के सभी प्रदाताओं पर एकीकरण का जोखिम डाल देता है।

इसलिए हमने प्रस्तावित किया है:

  • विनियम के लागू होने से कम से कम आठ सप्ताह पहले एक OpenAPI 3.1 विनिर्देश प्रकाशित करना - 19 जुलाई 2026 की शुरुआत की तारीख के लिए, इसका मतलब 24 मई 2026 तक होगा।
  • एक समानांतर सैंडबॉक्स वातावरण जिसके खिलाफ सेवा प्रदाता और निर्माता अनुच्छेद 8(6) स्व-प्रमाणीकरण को एकीकृत और परीक्षण कर सकते हैं
  • Semver का उपयोग करते हुए एक संस्करण नीति, जिसमें कम से कम 18 महीने की अप्रचलन अवधि हो

अतिरिक्त डिज़ाइन सुझाव: पंजीकरण कॉल्स के लिए इडेम्पोटेंसी कुंजियाँ, बड़े कैटलॉग के लिए बैच पंजीकरण, वेबहुक कॉलबैक्स के साथ असिंक्रोनस पंजीकरण, और स्वचालित सत्यापन विफलताओं के लिए मशीन-पठनीय त्रुटि कोड।

हम ऐसा क्यों कर रहे हैं

परामर्श अंक बटोरने का खेल नहीं है। यदि हर प्रस्तुति अंतिम संस्करण में एक वाक्य को और अधिक सटीक बनाने में सफल हो जाती है, तो उसने अपना उद्देश्य पूरा कर लिया है। आयोग वास्तव में इन योगदानों को पढ़ता है - ESPR प्रक्रिया का अनुभव ही यह दर्शाता है कि तकनीकी रूप से ठोस प्रस्तुतियाँ अक्सर अंतिम पाठों पर अपनी छाप छोड़ती हैं।

हम किसी भी स्थिति में, प्रवेश प्रक्रिया प्रकाशित होते ही DPP सेवा प्रदाताओं की सूची में शामिल होने के लिए आवेदन करेंगे। इसलिए यह हमारे सीधे हित में है कि जिन नियमों के तहत हम प्रतिस्पर्धा करते हैं, वे सटीक हों और एक समान अवसर का माहौल बनाएं। ये चार योगदान यह सुनिश्चित करने का हमारा ठोस तरीका हैं कि यह सूची केवल एक विपणन लेबल तक सीमित न हो जाए।

कैसे शामिल हों

प्रतिक्रिया देने की अवधि 27 मई 2026 तक खुली है। योगदान यूरोपीय संघ की किसी भी आधिकारिक भाषा में दिए जा सकते हैं; आपको पोर्टल पर पंजीकरण करना होगा, और आपका योगदान सार्वजनिक रूप से दिखाई देगा। जो कोई भी डीपीपी जारी या सत्यापित करेगा - निर्माता, सेवा प्रदाता, रीसाइक्लर, सार्वजनिक प्राधिकरण - उसे कम से कम एक पल निकालकर अपनी राय दें⁠. एक संक्षिप्त, तकनीकी रूप से सटीक प्रस्तुति भी फर्क डालती है।

हमारा सत्यापन उपकरण ट्रांसपेरियो टाइम मशीन पहले से ही ओपन-सोर्स प्रैक्टिस में बिंदु 2 में उल्लिखित सत्यापन आवश्यकता को संबोधित करता है: कोई भी व्यक्ति जो स्वतंत्र रूप से Transpareo DPP का सत्यापन करना चाहता है, वह आज ही इस टूल का उपयोग करके ऐसा कर सकता है, और उसे आयोग के रजिस्टर में औपचारिक रूप से स्थापित सत्यापन एंडपॉइंट का इंतज़ार करने की ज़रूरत नहीं है।

डीपीपी रजिस्टर विनियम में संशोधन

जैसे ही आयोग प्राप्त प्रतिक्रिया का उत्तर दे देगा, हम मुख्य बिंदुओं का सारांश तैयार करके उन्हें आपके इनबॉक्स में भेज देंगे।