केंद्र सरकार ने 3 जनवरी, 2025 को डिजिटल पर्सनल डाटा प्रोटेक्शन (डीपीडीपी) एक्ट, 2023 के ड्राफ्ट नियम जारी किये, जिन पर 18 फरवरी, 2025 तक सुझाव मांगे गये हैं। सुझावों व आपत्तियों पर गौर करने और अगर आवश्यकता हुई तो सुझावों के अनुसार संशोधन करने के बाद नियमों को लागू किया जायेगा। नियमों का पालन सुनिश्चित करने के लिए सरकार एक डाटा प्रोटेक्शन बोर्ड का गठन करेगी, जो पूरी तरह से डिजिटल नियामक निकाय के रूप में काम करेगा। अगर बिना संशोधन के ड्राफ्ट नियम वैसे ही लागू किये जाते हैं जैसा कि जारी किये गये हैं तो सोशल मीडिया पर अकाउंट बनाने के लिए बच्चों को अपने माता-पिता से मंजूरी लेनी पड़ेगी यानी बच्चे अपनी मज़र्ी से सोशल अकाउंट नहीं बना सकेंगे। डीपीडीपी एक्ट में बच्चा उस व्यक्ति को बताया गया है, जिसकी आयु 18 वर्ष से कम हो। 
गौरतलब है कि ऑस्ट्रेलिया ने बच्चों को सोशल मीडिया के कुप्रभावों से सुरक्षित रखने के लिए उनके द्वारा अकाउंट बनाने पर पूर्ण प्रतिबंध लगाया है, जबकि भारत ने ‘सत्यापन योग्य मंजूरी’ का विकल्प खुला रखा है। ऑस्ट्रेलिया पहला ऐसा देश है, जहां बच्चों के सोशल मीडिया इस्तेमाल करने पर पाबंदी है। अगर इंटरनेट मीडिया प्लेटफॉर्म्स टिकटोक, फेसबुक, स्नेपचैट, रेडिट, एक्स और इंस्टाग्राम छोटे बच्चों को अकाउंट बनाने से रोकने में असफल होंगे तो उन पर 33 मिलियन डॉलर तक का जुर्माना लग सकता है। इस संदर्भ में भारत के आईटी सचिव एस. कृष्णन का कहना है, ‘ये वो चीज़ें हैं जिनके बारे में हर समाज को अपने तौर पर निर्णय लेने होते हैं। इसलिए यह सामाजिक बात है कि आप (बच्चों को) सोशल मीडिया पर जाने से पूरी तरह से रोकेंगे या नहीं। भारत के संदर्भ में, बहुत अधिक शिक्षा ऑनलाइन मिलती है। इसलिए अगर आप पूर्ण प्रतिबंध लगा देंगे तो क्या यह सही तरीका होगा? यह विस्तृत सामाजिक बहस है।’ 
ड्राफ्ट नियमों का एक अन्य महत्वपूर्ण पहलू यह है कि कानूनी संरक्षण के तहत बच्चों और दिव्यांग व्यक्तियों के व्यक्तिगत डाटा की सुरक्षा के लिए सख्त उपायों पर बल दिया गया है। ड्राफ्ट के मुताबिक डाटा फिडयूशरीज़ (वह संस्थाएं जो व्यक्तिगत डाटा को संभालने की ज़िम्मेदारी लेती हैं और एक्ट के तहत जिनमें ई-कॉमर्स, सोशल मीडिया व गेमिंग प्लेटफॉर्म्स को शामिल किया गया है) को नाबालिगों का डाटा संसाधित करने से पहले बच्चों के माता-पिता से अनुमति हासिल करनी होगी। अनुमति की पुष्टि के लिए डाटा फिडयूशरीज़ को सरकारी पहचान पत्र या डिजिटल पहचान टोकन (जैसे डिजिटल लाकर से जुड़े टोकन) का उपयोग करना होगा। प्लेटफॉर्म्स डाटा को अनुमति अवधि तक ही अपने पास रख सकते हैं। मसलन, अगर अनुमति छह माह के लिए दी गई है, तो इस अवधि के समाप्त होने पर डाटा को डिलीट करना होगा। वैसे शैक्षिक संस्थाओं और बाल कल्याण संगठनों को इन नियमों के कुछ प्रावधानों से छूट प्रदान की गई है। 
बच्चों के डाटा पर विशेष ध्यान देने के अतिरिक्त ड्राफ्ट नियमों में उपभोक्ताओं के अधिकारों को भी मज़बूत करने का प्रयास किया गया है। उपभोक्ता को यह अधिकार होगा कि वह अपने डाटा को हटवा सके और कम्पनियों से इस पारदर्शिता की मांग कर सके कि उसका डाटा क्यों और कैसे एकत्र किया जा रहा है। उपभोक्ता के पास यह हक भी होगा कि डाटा संग्रह की प्रक्रियाओं को चुनौती दे सके और डाटा उपयोग के लिए स्पष्टीकरण की मांग कर सके। डाटा उल्लंघन की स्थिति में 250 करोड़ रूपये तक का जुर्माना प्रस्तावित है। ज़ाहिर है कि इस नियम के लागू होने पर डाटा फिडयूशरीज़ की जिम्मेदारियां निर्धारित हो जायेंगी।
इससे भी महत्वपूर्ण यह है कि इन नियमों का पालन करने के लिए सरकार एक डाटा प्रोटेक्शन बोर्ड का गठन करेगी, जो पूर्णत: डिजिटल नियामक निकाय के रूप में काम करेगा। यह बोर्ड दूरस्थ सुनवायी करेगा, उल्लंघनों की जांच करेगा, सज़ा निर्धारित व लागू करेगा और सहमति प्रबंधकों को पंजीकृत करेगा। सहमति प्रबंधकों को बोर्ड के साथ पंजीकरण करना होगा। बहरहाल, अक्सर यह देखने में आता है कि बच्चे अपनी गलत जन्म तिथि देते हैं और खुद को वयस्क के तौर पर पेश करते हैं। पूर्णिया, बिहार के 17 वर्षीय आयुष जायसवाल (जिसे अब गिरफ्तार कर लिया गया है) ने ‘नासिर पठान’ की फज़र्ी आईडी बनाकर ही ‘कुंभ को बम से उड़ाने’ की धमकी दी थी। ड्राफ्ट नियमों में ऐसा कोई प्रस्ताव नहीं है जिससे बच्चों को रोका जा सके कि वह अपने बारे में गलत सूचनाएं प्रदान करके सोशल मीडिया पर आईडी न बना सकें। अंतिम ड्राफ्ट में इस कमी को दूर करने की आवश्यकता है। 
ड्राफ्ट नियमों के तहत यह कोशिश की गई है कि ‘व्यक्तिगत डाटा’ के कुछ निश्चित वर्ग भारत से बाहर ट्रांसफर न हो सकें। इस प्रकार के ट्रांसफर पर प्रतिबंध लगाया गया है। डाटा फिडयूशरीज़ से कहा गया है कि वह सुनिश्चित करें कि जिस व्यक्तिगत डाटा को केंद्र सरकार ने निर्दिष्ट किया हो वह भारत की भूमि के बाहर ट्रांसफर न किया जाये। टॉप सोशल मीडिया व इंटरनेट कम्पनियों जैसे मेटा, गूगल, एप्पल, अमेज़न व फ्लिपकार्ट के लिए यह पाबंदियां परेशानियों का कारण हो सकती हैं, इसलिए अनुमान यह है कि वह अपनी फाइलिंग व टिप्पणी में इन प्रावधानों पर आपत्ति व्यक्त कर सकती हैं। सरकार उनकी आपत्तियों को मानेगी या नहीं, यह समय ही बतायेगा। यहां यह बताना प्रासंगिक रहेगा कि ‘अवैध कंटेंट’ को हटाने के संदर्भ में सरकार और बड़ी टेक कम्पनियों के बीच हमेशा ही टकराव की स्थिति रही है। अब सरकार का कहना है कि बिग टेक उसकी बात मान रही हैं। एस कृष्णन के अनुसार, ‘वास्तव में अनुपालन में जबरदस्त वृद्धि हुई है और बहुत से केस तो ब्लॉकिंग का प्रश्न उठने से पहले ही हल किये जा रहे हैं। वह तुरंत कार्यवाही कर रही हैं। अपने सामुदायिक दिशा-निर्देशों पर आधारित या अवैध कंटेंट को हटाने के लिए सरकारी आग्रह पर अब वास्तव में बहुत कम समय में काम हो रहा है ...यह काम उल्लेखनीय तौर पर आगे बढ़ रहा है।’  अगस्त 2023 में जब डीपीडीपी कानून बना था तभी से बच्चों के डाटा प्रोसेसिंग से जुड़े प्रावधान विवाद का विषय रहे हैं। कई बड़ी टेक कम्पनियों जैसा मेटा व गूगल ने बच्चों की परिभाषा को 18 साल से घटाकर 14 वर्ष करने की मांग की थी। सिविल सोसाइटी व उद्योग के कुछ वर्गों ने चिंता व्यक्त की थी कि ऐसे नियम इनोवेशन पर असर डाल सकते हैं और टेक्नोलॉजी सेक्टर के लिए मुश्किल पैदा कर सकते हैं। अनुमान यह है कि ड्राफ्ट नियमों पर सार्वजनिक परामर्श से इन विवादों का हल निकल सकेगा और बच्चे व डाटा दोनों सुरक्षित रह सकेंगे।