परिचय
डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक 2022, इस कड़ी में 2017 के बाद चौथी पहल है. इसके तहत “समग्र वैधानिक ढांचे” का पहले से बेहतर स्वरूप हासिल करने की कोशिश की गई है. ये विधेयक ट्राएड-डेटा सिद्धांत, डेटा-न्यास और शिकायत निवारण की बुनियाद पर काम करता है. पहली नज़र में ये जनरल डेटा प्रोटेक्शन रेग्युलेशन (GDPR) के समान दिखाई देता है. बहरहाल इसमें कुछ स्वागतयोग्य बदलाव हैं तो कुछ धुंधले सवाल भी छिपे हैं. GDPR के विपरीत इस विधेयक में “नुक़सान”, “घाटे” और “सार्वजनिक हित” को मुखर रूप से परिभाषित किया गया है. विधेयक में व्यक्ति-विशेष के लिए अंग्रेज़ी के शब्द “her” और “she” का प्रयोग किया गया है, चाहे उसका लिंग कुछ भी क्यों ना हो. ये एक स्वागतयोग्य लोकप्रियतवादी और समावेशी क़दम है, जो भारत के वैधानिक इतिहास में पहली बार देखने को मिल रहा है.
जब कोई संप्रभु लोकतांत्रिक राज्यसत्ता अपने नागरिकों की निजता को वैश्विक व्यवस्था की आक्रामकता के ख़िलाफ़ संतुलित करने की कोशिश करती है, तो ये किरदार संभावित झुकावों को बेपर्दा करने का काम करते हैं.
छोटे-छोटे संदर्भों में अदूरदर्शिता भरी समझ की रोकथाम के लिए वैश्विक और घरेलू आयामों पर नज़दीकी से निग़ाह बनानी ज़रूरी हो जाती है. इनमें बहु-राष्ट्रीय गठजोड़ और “राज्यसत्ता की केंद्रीय भूमिका” से जुड़े मसले ख़ासतौर से शामिल हैं. जब कोई संप्रभु लोकतांत्रिक राज्यसत्ता अपने नागरिकों की निजता को वैश्विक व्यवस्था की आक्रामकता के ख़िलाफ़ संतुलित करने की कोशिश करती है, तो ये किरदार संभावित झुकावों को बेपर्दा करने का काम करते हैं. गतिशील स्वरूप वाले और आपस में उलझकर एक-दूसरे को प्रभावित करने वाले प्रौद्योगिकी वाहकों से बड़ी मात्रा में, तेज़ रफ़्तार वाले और विभिन्न स्वरूपों वाले डिजिटल नागरिक डेटा तैयार किए जा रहे हैं.
सिर पर मंडराती दुश्वारियां: बहु-राष्ट्रीय गठजोड़ और राज्यसत्ता की केंद्रीय भूमिका
इस दशक के अंत तक भारत के विश्व की तीसरी सबसे बड़ी अर्थव्यवस्था बन जाने का अनुमान है. ऐसे में यहां दुनिया के सबसे बड़े डिजिटल निजी डेटा में से एक के चिन्ह गतिशील और स्थिर रूप से मौजूद रहेंगे.
विश्व व्यवस्था में भारत की भूमिका का निरंतर विस्तार होता जा रहा है. ये विधेयक इसी बुनियाद पर खड़ा है. डिजिटल जगत की परिवर्तनकारी क़वायदों को सीमा पार फैलाने में जी20 की अध्यक्षता और अनेक मुक्त व्यापार समझौतों (FTA)/ क्षेत्रीय व्यापार क़रारों (RTA) की भूमिका के साथ-साथ भारत को भरोसे के साथ डेटा के मुक्त प्रवाह (DFFT) के समाधान भी ढूंढने होंगे. साथ ही सीमा-पार डेटा प्रवाहों के तौर-तरीक़े भी तलाशने होंगे. 2022 CERT-इंडिया गाइडलाइंस के क़रीब और उनके बाद बार-बार पूछे जाने वाले सवालों (जिसमें ये स्पष्ट किया गया कि “प्रौद्योगिकी के दस्तावेज़ भारत के बाहर भी भंडारित किए जा सकते हैं”), के बीच डिजिटल व्यक्तिगत डेटा संरक्षण बिल 2022, भारत के बाहर निजी डेटा के हस्तांतरण की सहूलियत देता है. विधेयक में “सार्वजनिक हित” में “विदेशी राज्यसत्ताओं के साथ दोस्ताना रिश्तों” को शामिल करते हुए “झूठे तथ्यों या सूचनाओं के प्रसार को रोकने (दुष्प्रचार की काट करने)” की क़वायद जोड़ी गई है. इस प्रावधान से केंद्र सरकार को उन देशों के नाम तय करने का अधिकार मिल जाएगा जहां भारत के निजी डेटा रखे जा सकेंगे. इससे क्वॉड और बिम्सटेक (क्षेत्रीय बहुपक्षीय समूहों) में राजनयिक समीकरण की गूंज सुनाई देगी. इस प्रावधान से डिजिटल क्लाउड की स्वीकार्यता को बढ़ावा मिलेगा. साथ ही पहले से ज़्यादा आधुनिक मशीन लर्निंग और आर्टिफ़िशियल इंटेलिजेंस एल्गोरिदम्स तैयार करने और उस हिसाब से सबको प्रशिक्षित करने के लिए डेटा का विशाल समूह हासिल होगा. इससे स्वास्थ्य सेवा, अंतरिक्ष प्रौद्योगिकी, भू-क्षेत्रीय गठजोड़, स्वायत्त वाहनों, आपदा प्रबंधन आदि में समस्या सुलझाने की ज़बरदस्त क़ाबिलियत हासिल होगी. बहरहाल, पूर्व में अधिसूचित किए गए देश शैतानी बर्ताव पर उतारू हो जाएं तो उस हालात में क्या करना है, इसको लेकर बिल ख़ामोश है. उनको आगे चलकर अधिसूचना से बाहर करने के लिए क्या प्रावधआन होंगे, इस बारे में भी कोई स्पष्टता नहीं है.
भारतीयों में डेटा की ज़बरदस्त भूख है. यहां व्यक्तिगत स्वरूप वाले विज्ञापनों से जुड़े प्रौद्योगिकी क्षेत्र की विशाल कंपनियां ज़बरदस्त रूप से सक्रिय हैं. ये कंपनियां बड़े पैमाने पर व्यक्तिगत, निजी और पहचान-योग्य डेटा संग्रहित करती हैं.
टेलीकॉम सब्सक्रिप्शन डेटा के मुताबिक भारत में वायरलेस टेलीफ़ोन सब्सक्राइबर्स की तादाद 1.15 अरब है. यहां विश्व में मोबाइल ऐप्लिकेशंस डाउनलोड करने वाली दूसरी सबसे बड़ी आबादी की रिहाइश है. फ़ेसबुक, इंस्टाग्राम, गूगल, स्नैपचैट, लिंक्डइन, ट्रूकॉलर, यूट्यूब आदि में से हरेक के डाउनलोड की संख्या 1 अरब से ज़्यादा है. भारतीयों में डेटा की ज़बरदस्त भूख है. यहां व्यक्तिगत स्वरूप वाले विज्ञापनों से जुड़े प्रौद्योगिकी क्षेत्र की विशाल कंपनियां ज़बरदस्त रूप से सक्रिय हैं. ये कंपनियां बड़े पैमाने पर व्यक्तिगत, निजी और पहचान-योग्य डेटा संग्रहित करती हैं. ये डेटा निचले स्तर पर अनेक प्रवाहों से गुज़रते हैं. इसके बाद डेटा न्यास, डेटा प्रॉसेसर्स की कड़ी में जोड़ देते हैं. यहां अक्सर डेटा न्यास का निचले प्रवाह वाले और बाद में आने वाले बदलावों पर कोई नियंत्रण नहीं होता. इसके अलावा विभिन्न ऐप्लिकेशंस में डिजिटल निजी डेटा की प्रॉसेसिंग और अनेक देशों में सर्वर्स का लेन-देन होता है. ज़ाहिर है इसके लिए बहु-राष्ट्रीय गठजोड़ ज़रूरी हो जाता है, लिहाज़ा “भारत की संप्रभुता और अखंडता, राज्यसत्ता की सुरक्षा, विदेशी राज्यसत्ताओं के साथ दोस्ताना रिश्तों, सार्वजनिक व्यवस्था बरक़रार रखने या इनमें से किसी के संदर्भ में भी संज्ञेय अपराधों के भड़कने की रोकथाम के हित में राज्यसत्ता की किसी भी तरह की केंद्रीय भूमिका” डिजिटल व्यक्तिगत डेटा सुरक्षा बिल के मौजूदा संस्करण की रियायतों के मातहत ही आते हैं.
भौतिक मुद्रा की तरह रिज़र्व बैंक ऑफ़ इंडिया (आरबीआई) की सेंट्रल बैंक डिजिटल करेंसी (CBDC) (sovereign digital currency के तौर पर इसके समानांतर शुरुआत और संरचना वाली) में गुमनामी को शामिल किया जाना ज़रूरी है. सभी तरह के डिजिटल लेन-देन अपने निशान और क्लाउड एनॉनिमिटी छोड़ते हैं. CBDC लेनदेनों के प्रबंधन के लिए आरबीआई ने प्रबंधित गुमनामी का सिद्धांत (“छोटे मूल्यों के लिए गुमनामी और बड़े मूल्य के लिए सुराग तलाशे जाने की सुविधा”) पेश किया है. नेशनल पेमेंट्स कॉरपोरेशन ऑफ़ इंडिया (NPCI) के मुताबिक अक्टूबर 2022 तक भारत में डिजिटल माध्यमों से हुए कुल लेनदेनों की तादाद 54 अरब हो तक पहुंच गई थी. मनी लॉन्ड्रिंग की रोकथाम की क़वायद सुनिश्चित करते हुए या आतंक के लिए वित्तीय कोष मुहैया कराए जाने पर नकेल लगाते हुए इतनी विशाल मात्रा में डिजिटल लेनदेनों में निजी डिजिटल गुमनामी के प्रबंध को संतुलित करने का काम लगभग नामुमकिन है. लिहाज़ा ये काम सीधे-सीधे “राज्यसत्ता की केंद्रीय भूमिका और औज़ार के तहत आता है.”
सुप्रीम कोर्ट के मुताबिक अगर केंद्र सरकार किसी निकाय की सकल शेयर पूंजी का धारण करे और उसके मौजूदा और भावी ख़र्चों के लिए आवंटन करे और अगर वो निकाय सरकारी गतिविधियों के साथ प्रासंगिकता बनाते हुए सार्वजनिक महत्व की गतिविधियों को अंजाम दे, तो वो “राज्यसत्ता के औज़ार” को जायज़ बना सकता है.
अस्पष्ट प्रावधान और नागरिकों के स्तर पर वैकल्पिक साधनों का सहारा लेने की क़वायदों के अभाव से केंद्र सरकार को गहन शक्तियां मिल सकती हैं, साथ ही उसे बड़े पैमाने पर टोही गतिविधियों के संचालन के लिए जवाबदेही से छूट भी मिल जाएगी.
इस कड़ी में केंद्र सरकार को सुरक्षा, संप्रभुता और भारत की अखंडता और आंतरिक रूप से सार्वजनिक व्यवस्था बरक़रार रखने के ज़रूरी सरोकारों से लैस करना आवश्यक है. बहरहाल, इस सिलसिले में मिश्रित रूप से हतोत्साहित करने वाला कारक है- रियायतों से भरी विस्तारित सूची, जिसकी बातें, जवाबदेहियां और दलीलें अस्पष्ट हैं. शिकायत निवारण के सिलसिले में “संरचना के हिसाब से डिजिटल” “भारतीय डेटा संरक्षण बोर्ड” में सेवा स्तरों में परिभाषा की कमी (जैसे बदलाव का समय और जवाबदेही से जुड़े समीकरण) मायूस करने वाला वाक़या है. अस्पष्ट प्रावधान और नागरिकों के स्तर पर वैकल्पिक साधनों का सहारा लेने की क़वायदों के अभाव से केंद्र सरकार को गहन शक्तियां मिल सकती हैं, साथ ही उसे बड़े पैमाने पर टोही गतिविधियों के संचालन के लिए जवाबदेही से छूट भी मिल जाएगी. ऐसे हालात विधेयक के बुनियादी मक़सद को ही नाकाम कर देंगे. इनसे नागरिकों की निजता में राज्यसत्ता के बेरोकटोक दख़ल के ख़िलाफ़ नागरिकों को उपलब्ध समग्र और व्यावहारिक उपायों से जुड़े प्राथमिक लक्ष्य बेपटरी हो जाएंगे. ज़ाहिर है नागरिकों की निजता से जुड़ी ज़रूरतों को बिल में सुधार के ज़रिए शामिल किया जाना चाहिए.
संशोधनों और दखलंदाज़ियों के सुझाव
- “रज़ामंदी” के खंड में बिल में ये बात साफ़ साफ़ कही जानी चाहिए कि कंसेंट मैनेजर एक कंसेंट बॉट हो. डेटा न्यास को अपने उपयोगकर्ताओं को निजी डेटा की प्रॉसेसिंग से जुड़ी तमाम जानकारियां देनी चाहिए. साथ ही बॉट द्वारा डोमेन में किए जाने वाले भंडारणों की भी सूचना दी जानी चाहिए. निजी डेटा दस्तावेज़ों की प्रॉसेसिंग करने वाली कूकीज़ की सक्रियता के लिए बिना लाग-लपेट के और साफ़-साफ़ रज़ामंदी मांगी जानी चाहिए. साथ ही इकट्ठा की गई सहमतियों को सुरक्षित रूप से भंडारित करते हुए निश्चित मियाद में उनका नवीकरण किया जाना चाहिए. सहमतियों के नवीकरण की मियाद ख़त्म हो जाने के बाद संग्रहित और प्रॉसेस किए गए डेटा को निश्चित रूप से नष्ट कर दिया जाना चाहिए और डेटा प्रिंसिपल को इसकी सटीक जानकारी मुहैया कराई जानी चाहिए. सहमति को भ्रामक नियमों पर आधारित या प्रयोगकर्ता के बर्ताव से जुड़े डेटा-एनालाइज़िंग बॉट्स या सीधे-सादे कैप्चा की आड़ में छिपाया नहीं जाना चाहिए.
- ये विधेयक “निजी डेटा की ऐसी प्रॉसेसिंग, जिससे बच्चों को नुक़सान पहुंचने की आशंका हो” की इजाज़त नहीं देता. साथ ही “बच्चों की टोह लगाने या उनके बर्तावों पर निगरानी करने या बच्चों को लक्षित कर विज्ञापन तैयार करने की क़वायदों” को भी ख़ारिज करता है. विधेयक से जुड़ा ये तथ्य इसका एक अहम आयाम है. बच्चों से जुड़े किसी डेटा की प्रॉसेसिंग से पहले डेटा न्यास को उनके अभिभावकों से सत्यापन-योग्य सहमति लेने की दरकार होती है. भारत में छात्रों की आबादी, 18 साल से कम आयु का होने पर क़ानूनी रूप से एक “बच्चे” की श्रेणी में आती है. भारत में छात्रों की बिरादरी (2022 में 35 करोड़ से भी ज़्यादा) दुनिया में छात्रों का सबसे बड़ा निकाय तैयार करती है. ये प्रावधान यूट्यूब, एमेज़ॉन, स्पॉटीफ़ाई, मेटा, गूगल जैसे डेटा न्यासों को बच्चों को लक्षित विज्ञापनों का उपभोक्ता बनाने से रोकती है. विज्ञापन या सब्सक्रिप्शन-केंद्रित विशाल तकनीकी कंपनियां, विज्ञापनों या सब्सक्रिप्शनों से पीछा छुड़ाने के लिए इस शर्त के दुरुपयोग के प्रति किस तरह का रवैया रखती हैं, ये देखना अभी बाक़ी है. बहरहाल, इस प्रावधान को ज़मीन पर उतारने के लिए शिकायत निवारण से जुड़ी ठोस व्यवस्था की दरकार होगी.
- परिभाषाओं में “सार्वजनिक हित” में “वस्तुओं और सेवाओं के शांतिपूर्ण उत्पादन, उपभोग और विकास के साथ-साथ इस क़वायद में लोगों के रोज़गार या उद्यमिता में लगाए जाने” को शामिल किया जाना चाहिए.
- “अधिनियम की तामील” खंड के तहत आने वाले उपखंडों में चार शर्तों के जाल और नियमावलियों के अमल को अलग से और साफ़ साफ़ प्रदर्शित किया जाना चाहिए. इनमें (क) भारत के भीतर के नागरिक, भारत के बाहर प्रॉसेस किए गए व्यक्तिगत डेटा; (ख) भारत के भीतर के नागरिक, भारत में ही प्रॉसेस किए गए व्यक्तिगत डेटा; (ग) भारत के बाहर के नागरिक, भारत के बाहर प्रॉसेस किए गए निजी डेटा; और (घ) भारत के बाहर के नागरिक, भारत में प्रॉसेस किए गए निजी डेटा; शामिल हैं. विशाल पैमाने पर भंडारण की सुविधा वाले और अलग किए जा सकने वाले उपकरणों में बड़ी मात्रा में डिजिटल निजी डेटा के प्रसारण या भारतीय सीमा से बाहर उनकी प्रॉसेसिंग के मामले में “ऑफ़लाइन निजी डेटा” पर इस विधेयक में कोई स्पष्टता नहीं है.
- सुनवाई के पर्याप्त अवसर देने के साथ-साथ विधेयक में नियम-पालना ना होने पर “ऐसे हर वाक़ये पर अधिकतम 500 करोड़ रु के” सख़्त जुर्माने का प्रावधान है. निश्चित रूप से बचाव की भरोसेमंद व्यवस्था तैयार करने के लिए ऐसे दंडनीय प्रावधान आवश्यक हैं, हालांकि इस तरह के भारी जुर्माने से भारत में लगातार फलते-फूलते स्टार्ट-अप इकोसिस्टम (वैश्विक स्तर पर तीसरा सबसे बड़ा) पर ज़बरदस्त मार पड़ने की आशंका रहेगी. लिहाज़ा बचावकारी उपायों और उद्यमी जोश के बीच संतुलन क़ायम करने के लिए जुर्माने की रैंप-आधारित प्रणाली का प्रस्ताव किया जाता है.
- बिल में डिजिटल व्यक्तिगत डेटा प्रॉसेसिंग और उसकी स्मृति की मियाद सीमा, उसको नष्ट करने की प्रक्रिया और घोषित स्मृति मियाद के बाद डेटा प्रिंसिपल से तस्दीक़ के बारे में कुछ भी नहीं कहा गया है. साथ ही वैधानिक या कारोबारी मक़सदों के लिए ज़रूरी मियाद के बारे में भी कोई स्पष्टता नहीं है. निश्चित रूप से ऐसी तमाम प्रणालियां समयसीमा-आधारित होनी चाहिए.
- स्थानीय एक-भाषी नागरिकों के लिए “OR” शर्त की बजाए, बिल की शर्त को संशोधित कर इसमें “अंग्रेज़ी में और भारतीय संविधान की आठवीं अनुसूची में दी गई किन्हीं 2 भाषाओं” को जोड़ा जाना चाहिए.
- क्या डेटा प्रॉसेसर्स के ठेकों में आगे चलकर या निचली प्रवाही श्रृंखला में डिजिटल डेटा प्रोटेक्शन या किसी तरह की चूक के लिए प्राथमिक डेटा न्यास को ज़िम्मेदार ठहराया जाएगा? डेटा प्रॉसेसर्स की इस श्रृंखला में निजी डेटा में घुसपैठ की घटना में कौन सा डेटा प्रोटेक्शन ऑफ़िसर, डेटा प्रिंसिपल के सवालों और शिकायतों के प्रति जवाबदेह होगा? संशोधित विधेयक में इन सवालों के जवाब शामिल करना निहायत ज़रूरी है.
- क्या भारत के डेटा प्रोटेक्शन बोर्ड द्वारा नियमित कार्रवाइयों में जमा किए गए डेटा को भी इस अधिनियम के ज़रिए सुरक्षित नहीं बनाया जाना चाहिए? बोर्ड या उसके अध्यक्ष, सदस्य, कर्मचारी या अधिकारी के ख़िलाफ “ना तो कोई मुक़दमा, ना ही अभियोग और ना ही किन्हीं दूसरी वैधानिक कार्यवाहियों” की व्यवस्था क्यों होनी चाहिए?
- ये बिल CCTV के विशाल जाल या दूसरे वीडियो/ऑडियो रिकॉर्डिंगो के ग़ैर-रज़ामंदी वाले स्वरूपों और उनके बेज़ा इस्तेमाल पर ख़ामोश है. इसका दुरुपयोग, सूचना प्रौद्योगिकी अधिनियम 2000 के साथ-साथ भारतीय संविधान की धारा 21 का भी उल्लंघन है. इन मामलों में भारतीय दंड संहिता के दफ़ा 500 और 506 के तहत मानहानि के मुक़दमों की भी इजाज़त है. क्या इन जुर्मानों को भी नियम पालना नहीं किए जाने से जुड़े दूसरे जुर्मानों के साथ जोड़ा जाएगा?
निष्कर्ष
राष्ट्रीय सुरक्षा, सार्वजनिक व्यवस्था, कारोबारी सहूलियत, वैश्विक कूटनीति और सीमा-पार सहयोग, प्रौद्योगिकी की रफ़्तार, डेटा वॉल्यूम्स में संतुलन क़ायम करने, जैसी क़वायदों में डिजिटल व्यक्तिगत डेटा सुरक्षा विधेयक 2000 बेहतरीन ढंग से संतुलन बिठाता है. हालांकि, स्थापना के शुरुआती चरणों में केंद्र सरकार को आगे बढ़ने के लिए विकल्प खुले रखने चाहिए. अगर इससे जुड़ी चिंताओं और सुधारों को उनके क्रमिक संदर्भों में बिना लाग-लपेट के ज़मीन पर उतारा गया तो ये विधेयक वैश्विक स्तर पर डिजिटल व्यक्तिगत डेटा सुरक्षा क़ानूनों की अगुवाई करने लायक़ बन सकता है.
The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.