Published on Dec 13, 2022 Updated 0 Hours ago

डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक की ताज़ा कड़ी में कई स्वागतयोग्य बदलाव दिखाई देते हैं, हालांकि इसमें मौजूद ख़ामियों का निपटारा भी ज़रूरी है.

Digital Data Protection Bill 2022: विधेयक से उभरती चिंताएं और उनमें सुधार से जुड़े प्रस्ताव

परिचय

डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक 2022, इस कड़ी में 2017 के बाद चौथी पहल है. इसके तहत “समग्र वैधानिक ढांचे” का पहले से बेहतर स्वरूप हासिल करने की कोशिश की गई है. ये विधेयक ट्राएड-डेटा सिद्धांत, डेटा-न्यास और शिकायत निवारण की बुनियाद पर काम करता है. पहली नज़र में ये जनरल डेटा प्रोटेक्शन रेग्युलेशन (GDPR) के समान दिखाई देता है. बहरहाल इसमें कुछ स्वागतयोग्य बदलाव हैं तो कुछ धुंधले सवाल भी छिपे हैं. GDPR के विपरीत इस विधेयक में “नुक़सान”, “घाटे” और “सार्वजनिक हित” को मुखर रूप से परिभाषित किया गया है. विधेयक में व्यक्ति-विशेष के लिए अंग्रेज़ी के शब्द “her” और “she” का प्रयोग किया गया है, चाहे उसका लिंग कुछ भी क्यों ना हो. ये एक स्वागतयोग्य लोकप्रियतवादी और समावेशी क़दम है, जो भारत के वैधानिक इतिहास में पहली बार देखने को मिल रहा है. 

जब कोई संप्रभु लोकतांत्रिक राज्यसत्ता अपने नागरिकों की निजता को वैश्विक व्यवस्था की आक्रामकता के ख़िलाफ़ संतुलित करने की कोशिश करती है, तो ये किरदार संभावित झुकावों को बेपर्दा करने का काम करते हैं.

छोटे-छोटे संदर्भों में अदूरदर्शिता भरी समझ की रोकथाम के लिए वैश्विक और घरेलू आयामों पर नज़दीकी से निग़ाह बनानी ज़रूरी हो जाती है. इनमें बहु-राष्ट्रीय गठजोड़ और “राज्यसत्ता की केंद्रीय भूमिका” से जुड़े मसले ख़ासतौर से शामिल हैं. जब कोई संप्रभु लोकतांत्रिक राज्यसत्ता अपने नागरिकों की निजता को वैश्विक व्यवस्था की आक्रामकता के ख़िलाफ़ संतुलित करने की कोशिश करती है, तो ये किरदार संभावित झुकावों को बेपर्दा करने का काम करते हैं. गतिशील स्वरूप वाले और आपस में उलझकर एक-दूसरे को प्रभावित करने वाले प्रौद्योगिकी वाहकों से बड़ी मात्रा में, तेज़ रफ़्तार वाले और विभिन्न स्वरूपों वाले डिजिटल नागरिक डेटा तैयार किए जा रहे हैं. 

सिर पर मंडराती दुश्वारियां: बहु-राष्ट्रीय गठजोड़ और राज्यसत्ता की केंद्रीय भूमिका

इस दशक के अंत तक भारत के विश्व की तीसरी सबसे बड़ी अर्थव्यवस्था बन जाने का अनुमान है. ऐसे में यहां दुनिया के सबसे बड़े डिजिटल निजी डेटा में से एक के चिन्ह गतिशील और स्थिर रूप से मौजूद रहेंगे.  

विश्व व्यवस्था में भारत की भूमिका का निरंतर विस्तार होता जा रहा है. ये विधेयक इसी बुनियाद पर खड़ा है. डिजिटल जगत की परिवर्तनकारी क़वायदों को सीमा पार फैलाने में जी20 की अध्यक्षता और अनेक मुक्त व्यापार समझौतों (FTA)/ क्षेत्रीय व्यापार क़रारों (RTA) की भूमिका के साथ-साथ भारत को भरोसे के साथ डेटा के मुक्त प्रवाह (DFFT) के समाधान भी ढूंढने होंगे. साथ ही सीमा-पार डेटा प्रवाहों के तौर-तरीक़े भी तलाशने होंगे. 2022 CERT-इंडिया गाइडलाइंस के क़रीब और उनके बाद बार-बार पूछे जाने वाले सवालों (जिसमें ये स्पष्ट किया गया कि “प्रौद्योगिकी के दस्तावेज़ भारत के बाहर भी भंडारित किए जा सकते हैं”), के बीच डिजिटल व्यक्तिगत डेटा संरक्षण बिल 2022, भारत के बाहर निजी डेटा के हस्तांतरण की सहूलियत देता है. विधेयक में “सार्वजनिक हित” में “विदेशी राज्यसत्ताओं के साथ दोस्ताना रिश्तों” को शामिल करते हुए “झूठे तथ्यों या सूचनाओं के प्रसार को रोकने (दुष्प्रचार की काट करने)” की क़वायद जोड़ी गई है. इस प्रावधान से केंद्र सरकार को उन देशों के नाम तय करने का अधिकार मिल जाएगा जहां भारत के निजी डेटा रखे जा सकेंगे. इससे क्वॉड और बिम्सटेक (क्षेत्रीय बहुपक्षीय समूहों) में राजनयिक समीकरण की गूंज सुनाई देगी. इस प्रावधान से डिजिटल क्लाउड की स्वीकार्यता को बढ़ावा मिलेगा. साथ ही पहले से ज़्यादा आधुनिक मशीन लर्निंग और आर्टिफ़िशियल इंटेलिजेंस एल्गोरिदम्स तैयार करने और उस हिसाब से सबको प्रशिक्षित करने के लिए डेटा का विशाल समूह हासिल होगा. इससे स्वास्थ्य सेवा, अंतरिक्ष प्रौद्योगिकी, भू-क्षेत्रीय गठजोड़, स्वायत्त वाहनों, आपदा प्रबंधन आदि में समस्या सुलझाने की ज़बरदस्त क़ाबिलियत हासिल होगी. बहरहाल, पूर्व में अधिसूचित किए गए देश शैतानी बर्ताव पर उतारू हो जाएं तो उस हालात में क्या करना है, इसको लेकर बिल ख़ामोश है. उनको आगे चलकर अधिसूचना से बाहर करने के लिए क्या प्रावधआन होंगे, इस बारे में भी कोई स्पष्टता नहीं है. 

भारतीयों में डेटा की ज़बरदस्त भूख है. यहां व्यक्तिगत स्वरूप वाले विज्ञापनों से जुड़े प्रौद्योगिकी क्षेत्र की विशाल कंपनियां ज़बरदस्त रूप से सक्रिय हैं. ये कंपनियां बड़े पैमाने पर व्यक्तिगत, निजी और पहचान-योग्य डेटा संग्रहित करती हैं.

टेलीकॉम सब्सक्रिप्शन डेटा के मुताबिक भारत में वायरलेस टेलीफ़ोन सब्सक्राइबर्स की तादाद 1.15 अरब है. यहां विश्व में मोबाइल ऐप्लिकेशंस डाउनलोड करने वाली दूसरी सबसे बड़ी आबादी की रिहाइश है. फ़ेसबुक, इंस्टाग्राम, गूगल, स्नैपचैट, लिंक्डइन, ट्रूकॉलर, यूट्यूब आदि में से हरेक के डाउनलोड की संख्या 1 अरब से ज़्यादा है. भारतीयों में डेटा की ज़बरदस्त भूख है. यहां व्यक्तिगत स्वरूप वाले विज्ञापनों से जुड़े प्रौद्योगिकी क्षेत्र की विशाल कंपनियां ज़बरदस्त रूप से सक्रिय हैं. ये कंपनियां बड़े पैमाने पर व्यक्तिगत, निजी और पहचान-योग्य डेटा संग्रहित करती हैं. ये डेटा निचले स्तर पर अनेक प्रवाहों से गुज़रते हैं. इसके बाद डेटा न्यास, डेटा प्रॉसेसर्स की कड़ी में जोड़ देते हैं. यहां अक्सर डेटा न्यास का निचले प्रवाह वाले और बाद में आने वाले बदलावों पर कोई नियंत्रण नहीं होता. इसके अलावा विभिन्न ऐप्लिकेशंस में डिजिटल निजी डेटा की प्रॉसेसिंग और अनेक देशों में सर्वर्स का लेन-देन होता है. ज़ाहिर है इसके लिए बहु-राष्ट्रीय गठजोड़ ज़रूरी हो जाता है, लिहाज़ा “भारत की संप्रभुता और अखंडता, राज्यसत्ता की सुरक्षा, विदेशी राज्यसत्ताओं के साथ दोस्ताना रिश्तों, सार्वजनिक व्यवस्था बरक़रार रखने या इनमें से किसी के संदर्भ में भी संज्ञेय अपराधों के भड़कने की रोकथाम के हित में राज्यसत्ता की किसी भी तरह की केंद्रीय भूमिका” डिजिटल व्यक्तिगत डेटा सुरक्षा बिल के मौजूदा संस्करण की रियायतों के मातहत ही आते हैं. 

भौतिक मुद्रा की तरह रिज़र्व बैंक ऑफ़ इंडिया (आरबीआई) की सेंट्रल बैंक डिजिटल करेंसी (CBDC) (sovereign digital currency के तौर पर इसके समानांतर शुरुआत और संरचना वाली) में गुमनामी को शामिल किया जाना ज़रूरी है. सभी तरह के डिजिटल लेन-देन अपने निशान और क्लाउड एनॉनिमिटी छोड़ते हैं. CBDC लेनदेनों के प्रबंधन के लिए आरबीआई ने प्रबंधित गुमनामी का सिद्धांत (“छोटे मूल्यों के लिए गुमनामी और बड़े मूल्य के लिए सुराग तलाशे जाने की सुविधा”) पेश किया है. नेशनल पेमेंट्स कॉरपोरेशन ऑफ़ इंडिया (NPCI) के मुताबिक अक्टूबर 2022 तक भारत में डिजिटल माध्यमों से हुए कुल लेनदेनों की तादाद 54 अरब हो तक पहुंच गई थी. मनी लॉन्ड्रिंग की रोकथाम की क़वायद सुनिश्चित करते हुए या आतंक के लिए वित्तीय कोष मुहैया कराए जाने पर नकेल लगाते हुए इतनी विशाल मात्रा में डिजिटल लेनदेनों में निजी डिजिटल गुमनामी के प्रबंध को संतुलित करने का काम लगभग नामुमकिन है. लिहाज़ा ये काम सीधे-सीधे “राज्यसत्ता की केंद्रीय भूमिका और औज़ार के तहत आता है.”

सुप्रीम कोर्ट के मुताबिक अगर केंद्र सरकार किसी निकाय की सकल शेयर पूंजी का धारण करे और उसके मौजूदा और भावी ख़र्चों के लिए आवंटन करे और अगर वो निकाय सरकारी गतिविधियों के साथ प्रासंगिकता बनाते हुए सार्वजनिक महत्व की गतिविधियों को अंजाम दे, तो वो “राज्यसत्ता के औज़ार” को जायज़ बना सकता है. 

अस्पष्ट प्रावधान और नागरिकों के स्तर पर वैकल्पिक साधनों का सहारा लेने की क़वायदों के अभाव से केंद्र सरकार को गहन शक्तियां मिल सकती हैं, साथ ही उसे बड़े पैमाने पर टोही गतिविधियों के संचालन के लिए जवाबदेही से छूट भी मिल जाएगी.

इस कड़ी में केंद्र सरकार को सुरक्षा, संप्रभुता और भारत की अखंडता और आंतरिक रूप से सार्वजनिक व्यवस्था बरक़रार रखने के ज़रूरी सरोकारों से लैस करना आवश्यक है. बहरहाल, इस सिलसिले में मिश्रित रूप से हतोत्साहित करने वाला कारक है- रियायतों से भरी विस्तारित सूची, जिसकी बातें, जवाबदेहियां और दलीलें अस्पष्ट हैं. शिकायत निवारण के सिलसिले में “संरचना के हिसाब से डिजिटल” “भारतीय डेटा संरक्षण बोर्ड” में सेवा स्तरों में परिभाषा की कमी (जैसे बदलाव का समय और जवाबदेही से जुड़े समीकरण) मायूस करने वाला वाक़या है. अस्पष्ट प्रावधान और नागरिकों के स्तर पर वैकल्पिक साधनों का सहारा लेने की क़वायदों के अभाव से केंद्र सरकार को गहन शक्तियां मिल सकती हैं, साथ ही उसे बड़े पैमाने पर टोही गतिविधियों के संचालन के लिए जवाबदेही से छूट भी मिल जाएगी. ऐसे हालात विधेयक के बुनियादी मक़सद को ही नाकाम कर देंगे. इनसे नागरिकों की निजता में राज्यसत्ता के बेरोकटोक दख़ल के ख़िलाफ़ नागरिकों को उपलब्ध समग्र और व्यावहारिक उपायों से जुड़े प्राथमिक लक्ष्य बेपटरी हो जाएंगे. ज़ाहिर है नागरिकों की निजता से जुड़ी ज़रूरतों को बिल में सुधार के ज़रिए शामिल किया जाना चाहिए. 

संशोधनों और दखलंदाज़ियों के सुझाव

  • “रज़ामंदी” के खंड में बिल में ये बात साफ़ साफ़ कही जानी चाहिए कि कंसेंट मैनेजर एक कंसेंट बॉट हो. डेटा न्यास को अपने उपयोगकर्ताओं को निजी डेटा की प्रॉसेसिंग से जुड़ी तमाम जानकारियां देनी चाहिए. साथ ही बॉट द्वारा डोमेन में किए जाने वाले भंडारणों की भी सूचना दी जानी चाहिए. निजी डेटा दस्तावेज़ों की प्रॉसेसिंग करने वाली कूकीज़ की सक्रियता के लिए बिना लाग-लपेट के और साफ़-साफ़ रज़ामंदी मांगी जानी चाहिए. साथ ही इकट्ठा की गई सहमतियों को सुरक्षित रूप से भंडारित करते हुए निश्चित मियाद में उनका नवीकरण किया जाना चाहिए. सहमतियों के नवीकरण की मियाद ख़त्म हो जाने के बाद संग्रहित और प्रॉसेस किए गए डेटा को निश्चित रूप से नष्ट कर दिया जाना चाहिए और डेटा प्रिंसिपल को इसकी सटीक जानकारी मुहैया कराई जानी चाहिए. सहमति को भ्रामक नियमों पर आधारित या प्रयोगकर्ता के बर्ताव से जुड़े डेटा-एनालाइज़िंग बॉट्स या सीधे-सादे कैप्चा की आड़ में छिपाया नहीं जाना चाहिए.
  • ये विधेयक “निजी डेटा की ऐसी प्रॉसेसिंग, जिससे बच्चों को नुक़सान पहुंचने की आशंका हो” की इजाज़त नहीं देता. साथ ही “बच्चों की टोह लगाने या उनके बर्तावों पर निगरानी करने या बच्चों को लक्षित कर विज्ञापन तैयार करने की क़वायदों” को भी ख़ारिज करता है. विधेयक से जुड़ा ये तथ्य इसका एक अहम आयाम है. बच्चों से जुड़े किसी डेटा की प्रॉसेसिंग से पहले डेटा न्यास को उनके अभिभावकों से सत्यापन-योग्य सहमति लेने की दरकार होती है. भारत में छात्रों की आबादी, 18 साल से कम आयु का होने पर क़ानूनी रूप से एक “बच्चे” की श्रेणी में आती है. भारत में छात्रों की बिरादरी (2022 में 35 करोड़ से भी ज़्यादा) दुनिया में छात्रों का सबसे बड़ा निकाय तैयार करती है. ये प्रावधान यूट्यूब, एमेज़ॉन, स्पॉटीफ़ाई, मेटा, गूगल जैसे डेटा न्यासों को बच्चों को लक्षित विज्ञापनों का उपभोक्ता बनाने से रोकती है. विज्ञापन या सब्सक्रिप्शन-केंद्रित विशाल तकनीकी कंपनियां, विज्ञापनों या सब्सक्रिप्शनों से पीछा छुड़ाने के लिए इस शर्त के दुरुपयोग के प्रति किस तरह का रवैया रखती हैं, ये देखना अभी बाक़ी है. बहरहाल, इस प्रावधान को ज़मीन पर उतारने के लिए शिकायत निवारण से जुड़ी ठोस व्यवस्था की दरकार होगी.
  • परिभाषाओं में “सार्वजनिक हित” में “वस्तुओं और सेवाओं के शांतिपूर्ण उत्पादन, उपभोग और विकास के साथ-साथ इस क़वायद में लोगों के रोज़गार या उद्यमिता में लगाए जाने” को शामिल किया जाना चाहिए.
  • “अधिनियम की तामील” खंड के तहत आने वाले उपखंडों में चार शर्तों के जाल और नियमावलियों के अमल को अलग से और साफ़ साफ़ प्रदर्शित किया जाना चाहिए. इनमें (क) भारत के भीतर के नागरिक, भारत के बाहर प्रॉसेस किए गए व्यक्तिगत डेटा; (ख) भारत के भीतर के नागरिक, भारत में ही प्रॉसेस किए गए व्यक्तिगत डेटा; (ग) भारत के बाहर के नागरिक, भारत के बाहर प्रॉसेस किए गए निजी डेटा; और (घ) भारत के बाहर के नागरिक, भारत में प्रॉसेस किए गए निजी डेटा; शामिल हैं. विशाल पैमाने पर भंडारण की सुविधा वाले और अलग किए जा सकने वाले उपकरणों में बड़ी मात्रा में डिजिटल निजी डेटा के प्रसारण या भारतीय सीमा से बाहर उनकी प्रॉसेसिंग के मामले में “ऑफ़लाइन निजी डेटा” पर इस विधेयक में कोई स्पष्टता नहीं है.
  • सुनवाई के पर्याप्त अवसर देने के साथ-साथ विधेयक में नियम-पालना ना होने पर “ऐसे हर वाक़ये पर अधिकतम 500 करोड़ रु के” सख़्त जुर्माने का प्रावधान है. निश्चित रूप से बचाव की भरोसेमंद व्यवस्था तैयार करने के लिए ऐसे दंडनीय प्रावधान आवश्यक हैं, हालांकि इस तरह के भारी जुर्माने से भारत में लगातार फलते-फूलते स्टार्ट-अप इकोसिस्टम (वैश्विक स्तर पर तीसरा सबसे बड़ा) पर ज़बरदस्त मार पड़ने की आशंका रहेगी. लिहाज़ा बचावकारी उपायों और उद्यमी जोश के बीच संतुलन क़ायम करने के लिए जुर्माने की रैंप-आधारित प्रणाली का प्रस्ताव किया जाता है.
  • बिल में डिजिटल व्यक्तिगत डेटा प्रॉसेसिंग और उसकी स्मृति की मियाद सीमा, उसको नष्ट करने की प्रक्रिया और घोषित स्मृति मियाद के बाद डेटा प्रिंसिपल से तस्दीक़ के बारे में कुछ भी नहीं कहा गया है. साथ ही वैधानिक या कारोबारी मक़सदों के लिए ज़रूरी मियाद के बारे में भी कोई स्पष्टता नहीं है. निश्चित रूप से ऐसी तमाम प्रणालियां समयसीमा-आधारित होनी चाहिए. 
  • स्थानीय एक-भाषी नागरिकों के लिए “OR” शर्त की बजाए, बिल की शर्त को संशोधित कर इसमें “अंग्रेज़ी में और भारतीय संविधान की आठवीं अनुसूची में दी गई किन्हीं 2 भाषाओं” को जोड़ा जाना चाहिए.
  • क्या डेटा प्रॉसेसर्स के ठेकों में आगे चलकर या निचली प्रवाही श्रृंखला में डिजिटल डेटा प्रोटेक्शन या किसी तरह की चूक के लिए प्राथमिक डेटा न्यास को ज़िम्मेदार ठहराया जाएगा? डेटा प्रॉसेसर्स की इस श्रृंखला में निजी डेटा में घुसपैठ की घटना में कौन सा डेटा प्रोटेक्शन ऑफ़िसर, डेटा प्रिंसिपल के सवालों और शिकायतों के प्रति जवाबदेह होगा? संशोधित विधेयक में इन सवालों के जवाब शामिल करना निहायत ज़रूरी है.

  • क्या भारत के डेटा प्रोटेक्शन बोर्ड द्वारा नियमित कार्रवाइयों में जमा किए गए डेटा को भी इस अधिनियम के ज़रिए सुरक्षित नहीं बनाया जाना चाहिए? बोर्ड या उसके अध्यक्ष, सदस्य, कर्मचारी या अधिकारी के ख़िलाफ “ना तो कोई मुक़दमा, ना ही अभियोग और ना ही किन्हीं दूसरी वैधानिक कार्यवाहियों” की व्यवस्था क्यों होनी चाहिए?


  • ये बिल CCTV के विशाल जाल या दूसरे वीडियो/ऑडियो रिकॉर्डिंगो के ग़ैर-रज़ामंदी वाले स्वरूपों और उनके बेज़ा इस्तेमाल पर ख़ामोश है. इसका दुरुपयोग, सूचना प्रौद्योगिकी अधिनियम 2000 के साथ-साथ भारतीय संविधान की धारा 21 का भी उल्लंघन है. इन मामलों में भारतीय दंड संहिता के दफ़ा 500 और 506 के तहत मानहानि के मुक़दमों की भी इजाज़त है. क्या इन जुर्मानों को भी नियम पालना नहीं किए जाने से जुड़े दूसरे जुर्मानों के साथ जोड़ा जाएगा?

निष्कर्ष

राष्ट्रीय सुरक्षा, सार्वजनिक व्यवस्था, कारोबारी सहूलियत, वैश्विक कूटनीति और सीमा-पार सहयोग, प्रौद्योगिकी की रफ़्तार, डेटा वॉल्यूम्स में संतुलन क़ायम करने, जैसी क़वायदों में डिजिटल व्यक्तिगत डेटा सुरक्षा विधेयक 2000 बेहतरीन ढंग से संतुलन बिठाता है. हालांकि, स्थापना के शुरुआती चरणों में केंद्र सरकार को आगे बढ़ने के लिए विकल्प खुले रखने चाहिए. अगर इससे जुड़ी चिंताओं और सुधारों को उनके क्रमिक संदर्भों में बिना लाग-लपेट के ज़मीन पर उतारा गया तो ये विधेयक वैश्विक स्तर पर डिजिटल व्यक्तिगत डेटा सुरक्षा क़ानूनों की अगुवाई करने लायक़ बन सकता है.

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.