व्यक्तिगत डाटा सुरक्षा (पीडीपी) विधेयक 2019 की समीक्षा कर रही 30 सदस्यों की संयुक्त संसदीय समिति (जेपीसी) ने 66 बैठकों और 160 घंटे की चर्चा- किसी भी विधेयक के लिए सबसे ज़्यादा- के बाद 89 संशोधन, एक अतिरिक्त उपधारा और अनुसूची में संशोधन का प्रस्ताव किया है. इस विषय को कितनी अहमियत दी गई है, इसका पता इससे चलता है. 130 से ज़्यादा देशों में किसी-न-किसी रूप में डाटा सुरक्षा रेगुलेशन हैं ताकि डाटा इकोसिस्टम- सरकार के द्वारा व्यक्तिगत डाटा संग्रह और संसाधन पर क़रीब-क़रीब ब्लैक बॉक्स, सर्विस प्रोवाइडर, क्लाउड और डाटा सेंटर, एप्लिकेशन, वेबसाइट, प्लैटफॉर्म, ब्राउज़र और प्लगइन, ऑपरेटिंग सिस्टम, नेटवर्क मध्यस्थ, सेंसर, डिवाइस उत्पादक, पेमेंट प्रोसेसर, थर्ड पार्टी, सिक्योरिटी सॉल्यूशन प्रोवाइडर, ऑडिटर्स, रिसर्चर्स इत्यादि के दलदल से निपटा जा सके. डाटा सुरक्षा क़ानून वक़्त की ज़रूरत है क्योंकि तकनीक से प्रभावित दुनिया में हम अपनी ज़िंदगी ज़्यादा-से-ज़्यादा डिजिटल तरीक़े से जी रहे हैं. आदर्श तौर पर यूज़र के पास ये अधिकार होना चाहिए कि वो अलग-अलग स्तर पर अपनी सूचनाओं के इस्तेमाल पर नियंत्रण रख सके. वास्तव में क़ानून ऐसा होना चाहिए जो उपभोक्ताओं को अधिकार दिला सके, इससे महत्वपूर्ण रूप से पारदर्शिता बढ़े और डाटा प्रोसेसिंग इकोसिस्टम दिखे, ज़रूरत से ज़्यादा और बदनीयत वाली प्रोसेसिंग पर रोक लगे और डिजिटल अर्थव्यवस्था के लक्ष्य को आगे बढ़ाया जा सके. तकनीकी विकास ने मूर के नियम (ये कंप्यूटर विज्ञान के क्षेत्र में एक नियम है जिसके अनुसार एक एकीकृत सर्किट में ट्रांजिस्टर की संख्या या माइक्रोचिप पर ट्रांजिस्टर का घनत्व हर दो साल में दो गुना बढ़ जाता है) को निरर्थक बना दिया है और डाटा इकोसिस्टम फल-फूल रहा है, ऐसे में विधेयक को आधुनिक करने की ज़रूरत सबसे ज़्यादा है.
वास्तव में क़ानून ऐसा होना चाहिए जो उपभोक्ताओं को अधिकार दिला सके, इससे महत्वपूर्ण रूप से पारदर्शिता बढ़े और डाटा प्रोसेसिंग इकोसिस्टम दिखे, ज़रूरत से ज़्यादा और बदनीयत वाली प्रोसेसिंग पर रोक लगे और डिजिटल अर्थव्यवस्था के लक्ष्य को आगे बढ़ाया जा सके.
अनुचित प्रोसेसिंग
हाल में ऐसी ख़बरें आई हैं कि तत्काल कर्ज़ देने वाले एप्लिकेशन लोगों को परेशान कर रहे हैं. मोबाइल के कॉन्टैक्ट तक एक्सेस के बाद वो कर्ज़ लेने वाले लोगों के परिवार के सदस्यों या दोस्तों को फ़ोन कर रहे हैं, फ़ोन की गैलरी से उठाई गई फ़ोटो को बदलने के बाद प्रकाशित कर रहे हैं और कर्ज़ चुकाने में नाकाम लोगों की सार्वजनिक रूप से बेइज़्ज़ती कर रहे हैं. इसकी वजह से कई लोगों ने आत्महत्या कर ली है. ‘कर्ज़ की वसूली’ को बिना इजाज़त डाटा प्रोसेसिंग के लिए एक उचित कारण के तौर पर सूचीबद्ध किया गया है (धारा 14, पीडीपी विधेयक) लेकिन इस तरह की प्रोसेसिंग डाटा सिद्धांत के अधिकारों और उचित उम्मीदों पर ज़बरदस्त रूप से असर डालती है. मैलवेयर और स्पाइवेयर (जैसे पेगासस) गुपचुप ढंग से फ़ोन पर इंस्टॉल किए जाते हैं ताकि अपने निशाने पर आए व्यक्ति की निगरानी की जा सके और डाटा चुराया जा सके. छानबीन के दौरान इकट्ठा प्राइवेट चैट को “जनहित” में प्राइम टाइम के दौरान टेलीविज़न पर प्रसारित किया जाता है.
किसी के व्यक्तिगत सूचना का इस्तेमाल करके ब्लैकमेल, ज़बरन वसूली (और सेक्सटॉर्शन यानी किसी के सेक्स वीडियो के ज़रिए उससे पैसे की वसूली या उसका यौन शोषण) और धमकी केंद्रीय और राज्य क़ानून के तहत दंडीय अपराध है. लेकिन प्राइवेसी सुरक्षा का समर्थन करने वाले क़ानून को अनुचित प्रोसेसिंग को सीमित करना चाहिए और किसी व्यक्ति के अपील के अधिकार और प्राइवेसी उल्लंघन के उपाय को सुनिश्चित करना चाहिए.
व्यक्तिगत डाटा तक सरकार की पहुंच
सरकारी एजेंसियों को डाटा सुरक्षा क़ानून और दायित्व की प्रोसेसिंग (धारा 35, पीडीपी विधेयक) से पूरी तरह छूट का प्रावधान करना डाटा पहुंच और निगरानी की व्यवस्था में सुधार और उसे बेहतर बनाने के लिए एक चुनौती है. सुप्रीम कोर्ट के कई फ़ैसलों जैसे पीयूसीएल बनाम भारत सरकार और के.एस. पुट्टास्वामी बनाम भारत सरकार में प्रक्रियागत बचाव का महत्व, असरदार सहारे का अधिकार और ज़रूरी एवं आनुपातिक पहुंच का सिद्धांत दोहराया गया है.
इस तरह की छूट अनजाने में सरकार की उस परिकल्पना को नुक़सान पहुंचा सकती है जिसके मुताबिक उसे दुनिया में डाटा प्रोसेसिंग और एनालिटिक्स का केंद्र बनाना है और इस तरह डिजिटल अर्थव्यवस्था के लक्ष्य को चोट पहुंच सकती है. व्यक्तिगत डाटा के यूरोपियन क्षेत्र से बाहर ट्रांसफर पर यूरोपियन कमीशन द्वारा स्टैंडर्ड कॉन्ट्रैक्चुअल क्लाउज़ (एससीसी) के ताज़ा मसौदे के मुताबिक़ डाटा निर्यात में उन क़ानूनों और संपूर्ण शासन व्यवस्था का ध्यान रखा जाना चाहिए जो सार्वजनिक विभागों को गंतव्य देश में बाध्यकारी अनुरोध के द्वारा व्यक्तिगत डाटा तक पहुंच का अधिकार देते हैं और थाह लेना चाहिए कि वो एक “लोकतांत्रिक समाज” से अपेक्षित “अनिवार्य और यथोचित” ज़रूरत को पूरा करते हैं या नहीं. अगर सरकार और कारोबार को लगता है कि पीडीपी विधेयक की धारा 35 के तहत छूट बहुत ज़्यादा है तो डिजिटल व्यापार एवं निवेश और समझौता करने की क्षमता पर असर पड़ सकता है.
अगर सरकार और कारोबार को लगता है कि पीडीपी विधेयक की धारा 35 के तहत छूट बहुत ज़्यादा है तो डिजिटल व्यापार एवं निवेश और समझौता करने की क्षमता पर असर पड़ सकता है.
डाटा प्रोसेस करने वालों को कॉन्ट्रैक्ट के ज़रिए बाहरी क्लाइंट से मिले विदेशियों के व्यक्तिगत डाटा की प्रोसेसिंग के लिए किसी ज़िम्मेदारी से छूट (धारा 37, पीडीपी विधेयक) बिज़नेस प्रोसेस मैनेजमेंट सेक्टर के लिए आकर्षक समाधान लग सकता है. लेकिन इसका नतीजा “ख़तरनाक” डाटा प्रोसेसिंग उद्योग के तेज़ी से बढ़ने के रूप में निकल सकता है जो बिना इजाज़त प्रोसेसिंग और व्यक्तिगत डाटा के कॉन्ट्रैक्ट के तहत वैध दुरुपयोग के आधार पर चलता है.
विधेयक का मौजूदा (और पिछला) मसौदा उपयोगकर्ताओं को विदेशी सरकारी एजेंसियो द्वारा सीधे या प्राइवेट सेक्टर के ज़रिए व्यक्तिगत डाटा के संग्रह और प्रोसेसिंग के ख़िलाफ़ कोई असरदार उपाय मुहैया नहीं कराता. यूरोपियन यूनियन के कोर्ट ऑफ जस्टिस (सीजेईयू) ने श्रेम्स-II फ़ैसले में ईयू से अमेरिका तक व्यक्तिगत डाटा ले जाने के मामले में ईयू-अमेरिका प्राइवेसी शील्ड को निलंबित कर दिया. इस फ़ैसले का कारण डाटा की सुरक्षा में कमी और अमेरिका की सरकारी एजेंसियों के द्वारा प्रोसेसिंग के ख़िलाफ़ ईयू निवासियों के सीमित अधिकार को बताया गया. भारतीय क़ानून को भी इस मामले का समाधान करना होगा क्योंकि ऐसे मामले भारतीय अदालत में भी आएंगे. लेकिन ये तय करना पेचीदा काम है कि किस तरह भारतीय क़ानून विदेशी सरकार की तरफ़ से डाटा प्रोसेसिंग में किसी व्यक्ति के अधिकार और संप्रभुता को बनाये रखता है. उदाहरण के लिए, बल्क सर्विलांस प्रोग्राम के ज़रिए या एंट्री प्वाइंट पर सेल फ़ोन और सोशल मीडिया अकाउंट्स तक ज़बरन पहुंच की ज़रूरत के द्वारा या कंपनियों और व्यक्तियों को क़ानूनी तौर पर बाध्य करना कि जहां उनका मुख्यालय है वहां की सरकारी एजेंसियों से डाटा साझा करें (विदेशी ऑपरेशन के डाटा शामिल हैं).
न्याय का अधिकार क्षेत्र
पीडीपी विधेयक की धारा 34 संवेदनशील व्यक्तिगत डाटा की प्रोसेसिंग के लिए सीमा पार ट्रांसफर पर रोक लगाती है जब तक कि कॉन्ट्रैक्ट में डाटा सिद्धांत के अधिकार की असरदार सुरक्षा और किसी भी नुक़सान के लिए डाटा भेजने वाली कंपनी के ख़िलाफ़ ज़िम्मेदारी तय नहीं की गई हो. इसके अलावा अगर सूचना प्रोसेसिंग से होने वाला नुक़सान सीमा के द्वारा प्रतिबंधित नहीं है तो क्या प्राइवेसी के मौलिक अधिकार की सुरक्षा और इस्तेमाल भी इसी तरह प्रतिबंधित होनी चाहिए?
सरकार ने ‘अंतर्राष्ट्रीय सुरक्षा के संदर्भ में सूचना और दूरसंचार विकास पर संयुक्त राष्ट्र खुला कार्य समूह’ को अपनी टिप्पणी में डाटा पर मालिकाना हक़ के आधार पर संप्रभुता के एक नये रूप की सिफ़ारिश की यानी डाटा स्टोरेज/प्रोसेसिंग की लोकेशन की परवाह किए बिना व्यक्तिगत नागरिकता के आधार पर न्याय क्षेत्र. डाटा सुरक्षा क़ानून को सावधानीपूर्वक कंपनियों की लोकेशन, स्टोरेज/प्रोसेसिंग की सुविधा की लोकेशन और डाटा के मूल देश (सीमा पार पहुंच के साथ) के आधार पर न्याय क्षेत्र की व्यावहारिकता के अलग-अलग दृष्टिकोण तक जाना चाहिए क्योंकि ये वैश्विक डिजिटल अर्थव्यवस्था के भविष्य के रास्ते को तय करेगा.
सीमा पार डाटा प्रवाह और स्थानीयकरण
द्विपक्षीय डिजिटल आर्थिक व्यापार समझौते (अमेरिका-जापान, जापान-यूके, ऑस्ट्रेलिया-सिंगापुर इत्यादि) और बहुपक्षीय व्यवस्था जैसे कंप्रिहेंसिव एंड प्रोग्रेसिव एग्रीमेंट फॉर ट्रांस-पैसिफिक पार्टनरशिप (सीपीटीपीपी), यूएस-मेक्सिको-कनाडा एग्रीमेंट (यूएसएमसीए) और रीजनल कंप्रिहेंसिव इकोनॉमिक पार्टनरशिप (आरसीईपी)- सभी इस बात की चर्चा करते हैं कि सीमा पार डाटा ट्रांसफर पर पाबंदी लगाई जाए. हालांकि वित्तीय डाटा के स्थानीयकरण को लेकर आम तौर पर सहमति दिखती है. कोविड-19 महामारी के बाद इस मामले में अगला नंबर हेल्थकेयर और कुछ बायोमेट्रिक्स डाटा का हो सकता है. स्थानीयकरण कुछ चिंताओं का समाधान हो सकता है लेकिन इसको प्राइवेसी और भू-तकनीकी-डाटा की रणनीतिक चिंताओं का रामबाण मानना लंबे समय में प्रतिकूल साबित हो सकता है.
अस्पष्ट स्थानीयकरण भी महत्वपूर्ण रूप से वैश्विक वैल्यू चेन पर असर डालते हैं. श्रेम्स-II फ़ैसले के बाद तीन यूरोपियन डाटा सुरक्षा समझौतों (डीपीए) (जर्मन, फ्रेंच और आयरिश) ने ट्रांसफर सस्पेंशन आदेश जारी किए. डाटा प्रवाह पर नीतिगत अनिश्चितता कारोबारियों के सीमा पार कामकाज के लिए भयावह अनुभव बन जाते हैं. शासन व्यवस्था की पर्याप्तता के आकलन का बोझ व्यक्तिगत संगठनों पर पड़ने के साथ ज़्यादातर के लिए बाहर निकलने का रास्ता काफ़ी हद तक सरल है- ट्रांसफर का विचार छोड़कर किसी स्थानीय चीज़ से समझौता कर लें.
अमेरिका और ईयू अब व्यक्तिगत डाटा ट्रांसफर के लिए तीसरे द्विपक्षीय समाधान की कोशिश कर रहे हैं. भारत और ईयू ने भी “पारस्परिक पर्याप्तता” के लिए अपनी-अपनी इच्छा जताई है. कठोरता को छोड़कर ये समय इस बात का है कि लोकतांत्रिक देश ट्रांसफर, प्रोसेसिंग और पहुंच का स्वीकार्य मानक विकसित करें नहीं तो आपसी विश्वास में कमी चरम पर होगी और डाटा के मामले में देश एक-दूसरे से कट जाएंगे.
क़ानून के द्वारा समर्थित प्रोसेसिंग
प्राइवेसी में खलल डालने वाली तकनीकों जैसे फेशियल आइडेंटिफिकेशन, ड्रोन और सरकारी विभागों द्वारा सार्वजनिक सीसीटीवी या नेशनल इंटेलिजेंस ग्रिड (नैटग्रिड) जैसे कार्यक्रमों को क़ानून के समर्थन की ज़रूरत है. उनकी सक्रिय तैनाती से पहले रेगुलेशन और सूचना प्रणाली को क़ानूनी मंज़ूरी (धारा 40, पीडीपी विधेयक) के ज़रिए प्राइवेसी की ज़रूरतों को पूरा करना होगा. इसी तरह अलग-अलग रेगुलेशन और रूप-रेखा में जिन नई तरह की कंपनियों और कम्युनिटी प्लेयर (जैसे कंसेंट मैनेजर और अकाउंट एग्रीगेटर्स) की परिकल्पना की गई है, उनको काम शुरू करने से पहले क़ानूनी तौर पर औपचारिक मंज़ूरी लेनी होगी.
डाटा के लिए महत्वपूर्ण रूप से ज़िम्मेदार (एसडीएफ) और सूक्ष्म, लघु और मध्यम एंटरप्राइजेज़ (एमएसएमई)
बड़ी तकनीकी कंपनियों की बढ़ती ताक़त हर जगह रेगुलेटरी मामले में केंद्र बिंदु बनती जा रही हैं. प्राइवेसी उल्लंघन और एंटी-ट्रस्ट मुक़दमे हर महादेश में किए जा रहे हैं. बड़ी कंपनियों से और ज़्यादा उम्मीद और ज़रूरत है ताकि डिजिटल अर्थव्यवस्था में भरोसा रखा जा सके. एसडीएफ अपने कारोबार की मुख्य जगह या भारत के बाहर मुख्यालय के साथ ख़ुद विश्वास दिलाएं कि ज़रूरी और यथोचित अनुरोध के अलावा भारतीय कामकाज से कोई डाटा और निष्कर्ष दूसरी सरकारों के साथ साझा नहीं किए जा रहे हैं. इन कंपनियों के बोर्ड समय-समय पर डाटा प्रोसेसिंग के प्राइवेसी जोखिम के आकलन को मंज़ूरी दें, लगभग उसी तरह जैसे बैंकिंग सेक्टर में भारतीय रिज़र्व बैंक द्वारा अनिवार्य साइबर सुरक्षा नीति को बोर्ड मंज़ूरी देता है. अगर एसडीएफ विलय और अधिग्रहण या कई सेवाओं को एक साझा प्लैटफॉर्म के तहत मिलाने के समय डाटा प्रोसेसिंग की प्रतिबद्धता पर फिर से विचार करती है या पीछे हटती है तो रेगुलेटरी दखल ज़रूरी है.
कठोरता को छोड़कर ये समय इस बात का है कि लोकतांत्रिक देश ट्रांसफर, प्रोसेसिंग और पहुंच का स्वीकार्य मानक विकसित करें नहीं तो आपसी विश्वास में कमी चरम पर होगी और डाटा के मामले में देश एक-दूसरे से कट जाएंगे.
कम्प्लायंस की ज़्यादा लागत के साथ भारी जुर्माने का प्रावधान एमएसएमई के विकास में बाधा डाल सकते हैं जो कि पहले से दबाव में लड़खड़ाए हुए हैं. इसके विपरीत सुनियोजित डाटा प्रोसेसिंग में लगे स्टार्ट-अप को छूट प्राइवेसी परिदृश्य पर ख़राब असर डालेंगे. अगर किसी आकस्मिक डाटा उल्लंघन के बाद कंपनी ज़िम्मेदारी से इस घटना की जानकारी देती है और आने वाले वर्षों में सही तरीक़े अपनाती है तो उसे जुर्माने की रक़म का बड़ा हिस्सा लौटा देना चाहिए. क़ानून का मक़सद प्राइवेसी की रक्षा और कंपनियों में सुरक्षा बढ़ोतरी की संस्कृति को बनाना है. ऐसे में सरकार जुर्माने को अपनी आमदनी बढ़ाने का ज़रिया नहीं समझे. सरकार रजिस्टर्ड भारतीय एमएसएमई को डाटा प्रोसेसिंग मैनेजमेंट के लिए ओपन-सोर्स टूल मुहैया कराकर भी मदद कर सकती है जैसे जीएसटीएन (गुड्स एंड सर्विसेज़ टैक्स नेटवर्क) मुफ़्त अकाउंटिंग और बिलिंग सॉफ्टवेयर की पेशकश करता है.
आख़िर में डाटा सुरक्षा बिल को कुछ ऐसे सवालों का जवाब देना चाहिए जिन्हें सिर्फ़ हां या ना में नहीं कहा जा सकता. प्रतिबंधित ऐप और भंग कंपनियों के पास मौजूद डाटा का क्या होगा? रखवाली/सुरक्षा के लिए कौन ज़िम्मेदार होगा और क़ानून के मुताबिक़ प्रोसेसिंग और वैध पहुंच के सिद्धांत की देखभाल कैसे होगी? मृत व्यक्ति के डाटा की प्रोसेसिंग के लिए उचित उम्मीदें क्या हैं? क्या विधेयक में किसी व्यक्ति के निधन के बाद उसके व्यक्तिगत डाटा के लिए क़ानूनी तौर पर ‘डिजिटल उत्तराधिकारी’ (या मनोनीत व्यक्ति) का प्रावधान होना चाहिए?
वैश्विक डाटा इकोसिस्टम में विश्वास की कमी अपने चरम के नज़दीक पहुंच चुकी है. एक अच्छा डाटा सुरक्षा क़ानून इस दूरी को भरने में मदद करेगा, यूज़र का विश्वास बढ़ाएगा, भरोसेमंद इनोवेशन की क्षमता बढ़ाएगा, आर्थिक तरक़्क़ी तेज़ करेगा और उन देशों के लिए मॉडल बन सकता है जो डिजिटाइज़ेशन और डाटा सुरक्षा के सफ़र को आगे बढ़ाना चाहते हैं. बहुत कुछ क़ानून के असरदार ढंग से लागू करने पर निर्भर करता है. उम्मीद की जानी चाहिए कि 2021 में पीडीपी विधेयक अधिनियम में तब्दील हो जाएगा.
The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.