Published on Dec 29, 2022 Updated 0 Hours ago

पिछले बिल की तुलना में डेटा संरक्षण का नया विधेयक (DPDPB 2022) ज़्यादा व्यापक है. लेकिन, इसका ज़ोर यूज़र के संरक्षण से ज़्यादा डेटा का संरक्षण करने वालों के हितों का बचाव करना है.

Data Protection: भारत के डेटा संरक्षण के प्रयासों में दुविधाएं

18 नवंबर को इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने डिजिटल पर्सनल डेटा प्रोटेक्शन बिल 2022 (DPDPB 2022) का ड्राफ्ट जारी किया था. अपने पुराने प्रतिरूप की तुलना में डेटा संरक्षण का ये नया विधेयक, सिर्फ़ 90 धाराओं तक सीमित रखा गया है, जिसमें पिछले विधेयक से 30 धाराएं कम हैं. लेकिन, नये विधेयक में कई परिभाषाओं और रूप-रेखाओं की कमी दिखाई दे रही है. इसी वजह से ये विधेयक अपनी कमियां पूरी करने के लिए सहयोगी नीतियों और भविष्य के दिशा-निर्देशों पर अधिक निर्भर है.

डेटा के सिद्धांतों के बजाय डेटा की संरक्षक (फिड्यूशियरीज़) को तरज़ीह

इस विधेयक का ऐसा ही एक पहलू सहमति देने और सहमति मान लेने से जुड़ा है. विधेयक में डेटा के सिद्धांत के मुताबिक़, सहमति आवश्यक है. जो संस्था निजी डेटा दे रही है, यानी कोई निजी उपयोगकर्ता या ग्राहक. हालांकि ‘संसूचित’ सहमति की बात अस्पष्ट है. अध्याय 2, (7): सहमति में एक धारा है जो डेटा का रख-रखाव करने वाली संस्थाओं अथवा फिड्यूशियरीज़ की चर्चा करती हैं. इसमें लिखा है कि अगर डेटा मुहैया कराने वाली संस्था, व्यक्ति या ग्राहक डेटा देना बंद कर देते हैं, तो डेटा जमा करने वाली संस्था सेवाएं देना बंद कर सकती है. हालांकि, ये धारा जानबूझकर या सोच समझकर दी गई सहमति की अहम अवधारणा से मेल नहीं खाती है. स्पष्ट है कि कोई व्यक्ति अपना डेटा साझा किए बग़ैर कोई सेवा प्राप्त नहीं कर सकता है. जानबूझ कर दी गई सहमति अक्सर ग्राहकों को डेटा देने को बाध्य करती है, क्योंकि उसके पास सेवा लेने का कोई वैकल्पिक स्रोत नहीं होता है.

ड्राफ्ट के मुताबिक़, सरकार एक डेटा संरक्षण परिषद (DPB) बनाएगी, जिसके पास ये अधिकार होगा कि डेटा फिड्यूशियरी अगर नियम का पालन न करे, और डेटा के सिद्धांतों के मुताबिक़ उनकी शिकायतें मामूली पाई जाएं तो उस पर 500 करोड़ रुपए तक का जुर्माना लगा सके.

इससे भी आगे, अगले हिस्से यानी अध्याय 2, (8): मान ली गई सहमति, में तो सहमति और असहमति की रेखा और भी अस्पष्ट हो गई है. विधेयक के इस हिस्से में ये चर्चा की गई है कि अगर ग्राहक की तरफ़ से स्पष्ट सहमति नहीं भी प्राप्त की गई है, तो डेटा का रख-रखाव करने वाली संस्था (फिड्यूशियरीज़) के पास यूज़र के निजी डेटा को रखने की काफ़ी संभावना होगी. इसमें जो उदाहरण दिया गया है, वो कर्मचारियों के बायोमेट्रिक डेटा से जुड़ा है जो काम पर आने और वहां से जाने (साइन इन और साइन आउट) के लिए बायोमेट्रिक डेटा का इस्तेमाल करते हैं. हालांकि, ये ऐसा क्षेत्र है जिस पर व्यापक चर्चा होनी चाहिए. क्योंकि आगे के हिस्से यानी अध्याय 2, (9) में: डेटा फिड्यूशियरीज़ के सामान्य उत्तरदायित्व में डेटा का रख-रखाव करने वाली उन संस्थाओं का ज़िक्र किया गया है, जो वैधानिक या कारोबारी वजहों से डेटा का रिकॉर्ड रख सकेंगे. बायोमेट्रिक डेटा जमा करने के मामलों में निजी कंपनियों के साथ भी और निजी डेटा को सरकार के पास जमा करना होगा. इसके लिए माध्यम संस्थाओं को ये डेटा जुटाना होगा. ऐसे में डेटा का सिद्धांत ये मानकर चल रहा है कि यूज़र या ग्राहक ने न केवल डेटा फिड्यूशियरीज़ को अपने डेटा को जमा करने की सहमति दे दी है, बल्कि डेटा रखने वाली किसी भी अन्य संस्था को सहमति देना मान लिया जाएगा. इस विधेयक के तहत ऐसी संस्थाओं की कोई जवाबदेही तय नहीं की गई है और न ही इन संस्थाओं के लिए संबंधित जानकारी मिटाने की कोई बाध्यता होगी, जैसा कि कारोबारी गतिविधियों में ‘आवश्यक’ बताया गया है. ये उदाहरण जो विधेयक में ही दिया गया है और इससे जुड़ी अन्य बातों को लेकर आवश्यकता से जुड़ी परिचर्चाओं की शुरुआत करने की ज़रूरत है. इसके तहत तीसरे पक्ष द्वारा स्पष्ट रूप से सहमति देने और सहमति मान लिए जाने पर चर्चा होनी चाहिए, ख़ास तौर से जब तीसरे पक्ष की डेटा संरक्षक इस व्यवस्था में शामिल हों.

सहमति मान लिए जाने का क्षेत्र भी ‘सार्वजनिक रूप से उपलब्ध निजी डेटा’ को हटाने की चर्चा करता है. हालांकि इस बात की कोई परिभाषा या रूप-रेखा उपलब्ध नहीं है कि सार्वजनिक रूप से उपलब्ध कौन से आंकड़े सुरक्षित माने जाएंगे. मिसाल के तौर पर किसी ई-मेल आईडी की उपलब्धता दो इंसानों के बीच अलग अलग रूप से अहमियत रख सकती है. इसीलिए, सार्वजनिक रूप से उपलब्ध आंकड़ों में क्या सुरक्षित है, इसको स्पष्ट रूप से परिभाषित करने और ग्राहक से स्पष्ट रूप से सहमति लेने की ज़रूरत है, ताकि इसके दायरे से बाहर आने वाले डेटा को भी विनियमित किया जा सके. ऐसे मामलों में बेहतर यही होगा कि सार्वजनिक संरक्षण से शुरुआत की जाए और डेटा की उपलब्धता के लिए साफ़ तौर पर सहमति मांगने को ज़रूरी बनाया जाना चाहिए (विशेष रूप से सार्वजनिक जीवन में सक्रिय लोगों, ई-मेल और संख्या बताने वाले ऐप्स के मामले में). जब किसी से स्पष्ट रूप से सहमति प्राप्त कर ली जाएगी, तो फिर सार्वजनिक रूप से उपलब्ध सूचना से नैतिक पहुंच के मुद्दों का टकराव नहीं होगा.

विधेयक के इस हिस्से में ‘डेटा फिड्यूशियरीज़ के वाजिब कारणों’ की अस्पष्ट धारा का भी ज़िक्र किया गया है, जिसके तहत मान ली गई सहमति के अंतर्गत निजी डेटा के इस्तेमाल की इजाज़त दी गई है. पर चूंकि, कंपनियों और उनके कारोबार के मॉडल और अन्य कंपनियों से लेन-देन का तरीक़ा काफ़ी अलग हो सकता है, तो वाजिब कारण को और अधिक स्पष्ट रूप से परिभाषित करना होगा. हो सकता है कि डेटा संरक्षण कंपनियां विधिक क्रियाओं और वित्तीय ज़रूरतों पर विचार करें, लेकिन इस धारा की अस्पष्टता उन्हें लोगों के निजी डेटा को तीसरे पक्ष को बेचने की गुंजाइश देती है. ये बात निजता के किसी भी क़ानून की बुनियाद के ही ख़िलाफ़ जाती है.

अध्याय 2, (9): डेटा फिड्यूशियरीज़ की सामान्य जवाबदेहियों में डेटा की लीक होने से जुड़े सामान्य सुरक्षा उपायों की चर्चा की गई है. हालांकि, ये अभी भी विधेयक के दायरे के अंतर्गत ही है. यहां पर दुविधा के जोखिम का अर्थ है कि डेटा का रख-रखाव करने वाली संस्थाएं ऐसी सुरक्षा व्यवस्थाएं बनाएंगी जो एक मानक के अनुरूप नहीं होंगी और इनका असर इस बात पर पड़ेगा कि उनके डेटा कहां जमा किए जाते हैं या रखे जाते हैं. ऐसे में डेटा फिड्यूशियरीज़ को जवाबदेह बनाए जाने से अधिक इस बात पर ध्यान देने की ज़रूरत है. ऐसी दुविधा डेटा फिड्यूशरीज़ के लिए अपने जैसी अन्य कंपनियों से डेटा साझा करने का रास्ता खोलेग, जो ‘मान ली गई सहमति’ के दायरे से भी बाहर होगी या तीसरे पक्ष से साझा करने की परिभाषा की कमी से उपलब्ध होगी. इस मामले में चिंता का एक विषय वित्तीय और स्वास्थ्य के क्षेत्र से जुड़ा है. डेटा साझा करने से जुड़ा API’s का BIS मानक, ऐसे दिशा-निर्देशों और नियम बनाने की शुरुआती राह दिखा सकता है.

आगे के हिस्से यानी अध्याय 2, (11): महत्वपूर्ण डेटा फिड्यूशियरी की उन अतिरिक्त बाध्यताओं का ज़िक्र है, जहां डेटा संरक्षण के प्रभाव का मूल्यांकन आवश्यक है, वहां पर मानक तय करने के न्यूनतम स्वीकार्य स्कोर की और व्याख्या करने की ज़रूरत है.

भारत के डेटा संरक्षण विधेयक को भी चाहिए कि वो तमाम नियमों के ज़रिए साधे जा रहे लक्ष्यों पर ध्यान केंद्रित करने के बजाय निजी यूज़र संरक्षण पर अपना ध्यान लगाए.

डेटा संरक्षण परिषद

ड्राफ्ट के मुताबिक़, सरकार एक डेटा संरक्षण परिषद (DPB) बनाएगी, जिसके पास ये अधिकार होगा कि डेटा फिड्यूशियरी अगर नियम का पालन न करे, और डेटा के सिद्धांतों के मुताबिक़ उनकी शिकायतें मामूली पाई जाएं तो उस पर 500 करोड़ रुपए तक का जुर्माना लगा सके.

विधेयक के अध्याय 5 में नियम मानने की रूप-रेखा पर ज़ोर दिया गया है. इसमें डेटा प्रोटेक्शन बोर्ड की ज़रूरतों, जवाबदेहियों और इसके अवयवों की रूप-रेखा पेश की गई है. इस अध्याय में बोर्ड में नियुक्ति और सेवा की शर्तों का भी ज़िक्र किया गया है. इस अध्याय की एक धारा (19 (2)) में कहा गया है कि बोर्ड के अध्यक्ष और सदस्यों की नियुक्ति के बारे मे केंद्र सरकार अलग अलग स्तरों पर उस वक़्त विचार करेगी, जब वो इस क़ानून के नियमों को लागू करना शुरू करेगी. इसके अलावा आगे की धारा में, केंद्र सरकार द्वारा बोर्ड के मुख्य कार्यकारी की नियुक्ति की चर्चा भी की गई है. अपने मौजूदा स्वरूप में ये विधेयक पहले ही ज़िम्मेदारियों का एक बड़ा हिस्सा डेटा बनाने वाले और शक्तियों को डेटा फिड्यूशियरीज़ के हवाले कर देती है. जिससे केंद्र सरकार को डेटा संरक्षण बोर्ड के स्तर पर महत्वपूर्ण फ़ैसले लेने का अधिकार मिल जाता है. इससे केंद्र सरकार की DPB पर निर्भरता बढ़ जाती है और इसके स्वतंत्र संस्था के रूप में काम करने की संभावनाएं सीमित हो जाती हैं. इससे डेटा बनाने वाले और डेटा संरक्षण करने वालों के बीच शक्ति संतुलन और भी गड़बड़ हो जाता है.

केस के अनुरूप डेटा के प्रमुख संरक्षकों के ऊपर जिन जुर्मानों का प्रावधान किया गया है और बोर्ड में नियुक्ति के लिए जिस तरह केंद्र सरकार की मंज़ूरी की व्यवस्था की गई है. ऐसे में DPB एक स्वतंत्र संस्था के रूप में काम नहीं कर सकेगी और न ही वो व्यक्तिगत स्तर पर लोगों के डेटा का संरक्षण कर सकेगी.

अन्य देशों में डेटा संरक्षण के क़ानून

2022 का डेटा संरक्षण विधेयक (DPDPB 2022) को दुनिया की अन्य निजता संबंधी नीतियों से बहुत कुछ सीखने की ज़रूरत है. यूरोपीय संघ का जनरल डेटा प्रोटेक्शन रेग्यूलेशन (GDPR) निजता की रक्षा करने वाली सबसे लोकप्रिय और व्यापक नीति मानी जाती है. इसकी प्रमुख वजह, डेटा से ज़्यादा लोगों के अधिकारों को तरज़ीह देना है. इसमें बाज़ार के कारकों के संरक्षण को भी बढ़ावा दिया गया है. डिजिटल सर्विसेज़ एक्ट (DSA) और डिजिटल मार्केट्स एक्ट (DMA) के दो क़ानून ये संतुलन बनाते हैं कि व्यक्तियों को बाज़ार की ताक़तों के संरक्षण के लिए जवाबदेह न बनाया जाए; इसके बजाय, इन नियमों में बाज़ार की ताक़तों को व्यक्तिगत एजेंट के तौर पर देखा गया है.

भारत के डेटा संरक्षण विधेयक को भी चाहिए कि वो तमाम नियमों के ज़रिए साधे जा रहे लक्ष्यों पर ध्यान केंद्रित करने के बजाय निजी यूज़र संरक्षण पर अपना ध्यान लगाए.

अमेरिका में डेटा की निजता की अलग अलग नीतियां स्वतंत्रता के संरक्षण और व्यक्तिगत यूज़र के संरक्षण पर ज़ोर देती हैं. यहां तक कि हाल में आए क्लाउड एक्ट के भी दो मुख्य लक्ष्य हैं; पहला मक़सद ऐसा माहौल बनाना है कि डेटा उपलब्ध कराने वाले डेटा के रख-रखाव और उसे साझा करने की अपनी ज़िम्मेदारियों का पालन करें, और दूसरा लक्ष्य अमेरिकी सरकार को विदेशी सरकारों के साथ कार्यकारी समझौते करने का अधिकार देना है, ताकि विदेश में बैठे प्रदाताओं के पास मौजूद डेटा को त्वरित गति से हासिल करने की राह सुगम हो सके. चीन का पर्सनल इन्फॉर्मेशन प्रोटेक्शन लॉ, कारोबार के डेटा पर अधिक ध्यान देता है, जिसे अहमियत के हिसाब से वर्गीकृत किए जाने और सीमा के आर-पार डेटा के लेन-देन को सीमित किए जाने की उम्मीद है.

इन अन्य तुलनात्मक अर्थव्यवस्थाओं में ज़ोर व्यक्तियों के संरक्षण और ये सुनिश्चित करने पर है कि डेटा सरकार की संवैधानिक सीमाओं के दायरे में ही रहे. भारत के नए डेटा संरक्षण विधेयक (DPDPB 2022) में भी इसी पर ध्यान दिया जाना चाहिए.

प्रस्तावित विधेयक के साथ व्याख्यात्मक नोट में इन रियायतों को वाजिब ठहराते हुए सरकार ने तर्क दिया है कि, ‘कई बार राष्ट्रीय और जनहित किसी व्यक्ति के हित से ऊपर होते हैं’.

मौजूदा विधेयक केंद्र सरकार और अन्य सरकारी एजेंसियों को कई रियायतें देता है. जैसा कि पहले उल्लेख किया गया है, इसमें नागरिकों के हित संरक्षण के उपायों के बजाय उनकी ज़िम्मेदारियों का ज़िक्र अधिक है और इस तरह उत्तरदायित्व डेटा बनाने वाले पर डाल दिया गया है. वैसे तो सूचना प्रौद्योगिकी और इलेक्ट्रॉनिक्स मंत्रालय (MeitY) बिल के बचाव में ये कहकर तर्क दे रहा है कि इसे ‘भरोसे के प्रिज़्म’ पर खड़ा किया गया है. लेकिन यहां ये याद रखना ज़रूरी है कि प्रिज़्म कई बार जो रंग सोखता है, उससे अलग रंग दिखाता है.

निष्कर्ष

वैसे तो नया विधेयक (DPDPB 2022) पुराने बिल से अधिक व्यापक है, लेकिन इसका मुख्य लक्ष्य यूज़र्स को शोषण से बचाने से ज़्यादा अर्थव्यवस्था और संगठनों का संरक्षण करना दिख रहा है. बिल की विभिन्न धाराओं और दुनिया के अन्य क़ानूनों से इसकी तुलना करने पर ये बात बिल्कुल साफ़ हो जाती है. अंतरराष्ट्रीय तीसरे पक्ष से यूज़र को उपलब्ध संरक्षण की कमी और तीसरे पक्ष से डेटा साझा करने के मामले में ये बात और उजागर होती है. ये विधेयक व्यापक और सही दिशा में प्रभावी कोशिश हो, इसके लिए DPDPB 2022 को अपनी कुछ परिकल्पनाओं पर फिर से विचार करने की ज़रूरत है. ख़ास तौर से वो जो सरकार और संगठनों के पहले से ही शक्तिशाली ढांचों के आगे यूज़र की स्थिति को और भी कमज़ोर बनाते हैं.

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.