डिजिटल वैयक्तिक डेटा संरक्षण विधेयक 2022: आरक्षण आणि शिफारसी

परिचय

2017 पासून त्याच्या चौथ्या पुनरावृत्तीमध्ये, डिजिटल वैयक्तिक डेटा संरक्षण विधेयक 2022 एक उत्तम “सर्वसमावेशक कायदेशीर फ्रेमवर्क” करण्याचा प्रयत्न करते. हे विधेयक त्रिसूत्रीवर चालते—डेटा प्रिन्सिपल, डेटा फिड्युशियरी आणि तक्रार निवारण. जरी प्रथमदर्शनी, ते जनरल डेटा प्रोटेक्शन रेग्युलेशन (GDPR) सारखे दिसत असले तरी, या विधेयकात स्वागतार्ह बदल आणि राखाडी छटा आहेत. जीडीपीआरच्या विपरीत, हे विधेयक धाडसाने छोट्या सूचींमध्ये “हानी”, “तोटा” आणि “जनहित” ची व्याख्या करते. भारताच्या विधायी इतिहासातील पहिले, हे विधेयक लिंग विचार न करता, एखाद्या व्यक्तीसाठी “तिचा” आणि “ती” वापरते – एक स्वागतार्ह लोकवादी आणि सर्वसमावेशक पाऊल.

मायोपिक उप-संदर्भीय समज रोखण्यासाठी, जागतिक आणि देशांतर्गत परिमाणे जवळ ठेवणे अत्यावश्यक आहे, विशेषत: बहु-देशीय सहयोग आणि “राज्याचे साधन”. जेव्हा एक सार्वभौम लोकशाही राज्य डायनॅमिक क्रॉस-इम्पॅक्टिंग टेक्नॉलॉजी वेक्टरच्या चक्रव्यूहात जागतिक व्यवस्थेच्या आक्रमकतेविरूद्ध नागरिकांच्या गोपनीयतेला संतुलित करते तेव्हा ते संभाव्य अडथळे उघड करतात.

G20 अध्यक्षपद आणि एकाधिक मुक्त व्यापार करार (FTA)/ प्रादेशिक व्यापार करार (RTA) सह क्रॉस-बॉर्डर डिजिटल ट्रान्सफॉर्मेशन पुढे नेण्यासाठी, भारताला डेटा फ्री फ्लो विथ ट्रस्ट (DFFT) आणि क्रॉस-बॉर्डर डेटा फ्लोसाठी उपाय शोधावे लागतील.

बहु-देशीय सहयोग आणि राज्याचे साधन

दशकाच्या शेवटी, भारत ही जगातील तिसरी सर्वात मोठी अर्थव्यवस्था होण्याचा अंदाज आहे आणि जगातील सर्वात मोठ्या डिजिटल वैयक्तिक डेटाच्या पाऊलखुणांपैकी एक गतिमान आणि विश्रांतीमध्ये असेल. जागतिक व्यवस्थेत भारताच्या सदैव मजबूत होणाऱ्या भूमिकेत या विधेयकाची अत्यावश्यकता दिसून येते. G20 अध्यक्षपद आणि एकाधिक मुक्त व्यापार करार (FTA)/ प्रादेशिक व्यापार करार (RTA) सह क्रॉस-बॉर्डर डिजिटल ट्रान्सफॉर्मेशन पुढे नेण्यासाठी, भारताला डेटा फ्री फ्लो विथ ट्रस्ट (DFFT) आणि क्रॉस-बॉर्डर डेटा फ्लोसाठी उपाय शोधावे लागतील. 2022 CERT-India मार्गदर्शक तत्त्वे आणि त्यानंतरचे FAQ (ज्याने स्पष्ट केले आहे की “तंत्रज्ञान लॉग भारताबाहेर संग्रहित केले जाऊ शकतात…”), डिजिटल वैयक्तिक डेटा संरक्षण विधेयक 2022 वैयक्तिक डेटा भारताबाहेर हस्तांतरित करण्यास परवानगी देते. “सार्वजनिक हित” मध्ये, विधेयकात “परदेशी राज्यांशी मैत्रीपूर्ण संबंध” आणि “खोट्या विधानांचा प्रसार रोखणे (काउंटर डिसइन्फॉर्मेशन)” समाविष्ट आहे. हे केंद्र सरकारला भारताचा वैयक्तिक डेटा जिथे राहू शकेल ते देश निर्दिष्ट करण्याचे अधिकार देईल आणि QUAD आणि BIMSTEC या दोन्ही प्रादेशिक बहुपक्षीय गटांमधील राजनैतिक गतिशीलतेचा प्रतिध्वनी करेल. आरोग्यसेवा, अंतराळ तंत्रज्ञान, भू-स्थानिक सहयोग, स्वायत्त वाहने, आपत्ती व्यवस्थापन इ. मध्ये समस्या सोडवण्याच्या क्षमतेसह अधिक अत्याधुनिक मशीन लर्निंग आणि कृत्रिम बुद्धिमत्ता अल्गोरिदम तयार करण्यासाठी आणि प्रशिक्षित करण्यासाठी ही तरतूद मेहनती क्लाउड अवलंबन आणि मोठ्या डेटा व्हॉल्यूमला प्रोत्साहन देईल, परंतु विधेयक जर पूर्वी अधिसूचित केलेला देश बदमाश असेल आणि नंतरच्या तारखेला डी-नोटिफाइड झाला असेल तर ते शांत आहे.

टेलिकॉम सबस्क्रिप्शन डेटानुसार, भारतीय वायरलेस टेलिफोन ग्राहक 1.15 अब्ज आहेत. ते जगातील दुसऱ्या क्रमांकाचे सर्वात मोठे मोबाइल अॅप्लिकेशन्स डाउनलोडर आहेत. फेसबुक, इंस्टाग्राम, गुगल, स्नॅपचॅट, लिंक्डइन, ट्रूकॉलर, यूट्यूब, इ. प्रत्येकी 1 बिलियन पेक्षा जास्त डाउनलोड करत आहेत, हे प्रचंड डेटा-हँगरी आणि हायपर-पर्सनलायझिंग जाहिरात तंत्रज्ञान-जायंट्स आहेत; आणि अशा प्रकारे, मोठ्या प्रमाणात वैयक्तिक, खाजगी आणि ओळखण्यायोग्य डेटा गोळा करा. हा डेटा डेटा फिड्युशियर्सच्या एकाधिक डाउनस्ट्रीम आणि लॅटरल चेन केलेल्या डेटा प्रोसेसरमधून जातो, जेथे, बहुतेकदा, डेटा फिड्युशियरीचे डाउनस्ट्रीम आणि पार्श्व हालचाली आणि एकाधिक देशांमध्ये व्यवहार करणार्‍या अनुप्रयोग आणि सर्व्हरवर डिजिटल वैयक्तिक डेटाच्या प्रक्रियेवर कोणतेही नियंत्रण नसते. यासाठी बहु-देशीय सहकार्याची आवश्यकता आहे आणि म्हणूनच, “भारताचे सार्वभौमत्व आणि अखंडता, राज्याची सुरक्षा, परकीय राज्यांशी मैत्रीपूर्ण संबंध, सार्वजनिक सुव्यवस्था राखणे किंवा संबंधित कोणत्याही दखलपात्र गुन्ह्यास चिथावणी देण्यास प्रतिबंध करणे यासाठी राज्याचे कोणतेही साधन. डिजिटल पर्सनल डेटा प्रोटेक्शन बिलाच्या सध्याच्या आवृत्तीमध्ये यापैकी कोणतीही सूट देण्यात आली आहे.

मनी लाँड्रिंग विरोधी किंवा दहशतवादाच्या वित्तपुरवठ्याशी लढा देताना डिजिटल व्यवहारांच्या मोठ्या प्रमाणात वैयक्तिक डिजिटल अनामिकतेचा जवळपास-अशक्य शिल्लक व्यवस्थापित करणे, त्यामुळे थेट “राज्याची साधने” अंतर्गत येते.

भौतिक चलनाप्रमाणे, रिझर्व्ह बँक ऑफ इंडिया (RBI) च्या सेंट्रल बँक डिजिटल करन्सी (CBDC) (एकाच वेळी लाँच केलेले आणि सार्वभौम डिजिटल चलन म्हणून डिझाइन केलेले) निनावीपणा समाविष्ट करणे आवश्यक आहे. सर्व डिजिटल व्यवहार ट्रेल्स आणि क्लाउड निनावीपणा सोडतात. CBDC व्यवहार व्यवस्थापित करण्यासाठी, RBI ने व्यवस्थापित निनावीपणाचे तत्व सादर केले आहे – “लहान मूल्यासाठी अनामिकता आणि उच्च मूल्यासाठी शोधण्यायोग्य” (भौतिक रोख प्रमाणे). नॅशनल पेमेंट कॉर्पोरेशन ऑफ इंडिया (NPCI) नुसार, ऑक्टोबर 2022 पर्यंत, एकूण डिजिटल व्यवहार 54 अब्ज होते. अंकांच्या प्रचंड प्रमाणात वैयक्तिक डिजिटल अनामिकतेचे जवळपास-अशक्य शिल्लक व्यवस्थापित करणे

मनी लाँडरिंगविरोधी सुनिश्चित करताना किंवा दहशतवादाच्या वित्तपुरवठ्याशी लढा देताना व्यवहार, म्हणून, थेट “राज्याच्या साधन” अंतर्गत येतात.

सर्वोच्च न्यायालयाच्या म्हणण्यानुसार, जर केंद्र सरकार संस्थेचे संपूर्ण भागभांडवल धारण करत असेल आणि वर्तमान आणि भविष्यातील खर्चाची तरतूद करत असेल आणि जर संस्था सार्वजनिक महत्त्वाची कार्ये करत असेल तर त्याची सरकारी कार्यांशी सुसंगतता लक्षात घेऊन, ते “राज्याच्या साधनाचे समर्थन करू शकते. “

भारताची सुरक्षा, सार्वभौमत्व आणि अखंडता आणि अंतर्गत सार्वजनिक सुव्यवस्था राखण्यासाठी केंद्र सरकारला आवश्यक त्या साधनांसह सुसज्ज करण्याची आवश्यकता असताना, एक मिश्रित डाम्पनर म्हणजे अस्पष्ट विशेषता, जबाबदारी आणि कारणांसह सवलतींची विस्तारित यादी. “डिजिटल बाय डिझाईन” तक्रार निवारण “डेटा प्रोटेक्शन बोर्ड ऑफ इंडिया” मध्ये सेवा स्तरांची व्याख्या (जसे की टर्न-अराउंड टाइम आणि अकाउंटेबिलिटी मॅट्रिक्स) नसणे निराशाजनक आहे. अस्पष्ट कलमे आणि गैरहजर व्यावहारिक नागरीकांचा आधार केंद्र सरकारला व्यापक अधिकार देऊ शकतात, जबाबदारीपासून मुक्त करताना, मोठ्या प्रमाणावर पाळत ठेवणे सुलभ करण्यासाठी. हे विधेयकाच्या उद्देशाला पराभूत करेल आणि म्हणूनच, नागरिकांच्या गोपनीयतेमध्ये राज्याच्या हस्तक्षेपाविरूद्ध व्यापक आणि व्यावहारिक नागरिक आश्रय फ्रेमवर्क विधेयकाच्या दुरुस्तीमध्ये असणे आवश्यक आहे.

अस्पष्ट कलमे आणि गैरहजर व्यावहारिक नागरीकांचा आधार केंद्र सरकारला व्यापक अधिकार देऊ शकतात, जबाबदारीपासून मुक्त करताना, मोठ्या प्रमाणावर पाळत ठेवणे सुलभ करण्यासाठी.

सुचवलेले हस्तक्षेप आणि सुधारणा

1. “संमती” विभागात, संमती व्यवस्थापक संमती बॉट असल्यास बिल अनिवार्य असणे आवश्यक आहे. डेटा फिड्युशियरीने त्याच्या वापरकर्त्यांना बॉटद्वारे डोमेनवर होणार्‍या सर्व वैयक्तिक डेटा प्रक्रिया आणि स्टोरेजची माहिती दिली पाहिजे; वैयक्तिक डेटा, दस्तऐवजांवर प्रक्रिया करणार्‍या कुकीज सक्रिय करण्यासाठी स्पष्ट आणि स्पष्ट संमती मागणे; प्राप्त संमती सुरक्षितपणे संग्रहित करा आणि नियमितपणे संमतीचे नूतनीकरण करा. संमतीचे नूतनीकरण बंद केल्यावर, गोळा केलेला आणि प्रक्रिया केलेला डेटा नष्ट करणे आवश्यक आहे आणि त्याची पुष्टी डेटा प्रिन्सिपलला प्रदान करणे आवश्यक आहे. संमती अस्पष्ट नियम-आधारित किंवा वापरकर्ता-वर्तणूक डेटा-विश्लेषण बॉट्स किंवा नम्र कॅप्च अंतर्गत मुखवटा घातलेली असू नये.
2. हे विधेयक डेटा फिड्युशियरीला “मुलांना हानी पोहोचवू शकतील अशा वैयक्तिक डेटावर प्रक्रिया करण्याची परवानगी देत ​​नाही” किंवा “मुलांचे ट्रॅकिंग किंवा वर्तणूक निरीक्षण किंवा मुलांसाठी लक्ष्यित जाहिराती हाती घेऊ शकत नाही” हे आणखी एक महत्त्वाचे परिमाण आहे. मुलाच्या कोणत्याही वैयक्तिक डेटावर प्रक्रिया करण्यापूर्वी, डेटा फिड्युशियरीला सत्यापित करण्यायोग्य पालकांची संमती घेणे आवश्यक आहे. भारतीय विद्यार्थी लोकसंख्या 18 वर्षांपेक्षा लहान असताना कायदेशीररित्या “मूल” असते. भारतीय विद्यार्थी (2022 मध्ये 350 दशलक्षांपेक्षा जास्त) ही जगातील सर्वात मोठी विद्यार्थी संस्था आहे. हे कलम YouTube, Amazon, Spotify, Meta, Google इ. सारख्या डेटा फिड्युशियर्सना मुलांना लक्ष्यित जाहिरातींच्या संपर्कात आणण्यापासून प्रतिबंधित करते. जाहिराती- किंवा सबस्क्रिप्शन-केंद्रित टेक दिग्गज जाहिराती/सदस्यता चुकवण्यासाठी या अटीच्या गैरवापरावर कशी प्रतिक्रिया देतील हे पाहणे बाकी आहे. हे कार्यान्वित करण्यासाठी मजबूत तक्रार नियंत्रण यंत्रणा आवश्यक आहे.
3. व्याख्येत, “सार्वजनिक हित” मध्ये “वस्तू आणि सेवांचे शांततापूर्ण उत्पादन, उपभोग आणि वाढ आणि त्या प्रयत्नातील व्यक्तींची रोजगार किंवा उद्योजकता” यांचा समावेश असावा.
4. “कायद्याचा वापर” विभागात, कलमांनी चार अटींचा ग्रिड आणि कलमांचा वापर उदा. अ) भारतातील नागरिक, भारताबाहेर प्रक्रिया केलेला वैयक्तिक डेटा; b) भारतातील नागरिक, भारतात प्रक्रिया केलेला वैयक्तिक डेटा; c) भारताबाहेरील नागरिक, भारताबाहेर प्रक्रिया केलेला वैयक्तिक डेटा; आणि ड) भारताबाहेरील नागरिक, भारतात प्रक्रिया केलेला वैयक्तिक डेटा. “ऑफलाइन वैयक्तिक डेटा” मध्ये, मोठ्या प्रमाणात डिजिटल वैयक्तिक डेटा मास स्टोरेज वेगळे करण्यायोग्य उपकरणांमध्ये संग्रहित केला गेला असेल, प्रसारित केला गेला असेल किंवा भारतीय सीमा ओलांडून प्रक्रिया केली असेल तर बिल धूसर आहे.
5. सुनावणीची वाजवी संधी देताना, विधेयकात “प्रत्येक प्रसंगात रु. पाचशे कोटींपेक्षा जास्त नसावे” असे कठोर गैर-अनुपालन दंड लागू केले आहेत. विश्वासार्ह प्रतिबंध निर्माण करणे अत्यावश्यक असले तरी, जड दंडाचा भारतातील जागतिक स्तरावर तिसरा सर्वात मोठा स्टार्ट-अप इकोसिस्टमवर गंभीर परिणाम होईल. प्रतिबंध आणि एंटरप्राइझ हृदयाचे ठोके संतुलित करण्यासाठी, रॅम्प-आधारित दंड प्रणालीची शिफारस केली जाते.
6. बिल डिजिटल वैयक्तिक डेटा प्रक्रिया आणि धारणा कालावधी मर्यादा, नष्ट करण्याची प्रक्रिया आणि परिभाषित प्रतिधारण कालावधी किंवा कायदेशीर किंवा व्यावसायिक हेतूंसाठी आवश्यक कालावधीच्या शेवटी डेटा प्रिन्सिपलची पुष्टी करत नाही. या यंत्रणा कालबद्ध असणे आवश्यक आहे.
7. “OR” अटीऐवजी, मूळ एकभाषिक नागरिकांसाठी, बिलाची अट “इंग्रजीमध्ये आणि भारतीय संविधानाच्या आठव्या अनुसूचीमध्ये निर्दिष्ट केलेल्या कोणत्याही दोन भाषांमध्ये” सुधारित केली जावी.
8. डेटा प्रोसेसरच्या कॉन्ट्रॅक्टच्या पार्श्व किंवा डाउनस्ट्रीम साखळीद्वारे डिजिटल वैयक्तिक डेटा संरक्षण आणि त्रुटींसाठी प्राथमिक डेटा विश्वासू जबाबदार असेल का? डेटा प्रोसेसरच्या या साखळीतील वैयक्तिक डेटा उल्लंघनाच्या घटनेत, डेटा प्रिन्सिपलच्या प्रश्नांना आणि तक्रारींना कोणता डेटा संरक्षण अधिकारी उत्तरदायी आहे? सुधारित विधेयकात ही उत्तरे असणे आवश्यक आहे.
9. डेटा प्रोटेक्शन बोर्ड ऑफ इंडियाच्या नियमित कामकाजादरम्यान गोळा केलेला डेटा देखील या कायद्याद्वारे संरक्षित ठेवू नये? बोर्ड किंवा त्याचे अध्यक्ष, सदस्य, कर्मचारी किंवा अधिकारी यांच्याविरुद्ध “कोणताही खटला, खटला किंवा इतर कायदेशीर कार्यवाही” का असू नये?
10. सीसीटीव्ही किंवा इतर व्हिडिओ/ऑडिओ रेकॉर्डिंग आणि त्यांच्या हाताळणीवर हे विधेयक शांत आहे. गैरवापर आयटी कायदा 2000 आणि भारतीय संविधानाच्या अनुच्छेद 21 चे उल्लंघन करते आणि IPC कलम 500, 506 अंतर्गत मानहानीच्या खटल्याला परवानगी देते. हे दंड पालन न केल्याच्या दंडापेक्षा जास्त आणि वर लावले जातील का?

निष्कर्ष

राष्ट्रीय सुरक्षा, सार्वजनिक सुव्यवस्था, व्यवसाय करण्याची सुलभता, जागतिक मुत्सद्देगिरी आणि सीमापार सहकार्य, तंत्रज्ञानाचा वेग आणि डेटा व्हॉल्यूम यांचा समतोल साधण्याच्या प्रयत्नात, डिजिटल वैयक्तिक डेटा संरक्षण विधेयक 2022 एक उत्कृष्ट संतुलन साधते. प्रारंभिक मानक टप्प्यात असताना केंद्र सरकारकडे नेव्हिगेशनसाठी जागा असणे आवश्यक आहे, जर त्यांच्या संबंधित संदर्भात आरक्षणे आणि दुरुस्त्या अखंडपणे कार्यान्वित केल्या जाऊ शकतात, तर हे विधेयक जागतिक डिजिटल वैयक्तिक डेटा संरक्षण कायद्यांचे अग्रभागी असू शकते.