नवीन DPDPB 2022 हे अधिक व्यापक विधेयक असले तरी, वापरकर्त्यांना शोषणापासून वाचवण्यापेक्षा डेटा विश्वस्तांचे संरक्षण करणे हे अधोरेखित केलेले उद्दिष्ट आहे.
18 नोव्हेंबर रोजी, इलेक्ट्रॉनिक्स आणि माहिती तंत्रज्ञान मंत्रालयाने (MeitY) डिजिटल वैयक्तिक डेटा संरक्षण विधेयक 2022 (DPDPB 2022) मसुदा लॉन्च केला. त्याच्या आधीच्या पुनरावृत्तीतील 90 पेक्षा जास्त कलमांमधून नाटकीयरित्या संक्षेपित केलेले, DPDPB 2022, 30 कलमे त्याच्या पूर्ववर्तींपेक्षा अधिक संक्षिप्त आहेत, काही व्याख्या आणि बाह्यरेखा गमावून बसले आहेत, अशा प्रकारे, हे अंतर भरून काढण्यासाठी सहाय्यक धोरणे आणि भविष्यातील मार्गदर्शक तत्त्वांवर अवलंबून आहे.
असा एक पैलू म्हणजे संमती आणि संमतीची संदिग्धता. विधेयकात, डेटा प्रिन्सिपलची संमती आवश्यक आहे – वैयक्तिक डेटा ऑफर करणारी संस्था, बहुतेक प्रकरणांमध्ये, वैयक्तिक वापरकर्ता किंवा ग्राहक. तथापि, संमतीचे “माहित” सबमिशन अस्पष्ट आहे. या धडा 2, (7) मध्ये: संमती, डेटा प्रिन्सिपलने वैयक्तिक माहिती काढून घेतल्यास सेवा ऑफर करणे थांबवण्याचा अधिकार डेटा फिड्युशियरी—डेटा होस्टिंग संस्था—अधिकारावर चर्चा करणारा एक खंड आहे. तथापि, हे कलम जाणूनबुजून आणि माहितीपूर्ण संमतीच्या महत्त्वपूर्ण संकल्पनेशी संरेखित करत नाही, जे एखाद्या व्यक्तीचा डेटा सामायिक करू इच्छित नसताना सेवांमध्ये प्रवेश करण्याची क्षमता दर्शवते. जाणूनबुजून संमतीचा अभाव अनेकदा पर्यायी सेवांच्या अभावामुळे ग्राहकांना डेटा शेअर करण्यास भाग पाडतो.
पुढे, पुढील विभागात, अध्याय 2, (8): संमती समजली, रेषा आणखी अस्पष्ट आहेत. हा विभाग डेटा प्रिन्सिपलकडून स्पष्ट संमती न मिळाल्यास, डेटा फिड्युशियरी डेटाबेसवर वैयक्तिक डेटा ठेवण्यास वाव कसा आहे याबद्दल बोलतो. येथे दिलेले उदाहरण म्हणजे बायोमेट्रिक प्रणाली वापरून कामावर साइन इन आणि आउट करणार्या कर्मचार्यांचा बायोमेट्रिक डेटा ठेवणे. तथापि, खालील विभागातील कलमांमुळे, धडा 2, (9): डेटा फिड्युशियरीच्या सामान्य जबाबदाऱ्या, “कायदेशीर किंवा व्यवसाय” साठी आवश्यक असल्यास डेटा रेकॉर्ड ठेवू शकणार्या डेटा फिड्युशियरींचा उल्लेख केल्यामुळे हे तीव्रतेने चर्चा करण्याचे क्षेत्र बनले आहे. कार्यवाही बायोमेट्रिक डेटा सबमिशनच्या प्रकरणांमध्ये, अगदी खाजगी पक्षांसह, आणि इतर वैयक्तिक डेटा सरकारकडे सादर केला जातो, ज्यासाठी मध्यस्थांना हा डेटा गोळा करण्याची आवश्यकता असू शकते, डेटा प्रिन्सिपलने केवळ डेटा विश्वासार्हतेलाच संमती दिली नाही असे मानले जाते. थेट, परंतु इतर कोणत्याही डेटा होस्टिंग संस्था, ज्यांना या विधेयकाखाली जबाबदार धरले जात नाही आणि ती माहिती हटविण्याची आवश्यकता नाही कारण ती व्यवसाय कार्यवाहीसाठी “आवश्यक” आहे. हे उदाहरण, विधेयकात दिलेले आहे, आणि इतर अनेक संरेखितांनी स्पष्टपणे सबमिशन तृतीय-पक्षाच्या आवश्यकतेबद्दल आणि डीम्ड संमती काढून टाकण्याची गरज आहे, विशेषत: जेव्हा तृतीय-पक्षाचे विश्वासू गुंतलेले असतात.
एकदा स्पष्ट परवानगी प्राप्त झाल्यानंतर, सार्वजनिकरित्या उपलब्ध माहिती नैतिक प्रवेश समस्यांना विरोध करणार नाही.
डीम्ड संमतीचे क्षेत्र “सार्वजनिकरित्या उपलब्ध वैयक्तिक डेटा” न काढण्यावर देखील चर्चा करते. तथापि, सार्वजनिकरीत्या उपलब्ध असणे किंवा नाही हे सुरक्षित समजले जाते याची कोणतीही व्याख्या किंवा रूपरेषा नाहीत. यासारख्या प्रकरणांमध्ये, ईमेल आयडीची उपलब्धता व्यक्तिपरत्वे महत्त्वानुसार बदलू शकते. अशा प्रकारे, सार्वजनिकरित्या उपलब्ध असल्यास काय सुरक्षित आहे याची कल्पना परिभाषित करणे आवश्यक आहे आणि या बाह्यरेखांच्या बाहेरील कोणत्याही गोष्टीसाठी स्पष्ट संमती घेणे आवश्यक आहे. अशा प्रकरणांमध्ये, सार्वजनिक संरक्षणाच्या बिंदूपासून सुरुवात करणे अधिक शहाणपणाचे ठरेल, डेटा उपलब्धतेसाठी स्पष्ट संमती मागणे (विशेषत: सार्वजनिक व्यक्तींच्या बाबतीत, नंबर आणि ईमेल ओळखणारे अॅप्स इ.). एकदा स्पष्ट परवानगी प्राप्त झाल्यानंतर, सार्वजनिकरित्या उपलब्ध माहिती नैतिक प्रवेश समस्यांना विरोध करणार नाही.
हा विभाग “डेटा फिड्युशियरीची कायदेशीर कारणे” च्या अस्पष्ट कलमावर देखील चर्चा करतो जो मानलेल्या संमतीने वैयक्तिक डेटा वापरण्याची परवानगी देतो. कंपन्या आणि त्यांचे व्यवसाय मॉडेल आणि इतर कंपन्यांसह परस्परसंवाद लक्षणीय भिन्न असू शकतात, कायदेशीर कारणे स्पष्टपणे परिभाषित करणे आवश्यक आहे. डेटा फिड्युशियरी कायदेशीर कार्यवाही आणि आर्थिक आवश्यकतांचा विचार करू शकतात, परंतु या कलमाची अस्पष्टता तृतीय पक्षांना वैयक्तिक डेटाची विक्री करण्यास सक्षम करू शकते, जे कोणत्याही गोपनीयता कायद्याच्या संपूर्ण पायाला विरोध करते.
धडा 2, (9): डेटा फिड्युशियरीच्या सामान्य जबाबदाऱ्यांमध्ये डेटा लीकेज टाळण्यासाठी सामान्य सुरक्षा उपायांची देखील चर्चा केली जाते. मात्र, ते अजूनही विधेयकाच्या आतच आहेत. येथे संदिग्धतेचा धोका म्हणजे भिन्न डेटा फिड्युशियरी अशा सिक्युरिटीज तयार करतील ज्या प्रमाणित नसतील आणि डेटा प्रिन्सिपलवर त्यांचा डेटा कोठे सबमिट केला जातो किंवा ठेवला जातो यावर भार पडेल, डेटा फिड्युशियर्सना जबाबदार धरण्यापेक्षा. अशा संदिग्धतेमुळे डेटा फिड्युशियर्सना “डिम्ड कन्सेंट” च्या आधीपासून परवानगी असलेल्या संकल्पनांच्या बाहेर इतर डेटा विश्वासूंसोबत डेटा शेअर करण्यासाठी त्रुटी निर्माण होतात आणि तृतीय-पक्ष शेअरिंगच्या आसपासच्या व्याख्यांचा अभाव आहे. या चिंतेची एक जागा आर्थिक आणि आरोग्य क्षेत्रातील आहे. डेटा शेअरिंगवरील BIS मानक API प्रोत्साहित करण्यासाठी एक प्रारंभिक बिंदू प्रदान करू शकतात.
येथे संदिग्धतेचा धोका म्हणजे भिन्न डेटा फिड्युशियरी अशा सिक्युरिटीज तयार करतील ज्या प्रमाणित नसतील आणि डेटा प्रिन्सिपलवर त्यांचा डेटा कोठे सबमिट केला जातो किंवा ठेवला जातो यावर भार पडेल, डेटा फिड्युशियर्सना जबाबदार धरण्यापेक्षा.
खालील विभागात, धडा 2, (11): महत्त्वपूर्ण डेटा विश्वासार्हतेचे अतिरिक्त दायित्व डेटा संरक्षण प्रभाव मूल्यांकन आवश्यक असताना, किमान स्वीकार्य गुण किंवा मानकीकरण विस्तृत करणे आवश्यक आहे.
मसुद्यानुसार, सरकार डेटा प्रोटेक्शन बोर्ड (DPB) स्थापन करेल, ज्याला डेटा विश्वस्त संस्थेद्वारे पालन न करणे महत्त्वपूर्ण आणि डेटासाठी दायित्व असल्याचे आढळल्यास ₹500 कोटी रुपयांपर्यंत दंड आकारण्याचा अधिकार असेल. मुख्याध्यापकांची तक्रार निरर्थक असल्याचे आढळल्यास.
विधेयकात, धडा 5, अनुपालन फ्रेमवर्कवर लक्ष केंद्रित करून, डेटा संरक्षण मंडळाच्या आवश्यकता, त्याच्या जबाबदाऱ्या आणि घटक आणि नियुक्ती आणि सेवांच्या अटी मांडतात. या प्रकरणातील एक कलम (कलम 19(2)) हे नियम लागू करण्याच्या सलग टप्प्यांवर केंद्र सरकारने दुर्लक्षित केले जाणारे अध्यक्ष आणि इतर सदस्यांच्या नियुक्त्या परिभाषित केल्या आहेत. पुढे, खालील कलम केंद्र सरकारद्वारे नियुक्त केलेल्या मंडळाच्या मुख्य कार्यकारी नियुक्तीची चर्चा करते. विधेयक, त्याच्या सध्याच्या आवृत्तीत, आधीच डेटा प्रिन्सिपल आणि डेटा विश्वस्तांना अधिकारावर जबाबदारीचा वाजवी वाटा आउटसोर्स करते, ज्यामुळे केंद्र सरकारला संरक्षण मंडळ-स्तरावर अधिक महत्त्वपूर्ण निर्णय घेण्याची परवानगी मिळते आणि त्यामुळे DPB वर अवलंबून राहता येते. सरकार आणि त्याला स्वतंत्र पक्ष म्हणून काम करण्यापासून मर्यादित करणे आणि डेटा प्रिन्सिपल आणि डेटा फिड्युशियरी यांच्यातील शक्ती असमतोल मजबूत करणे.
या दंडांमुळे डेटा प्रिन्सिपल देखील जबाबदार आहेत, केस आणि केंद्र सरकारच्या मंजुरीची आवश्यकता असलेल्या मंडळाच्या नियुक्तीवर अवलंबून, DPB एक स्वतंत्र संस्था म्हणून काम करत नाही आणि अशा प्रकारे, डेटा प्रिन्सिपलच्या हिताचे संरक्षण करत नाही. एक व्यक्ती म्हणून.
या प्रकरणातील एक कलम (कलम 19(2)) हे नियम लागू करण्याच्या सलग टप्प्यांवर केंद्र सरकारने दुर्लक्षित केले जाणारे अध्यक्ष आणि इतर सदस्यांच्या नियुक्त्या परिभाषित केल्या आहेत.
DPDPB 2022 मध्ये जागतिक संदर्भात इतर गोपनीयता धोरणांमधून बरेच काही शिकण्यासारखे आहे. युरोपियन युनियनचे जनरल डेटा प्रोटेक्शन रेग्युलेशन (GDPR) हे सर्वात लोकप्रिय आणि सर्वसमावेशक गोपनीयता धोरण राहिले आहे, मुख्यत्वे ते डेटावरील व्यक्तीच्या अधिकारावर लक्ष केंद्रित करते, ते बाजारातील घटकांचे संरक्षण करण्यासाठी देखील वाढवले जाते. कायद्याची जोडी-डिजिटल सेवा कायदा (DSA) आणि डिजिटल मार्केट्स ऍक्ट (DMA) हे सुनिश्चित करण्यासाठी शिल्लक आहे की संरक्षण आवश्यक असलेल्या बाजार शक्तींच्या प्रकरणांमध्ये व्यक्तींना जबाबदार धरले जाणार नाही; त्याऐवजी, हे नियम बाजार शक्तींना वैयक्तिक एजंट म्हणून पाहतात.
भारतीय DPDPB 2022 ने अनेक नियमांच्या पूर्ततेसाठी प्रयत्न करण्यापेक्षा वैयक्तिक संरक्षणावर लक्ष केंद्रित केले पाहिजे.
युनायटेड स्टेट्समध्ये, विविध डेटा गोपनीयता धोरणे एकत्र करून स्वतंत्र वापरकर्त्याचे संरक्षण, स्वातंत्र्य संरक्षण यावर लक्ष केंद्रित केले जाते. अगदी अलीकडच्या क्लाउड कायद्याचे दोन मुख्य उद्दिष्टे आहेत; पहिला म्हणजे डेटा प्रदात्यांसाठी त्यांच्या जबाबदाऱ्यांचे पालन करण्यासाठी वातावरण तयार करणे आणि डेटाची देवाणघेवाण करणे आणि दुसरे म्हणजे यूएस सरकारला प्रदात्यांच्या आधारे असलेल्या इलेक्ट्रॉनिक माहितीवर परस्पर जलद प्रवेशासाठी परदेशी सरकारांशी कार्यकारी करार करण्याची परवानगी देणे. परदेशात चीनचा वैयक्तिक माहिती संरक्षण कायदा व्यवसाय डेटावर लक्ष केंद्रित करतो, ज्याला महत्त्वाच्या स्तरांनुसार वर्गीकृत केले जाणे अपेक्षित आहे आणि सीमापार डेटा हस्तांतरणावर निर्बंध जोडले आहेत.
या इतर तुलनात्मक अर्थव्यवस्थांमध्ये, व्यक्तीचे संरक्षण करण्यावर आणि अधिकारक्षेत्रातील सरकारकडे डेटा उपलब्ध राहील याची खात्री करण्यावर लक्ष केंद्रित केले जाते. DPDPB 2022 सह, या ट्रेंडचे अनुसरण करणे आवश्यक आहे.
प्रस्तावित कायद्यासह स्पष्टीकरणात्मक नोटमध्ये, सरकारने असा युक्तिवाद केला की “राष्ट्रीय आणि सार्वजनिक हित काही वेळा व्यक्तीच्या हितापेक्षा मोठे आहे” आणि अशा सूटांची आवश्यकता न्याय्य आहे.
चीनचा वैयक्तिक माहिती संरक्षण कायदा व्यवसाय डेटावर लक्ष केंद्रित करतो, ज्याला महत्त्वाच्या स्तरांनुसार वर्गीकृत केले जाणे अपेक्षित आहे आणि सीमापार डेटा हस्तांतरणावर निर्बंध जोडले आहेत.
सध्याचे विधेयक केंद्र आणि इतर सरकारी संस्थांना अनेक सूट देते. आधी सांगितल्याप्रमाणे, त्यात नागरिकांसाठी त्यांच्या जबाबदाऱ्यांपेक्षा कमी सुरक्षितता आहेत, डेटा प्रिन्सिपलवरील जबाबदारीच्या जबाबदारीवर जोर देते. MeitY विधेयकाचा बचाव करत असताना, ते “विश्वासाच्या प्रिझम” वर बांधले आहे असे सांगून, हे लक्षात ठेवणे आवश्यक आहे की प्रिझम जे शोषून घेते त्यापेक्षा भिन्न रंग प्रदर्शित करते.
नवीन DPDPB 2022 हे अधिक व्यापक विधेयक असले तरी, वापरकर्त्यांचे शोषणापासून संरक्षण करण्याऐवजी अर्थव्यवस्थेचे आणि त्यातील संस्थांचे संरक्षण करणे हे अधोरेखित केलेले उद्दिष्ट आहे. हे वेगवेगळ्या कलमांमध्ये स्पष्टपणे स्पष्ट आहे, DPDPB इतर जागतिक नियमांशी कसे तुलना करते, आंतरराष्ट्रीय आणि तृतीय-पक्ष डेटा शेअरिंगच्या संदर्भात वापरकर्त्यांना प्रदान केलेल्या संरक्षणाच्या अभावावर नियम करते. नियमाने वापरकर्त्याच्या संरक्षणाकडे प्राथमिक चिंता म्हणून पाहिले पाहिजे. हे विधेयक एक सर्वसमावेशक आणि प्रभावी प्रयत्न आहे याची खात्री करण्यासाठी योग्य दिशा, DPDPB 2022 ला त्याच्या काही संकल्पनांवर पुनर्विचार करणे आवश्यक आहे जे सरकार आणि संस्था यांसारख्या आधीच सशक्त संरचना अंतर्गत वापरकर्त्यांची असुरक्षितता वाढवतात.
The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.
Shravishtha Ajaykumar is Associate Fellow at the Centre for Security, Strategy and Technology. Her fields of research include geospatial technology, data privacy, cybersecurity, and strategic ...
Read More +
PREV
