भारत: डेटा संरक्षण विधेयक गोपनीयता कायम रखने में कितना सक्षम
२ दिसम्बर २०२२
जुलाई 2018 में पहली बार प्रस्तावित होने के बाद से यह इस बिल का चौथा मसौदा है. मसौदे का उद्देश्य ऑनलाइन स्पेस को नियंत्रित करने के लिए एक व्यापक कानूनी ढांचा तैयार करना है जिसके तहत डेटा प्राइवेसी, साइबरसिक्योरिटी, टेलीकॉम रेगुलेशन और नवाचार को बढ़ावा देने के लिए गैर-व्यक्तिगत डेटा के इस्तेमाल पर कानून बनाना शामिल है.
इस कानून के बन जाने के बाद अमेजॉन और मेटा जैसी कंपनियों को भी एक डेटा प्रोटेक्शन ऑफिसर की नियुक्ति करनी होगी जो कि भारत में रहकर काम करेगा.
क्या ये माइक्रोब्लॉगिंग प्लेटफॉर्म ट्विटर की जगह ले पाएंगे?
प्रस्तावित कानून का नाम है डिजिटल पर्सनल डेटा प्रोटेक्शन बिल यानी डीपीडीपी विधेयक और इसका उद्देश्य है उपयोगकर्ता की सहमति की गारंटी के साथ-साथ निजी डेटा को सुरक्षित रखना. कानून बनने से पहले इस विधेयक यानी बिल को संसद से पारित कराना होगा.
यह विधेयक सरकार को यह व्यापक अधिकार भी देता है कि वो अपनी किसी भी एजेंसी को इस कानून के अनुपालन से छूट दे सकती है, इसीलिए तमाम हितधारकों ने इस बात पर चिंता जताई है कि डेटा तक सरकार की अबाधित पहुंच का दुरुपयोग हो सकता है. मसलन, उन स्थितियों में जब विरोध प्रदर्शनों पर नकेल कसने के लिए कानून प्रवर्तन के नाम पर सरकारी एजेंसियां डेटा का उपयोग करती हैं.
डीडब्ल्यू से बातचीत में पूर्व जज बीएन श्रीकृष्णा कहते हैं, "इस कानून में सभी सरकारी संस्थाओं को इस कानून के सभी प्रावधानों से छूट देने के अधिकार हैं. स्पष्ट है कि यह कार्यपालिका को मनमानी करने का खुला निमंत्रण हैं.”
श्रीकृष्णा सुप्रीम कोर्ट के पूर्व न्यायाधीश हैं और 2018 में डेटा प्रोटेक्शन बिल का पहला मसौदा तैयार करने वाली समिति के अध्यक्ष भी थे. वो कहते हैं कि मौजूदा मसौदा सरकार के पक्ष में तैयार किया गया है. उनके मुताबिक, "तथाकथित नियामक महज सरकार की कठपुतली होगी और उसे किसी तरह की स्वतंत्रता नहीं होगी.”
स्वतंत्र निगरानी पर सवाल
भारत के डेटा संरक्षण बोर्ड को कानून के अनुपालन और उसकी निगरानी की जिम्मेदारी दी जाएगी. डिजिटल अधिकारों और निजता जैसे मुद्दों पर काम करने वाली वकील वृंदा भंडारी कहती हैं कि बोर्ड की स्वतंत्रता एक समस्या हो सकती है क्योंकि डेटा संरक्षण बोर्ड के नियम और संगठन सरकार ही तय करेगी.
डीडब्ल्यू से बातचीत में वो कहती हैं, "सरकार बड़े पैमाने पर हमारे निजी और संवेदनशील डेटा को संभालती है. निश्चित तौर पर इसके लिए एक स्वतंत्र बोर्ड होना चाहिए.”
सरकारी अधिकारियों का कहना है कि नया मसौदा निजता के मौलिक अधिकार पर सुप्रीम कोर्ट के निर्देशों के मुताबिक तैयार किए गए हैं, लेकिन इन पर कुछ तर्कसंगत प्रतिबंध भी लागू होते हैं.
नाम न छापने की शर्त पर एक अधिकारी ने डीडब्ल्यू को बताया, "संसद में पेश होने से पहले मसौदे पर विचार विमर्श का रास्ता खुला है और सरकार हितधारकों के विचारों का स्वागत करती है. सरकार चाहती है कि अगले कुछ महीनों में इस प्रक्रिया को पूरा कर लिया जाए.”
व्यक्तिगत डेटा की सुरक्षा
डीपीडीपी के मौजूदा मसौदे के मुताबिक निजी डेटा को एकत्र करने से पहले उस व्यक्ति की सहमति जरूरी है. बिना सहमति के इस डेटा का उपयोग करने वालों पर जुर्माना लगाने का भी प्रावधान है, भले ही ऐसा कोई व्यक्ति करता हो या फिर कोई कंपनी. डेटा को गलती से सार्वजनिक करना, साझा करना, छेड़छाड़ करना या उसे नष्ट करने जैसी गतिविधियां दुरुपयोग के दायरे में आएंगी.
इंटरनेट फ्रीडम फाउंडेशन नामक संस्था की वकील अनुष्का जैन कहती हैं कि विधेयक में ऐसे कई प्रावधान हैं जिनकी वजह से डेटा को सुरक्षित रखने की इसकी क्षमता को लेकर आशंकाएं जताई जा रही हैं. वो कहती हैं, "इनमें दायित्व की कमी, सरकार और निजी संस्थाओं को व्यापक छूट, डीपीबी की स्वतंत्रता और दायित्व पर उठने वाले सवाल और उल्लंघन पर लगाए जा रहे जुर्माने जैसे प्रावधान शामिल हैं.”
डेटा के दूसरे देशों में भेजे जाने के मामले में, डीपीडीपी का मसौदा ‘विश्वसनीय' अधिकार क्षेत्र में स्टोरेज और ट्रांसफर की अनुमति देता है और इस अधिकार क्षेत्र को परिभाषित करने का अधिकार सरकार के पास रहेगा.
भारत सरकार ने वापस लिया विवादित डेटा प्राइवेसी बिल
हालांकि, इस कानून से अनिवार्य डेटा स्थानीयकरण नियम खत्म हो जाएंगे जिनकी वजह से ‘अत्यंत जरूरी' डेटा का स्टोरेज सिर्फ भारत में ही करने की विवशता होती है. भंडारी कहती हैं, "विधेयक में कुछ सकारात्मक बातें भी हैं. डेटा को स्थानीय स्तर पर ही स्टोरेज करने संबंधी बाध्यता खत्म हो रही है. गैर-व्यक्तिगत डेटा स्पष्ट रूप से कानून के दायरे से बाहर है.”
भारत की निगाह वैश्विक मानकों पर
यूरोपीय संघ के ऐतिहासिक जनरल डेटा प्रोटेक्शन रेग्युलेशन यानी जीडीपीआर कानून ने दुनिया भर में करीब 160 देशों को इस तरह का कानून बनाने के लिए प्रेरित किया है. यह स्पष्ट रूप से निजता को ध्यान में रखकर बनाया गया है और इसमें किसी व्यक्ति के डेटा के उपयोग से पहले उसकी अनुमति को आवश्यक बनाया गया है.
जीडीपीआर निजी डेटा के उपयोग के लिए एक व्यापक डेटा संरक्षण कानून पर केंद्रित है. अत्यधिक कठोर होने और डेटा प्रसंस्करण में लगे संगठनों पर कई तरह के दायित्व थोपने को लेकर इसकी आलोचना भी हुई है लेकिन इसे दुनिया भर में डेटा संरक्षण से संबंधित कानूनों के लिए एक उदाहरण के तौर पर देखा जा रहा है.
अनुष्का जैन एक नियम का हवाला देते हुए कहती हैं कि किसी खास मकसद से एकत्र किए गए डेटा का इस्तेमाल किसी अन्य कार्य के लिए नहीं किया जा सकता है. इस आधार पर पर वो कहती हैं, "हमने इस विधेयक का वैश्विक मानकों पर गहराई से तो अध्ययन नहीं किया है लेकिन एक अंतर स्पष्ट रूप से दिखाई पड़ रहा है कि यह उद्देश्य सीमा के सिद्धांत का पालन करने में विफल है. तीसरे पक्ष को डेटा साझा करने के बारे में भी इस विधेयक में स्पष्ट तौर पर कुछ नहीं कहा गया है.”