निजी डेटा  प्रोटेक्शन बिल 2021- (360’Analysis)

  निजी डेटा  प्रोटेक्शन बिल 2011

डेटा सुरक्षा क्या है?

डेटा सुरक्षा शब्द का अर्थ है संग्रहीत डेटा के उपयोग और उपयोग पर कानूनी नियंत्रण। दूसरे शब्दों में, यह किसी की गोपनीयता में घुसपैठ को कम करने के लिए निरंतर और दोहराव वाली प्रक्रियाओं, ध्वनि नीतियों और गोपनीयता कानूनों की एक श्रृंखला को संदर्भित करता है।

Forbes India - Data Protection Bill: Can It Ensure Your Privacy Online?

सुरक्षित अधिकार/ खत्म  गोपनीयता ?

बहुप्रतीक्षित डेटा संरक्षण विधायक सांसद के चालू शीतकालीन सत्र में पेश किया जाएगा। एक संयुक्त संसदीय समिति ने फाइल नल रिपोर्ट मंजूर की है। इसके कुछ प्रावधानों के आलोचना हो रही है। समिति के  सभी विपक्ष के सांसद ने विधेयक को लेकर असहमति जताई है।

परिभाषाएं: बिल स्पष्ट करता है

(i) पर्सनल डेटा कोई ऐसी सूचना है जो व्यक्तिगत पहचान प्रदान करती है,

(ii) डेटा ‘प्रोसेसिंग’ एक ऐसा कार्य है जिसमें डेटा को इकट्ठा करना, उसका मैन्यूपुलेशन, शेयरिंग या स्टोरेज शामिल हैं,

(iii) ‘डेटा प्रिंसिपल’ वह व्यक्ति है जिसके पर्सनल डेटा को प्रोसेस किया जाता है,

(iv) ‘डेटा फिड्यूशरी’ वह एंटिटी या व्यक्ति है, जो डेटा प्रोसेसिंग के प्रकार और उद्देश्यों को तय करता है, और (v) ‘डेटा प्रोसेसर’ वह एंटिटी या व्यक्ति होता है जो फिड्यूशरी की ओर से डेटा को प्रोसेस करता है।

Decoding The Personal Data Protection Bill, 2018 - Privacy - India

सरकार के लिए छूट

विधेयक के अनुच्छेद 35 के अनुसर्वसा सरकार और सरकारी एजेंसीयां प्रस्तावित कानून के दायरे में नहीं आते। धारा 12 में सरकार को छुट का प्रावधान है की वह गैर व्यक्तिगत डाटा को बिना सहमति व संसदीय मंजूरी के भी काम में ले सकती है। दोनों ही प्रावधानों के दुरुपयोग की संभावना से इनकार नहीं किया जा सकता। कांग्रेस नेता जयराम रमेश ने असहमति जताते हुए कहा की धारा 35 केंद्र को अनियंत्रित शक्तियां दे रही है जो किसी भी सरकारी एजेंसी को इस कानून  से बाहर रख सकेगी।

  • सोशल मीडिया

समिति की सिफारिश है कि सोशल मीडिया को प्रकाशक की ही तरह मध्यवर्ती संस्थाएं घोषित कर दिया जाए जिससे वे अपने प्लेटफार्म पर प्रकाशित कंटेंट के प्रति जवाबदेह बनें। ऐसा इसलिए क्योंकि आईटी कानून सोशल मीडिया की बदलती प्रकृति के अनुरूप नहीं है। ‘समिति की सिफारिश है कि सारे सोशल मीडिया मीडिया प्लेटफॉर्म को प्रकाशक माना जाए जो अपने कंटेंट के प्रति जवाबदेह हो।’ साथ ही केवल वही सोशल मीडिया भारत में अनुमत हो, जिसका तकनीकी ऑफिस भी भारत में ही हो।

  • देता संरक्षण प्राधिकरण

एक डेटा संरक्षण प्राधिकरण (डीपीए) हो , जो व्यक्तिगत एवं गैर व्यक्तिगत डेटा के प्रति जवाबदेह हो। इसका एक अध्यक्ष और केंद्र सरकार द्वारा नियुक्त 6 पूर्णकालिक सदस्य हों। विधेयक के पहले प्रारूप में स्वतंत्र नियामक रूप मैं डीपीए के गठन की सिफारिश की गई थी।

  • गैर व्यक्तिगत डेटा

दो हजार अट्ठारह में पहली बार या विधेयक प्रस्तावित किया गया तो समिति ने गैर व्यक्तिगत डेटा के लिए अलग बिल की सिफारिश की थी। अंतिम प्रारूप में व्यक्तिगत व गैर व्यक्तिगत दोनो ही डेटा में सरकारी एजेंसियों, लाभकारी संगठनों व निजी क्षेत्र द्वारा संकलित जानकारियां होती हैं। तौर पर यह जानकारी अज्ञात रूप में रखी जाती है।

  • डेटा स्थानीयकारण

विधेयक में कंपनियों द्वारा भारत के संवेदनशील वह महत्वपूर्ण डेटा की प्रतिलिपि समयबद्ध रूप से संग्रहित करना अनिवार्य बताया गया है। साथ ही आगे चलकर डेटा संग्रहण सुविधा के लिए इंफ्रास्ट्रक्चर विकसित करने की बात कही गई है। रिपोर्ट में कहा गया है– ‘समिति की सिफारिश है कि केंद्र सरकार सभी क्षेत्रीय नियामको के साथ मिलकर डेटा स्थानीयकरण पर एक व्यापक नीति बनाएं और उसकी घोषणा करें, जिसमें भारतीयों के डेटा सुरक्षित रखने के लिए पर्याप्त इंफ्रास्ट्रक्चर विकसित करने जैसे पहलुओं को व्यापक स्तर पर शामिल किया जाए। इससे रोजगार श्रजन भी होगा।’

  • हार्डवेयर नियमन

चूंकि निर्माण पूरी दुनिया में ही फैला हुआ है, इसलिए समिति का सुझाव है की हार्डवेयर का नियमन हो क्योंकि हार्डवेयर निर्माता भी डेटा संग्रहण करते हैं। समिति की सिफारिश है कि सरकार सारे डिजिटल और आईओटी (इंटरनेट ऑफ थिंग्स) डिवाइस के लिए औपचारिक प्रमाणीकरण प्रक्रिया स्थापित करने के प्रयास करने चाहिए। इससे डेटा सुरक्षा के लिए इन सब डिवाइस का समेकित होना सुनिश्चित हो सकेगा। समिति की सिफारिश है कि सरकार देश भर में ऐसी प्रशिक्षण प्रयोगशाला में बनाए, जो सभी डिवाइस के समेकित और सुरक्षित होने का प्रमाण पत्र दे।

  • डेटा निजता उल्लंघन

फिलहाल उपभोक्ताओं को डाटा निजता उल्लंघन के मामले में कोई संरक्षण नहीं है। विधेयक में प्रावधान है की कंपनियों के लिए डेटा निजता उल्लंघन के 72 घंटे के भीतर निगरानी प्राधिकरण को इसकी जानकारी देना आवश्यक हो। इसका मकसद यह है कि प्रभावित यूजर को इस बारे में सूचित कर दिया जाए ताकि वे अपनी जानकारी सुरक्षित रखने के लिए जरूरी उपाय कर सकें। सूचना सुरक्षा समुदाय की ओर से यह मुख्य कार्य है क्योंकि भारत में यूजर डाटा को जोखिम से बचाने के लिए डेटा उल्लंघन के मामले सार्वजनिक नहीं किए जाते।

प्रमुख मुद्दे और विश्‍लेषण

  • डेटा फिड्यूशरी से यह अपेक्षा की गई है कि अगर डेटा के अतिक्रमण (ब्रीच) से किसी को नुकसान होने की आशंका है तो वह डीपीए को इस अतिक्रमण की सूचना देगा। संभव है कि किसी अतिक्रमण की सूचना देना है अथवा नहीं, इस संबंध में हितों का टकराव हो। चूंकि डीपीए अनेक मानदंडों के आधार पर फिड्यूशरी का रेगुलेशन और मूल्यांकन करती है। इसमें डेटा अतिक्रमण के मामले भी शामिल हैं।
     
  • बिल पत्रकारिता, शोध या कानूनी प्रक्रिया जैसे उद्देश्यों के लिए छूट की अनुमति देता है। यहां यह प्रश्न किया जा सकता है कि क्या इन कारणों से किसी व्यक्ति की निजता के अधिकार का उल्लंघन किया जा सकता है। क्या ये उद्देश्य इतने आवश्यक हैं और निजता के अधिकार के उल्लंघन के अनुपात में हैं।
     
  • सरकार से यह अपेक्षा नहीं की गई है कि लाभ या सेवाएं प्रदान करने के लिए किसी व्यक्ति की सहमति हासिल करे। यह अस्पष्ट है कि यह छूट केवल सरकार की कल्याणकारी सेवाओं तक सीमित क्यों नहीं है, जैसा कि जस्टिस श्रीकृष्ण कमिटी की रिपोर्ट में प्रस्तावित है।
     
  • कानून प्रवर्तन करने वाली संस्थाओं को डेटा आसानी से हासिल हो जाए, इसके लिए बिल में यह अनिवार्य किया गया है कि भारत में पर्सनल डेटा की एक कॉपी को स्टोर किया जाए। कुछ मामलों में यह उद्देश्य हासिल नहीं किया जा सकता, जैसे अगर फिड्यूशरी किसी दूसरे देश में पंजीकृत हो।
     
  • यह प्रश्न किया जा सकता है कि क्या डीपीए कानून का उल्लंघन करने वाले व्यक्तियों को न्यायालय की मंजूरी या आदेश के बिना गिरफ्तार कर सकती है या उन्हें हिरासत में ले सकती हैं।

डेटा प्रोटेक्शन अथॉरिटी:

बिल डेटा प्रोटेक्शन अथॉरिटी (डीपीए) की स्थापना का प्रावधान करता है। डीपीए की निम्नलिखित शक्तियां हैं

(i) विभिन्न क्षेत्रों के सभी डेटा फिड्यूशरीज़ के लिए विशिष्ट रेगुलेशंस बनाना,

(ii) डेटा फिड्यूशरीज़ का निरीक्षण करना,

(iii) बिल के अनुपालन का आकलन करना और प्रवर्तन संबंधी कार्रवाई करना, और

Data protection law closer to reality with cabinet nod

(iv) डेटा प्रिंसिपल्स की शिकायतों को प्राप्त करना, उनका प्रबंधन करना और उनका निवारण करना। इस अथॉरिटी में एक चेयरपर्सन और छह सदस्य होंगे जिन्हें डेटा प्रोटेक्शन और इनफॉरमेशन टेक्नोलॉजी के क्षेत्र में कम से कम दस वर्षों का अनुभव हो।  
  डीपीए के पास सजा और मुआवजा देने के लिए अलग से एक एडजूडिकेशन विंग होगा। एडजूडिकेटिंग ऑफिसर साइबर और संवैधानिक कानून, और डेटा प्रोटेक्शन जैसे विषयों में कम से कम सात वर्ष के पेशेवर अनुभव प्राप्त विशेषज्ञ होंगे। डीपीए के आदेशों के खिलाफ केंद्र सरकार द्वारा गठित अपीलीय ट्रिब्यूनल में अपील की जा सकती है और ट्रिब्यूनल के खिलाफ सर्वोच्च न्यायालय में अपील की जा सकती है।

डेटा प्रोटेक्शन और निजता से संबंधित अंतरराष्ट्रीय कानूनों से बिल की तुलना

बिल में ऐसे अनेक प्रावधान हैं जोकि यूरोपीय संघ, ऑस्ट्रेलिया और कनाडा में डेटा संरक्षण और निजता के कानूनों से अलग हैं। तालिका 1 ऐसे कुछ प्रावधानों का उल्लेख कर रही है जोकि भिन्न हैं।

तालिका 1: डेटा प्रोटेक्शन और निजता के कानूनों की अंतरराष्ट्रीय तुलना

देशयूरोपीय संघऑस्ट्रेलियाकनाडाभारत (प्रस्तावित ड्राफ्ट बिल)
एंटिटीज़ का कवरेज·     निजी और सरकारी एंटिटीज़ के लिए एक कानून·     निजी और सरकारी एंटिटीज़ के लिए एक कानून·     निजी और संघीय सरकार  की एंटिटीज़ के लिए अलग-अलग कानून·     निजी और सरकारी एंटिटीज़ के लिए एक कानून
संवेदनशील पर्सनल डेटा·     फाइनांशियल डेटा, पासवर्ड्स शामिल नहीं·     फाइनांशियल डेटा, पासवर्ड्स शामिल नहीं·     अलग से स्पष्ट नहीं, कोई भी डेटा संदर्भ के आधार पर संवेदनशील हो सकता है·     फाइनांशियल डेटा, पासवर्ड्स शामिल
किसी देश में डेटा का स्टोरेज और शेयरिंग
डेटा का स्थानीय स्टोरेज·     अनिवार्य नहीं·     अनिवार्य नहीं ·     क्षेत्र आधारित अनिवार्यताएं, जैसे स्वास्थ्य संबंधी डेटा·     अनिवार्य नहीं·     कॉपी रखने की अनिवार्यता, महत्वपूर्ण पर्सनल डेटा सिर्फ देश में स्टोर
डेटा का सीमा पारीय ट्रांसफर·     अनुमति है, अगर यूरोपीय कमीशन तय करता है कि डेटा प्राप्त करने वाले देश में डेटा संरक्षण के पर्याप्त मानदंड हैं·     अनुमति है, अगर प्रोसेसिंग करने वाली एंटिटी यह सुनिश्चित करने के लिए कदम उठाएं कि प्राप्तकर्ता देश के निजता के सिद्धांतों का अतिक्रमण नहीं करता·     अनुमति है, अगर प्रोसेसिंग एंटिटी संरक्षण के तुलनात्मक स्तर को सुनिश्चित करने के लिए अनुबंधीय या दूसरे तरीके इस्तेमाल करती है·     (कुछ डेटा की) अनुमति है, अगर रेगुलेटर द्वारा मंजूर हो या सरकार द्वारा विनिर्दिष्ट हो
रेगुलेशन और प्रवर्तन
डेटा अतिक्रमण की सूचना·     संभावित हानिकारक अतिक्रमण की सूचना रेगुलेट को देनी होगी ·     व्यक्ति को सूचना देने की आवश्यकता नहीं, अगर प्रोसेसिंग एंटिटी ने उपयुक्त सुधारात्मक उपाय किए या उसे इसके लिए अतिरिक्त परिश्रम करना पड़े·     संभावित हानिकारक अतिक्रमण की सूचना रेगुलेटर और प्रभावित व्यक्तियों को देनी होगी·     संभावित हानिकारक अतिक्रमण की सूचना रेगुलेटर और प्रभावित व्यक्तियों को देनी होगी (संशोधन अब लागू नहीं)·     संभावित हानिकारक अतिक्रमण की सूचना रेगुलेटर को देनी होगी ·     रेगुलेटर गंभीरता या व्यक्ति की कार्रवाई की जरूरत के आधार पर तय करेगा कि क्या व्यक्ति को सूचना देनी है
आपराधिक सजा·     कोई आपराधिक सजा नहीं·     कोई आपराधिक सजा नहीं·     कोई आपराधिक सजा नहीं·     कुछ अपराधों के लिए पांच वर्ष तक की सजा

लाभ:

  • डेटा स्थानीयकरण कानून-प्रवर्तन एजेंसियों को जांँच और प्रवर्तन हेतु डेटा तक पहुंँच प्रदान करने में कारगर साबित हो सकता है तथा सरकार की इंटरनेट दिग्गजों पर कर लगाने की क्षमता को भी बढ़ा सकता है।
  • साइबर हमलों (उदाहरण के लिये पेगासस स्पाइवेयर की निगरानी और जाँच की जा सकती है।
  • सोशल मीडिया, जिसका उपयोग कभी-कभी गलत और भ्रामक सूचनाओं को प्रसारित करने हेतु किया जाता है, की निगरानी और जाँच की जा सकती है, ताकि समय रहते उभरते राष्ट्रीय खतरों को रोका जा सके।
  • एक मज़बूत डेटा संरक्षण कानून भी डेटा संप्रभुता को लागू करने में मदद करेगा।

नुकसान: 

  • कई लोगों का तर्क है कि डेटा की फिज़िकल लोकेशन विश्व संदर्भ में प्रासंगिक नहीं है क्योंकि ‘एन्क्रिप्शन की’ (Encryption Keys) अभी भी राष्ट्रीय एजेंसियों की पहुंँच से बाहर हो सकती है।
  • राष्ट्रीय सुरक्षा या तर्कशील उद्देश्य स्वतंत्र और व्यक्तिपरक शब्द हैं, जिससे नागरिकों के निजी जीवन में राज्य का हस्तक्षेप हो सकता है।
  • फेसबुक और गूगल जैसे प्रौद्योगिकी दिग्गज इसके खिलाफ हैं और उन्होंने डेटा के स्थानीयकरण की संरक्षणवादी नीति की आलोचना की है क्योंकि उन्हें डर है कि इसका अन्य देशों पर भी प्रभाव पड़ेगा।
  • सोशल मीडिया फर्मों, विशेषज्ञों और यहांँ तक कि मंत्रियों ने भी इसका विरोध किया था, उनका तर्क है कि उपयोगकर्त्ताओं और कंपनियों दोनों के लिये प्रभावी एवं फायदेमंद होने के संदर्भ में इसमें बहुत सी खामियांँ हैं।
  • इसके अलावा यह भारत के युवा स्टार्टअप, जो कि वैश्विक विकास का प्रयास कर रहे हैं, या भारत में विदेशी डेटा को संसाधित करने वाली बड़ी फर्मों को नकारात्मक रूप से प्रभावित कर सकता है।
Forbes India - Data Protection Bill: Can It Ensure Your Privacy Online?

प्रमुख मुद्दे और विश्‍लेषण

‘निष्पक्ष और उचित’ तरीके से डेटा प्रोसेसिंग के लिए कोई दिशानिर्देश नहीं

बिल के अनुसार, ‘डेटा प्रिंसिपल’ वह व्यक्ति है जिसका डेटा प्रोसेस किया गया है। ‘डेटा फिड्यूशरी’ वह सर्विस प्रोवाइडर हो सकता है जो वस्तुएं और सेवाएं प्रदान करने के लिए डेटा को इकट्ठा करता है, उसे स्टोर और इस्तेमाल करता है। डेटा प्रोसेस करते समय फिड्यूशरी यह सुनिश्चित करने के लिए बाध्य है कि डेटा ‘निष्पक्ष और उचित तरीके से प्रोसेस किया जाए जोकि व्यक्ति की निजता का सम्मान करे।’ इसके अतिरिक्त फिड्यूशरी को डेटा प्रोटेक्शन अथॉरिटी (डीपीए) के सामने यह प्रदर्शित करना होगा कि डेटा निष्पक्ष और उचित तरीके से प्रोसेस किया गया है। इस प्रावधान का उल्लंघन होने पर फिड्यूशरी को अपने विश्वस्तरीय टर्नओवर का चार प्रतिशत जुर्माना भरना पड़ेगा (न्यूनतम 15 करोड़ रुपए के अधीन)।

हालांकि बिल सभी डेटा फिड्यूशरीज़ पर यह बाध्यता निश्चित करता है लेकिन डेटा प्रोसेसिंग के ‘निष्पक्ष और उचित तरीके’ से संबंधित सिद्धांत या दिशानिर्देश निर्दिष्ट नहीं करता है। मार्गदर्शक सिद्धांत न होने से एक जैसी डेटा प्रोसेसिंग करने वाले फिड्यूशरीज़ अलग-अलग तरह के मानकों को अपनाएंगे और एक उद्योग से जुड़े फिड्यूशरीज़ अलग-अलग तरह के मानकों का विकास और अनुपालन करेंगे। इसके अतिरिक्त किसी दिशानिर्देश के अभाव में फिड्यूशरीज़ से उनका अनुपालन करने की उम्मीद करना अनुचित होगा। उल्लेखनीय है कि इस प्रावधान का अनुपालन न करने से भारी-भरकम मुआवजा भरना पड़ सकता है।

जस्टिस श्रीकृष्ण कमिटी की रिपोर्ट ने सुझाव दिया है कि न्यायालयों और रेगुलेटरी अथॉरिटीज़ को निष्पक्ष तथा उचित प्रोसेसिंग के सिद्धांतों को विकसित करने की अनुमति होनी चाहिए।5 बदलते समय में तकनीकी प्रगति के साथ तथा विभिन्न डेटा फिड्शरीज़ के बीच ये मानक भिन्न-भिन्न हो सकते हैं।5

डेटा ब्रीच की रिपोर्ट का विकल्प देने से हितों का टकराव संभव

प्रश्न यह है कि क्या फिड्यूशरी के पास इस बात का निर्णय लेने का अधिकार है कि डीपीए को अतिक्रमण की सूचना देने की जरूरत है।

डेटा अतिक्रमण के चुनींदा मामलों की सूचना देने से अथॉरिटी के पास कम महत्व वाले मामले नहीं पहुंचेंगे और फिड्यूशरी पर भी सूचना देने का दबाव नहीं होगा। लेकिन इससे हितों के टकराव की आशंका हो सकती है कि अतिक्रमण के किसी मामले की सूचना दी जाए अथवा नहीं, क्योंकि डीपीए ही फिड्यूशरी को रेगुलेट कर रही है। उसका ऑडिट एक स्कोर के रूप में सारबद्ध किया जाता है जोकि सार्वजनिक होता है और फिड्यूशरी की विश्वसनीयता को प्रभावित करता है। इसके अतिरिक्त डेटा अतिक्रमण के जोखिम को कम महत्व देने में फिड्यूशरीज़ का आर्थिक हित भी हो सकता है, चूंकि ऐसे कई मामले हुए हैं जब अतिक्रमण ने कंपनियों के स्टॉक प्राइज़ेज़ को नकारात्मक रूप से प्रभावित किया है।[6]

कुछ प्रकार की डेटा प्रोसेसिंग को छूट देने से सवाल उठ सकते हैं

पुट्टास्वामी बनाम भारत संघ मामले में सर्वोच्च न्यायालय ने कुछ स्थितियों में किसी व्यक्ति की निजता के अधिकार के संबंध में अपवादों को अनुमति दी थी। इनमें ऐसे मामले शामिल हैं जहां एक बड़े सार्वजनिक उद्देश्य को पूरा करने के लिए किसी व्यक्ति की निजता का उल्लंघन हो। इन अपवादों को कानून का समर्थन प्राप्त होना चाहिए और उस उद्देश्य को हासिल करने के लिए यह जरूरी और उसके अनुपात में होना चाहिए। ऐसा लगता है कि कानून के अनुसार, राष्ट्रीय सुरक्षा संबंधी छूट तर्कसंगत है। लेकिन यह अस्पष्ट है कि कानूनी कार्यवाहियों, या शोध तथा पत्रकारिता संबंधी उद्देश्यों के लिए क्या यह छूट जरूरी है और उसके अनुपात में है। उल्लेखनीय है कि आधार की संवैधानिकता पर फैसला देते समय सर्वोच्च न्यायालय ने कहा था कि सिम कार्ड्स से आधार नंबर को जोड़ने का प्रावधान गैर अनुपातिक है, इसलिए असंवैधानिक है।[7]

बिल निम्नलिखित कानूनी कार्यवाहियों के लिए पर्सनल डेटा के खुलासे की अनुमति देता है (i) कानूनी अधिकार या दावे को लागू करना, (ii) किसी आरोप पर अपनी सफाई देना, और (iii) कानूनी सलाह लेना। प्रश्न किया जा सकता है कि क्या इस छूट के आधार पर न्यायालय के आदेश के बिना व्यक्तिगत सूचना की मांग करना अनुमति योग्य है। यह भी अस्पष्ट है कि पुट्टास्वामी बनाम भारत संघ मामले में जो अपवाद पेश किए गए थे, क्या शोध और पत्रकारिता संबंधी उद्देश्य उसमें शामिल किए जा सकते हैं। इन छूटों का वैध उद्देश्य यह है कि पत्रकारिता संबंधी स्वतंत्रता प्राप्त हो या शोध की गुंजाइश छोड़ी जाए। इस छूट को डेटा प्रिंसिपल्स की निजता की सुरक्षा के साथ संतुलन बैठना होगा।  

सरकार के कामकाज के लिए डेटा प्रोसेसिंग के लिए सहमति जरूरी नहीं

सरकार द्वारा सेवाओं और लाभों के प्रावधान के लिए सहमति हासिल करने का तर्क अस्पष्ट है

बिल के अंतर्गत डेटा फिड्यूशरीज़ (सरकार सहित) बिना सहमति के किसी व्यक्ति के डेटा को प्रोसेस नहीं कर सकते। हालांकि सरकार कुछ कार्यों के लिए सहमति के बिना भी डेटा को प्रोसेस कर सकती है, जैसे (i) सेवाओं और लाभ के वितरण के लिए, और (ii) सर्टिफिकेशन, लाइसेंस और परमिट जारी करने के लिए। जस्टिस श्रीकृष्ण कमिटी की रिपोर्ट में कहा गया है कि नागरिकों और सरकार के बीच शक्ति का असंतुलन है। इसलिए सरकारी लाभ हासिल करने के लिए सहमति की वैधता पर सवाल खड़े किए जा सकते हैं।5  इसलिए व्यक्ति की सहमति के बिना भी सरकारी लाभ की प्रकृति वाली किसी भी सेवा के लिए डेटा प्रोसेसिंग की अनुमति होनी चाहिए।

विधानमंडल के कार्यों के लिए सहमति के बिना प्रोसेसिंग का उद्देश्य अस्पष्ट है

बिल के अनुसार, संसद या राज्य विधानमंडल के किसी कार्य के लिए बिना सहमति के डेटा प्रोसेसिंग की जा सकती है। यह अस्पष्ट है कि संसद के किस कार्य के लिए बिना सहमति के प्रोसेसिंग करना जरूरी है।

भारत में डेटा की कॉपी को स्टोर करना

बिल के अनुसार प्रत्येक डेटा फिड्यूशरी को भारत में स्थित सर्वर में सभी पर्सनल और संवेदनशील पर्सनल डेटा की ‘सर्विंग कॉपी’ रखनी होगी। केंद्र सरकार जरूरत या रणनीतिक हितों के आधार पर पर्सनल डेटा की कुछ श्रेणियों को इस शर्त से छूट दे सकती है। इसके अतिरिक्त सरकार कुछ ‘महत्वपूर्ण पर्सनल डेटा’ को अधिसूचित कर सकती है जिसे भारत स्थित सर्वर्स में ही प्रोसेस किया जाएगा।

सर्विंग कॉपी और महत्वपूर्ण पर्सनल डेटा की परिभाषा नहीं दी गई

यह अस्पष्ट है कि डेटा की ‘सर्विंग कॉपी’ के क्या अर्थ हैं। वह भारत में स्थित सर्वर में डेटा का लाइव, रियल टाइम रेप्लिकेशन हो सकता है या वह ऐसा बैकअप हो सकता है जिसे समय-समय पर तैयार किया जाए। इस संबंध में निर्देश देना जरूरी है क्योंकि ‘सर्विंग कॉपी’ की प्रकृति कैसी है, इसी के आधार पर फिड्यूशरीज़ के लिए लागत, प्रभाव और लागू करने की समय सीमा तय होगी, जोकि सभी के लिए अलग-अलग हो सकती है। इसके अतिरिक्त यह कहा जा सकता है कि कानून में इस संबंध में व्यापक मानदंड निर्दिष्ट होने चाहिए कि कोई डेटा कितना ‘महत्वपूर्ण’ है। इसी के आधार पर फिड्यूशरीज़ भारत में डेटा स्टोर करने के संबंध में तैयारी करेंगे। 

देश के भीतर डेटा की कॉपी का स्थानीय स्टोरेज अस्पष्ट है

जस्टिस श्रीकृष्ण कमिटी की रिपोर्ट में पर्सनल डेटा के स्थानीय स्टोरेज के लाभ को स्वीकार किया गया था।5 इससे जांच के लिए कानून प्रवर्तन एजेंसियों द्वारा डेटा की प्रोसेसिंग की प्रक्रिया सरल होगी और उसमें तेजी आएगी। इससे विदेश में भारतीय नागरिकों की चौकसी नहीं की जा सकेगी और आर्टिफिशियल इंटेलिजेंस में घरेलू शोध को बढ़ावा मिलेगा।

उल्लेखनीय है कि यूरोपीय संघ, ऑस्ट्रेलिया और कनाडा के कानूनों के अनुसार देश में डेटा की कॉपी स्टोर करना जरूरी नहीं है।3 इसके अतिरिक्त ऑस्ट्रेलिया और कनाडा के कानून डेटा यूज़र (फिड्यूशरी) को स्वतंत्र रूप से यह निश्चित करने की अनुमति देते हैं कि क्या डेटा देश से बाहर ट्रांसफर किया जा सकता है।  बिल इस फैसले में डीपीए की संलग्नता की शर्त रखता है जोकि यूरोपीय संघ के समान है।

नुकसान की आशंका होने पर ही शिकायत दर्ज कराई जा सकती है

बिल डेटा प्रोसेसिंग पर अनेक प्रतिबंध लगाता है (जैसे विशिष्ट उद्देश्य के लिए जरूरी डेटा को ही इकट्ठा करना, इत्यादि) और अपने डेटा पर डेटा प्रिंसिपल को नियंत्रण का अधिकार देता है। हालांकि डेटा प्रिंसिपल तभी शिकायत दर्ज कर सकता है जब बिल के प्रावधानों का उल्लंघन होने पर उसे नुकसान हो या नुकसान होने की आशंका हो। यह सवाल खड़ा किया जा सकता है कि क्या शिकायत दर्ज कराने के लिए सिर्फ प्रिंसिपल के अधिकारों का अतिक्रमण होना पर्याप्त नहीं है। डेटा प्रिंसिपल को अतिरिक्त रूप से यह प्रदर्शित करना होगा और साबित करना होगा कि गैरकानूनी डेटा प्रोसेसिंग के कारण उन्हें नुकसान हुआ है और यह डेटा प्रिंसिपल पर अतिरिक्त भार डाल सकता है। 

डेटा प्रोटेक्शन अथॉरिटी की शक्तियां और कार्य

डीपीए द्वारा सजा और मुआवजा के आदेश के प्रवर्तन के लिए न्यायालय के आदेश की जरूरत नहीं

बिल डीपीए को यह अधिकार देता है कि कानूनी प्रावधानों का उल्लंघन होने पर डीपीए डेटा फिड्यूशरीज़ को सजा दे सकती है। डीपीए द्वारा नियुक्त रिकवरी ऑफिसर्स के पास डीपीए के सजा और मुआवजे के आदेश को लागू करने की शक्ति होगी। डीपीए के आदेश के अनुसार ऑफिसर्स डेटा फिड्यूशरीज़ के खिलाफ अनेक कार्रवाइयां कर सकते हैं जिनमें निम्नलिखित शामिल हैं (i) चल एवं अचल संपत्ति की कुर्की और बिक्री, और (ii) गिरफ्तारी और जेल में नजरबंदी।

बिल यह विनिर्दिष्ट नहीं करता कि इस कार्रवाई के लिए किसी अदालती आदेश की जरूरत है। दूसरे एक्ट्स रेगुलेटरों, जैसे आरबीआई या इरडा को संपत्ति की कुर्की और बिक्री तथा लोगों की गिरफ्तारी की अनुमति तभी देते हैं जब न्यायालय की मंजूरी मिल जाए। हालांकि प्रतिभूति कानून (संशोधन) एक्ट, 2014 के बाद सेबी एक्ट सेबी के रिकवरी ऑफिसर्स को इस बात की अनुमति देता है कि वे बोर्ड के आदेश के बाद ऐसी कार्रवाई कर सकते हैं।[8]

विशेष डेटा प्रोटेक्शन जागरूकता फंड की स्थापना से हितों का टकराव संभव

बिल विनिर्दिष्ट करता है कि उसके प्रावधानों के उल्लंघन पर पंद्रह करोड़ रुपए या फिड्यूशरी के विश्वस्तरीय वार्षिक टर्नओवर का चार प्रतिशत जुर्माने के तौर पर वसूला जाएगा। इस जुर्माने को डेटा प्रोटेक्शन जागरूकता फंड में जमा किया जाएगा और डीपीए निम्नलिखित के विषय में जागरूकता फैलाने के लिए उसका उपयोग करेगी (i) डेटा एनॉनिमाइजेशन के तरीके, और (ii) डेटा अतिक्रमण पर उचित कार्रवाई करना, इत्यादि। यह अस्पष्ट है कि बिल के अंतर्गत जुर्माने को भारत के समेकित कोष में क्यों जमा नहीं किया जाएगा। विशेष डेटा प्रोटेक्शन जागरूकता कोष अलग से बनाने से, जिसका उपयोग डीपीए द्वारा किया जाएगा, डीपीए द्वारा अधिक जुर्माना लगाने की आशंका हो सकती है और विवादों में मध्यस्थता तथा शिकायत निवारण के दौरान हितों का टकराव हो सकता है। सेबी एक्ट, 1992 जैसे एक्ट्स में यह अनिवार्य किया गया है कि जुर्माने के तौर पर जमा होने वाली राशि को भारत के समेकित कोष में जमा कराया जाएगा।[9]  हालांकि पीएफआरडीए एक्ट, 2013 पेंशन फंड के सबस्क्राइबर्स के हितों की रक्षा करने के लिए सबस्क्राइबर एजुकेशन एंड प्रोटेक्शन फंड की स्थापना करता है। इस एक्ट के अंतर्गत एकत्र होने वाला जुर्माना इस फंड में जमा होता है और सिर्फ पीएफआरडीए द्वारा इस्तेमाल किया जाता है।[10]

‘राइट टू बी फॉरगॉटन’ के संबंध में एडजुडिकेटिंग ऑफिसर के पास विशेषतज्ञता नहीं भी हो सकती है

Regulation of Public Data

What you say about this

X
%d bloggers like this: