निजी डेटा प्रोटेक्शन बिल 2021- (360'Analysis)

निजी डेटा प्रोटेक्शन बिल 2011

डेटा सुरक्षा क्या है?

डेटा सुरक्षा शब्द का अर्थ है संग्रहीत डेटा के उपयोग और उपयोग पर कानूनी नियंत्रण। दूसरे शब्दों में, यह किसी की गोपनीयता में घुसपैठ को कम करने के लिए निरंतर और दोहराव वाली प्रक्रियाओं, ध्वनि नीतियों और गोपनीयता कानूनों की एक श्रृंखला को संदर्भित करता है।

Forbes India - Data Protection Bill: Can It Ensure Your Privacy Online?

सुरक्षित ह अधिकार/ खत्म गोपनीयता ?

बहुप्रतीक्षित डेटा संरक्षण विधायक सांसद के चालू शीतकालीन सत्र में पेश किया जाएगा। एक संयुक्त संसदीय समिति ने फाइल नल रिपोर्ट मंजूर की है। इसके कुछ प्रावधानों के आलोचना हो रही है। समिति के सभी विपक्ष के सांसद ने विधेयक को लेकर असहमति जताई है।

परिभाषाएं: बिल स्पष्ट करता है

(i) ‘पर्सनल डेटा’ कोई ऐसी सूचना है जो व्यक्तिगत पहचान प्रदान करती है,

(ii) डेटा ‘प्रोसेसिंग’ एक ऐसा कार्य है जिसमें डेटा को इकट्ठा करना, उसका मैन्यूपुलेशन, शेयरिंग या स्टोरेज शामिल हैं,

(iii) ‘डेटा प्रिंसिपल’ वह व्यक्ति है जिसके पर्सनल डेटा को प्रोसेस किया जाता है,

(iv) ‘डेटा फिड्यूशरी’ वह एंटिटी या व्यक्ति है, जो डेटा प्रोसेसिंग के प्रकार और उद्देश्यों को तय करता है, और (v) ‘डेटा प्रोसेसर’ वह एंटिटी या व्यक्ति होता है जो फिड्यूशरी की ओर से डेटा को प्रोसेस करता है।

Decoding The Personal Data Protection Bill, 2018 - Privacy - India

सरकार के लिए छूट

विधेयक के अनुच्छेद 35 के अनुसर्वसा सरकार और सरकारी एजेंसीयां प्रस्तावित कानून के दायरे में नहीं आते। धारा 12 में सरकार को छुट का प्रावधान है की वह गैर व्यक्तिगत डाटा को बिना सहमति व संसदीय मंजूरी के भी काम में ले सकती है। दोनों ही प्रावधानों के दुरुपयोग की संभावना से इनकार नहीं किया जा सकता। कांग्रेस नेता जयराम रमेश ने असहमति जताते हुए कहा की धारा 35 केंद्र को अनियंत्रित शक्तियां दे रही है जो किसी भी सरकारी एजेंसी को इस कानून से बाहर रख सकेगी।

सोशल मीडिया

समिति की सिफारिश है कि सोशल मीडिया को प्रकाशक की ही तरह मध्यवर्ती संस्थाएं घोषित कर दिया जाए जिससे वे अपने प्लेटफार्म पर प्रकाशित कंटेंट के प्रति जवाबदेह बनें। ऐसा इसलिए क्योंकि आईटी कानून सोशल मीडिया की बदलती प्रकृति के अनुरूप नहीं है। ‘समिति की सिफारिश है कि सारे सोशल मीडिया मीडिया प्लेटफॉर्म को प्रकाशक माना जाए जो अपने कंटेंट के प्रति जवाबदेह हो।’ साथ ही केवल वही सोशल मीडिया भारत में अनुमत हो, जिसका तकनीकी ऑफिस भी भारत में ही हो।

देता संरक्षण प्राधिकरण

एक डेटा संरक्षण प्राधिकरण (डीपीए) हो , जो व्यक्तिगत एवं गैर व्यक्तिगत डेटा के प्रति जवाबदेह हो। इसका एक अध्यक्ष और केंद्र सरकार द्वारा नियुक्त 6 पूर्णकालिक सदस्य हों। विधेयक के पहले प्रारूप में स्वतंत्र नियामक रूप मैं डीपीए के गठन की सिफारिश की गई थी।

गैर व्यक्तिगत डेटा

दो हजार अट्ठारह में पहली बार या विधेयक प्रस्तावित किया गया तो समिति ने गैर व्यक्तिगत डेटा के लिए अलग बिल की सिफारिश की थी। अंतिम प्रारूप में व्यक्तिगत व गैर व्यक्तिगत दोनो ही डेटा में सरकारी एजेंसियों, लाभकारी संगठनों व निजी क्षेत्र द्वारा संकलित जानकारियां होती हैं। तौर पर यह जानकारी अज्ञात रूप में रखी जाती है।

डेटा स्थानीयकारण

विधेयक में कंपनियों द्वारा भारत के संवेदनशील वह महत्वपूर्ण डेटा की प्रतिलिपि समयबद्ध रूप से संग्रहित करना अनिवार्य बताया गया है। साथ ही आगे चलकर डेटा संग्रहण सुविधा के लिए इंफ्रास्ट्रक्चर विकसित करने की बात कही गई है। रिपोर्ट में कहा गया है– ‘समिति की सिफारिश है कि केंद्र सरकार सभी क्षेत्रीय नियामको के साथ मिलकर डेटा स्थानीयकरण पर एक व्यापक नीति बनाएं और उसकी घोषणा करें, जिसमें भारतीयों के डेटा सुरक्षित रखने के लिए पर्याप्त इंफ्रास्ट्रक्चर विकसित करने जैसे पहलुओं को व्यापक स्तर पर शामिल किया जाए। इससे रोजगार श्रजन भी होगा।’

हार्डवेयर नियमन

चूंकि निर्माण पूरी दुनिया में ही फैला हुआ है, इसलिए समिति का सुझाव है की हार्डवेयर का नियमन हो क्योंकि हार्डवेयर निर्माता भी डेटा संग्रहण करते हैं। समिति की सिफारिश है कि सरकार सारे डिजिटल और आईओटी (इंटरनेट ऑफ थिंग्स) डिवाइस के लिए औपचारिक प्रमाणीकरण प्रक्रिया स्थापित करने के प्रयास करने चाहिए। इससे डेटा सुरक्षा के लिए इन सब डिवाइस का समेकित होना सुनिश्चित हो सकेगा। समिति की सिफारिश है कि सरकार देश भर में ऐसी प्रशिक्षण प्रयोगशाला में बनाए, जो सभी डिवाइस के समेकित और सुरक्षित होने का प्रमाण पत्र दे।

डेटा निजता उल्लंघन

फिलहाल उपभोक्ताओं को डाटा निजता उल्लंघन के मामले में कोई संरक्षण नहीं है। विधेयक में प्रावधान है की कंपनियों के लिए डेटा निजता उल्लंघन के 72 घंटे के भीतर निगरानी प्राधिकरण को इसकी जानकारी देना आवश्यक हो। इसका मकसद यह है कि प्रभावित यूजर को इस बारे में सूचित कर दिया जाए ताकि वे अपनी जानकारी सुरक्षित रखने के लिए जरूरी उपाय कर सकें। सूचना सुरक्षा समुदाय की ओर से यह मुख्य कार्य है क्योंकि भारत में यूजर डाटा को जोखिम से बचाने के लिए डेटा उल्लंघन के मामले सार्वजनिक नहीं किए जाते।

प्रमुख मुद्दे और विश्‍लेषण

डेटा फिड्यूशरी से यह अपेक्षा की गई है कि अगर डेटा के अतिक्रमण (ब्रीच) से किसी को नुकसान होने की आशंका है तो वह डीपीए को इस अतिक्रमण की सूचना देगा। संभव है कि किसी अतिक्रमण की सूचना देना है अथवा नहीं, इस संबंध में हितों का टकराव हो। चूंकि डीपीए अनेक मानदंडों के आधार पर फिड्यूशरी का रेगुलेशन और मूल्यांकन करती है। इसमें डेटा अतिक्रमण के मामले भी शामिल हैं।
बिल पत्रकारिता, शोध या कानूनी प्रक्रिया जैसे उद्देश्यों के लिए छूट की अनुमति देता है। यहां यह प्रश्न किया जा सकता है कि क्या इन कारणों से किसी व्यक्ति की निजता के अधिकार का उल्लंघन किया जा सकता है। क्या ये उद्देश्य इतने आवश्यक हैं और निजता के अधिकार के उल्लंघन के अनुपात में हैं।
सरकार से यह अपेक्षा नहीं की गई है कि लाभ या सेवाएं प्रदान करने के लिए किसी व्यक्ति की सहमति हासिल करे। यह अस्पष्ट है कि यह छूट केवल सरकार की कल्याणकारी सेवाओं तक सीमित क्यों नहीं है, जैसा कि जस्टिस श्रीकृष्ण कमिटी की रिपोर्ट में प्रस्तावित है।
कानून प्रवर्तन करने वाली संस्थाओं को डेटा आसानी से हासिल हो जाए, इसके लिए बिल में यह अनिवार्य किया गया है कि भारत में पर्सनल डेटा की एक कॉपी को स्टोर किया जाए। कुछ मामलों में यह उद्देश्य हासिल नहीं किया जा सकता, जैसे अगर फिड्यूशरी किसी दूसरे देश में पंजीकृत हो।
यह प्रश्न किया जा सकता है कि क्या डीपीए कानून का उल्लंघन करने वाले व्यक्तियों को न्यायालय की मंजूरी या आदेश के बिना गिरफ्तार कर सकती है या उन्हें हिरासत में ले सकती हैं।

डेटा प्रोटेक्शन अथॉरिटी:

बिल डेटा प्रोटेक्शन अथॉरिटी (डीपीए) की स्थापना का प्रावधान करता है। डीपीए की निम्नलिखित शक्तियां हैं

(i) विभिन्न क्षेत्रों के सभी डेटा फिड्यूशरीज़ के लिए विशिष्ट रेगुलेशंस बनाना,

(ii) डेटा फिड्यूशरीज़ का निरीक्षण करना,

(iii) बिल के अनुपालन का आकलन करना और प्रवर्तन संबंधी कार्रवाई करना, और

Data protection law closer to reality with cabinet nod

(iv) डेटा प्रिंसिपल्स की शिकायतों को प्राप्त करना, उनका प्रबंधन करना और उनका निवारण करना। इस अथॉरिटी में एक चेयरपर्सन और छह सदस्य होंगे जिन्हें डेटा प्रोटेक्शन और इनफॉरमेशन टेक्नोलॉजी के क्षेत्र में कम से कम दस वर्षों का अनुभव हो।
डीपीए के पास सजा और मुआवजा देने के लिए अलग से एक एडजूडिकेशन विंग होगा। एडजूडिकेटिंग ऑफिसर साइबर और संवैधानिक कानून, और डेटा प्रोटेक्शन जैसे विषयों में कम से कम सात वर्ष के पेशेवर अनुभव प्राप्त विशेषज्ञ होंगे। डीपीए के आदेशों के खिलाफ केंद्र सरकार द्वारा गठित अपीलीय ट्रिब्यूनल में अपील की जा सकती है और ट्रिब्यूनल के खिलाफ सर्वोच्च न्यायालय में अपील की जा सकती है।

डेटा प्रोटेक्शन और निजता से संबंधित अंतरराष्ट्रीय कानूनों से बिल की तुलना

बिल में ऐसे अनेक प्रावधान हैं जोकि यूरोपीय संघ, ऑस्ट्रेलिया और कनाडा में डेटा संरक्षण और निजता के कानूनों से अलग हैं। तालिका 1 ऐसे कुछ प्रावधानों का उल्लेख कर रही है जोकि भिन्न हैं।

तालिका 1: डेटा प्रोटेक्शन और निजता के कानूनों की अंतरराष्ट्रीय तुलना

देश	यूरोपीय संघ	ऑस्ट्रेलिया	कनाडा	भारत (प्रस्तावित ड्राफ्ट बिल)
एंटिटीज़ का कवरेज	· निजी और सरकारी एंटिटीज़ के लिए एक कानून	· निजी और सरकारी एंटिटीज़ के लिए एक कानून	· निजी और संघीय सरकार की एंटिटीज़ के लिए अलग-अलग कानून	· निजी और सरकारी एंटिटीज़ के लिए एक कानून
संवेदनशील पर्सनल डेटा	· फाइनांशियल डेटा, पासवर्ड्स शामिल नहीं	· फाइनांशियल डेटा, पासवर्ड्स शामिल नहीं	· अलग से स्पष्ट नहीं, कोई भी डेटा संदर्भ के आधार पर संवेदनशील हो सकता है	· फाइनांशियल डेटा, पासवर्ड्स शामिल
*किसी देश में डेटा का स्टोरेज और शेयरिंग*
डेटा का स्थानीय स्टोरेज	· अनिवार्य नहीं	· अनिवार्य नहीं · क्षेत्र आधारित अनिवार्यताएं, जैसे स्वास्थ्य संबंधी डेटा	· अनिवार्य नहीं	· कॉपी रखने की अनिवार्यता, महत्वपूर्ण पर्सनल डेटा सिर्फ देश में स्टोर
डेटा का सीमा पारीय ट्रांसफर	· अनुमति है, अगर यूरोपीय कमीशन तय करता है कि डेटा प्राप्त करने वाले देश में डेटा संरक्षण के पर्याप्त मानदंड हैं	· अनुमति है, अगर प्रोसेसिंग करने वाली एंटिटी यह सुनिश्चित करने के लिए कदम उठाएं कि प्राप्तकर्ता देश के निजता के सिद्धांतों का अतिक्रमण नहीं करता	· अनुमति है, अगर प्रोसेसिंग एंटिटी संरक्षण के तुलनात्मक स्तर को सुनिश्चित करने के लिए अनुबंधीय या दूसरे तरीके इस्तेमाल करती है	· (कुछ डेटा की) अनुमति है, अगर रेगुलेटर द्वारा मंजूर हो या सरकार द्वारा विनिर्दिष्ट हो
*रेगुलेशन और प्रवर्तन*
डेटा अतिक्रमण की सूचना	· संभावित हानिकारक अतिक्रमण की सूचना रेगुलेट को देनी होगी · व्यक्ति को सूचना देने की आवश्यकता नहीं, अगर प्रोसेसिंग एंटिटी ने उपयुक्त सुधारात्मक उपाय किए या उसे इसके लिए अतिरिक्त परिश्रम करना पड़े	· संभावित हानिकारक अतिक्रमण की सूचना रेगुलेटर और प्रभावित व्यक्तियों को देनी होगी	· संभावित हानिकारक अतिक्रमण की सूचना रेगुलेटर और प्रभावित व्यक्तियों को देनी होगी (संशोधन अब लागू नहीं)	· संभावित हानिकारक अतिक्रमण की सूचना रेगुलेटर को देनी होगी · रेगुलेटर गंभीरता या व्यक्ति की कार्रवाई की जरूरत के आधार पर तय करेगा कि क्या व्यक्ति को सूचना देनी है
आपराधिक सजा	· कोई आपराधिक सजा नहीं	· कोई आपराधिक सजा नहीं	· कोई आपराधिक सजा नहीं	· कुछ अपराधों के लिए पांच वर्ष तक की सजा

लाभ:

डेटा स्थानीयकरण कानून-प्रवर्तन एजेंसियों को जांँच और प्रवर्तन हेतु डेटा तक पहुंँच प्रदान करने में कारगर साबित हो सकता है तथा सरकार की इंटरनेट दिग्गजों पर कर लगाने की क्षमता को भी बढ़ा सकता है।
साइबर हमलों (उदाहरण के लिये पेगासस स्पाइवेयर की निगरानी और जाँच की जा सकती है।
सोशल मीडिया, जिसका उपयोग कभी-कभी गलत और भ्रामक सूचनाओं को प्रसारित करने हेतु किया जाता है, की निगरानी और जाँच की जा सकती है, ताकि समय रहते उभरते राष्ट्रीय खतरों को रोका जा सके।
एक मज़बूत डेटा संरक्षण कानून भी डेटा संप्रभुता को लागू करने में मदद करेगा।

नुकसान:

कई लोगों का तर्क है कि डेटा की फिज़िकल लोकेशन विश्व संदर्भ में प्रासंगिक नहीं है क्योंकि ‘एन्क्रिप्शन की’ (Encryption Keys) अभी भी राष्ट्रीय एजेंसियों की पहुंँच से बाहर हो सकती है।
राष्ट्रीय सुरक्षा या तर्कशील उद्देश्य स्वतंत्र और व्यक्तिपरक शब्द हैं, जिससे नागरिकों के निजी जीवन में राज्य का हस्तक्षेप हो सकता है।
फेसबुक और गूगल जैसे प्रौद्योगिकी दिग्गज इसके खिलाफ हैं और उन्होंने डेटा के स्थानीयकरण की संरक्षणवादी नीति की आलोचना की है क्योंकि उन्हें डर है कि इसका अन्य देशों पर भी प्रभाव पड़ेगा।
सोशल मीडिया फर्मों, विशेषज्ञों और यहांँ तक कि मंत्रियों ने भी इसका विरोध किया था, उनका तर्क है कि उपयोगकर्त्ताओं और कंपनियों दोनों के लिये प्रभावी एवं फायदेमंद होने के संदर्भ में इसमें बहुत सी खामियांँ हैं।
इसके अलावा यह भारत के युवा स्टार्टअप, जो कि वैश्विक विकास का प्रयास कर रहे हैं, या भारत में विदेशी डेटा को संसाधित करने वाली बड़ी फर्मों को नकारात्मक रूप से प्रभावित कर सकता है।

प्रमुख मुद्दे और विश्‍लेषण

‘निष्पक्ष और उचित’ तरीके से डेटा प्रोसेसिंग के लिए कोई दिशानिर्देश नहीं

बिल के अनुसार, ‘डेटा प्रिंसिपल’ वह व्यक्ति है जिसका डेटा प्रोसेस किया गया है। ‘डेटा फिड्यूशरी’ वह सर्विस प्रोवाइडर हो सकता है जो वस्तुएं और सेवाएं प्रदान करने के लिए डेटा को इकट्ठा करता है, उसे स्टोर और इस्तेमाल करता है। डेटा प्रोसेस करते समय फिड्यूशरी यह सुनिश्चित करने के लिए बाध्य है कि डेटा ‘निष्पक्ष और उचित तरीके से प्रोसेस किया जाए जोकि व्यक्ति की निजता का सम्मान करे।’ इसके अतिरिक्त फिड्यूशरी को डेटा प्रोटेक्शन अथॉरिटी (डीपीए) के सामने यह प्रदर्शित करना होगा कि डेटा निष्पक्ष और उचित तरीके से प्रोसेस किया गया है। इस प्रावधान का उल्लंघन होने पर फिड्यूशरी को अपने विश्वस्तरीय टर्नओवर का चार प्रतिशत जुर्माना भरना पड़ेगा (न्यूनतम 15 करोड़ रुपए के अधीन)।

हालांकि बिल सभी डेटा फिड्यूशरीज़ पर यह बाध्यता निश्चित करता है लेकिन डेटा प्रोसेसिंग के ‘निष्पक्ष और उचित तरीके’ से संबंधित सिद्धांत या दिशानिर्देश निर्दिष्ट नहीं करता है। मार्गदर्शक सिद्धांत न होने से एक जैसी डेटा प्रोसेसिंग करने वाले फिड्यूशरीज़ अलग-अलग तरह के मानकों को अपनाएंगे और एक उद्योग से जुड़े फिड्यूशरीज़ अलग-अलग तरह के मानकों का विकास और अनुपालन करेंगे। इसके अतिरिक्त किसी दिशानिर्देश के अभाव में फिड्यूशरीज़ से उनका अनुपालन करने की उम्मीद करना अनुचित होगा। उल्लेखनीय है कि इस प्रावधान का अनुपालन न करने से भारी-भरकम मुआवजा भरना पड़ सकता है।

जस्टिस श्रीकृष्ण कमिटी की रिपोर्ट ने सुझाव दिया है कि न्यायालयों और रेगुलेटरी अथॉरिटीज़ को निष्पक्ष तथा उचित प्रोसेसिंग के सिद्धांतों को विकसित करने की अनुमति होनी चाहिए।5 बदलते समय में तकनीकी प्रगति के साथ तथा विभिन्न डेटा फिड्शरीज़ के बीच ये मानक भिन्न-भिन्न हो सकते हैं।5

डेटा ब्रीच की रिपोर्ट का विकल्प देने से हितों का टकराव संभव

प्रश्न यह है कि क्या फिड्यूशरी के पास इस बात का निर्णय लेने का अधिकार है कि डीपीए को अतिक्रमण की सूचना देने की जरूरत है।

डेटा अतिक्रमण के चुनींदा मामलों की सूचना देने से अथॉरिटी के पास कम महत्व वाले मामले नहीं पहुंचेंगे और फिड्यूशरी पर भी सूचना देने का दबाव नहीं होगा। लेकिन इससे हितों के टकराव की आशंका हो सकती है कि अतिक्रमण के किसी मामले की सूचना दी जाए अथवा नहीं, क्योंकि डीपीए ही फिड्यूशरी को रेगुलेट कर रही है। उसका ऑडिट एक स्कोर के रूप में सारबद्ध किया जाता है जोकि सार्वजनिक होता है और फिड्यूशरी की विश्वसनीयता को प्रभावित करता है। इसके अतिरिक्त डेटा अतिक्रमण के जोखिम को कम महत्व देने में फिड्यूशरीज़ का आर्थिक हित भी हो सकता है, चूंकि ऐसे कई मामले हुए हैं जब अतिक्रमण ने कंपनियों के स्टॉक प्राइज़ेज़ को नकारात्मक रूप से प्रभावित किया है।[6]

कुछ प्रकार की डेटा प्रोसेसिंग को छूट देने से सवाल उठ सकते हैं

पुट्टास्वामी बनाम भारत संघ मामले में सर्वोच्च न्यायालय ने कुछ स्थितियों में किसी व्यक्ति की निजता के अधिकार के संबंध में अपवादों को अनुमति दी थी। इनमें ऐसे मामले शामिल हैं जहां एक बड़े सार्वजनिक उद्देश्य को पूरा करने के लिए किसी व्यक्ति की निजता का उल्लंघन हो। इन अपवादों को कानून का समर्थन प्राप्त होना चाहिए और उस उद्देश्य को हासिल करने के लिए यह जरूरी और उसके अनुपात में होना चाहिए। ऐसा लगता है कि कानून के अनुसार, राष्ट्रीय सुरक्षा संबंधी छूट तर्कसंगत है। लेकिन यह अस्पष्ट है कि कानूनी कार्यवाहियों, या शोध तथा पत्रकारिता संबंधी उद्देश्यों के लिए क्या यह छूट जरूरी है और उसके अनुपात में है। उल्लेखनीय है कि आधार की संवैधानिकता पर फैसला देते समय सर्वोच्च न्यायालय ने कहा था कि सिम कार्ड्स से आधार नंबर को जोड़ने का प्रावधान गैर अनुपातिक है, इसलिए असंवैधानिक है।[7]

बिल निम्नलिखित कानूनी कार्यवाहियों के लिए पर्सनल डेटा के खुलासे की अनुमति देता है (i) कानूनी अधिकार या दावे को लागू करना, (ii) किसी आरोप पर अपनी सफाई देना, और (iii) कानूनी सलाह लेना। प्रश्न किया जा सकता है कि क्या इस छूट के आधार पर न्यायालय के आदेश के बिना व्यक्तिगत सूचना की मांग करना अनुमति योग्य है। यह भी अस्पष्ट है कि पुट्टास्वामी बनाम भारत संघ मामले में जो अपवाद पेश किए गए थे, क्या शोध और पत्रकारिता संबंधी उद्देश्य उसमें शामिल किए जा सकते हैं। इन छूटों का वैध उद्देश्य यह है कि पत्रकारिता संबंधी स्वतंत्रता प्राप्त हो या शोध की गुंजाइश छोड़ी जाए। इस छूट को डेटा प्रिंसिपल्स की निजता की सुरक्षा के साथ संतुलन बैठना होगा।

सरकार के कामकाज के लिए डेटा प्रोसेसिंग के लिए सहमति जरूरी नहीं

सरकार द्वारा सेवाओं और लाभों के प्रावधान के लिए सहमति हासिल करने का तर्क अस्पष्ट है

बिल के अंतर्गत डेटा फिड्यूशरीज़ (सरकार सहित) बिना सहमति के किसी व्यक्ति के डेटा को प्रोसेस नहीं कर सकते। हालांकि सरकार कुछ कार्यों के लिए सहमति के बिना भी डेटा को प्रोसेस कर सकती है, जैसे (i) सेवाओं और लाभ के वितरण के लिए, और (ii) सर्टिफिकेशन, लाइसेंस और परमिट जारी करने के लिए। जस्टिस श्रीकृष्ण कमिटी की रिपोर्ट में कहा गया है कि नागरिकों और सरकार के बीच शक्ति का असंतुलन है। इसलिए सरकारी लाभ हासिल करने के लिए सहमति की वैधता पर सवाल खड़े किए जा सकते हैं।5 इसलिए व्यक्ति की सहमति के बिना भी सरकारी लाभ की प्रकृति वाली किसी भी सेवा के लिए डेटा प्रोसेसिंग की अनुमति होनी चाहिए।

विधानमंडल के कार्यों के लिए सहमति के बिना प्रोसेसिंग का उद्देश्य अस्पष्ट है

बिल के अनुसार, संसद या राज्य विधानमंडल के किसी कार्य के लिए बिना सहमति के डेटा प्रोसेसिंग की जा सकती है। यह अस्पष्ट है कि संसद के किस कार्य के लिए बिना सहमति के प्रोसेसिंग करना जरूरी है।

भारत में डेटा की कॉपी को स्टोर करना

बिल के अनुसार प्रत्येक डेटा फिड्यूशरी को भारत में स्थित सर्वर में सभी पर्सनल और संवेदनशील पर्सनल डेटा की ‘सर्विंग कॉपी’ रखनी होगी। केंद्र सरकार जरूरत या रणनीतिक हितों के आधार पर पर्सनल डेटा की कुछ श्रेणियों को इस शर्त से छूट दे सकती है। इसके अतिरिक्त सरकार कुछ ‘महत्वपूर्ण पर्सनल डेटा’ को अधिसूचित कर सकती है जिसे भारत स्थित सर्वर्स में ही प्रोसेस किया जाएगा।

‘सर्विंग कॉपी’ और ‘महत्वपूर्ण पर्सनल डेटा’ की परिभाषा नहीं दी गई

यह अस्पष्ट है कि डेटा की ‘सर्विंग कॉपी’ के क्या अर्थ हैं। वह भारत में स्थित सर्वर में डेटा का लाइव, रियल टाइम रेप्लिकेशन हो सकता है या वह ऐसा बैकअप हो सकता है जिसे समय-समय पर तैयार किया जाए। इस संबंध में निर्देश देना जरूरी है क्योंकि ‘सर्विंग कॉपी’ की प्रकृति कैसी है, इसी के आधार पर फिड्यूशरीज़ के लिए लागत, प्रभाव और लागू करने की समय सीमा तय होगी, जोकि सभी के लिए अलग-अलग हो सकती है। इसके अतिरिक्त यह कहा जा सकता है कि कानून में इस संबंध में व्यापक मानदंड निर्दिष्ट होने चाहिए कि कोई डेटा कितना ‘महत्वपूर्ण’ है। इसी के आधार पर फिड्यूशरीज़ भारत में डेटा स्टोर करने के संबंध में तैयारी करेंगे।

देश के भीतर डेटा की कॉपी का स्थानीय स्टोरेज अस्पष्ट है

जस्टिस श्रीकृष्ण कमिटी की रिपोर्ट में पर्सनल डेटा के स्थानीय स्टोरेज के लाभ को स्वीकार किया गया था।5 इससे जांच के लिए कानून प्रवर्तन एजेंसियों द्वारा डेटा की प्रोसेसिंग की प्रक्रिया सरल होगी और उसमें तेजी आएगी। इससे विदेश में भारतीय नागरिकों की चौकसी नहीं की जा सकेगी और आर्टिफिशियल इंटेलिजेंस में घरेलू शोध को बढ़ावा मिलेगा।

उल्लेखनीय है कि यूरोपीय संघ, ऑस्ट्रेलिया और कनाडा के कानूनों के अनुसार देश में डेटा की कॉपी स्टोर करना जरूरी नहीं है।3 इसके अतिरिक्त ऑस्ट्रेलिया और कनाडा के कानून डेटा यूज़र (फिड्यूशरी) को स्वतंत्र रूप से यह निश्चित करने की अनुमति देते हैं कि क्या डेटा देश से बाहर ट्रांसफर किया जा सकता है। बिल इस फैसले में डीपीए की संलग्नता की शर्त रखता है जोकि यूरोपीय संघ के समान है।

नुकसान की आशंका होने पर ही शिकायत दर्ज कराई जा सकती है

बिल डेटा प्रोसेसिंग पर अनेक प्रतिबंध लगाता है (जैसे विशिष्ट उद्देश्य के लिए जरूरी डेटा को ही इकट्ठा करना, इत्यादि) और अपने डेटा पर डेटा प्रिंसिपल को नियंत्रण का अधिकार देता है। हालांकि डेटा प्रिंसिपल तभी शिकायत दर्ज कर सकता है जब बिल के प्रावधानों का उल्लंघन होने पर उसे नुकसान हो या नुकसान होने की आशंका हो। यह सवाल खड़ा किया जा सकता है कि क्या शिकायत दर्ज कराने के लिए सिर्फ प्रिंसिपल के अधिकारों का अतिक्रमण होना पर्याप्त नहीं है। डेटा प्रिंसिपल को अतिरिक्त रूप से यह प्रदर्शित करना होगा और साबित करना होगा कि गैरकानूनी डेटा प्रोसेसिंग के कारण उन्हें नुकसान हुआ है और यह डेटा प्रिंसिपल पर अतिरिक्त भार डाल सकता है।

डेटा प्रोटेक्शन अथॉरिटी की शक्तियां और कार्य

डीपीए द्वारा सजा और मुआवजा के आदेश के प्रवर्तन के लिए न्यायालय के आदेश की जरूरत नहीं

बिल डीपीए को यह अधिकार देता है कि कानूनी प्रावधानों का उल्लंघन होने पर डीपीए डेटा फिड्यूशरीज़ को सजा दे सकती है। डीपीए द्वारा नियुक्त रिकवरी ऑफिसर्स के पास डीपीए के सजा और मुआवजे के आदेश को लागू करने की शक्ति होगी। डीपीए के आदेश के अनुसार ऑफिसर्स डेटा फिड्यूशरीज़ के खिलाफ अनेक कार्रवाइयां कर सकते हैं जिनमें निम्नलिखित शामिल हैं (i) चल एवं अचल संपत्ति की कुर्की और बिक्री, और (ii) गिरफ्तारी और जेल में नजरबंदी।

बिल यह विनिर्दिष्ट नहीं करता कि इस कार्रवाई के लिए किसी अदालती आदेश की जरूरत है। दूसरे एक्ट्स रेगुलेटरों, जैसे आरबीआई या इरडा को संपत्ति की कुर्की और बिक्री तथा लोगों की गिरफ्तारी की अनुमति तभी देते हैं जब न्यायालय की मंजूरी मिल जाए। हालांकि प्रतिभूति कानून (संशोधन) एक्ट, 2014 के बाद सेबी एक्ट सेबी के रिकवरी ऑफिसर्स को इस बात की अनुमति देता है कि वे बोर्ड के आदेश के बाद ऐसी कार्रवाई कर सकते हैं।[8]

विशेष डेटा प्रोटेक्शन जागरूकता फंड की स्थापना से हितों का टकराव संभव

बिल विनिर्दिष्ट करता है कि उसके प्रावधानों के उल्लंघन पर पंद्रह करोड़ रुपए या फिड्यूशरी के विश्वस्तरीय वार्षिक टर्नओवर का चार प्रतिशत जुर्माने के तौर पर वसूला जाएगा। इस जुर्माने को डेटा प्रोटेक्शन जागरूकता फंड में जमा किया जाएगा और डीपीए निम्नलिखित के विषय में जागरूकता फैलाने के लिए उसका उपयोग करेगी (i) डेटा एनॉनिमाइजेशन के तरीके, और (ii) डेटा अतिक्रमण पर उचित कार्रवाई करना, इत्यादि। यह अस्पष्ट है कि बिल के अंतर्गत जुर्माने को भारत के समेकित कोष में क्यों जमा नहीं किया जाएगा। विशेष डेटा प्रोटेक्शन जागरूकता कोष अलग से बनाने से, जिसका उपयोग डीपीए द्वारा किया जाएगा, डीपीए द्वारा अधिक जुर्माना लगाने की आशंका हो सकती है और विवादों में मध्यस्थता तथा शिकायत निवारण के दौरान हितों का टकराव हो सकता है। सेबी एक्ट, 1992 जैसे एक्ट्स में यह अनिवार्य किया गया है कि जुर्माने के तौर पर जमा होने वाली राशि को भारत के समेकित कोष में जमा कराया जाएगा।[9] हालांकि पीएफआरडीए एक्ट, 2013 पेंशन फंड के सबस्क्राइबर्स के हितों की रक्षा करने के लिए सबस्क्राइबर एजुकेशन एंड प्रोटेक्शन फंड की स्थापना करता है। इस एक्ट के अंतर्गत एकत्र होने वाला जुर्माना इस फंड में जमा होता है और सिर्फ पीएफआरडीए द्वारा इस्तेमाल किया जाता है।[10]

‘राइट टू बी फॉरगॉटन’ के संबंध में एडजुडिकेटिंग ऑफिसर के पास विशेषतज्ञता नहीं भी हो सकती है