एडिटोरियल (14 Apr, 2021)



डेटा संरक्षण कानून

यह एडिटोरियल 12/04/2021 को ‘द हिंदू’ में प्रकाशित लेख “Why the Personal Data Protection Bill Matters” पर आधारित है। इसमें भारत के लिये एक मज़बूत डेटा संरक्षण कानून की आवश्यकता से संबंधित मुद्दों का विश्लेषण किया गया है।

संदर्भ

वैश्विक महामारी ने डिजिटल अर्थव्यवस्था में आम जनमानस की भागीदारी को बढ़ाने में अतुलनीय योगदान दिया है। हालाँकि इसके बावजूद इसी अवधि में ‘व्यक्तिगत डेटा’ उल्लंघन के मामलों की संख्या में भी चिंताजनक रूप से बढ़ोतरी देखने को मिली है। 

हाल ही में गुरुग्राम स्थित डिजिटल फाइनेंस कंपनी ‘मोबिक्विक’ (MobiKwik) पर कथित डेटा उल्लंघन के आरोप लगे हैं, जिसमें कुल 9.9 करोड़ उपयोगकर्त्ताओं का डेटा शामिल है और यह भारत में अब तक का सबसे बड़ा डेटा उल्लंघन मामला हो सकता है। मौजूदा दौर में डेटा के महत्त्व को देखते हुए इस प्रकार की घटनाओं को रोकने और उपयोगकर्त्ताओं के हितों की रक्षा करने के लिये एक मज़बूत डेटा सुरक्षा कानून काफी महत्त्वपूर्ण है।

वर्तमान में, भारत में उपयोगकर्त्ताओं के व्यक्तिगत डेटा को एकत्रित करने और संसाधित करने की विधि को मुख्यतः सूचना प्रौद्योगिकी अधिनियम, 2000 के माध्यम से नियंत्रित किया जाता है, साथ ही कई जानकार मानते हैं कि यह अधिनियम उपयोगकर्त्ताओं के व्यक्तिगत डेटा की प्रभावी सुरक्षा सुनिश्चित करने में सफल हो पाया है।

हालाँकि व्यक्तिगत डेटा संरक्षण (PDP) विधेयक, 2019 (जो वर्तमान में संयुक्त संसदीय समिति की जाँच के अधीन है) उपयोगकर्त्ताओं के व्यक्तिगत डेटा के संरक्षण में महत्त्वपूर्ण भूमिका अदा कर सकता है।

सूचना प्रौद्योगिकी अधिनियम से संबंधित मुद्दे

  • सहमति का दुरुपयोग: डेटा एग्रीगेटर इकाइयाँ नियमों और शर्तों के तहत व्यक्तिगत डेटा को संसाधित करने के लिये उपयोगकर्त्ताओं की सहमति लेकर अधिनियम में प्रदान की गई सुरक्षा संबंधी प्रावधानों का उल्लंघन कर सकती हैं।
    • यह देखते हुए कि प्रायः भारतीय उपयोगकर्त्ताओं में नियम और शर्तों या सहमति देने को लेकर जागरूकता का अभाव है, ऐसे में इस प्रावधान के दुरुपयोग की संभावना काफी अधिक है।
  • डेटा गोपनीयता की उपेक्षा: सूचना प्रौद्योगिकी अधिनियम के तहत प्रदान की गई रूपरेखा डेटा सुरक्षा पर ज़ोर देती है, किंतु इसमें डेटा गोपनीयता पर पर्याप्त ध्यान नहीं दिया गया है।
    • संक्षेप में अधिनियम के मुताबिक, संस्थाओं के लिये उपयोगकर्त्ताओं के व्यक्तिगत डेटा की सुरक्षा के लिये उपाय करना तो अनिवार्य है, किंतु व्यक्तिगत डेटा को संसाधित करने में गोपनीयता को महत्त्व देने को लेकर उन पर कोई दायित्त्व निर्धारित नहीं किया गया है।
  • समग्रता का अभाव: सूचना प्रौद्योगिकी अधिनियम के तहत डेटा सुरक्षा संबंधी प्रावधान सरकारी एजेंसियों पर लागू नहीं होते हैं, ऐसे में यह अधिनियम तब असफल हो जाता है, जब सरकारी एजेंसियाँ बड़ी मात्रा में व्यक्तिगत डेटा एकत्रण और प्रसंस्करण में संलग्न होती हैं।
  • अप्रचलित: सूचना प्रौद्योगिकी अधिनियम को वर्ष 2000 में अधिनियमित किया गया था और यह वर्ष 2008 में संशोधित किया गया था। हालाँकि इसके बाद से राष्ट्रीय और अंतर्राष्ट्रीय प्रौद्योगिकी में तीव्रता से बदलाव आया है।
    • ऐसे में डेटा प्रोसेसिंग तकनीक में नवीनतम विकास से उभरने वाले जोखिमों को दूर करने के मामले में यह अधिनियम अपर्याप्त रहा है।

व्यक्तिगत डेटा संरक्षण (PDP) विधेयक, 2019 

इस विधेयक का उद्देश्य भारत में व्यक्तिगत डेटा संरक्षण को लेकर व्यापक और सार्थक बदलाव लाना है। विधेयक के तहत प्रस्तावित नियम, मौजूदा अधिनियम से निम्नलिखित पहलुओं में अलग है:

  • भूमिका निर्धारण: इस विधेयक में व्यक्तियों और फर्मों/राज्य संस्थानों के बीच के संबंधों को संहिताबद्ध करने की परिकल्पना की गई है, जिसमें आम नागरिकों को ‘डेटा प्रिंसिपल’ (जिसकी जानकारी एकत्र की गई है) और कंपनियों तथा राज्य संस्थाओं को ‘डेटा फिड्यूशरीज़’ (डेटा को संसाधित करने वाले) के रूप में परिभाषित किया गया है।
    • गौरतलब है कि यह विधेयक सरकारी और निजी संस्थाओं दोनों पर लागू होता है।
  • डेटा गोपनीयता: इसके तहत संस्थाओं को व्यक्तिगत डेटा की सुरक्षा के लिये सुरक्षा उपायों को अपनाना होगा, साथ ही उन्हें डेटा सुरक्षा दायित्वों और पारदर्शिता तथा जवाबदेही संबंधी नियमों का भी पालन करना होगा।
    • संक्षेप में यह विधेयक उन संस्थाओं की जाँच के लिये एक तंत्र प्रदान करता है, जो उपयोगकर्त्ताओं के व्यक्तिगत डेटा को नियंत्रित और संसाधित करती हैं।

नोट

  • वर्ष 2017 में एक मज़बूत डेटा संरक्षण कानून की आवश्यकता तब महसूस की गई थी., जब सर्वोच्च न्यायालय ने ‘न्यायमूर्ति के.एस. पुट्टास्वामी (सेवानिवृत्त) बनाम भारतीय संघ’ वाद में निजता के अधिकार को मौलिक अधिकार के रूप में स्थापित किया था। 
  • अपने निर्णय में सर्वोच्च न्यायालय ने एक डेटा संरक्षण कानून बनाने का आह्वान किया था, जो उपयोगकर्त्ताओं के व्यक्तिगत डेटा की गोपनीयता को प्रभावी ढंग से सुरक्षित कर सके। 
  • परिणामस्वरूप, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ने एक मज़बूत डेटा संरक्षण कानून के मसौदे पर सुझाव देने के लिये न्यायमूर्ति (सेवानिवृत्त) बी.एन. श्रीकृष्ण की अध्यक्षता में एक विशेषज्ञ समिति का गठन किया।
  • नागरिकों के अधिकार: यह विधेयक उपयोगकर्त्ताओं को व्यक्तिगत डेटा और संबंधित कुछ विशिष्ट अधिकार और उन अधिकारों का प्रयोग करने हेतु कुछ विशिष्ट साधन प्रदान करता है।
    • उदाहरण के लिये विधेयक के अनुसार, एक उपयोगकर्त्ता किसी इकाई के पास मौजूद विभिन्न प्रकार के व्यक्तिगत डेटा के बारे में जानकारी प्राप्त करने में सक्षम होगा, साथ ही वह यह जानने में भी सक्षम होगा कि उस इकाई द्वारा किस प्रकार डेटा को संसाधित किया जाता है।
  • नियामक की स्थापना: इस विधेयक में डेटा सुरक्षा प्राधिकरण (DPA) के रूप में एक स्वतंत्र और शक्तिशाली नियामक की स्थापना की परिकल्पना की गई है।
    • DPA, कानून का अनुपालन सुनिश्चित करने के उद्देश्य से डेटा प्रोसेसिंग गतिविधियों की निगरानी और विनियमन करेगा।
    • इसके अलावा DPA, उपयोगकर्त्ताओं को डेटा गोपनीयता के उल्लंघन के मामलों में शिकायत निवारण के लिये एक मंच प्रदान करेगा।

विधेयक से संबंधित मुद्दे

विधेयक में मौजूद कई प्रावधान इसकी प्रभावशीलता को लेकर चिंता पैदा करते हैं। यह विधेयक सरकारी एजेंसियों को व्यापक छूट देकर और उपयोगकर्त्ता सुरक्षा उपायों को कमज़ोर करके अपने स्वयं के उद्देश्यों और प्रभावशीलता पर प्रश्नचिह्न लगाता है। 

  • उदाहरण के लिये विधेयक के खंड-35 के तहत केंद्र सरकार किसी भी सरकारी एजेंसी को विधेयक का अनुपालन करने से छूट प्रदान कर सकती है।
    • ऐसी स्थिति में सरकार द्वारा निर्धारित कोई संस्था बिना किसी सुरक्षा उपाय का पालन किये ही व्यक्तिगत डेटा को संसाधित करने में सक्षम होगी।
    • यह उपयोगकर्त्ताओं के लिये एक गंभीर गोपनीयता जोखिम उत्पन्न कर सकता है।
  • सहमति की अवधारणा में बदलाव: यह विधेयक उपयोगकर्त्ताओं के लिये विभिन्न सुरक्षा उपायों (जैसे- अधिकार और उपचार) को लागू करना मुश्किल बनाता है।
    • उदाहरण के लिये यह विधेयक उन उपयोगकर्त्ताओं पर कानूनी कार्यवाही का प्रावधान करता है, जो डेटा प्रोसेसिंग गतिविधि के लिये अपनी सहमति वापस लेते हैं।
    • व्यवहार में यह उपयोगकर्त्ताओं को उन प्रसंस्करण गतिविधियों के लिये सहमति वापस लेने से हतोत्साहित कर सकता है, जिन्हें वे अपनी सहमति नहीं देना चाहते हैं।
  • DPA का व्यापक अधिदेश: DPA को विधेयक के प्रावधानों के तहत सहमति लेने, एकत्रित डेटा के उपयोग पर सीमा और डेटा के सीमा पार हस्तांतरण जैसे मुद्दों पर एक फ्रेमवर्क का निर्माण करने का कार्य सौंपा गया है।
    • यह देखते हुए कि DPA को सुरक्षा और पारदर्शिता आवश्यकताओं जैसे निवारक दायित्वों का एक विस्तृत कार्य सौंपा गया है, कहा जा सकता है कि इसका पर्यवेक्षी जनादेश व्यापक है जो कि इसे अप्रभावी बना सकता है।

निष्कर्ष

मौजूदा डिजिटल युग में डेटा एक मूल्यवान संसाधन है, जिसे अनियमित नहीं छोड़ा जाना चाहिये। इस संदर्भ में मौजूदा समय भारत के लिये एक मज़बूत डेटा सुरक्षा कानून की दृष्टि से काफी महत्त्वपूर्ण है।

विधेयक की जाँच कर रही संयुक्त संसदीय समिति वर्ष 2021 में संसद के मानसून सत्र में अपनी अंतिम रिपोर्ट प्रस्तुत करेगी। ऐसे में इस अंतरिम अवधि का उपयोग विधेयक में कुछ बदलाव करने और उसे और बेहतर बनाने के लिये किया जा सकता है, ताकि इससे संबंधित विभिन्न चिंताओं को दूर किया जा सके और एक मज़बूत एवं प्रभावी डेटा सुरक्षा प्रणाली स्थापित की जा सके।

अभ्यास प्रश्न: मौजूदा डिजिटल युग में डेटा एक मूल्यवान संसाधन है, जिसे अनियमित नहीं छोड़ा जाना चाहिये। इस संदर्भ में मौजूदा समय भारत के लिये एक मज़बूत डेटा सुरक्षा कानून की दृष्टि से काफी महत्त्वपूर्ण है। चर्चा कीजिये।