डेटा स्थानीयकरण | 30 May 2019 | विज्ञान एवं प्रौद्योगिकी

यह लेख ‘द हिंदू’ में प्रकाशित आलेख "What is India’s stand on data storage?" का भावानुवाद है। इस लेख में डेटा स्थानीयकरण (Data Localisation) की आवश्यकता और इसके निहितार्थ के विषय में चर्चा की गई है।

संदर्भ

हाल ही में फेसबुक के संस्थापक मार्क जुकरबर्ग ने यह आशंका जताई कि कई राष्ट्र स्थानीय स्तर पर डेटा का संग्रहण करना चाहते हैं। मार्क जुकरबर्ग का मानना है कि डेटा तक पहुँच सुनिश्चित होने पर सत्तारूढ़ सरकारें अपने हितों की रक्षा हेतु इसका दुरुपयोग भी कर सकती हैं। अमेरिका ने भी भारत के डेटा संग्रहण के प्रस्तावित मापदंडों की आलोचना करते हुए इसे अत्यधिक भेदभावपूर्ण एवं व्यापार के लिये खतरनाक कदम बताया है। जबकि इन सबसे इतर भारत बहुत से ऐसे विधेयकों को पारित करने के लिये तैयार है जो कानून का रूप धारण करते ही डेटा स्थानीयकरण और सुरक्षा नियमों को अत्यधिक सख्त बना देंगे।

डेटा सुरक्षा (Data Protection) क्या है?

डेटा स्थानीयकरण कानून ऐसे कानून होते हैं जो देश के नागरिकों के डेटा को एकत्रित, संसाधित और संग्रहीत करने के तरीके को निर्धारित करते हैं।
भारत में डेटा स्थानीयकरण के नियमों के अनुसार, भारतीय नागरिकों का डेटा भारतीय भू-भाग में ही स्थित किसी केंद्र में संग्रहीत किया जाना अनिवार्य है।

भारत में डेटा स्थानीयकरण कानून के संबंध में कौन-सी नीतियों का अनुपालन किया जाता है?

भारतीय रिज़र्व बैंक द्वारा काफी समय से भुगतान प्रणालियों के संदर्भ में अनिवार्य रूप से डेटा संग्रहण की मांग की जा रही हैं।

जहाँ भारत में टेलीकॉम कंपनियों को दिये जाने वाले लाइसेंस की शर्तों के तहत यह आवश्यक है कि टेलीकॉम कंपनियाँ अपने उपयोगकर्त्ता से संबंधित जानकारी को संग्रहीत करें। यह विशेषता केवल भारत सरकार की नहीं है बल्कि ज़र्मनी जैसे देशों ने भी अपने टेलीकॉम क्षेत्र में कुछ हद तक भारत जैसे ही प्रतिबंध आरोपित किये हैं।
दूरसंचार के अलावा कुछ अन्य क्षेत्रों में सीमित डेटा स्थानीयकरण की आवश्यकता होती है जैसे कि बीमा (बीमा से संबंधित नीतियों और दावों का विवरण केवल भारत में ही संग्रहीत किया जाता है), बैंकिंग (जहाँ कुछ मूल अभिलेखों को केवल भारत में ही बनाए रखने की आवश्यकता होती है, हालाँकि इसकी प्रतिलिपियों के बाह्य स्थानांतरण पर कोई रोक नहीं है )।

डेटा स्थानीयकरण कानून (Data-Localisation Laws) पर भारत में नीतियाँ

न्यायमूर्ति श्रीकृष्ण समिति द्वारा डेटा सुरक्षा पर की गई सिफारिशें

इस समिति ने डेटा के सीमा पार स्थानांतरण और भंडारण पर रोक लगाने हेतु इससे संबंधित मानकों को सख्त करने का सुझाव दिया है।
महत्त्वपूर्ण व्यक्तिगत डेटा, जिसे सरकार द्वारा अधिसूचित किया जाता है, को भारत में स्थित डेटा सेंटर में संग्रहीत और संसाधित किया जाना चाहिये।
भारतीय कानून के तहत डेटा की सुरक्षा, उद्देश्य सीमा, भंडारण सीमा, डेटा सिद्धांतों से संबंधित नियमों का अनुपालन करते हुए व्यक्तिगत डेटा को भारत से बाहर स्थानांतरित किया जा सकता है।
प्रत्येक डेटा न्यासी/फिडयूसरी (Fiduciary) को भारत में स्थित सर्वर या डेटा सेंटर पर किसी के भी व्यक्तिगत डेटा की कम-से-कम एक प्रति को संग्रहीत करने की आवश्यकता होगी।

उपरोक्त सिफारिशों के अलावा डेटा स्थानीयकरण के संबंध में निम्नलिखित नीतियाँ भी हैं:

पर्सनल डेटा प्रोटेक्शन (ड्राफ्ट) बिल, 2018 [Personal Data Protection (Draft) Bill, 2018] के अंतर्गत सीमा पार डेटा हस्तांतरण को लेकर विशिष्ट प्रावधान किये गए हैं।
ई-कॉमर्स नीति के मसौदे में भी डेटा के सीमा पार स्थानांतरण पर रोक लगाई गई है।

क्यों महत्त्वपूर्ण है डेटा का स्थानीयकरण?

सरकार द्वारा अपने देश के नागरिकों के वित्तीय एवं और व्यक्तिगत सूचनाओं को सुरक्षित करने एवं विदेशी निगरानी को रोकने तथा स्थानीय सरकारों और नियामकों को आवश्यकता के समय डेटा के प्रयोग का अधिकार देने के लिये।
स्थानीय स्तर पर डेटा संग्रहीत करने से कानून प्रवर्तन एजेंसियों को किसी अपराध का पता लगाने या साक्ष्य इकट्ठा करने के लिये आवश्यक जानकारी का उपयोग करने में मदद मिलती है। समय के साथ बढ़ती प्रौद्योगिकी प्रासंगिकता के द्वारा अपराधों को समाप्त करने में महत्त्वपूर्ण भूमिका अदा करेगी।
जहाँ डेटा का स्थानीयकरण नहीं होता है वहाँ जाँच एजेंसियों को जानकारी प्राप्त करने के लिये पारस्परिक कानूनी सहायता संधियों (Mutual Legal Assistance Treaties-MLATs) पर निर्भर होना पड़ता है जिसके परिणामस्वरूप जाँच-पड़ताल में विलंब होता है।
श्रीकृष्ण समिति की रिपोर्ट के अनुसार, ऑन-शोरिंग वैश्विक डेटा भी डेटा भंडारण और एनालिटिक्स के क्षेत्र में घरेलू नौकरियों और कौशल का सृजन कर सकता है।

कंपनियाँ डेटा भंडारण और स्थानीयकरण में असमर्थ क्यों हैं?

उच्च लागत- डेटा के स्थानीयकरण का कार्य कंपनियों के लिये उच्च लागत वाला है क्योंकि इसके लिये उन्हें सर्वर, यू.पी.एस., जनरेटर, भवन और कर्मियों सहित बहुत सी अन्य भौतिक एवं अवसंरचनात्मक लागतों को वहन करना पड़ेगा।
सूचना प्रौद्योगिकी के लिये आधारिक संरचना: कंपनियों को लगता है कि भारत में अभी तक सूचना प्रौद्योगिकी के लिये अनुकूल परिस्थितियों तथा आधारिक अवसंरचना का अभाव है। भारत में किसी भी बड़े ई-कॉमर्स व्यापारी हेतु कानूनी प्रावधानों के तहत यह लागत 10% से 50% के बीच हो सकती है।
भारत में सेवाएँ प्रदान करने वाली छोटी कंपनियों के लिये मानदंडों का अनुपालन कर पाना मुश्किल होगा। वास्तव में डेटा स्थानीयकरण के प्रमुख उद्देश्यों में से एक उद्देश्य भारत में स्टार्ट-अप क्षेत्र को बढ़ावा देना भी है। लेकिन भारत सरकार द्वारा निर्धारित सख्त मानदंड छोटी कंपनियों के लिये इसे काफी महँगा बना सकते हैं जिससे सरकार के उद्देश्य को पूरा करना संभव नहीं होगा।

CLOUD अधिनियम के प्रावधान

सीमा पार डेटा साझाकरण को समाप्त करने के संदर्भ में अमेरिकी कॉन्ग्रेस द्वारा पारित CLOUD अधिनियम (Clarifying Lawful Overseas Use of Data Act) में किये गए प्रावधानों से सहायता ली जा सकती है जो निम्नलिखित हैं:

वर्ष 2018 में अमेरिकी कॉन्ग्रेस ने डेटा का स्पष्ट वैध विदेशी उपयोग (Clarifying Lawful Overseas Use of Data-Cloud) अधिनियम पारित किया जिसके तहत डेटा के नियंत्रण पर अमेरिकी अधिकारियों के एकाधिकार को समाप्त करने का प्रयास किया गया है।
इस कानून के द्वारा पहली बार तकनीक से जुड़ी कंपनियों को कुछ विदेशी सरकारों के साथ सीधे डेटा साझा करने की अनुमति दी गई है।
इसके लिये अमेरिका और अन्य देशों के बीच एक कार्यकारी समझौते की आवश्यकता होगी जो यह प्रमाणित करता हो कि राज्य नियत प्रक्रिया और कानून के शासन के लिये मज़बूत गोपनीयता सुरक्षा के प्रति जागरूक है।
CLOUD अधिनियम एक ऐसा संभावित तंत्र है जिसके द्वारा भारत जैसे देश न केवल अपने राज्य की सीमाओं के अंदर ही अपराध को रोकने हेतु बल्कि अंतर्राष्ट्रीय स्तर पर भी अपने राष्ट्रहितों, वैश्विक हितों के लिये डेटा की मांग कर सकते हैं।

डेटा स्थानीयकरण एवं स्प्लिंटरनेट
(Data Localisation and Splinternet)

डेटा स्थानीयकरण निस्संदेह इंटरनेट की आदर्श अवधारणा पर एक धब्बे के रूप में उजागर होता है।
हाल के वर्षों में सीमाहीन इंटरनेट की अवधारणा का विचार अपनी प्रासंगिकता खोता जा रहा है।
इस बात से इनकार करना मुश्किल है कि यह अनियंत्रित डिजिटल विकास के मुख्य कारणों में से एक है। कुछ कंपनियाँ ऑनलाइन सेवाओं के क्षेत्र में मूलभूत सुविधाओं के अभाव में दर्जनों देशों में अपना विस्तार करती हैं जहाँ उनका मुनाफ़ा बढ़ सकता है।
इसके अतिरिक्त, डेटा एकत्र करने की क्षमता तथा उससे जुड़े कई इंटरनेट व्यवसायों के लिये एक मॉडल भी उपलब्ध है और डेटा स्थानीयकरण उस मॉडल को खतरे में डालता है।
कुछ भारतीय स्टार्ट-अप, इस सीमा पार डेटा के आदान-प्रदान की सुविधा से लाभान्वित हुए हैं, जो उन्हें नए देशों में अपनी सेवाएँ प्रदान करने की अनुमति देता है। अभी भी कई स्टार्ट-अप ऐसे हैं जो कम अवसंरचना विकास और अनुपालन लागत के साथ डिजिटल तरीके से अपना संचालन कर रहे हैं।
एक खंडित इंटरनेट या ‘स्प्लिंटरनेट’, नवाचार की संभावनाओं को कम करने का प्रयास करता है, जो एक प्रमुख डिजिटल शक्ति बनने के क्रम में भारत के लक्ष्यों को बाधित कर सकता है।

आगे की राह

नीति निर्माताओं को विश्व स्तर पर सफल होने के लिये भारतीय उद्यमियों की परिवर्तनकारी शक्ति पर विश्वास करना चाहिये और इन उद्यमियों को गोपनीयता और डेटा प्रवाह के बारे में निर्णय लेने की प्रक्रिया में शामिल करने का प्रयास करना चाहिये।
यूरोपीय संघ के डेटा स्थानांतरण मॉडल (EU’s Data Transfer Model) और CLOUD अधिनियम से भी कुछ प्रावधानों का समावेश किया जाना चाहिये।

डेटा स्थानांतरण मॉडल (Data Transfer Model)

यह मॉडल यूरोपीय संघ द्वारा सफलतापूर्वक अपनाया गया है जिसके अंतर्गत संबंधित डेटा सुरक्षा प्राधिकरण किसी कंपनी की डेटा प्रोसेसिंग नीतियों के अनुमोदन और समीक्षा के बाद डेटा स्थानांतरण की अनुमति प्रदान करता है।
इस प्रक्रिया के माध्यम से कंपनियाँ, उपयोगकर्त्ता के अधिकार तथा डेटा को सुरक्षित रखते हुए व्यापार भी कर सकती हैं।
सभी भारतीय कंपनियों को डेटा स्थानांतरण का लाभ देने से भारतीय उद्योगों को संभवतः कम नीतिगत बाधाओं का सामना करना पड़ेगा तथा वैश्विक स्तर पर भारतीय उद्योगों का विस्तार संभव हो सकेगा।

संभावित प्रश्न: डेटा स्थानीयकरण निस्संदेह एक सीमाहीन दुनिया के रूप में इंटरनेट की आदर्श संकल्पना पर धब्बा है, डेटा स्थानीयकरण के दायरे और सीमा पर चर्चा करें।

डेली अपडेट्स