व्यक्तिगत डेटा संरक्षण विधेयक

डेटा गोपनीयता संबंधी मुद्दे

संदर्भ:

लेखक व्यक्तिगत डेटा संरक्षण विधेयक की रिपोर्ट पर संयुक्त समिति के बारे में बात कर रहे हैं।

संपादकीय अंतर्दृष्टि:

कठोर बैठकों और विचार-विमर्श के बाद, व्यक्तिगत डेटा संरक्षण विधेयक पर संसद की संयुक्त समिति ने हाल ही में दोनों सदनों में अपनी रिपोर्ट पेश की।

व्यक्तिगत डेटा पर JCP :

जेसीपी, जिसे दिसंबर 2019 में व्यक्तिगत डेटा सुरक्षा के मुद्दों पर विचार-विमर्श करने के लिए गठित किया गया था, ने गैर-व्यक्तिगत डेटा पर चर्चा को शामिल करने के लिए अपने जनादेश का विस्तार किया, जिससे व्यक्तिगत डेटा संरक्षण से विधेयक के जनादेश को व्यापक डेटा सुरक्षा में बदल दिया गया।

समिति ने कुल मिलाकर 99 सिफारिशें की हैं, जिनमें से 12 विधेयक में किए गए प्रावधानों के संबंध में हैं, और शेष संशोधनों के रूप में हैं।

सिफारिशें:

गैर-व्यक्तिगत डेटा को शामिल करना: बिल की प्रकृति को बदलने वाली प्रमुख सिफारिश गैर-व्यक्तिगत डेटा को बड़े दायरे में शामिल करने के लिए है।

क्योंकि समिति का मानना था कि जब बड़े पैमाने पर डेटा एकत्र या परिवहन किया जाता है तो व्यक्तिगत डेटा और गैर-व्यक्तिगत डेटा के बीच अंतर करना असंभव था।

इसका मतलब यह है कि नए कानून के तहत सभी मुद्दों को व्यक्तिगत और गैर-व्यक्तिगत के लिए अलग-अलग के बजाय एकल डेटा संरक्षण प्राधिकरण (डीपीए) द्वारा निपटाया जाएगा।

संक्रमण काल: चूंकि तकनीक हर किसी के जीवन का एक अविभाज्य हिस्सा बन गई है।

यह सुनिश्चित करने के लिए कि ऐसे सभी डेटा एग्रीगेटर्स को नए विधेयक के तहत नियमों का पालन करने के लिए पर्याप्त समय मिले, जेसीपी ने सुझाव दिया कि अधिनियम की अधिसूचना की तारीख से 24 महीने तक का समय दिया जाए।

सभी डेटा न्यासी जो विशेष रूप से बच्चों के डेटा से संबंधित हैं, उन्हें खुद को डीपीए के साथ पंजीकृत करना होगा।

सोशल मीडिया दायित्व: एक अन्य प्रमुख सिफारिश यह है कि सोशल मीडिया प्लेटफॉर्म जो बिचौलियों के रूप में कार्य नहीं करते हैं उन्हें प्रकाशकों के रूप में माना जाना चाहिए, और इसलिए उनके द्वारा होस्ट की जाने वाली सामग्री के लिए उत्तरदायी ठहराया जाना चाहिए।

दूसरे शब्दों में, यह इन कंपनियों को सूचना प्रौद्योगिकी अधिनियम की धारा 79 के तहत दी गई सुरक्षा से वंचित कर देगा।

जुर्माना: समिति ने डेटा उल्लंघनों के लिए फर्म के कुल वैश्विक कारोबार का 15 करोड़ रुपये या 4% तक का जुर्माना और 3 साल तक की जेल की सजा की सिफारिश की है, अगर डी-आइडेंटेड डेटा की फिर से पहचान की जाती है।

समय पर सूचित: किसी भी डेटा उल्लंघन के मामले में, डेटा एग्रीगेटर या प्रत्ययी को इसकी जानकारी होने के 72 घंटों के भीतर डीपीए को सूचित करना चाहिए।

डीपीए तब डेटा उल्लंघन की गंभीरता की मात्रा तय करेगा और तदनुसार कंपनी को इसकी रिपोर्ट करने और उचित उपचारात्मक उपाय करने के लिए कहेगा।

जेसीपी द्वारा ध्यान में रखे गए कारक:

इंटरनेट के विकास के साथ, उपभोक्ता बहुत अधिक डेटा उत्पन्न कर रहे हैं, कंपनियों ने उपयोगकर्ताओं की सहमति के बिना इनमें से बहुत सारे डेटासेट को स्टोर करना शुरू कर दिया और डेटा लीक होने पर जिम्मेदारी नहीं ली।

समिति ने सार्वजनिक और निजी क्षेत्र की कंपनियों, अनुसंधान संगठनों और शैक्षणिक संस्थानों जैसे स्पेक्ट्रम और संगठनों में मौजूद ऐसे डेटा को एकीकृत करने के लिए नई प्रक्रियाओं को स्थापित करने की आवश्यकता पर बल दिया है।

जिन प्रमुख चिंताओं को जेसीपी ने संबोधित करने की मांग की उनमें से हैं:

व्यक्तिगत डेटा के तेजी से व्यावसायिक उपयोग के परिणामस्वरूप अंतिम उपयोगकर्ता के विश्वास को कम किया गया है।

संवेदनशील और महत्वपूर्ण व्यक्तिगत डेटा के दुरुपयोग के बारे में चिंताएं और तनाव तेजी से बढ़ रहे हैं,

ऐसी स्थितियों से निपटने के लिए, एक सुरक्षित और उपयोगकर्ता के अनुकूल डेटा पारिस्थितिकी तंत्र के लिए कानूनी, सांस्कृतिक, तकनीकी और आर्थिक बुनियादी ढांचे का निर्माण करना महत्वपूर्ण था।

स्पष्ट आर्थिक और गोपनीयता चिंताओं के अलावा, जेसीपी रिपोर्ट मानसिक स्वास्थ्य और भावनात्मक कल्याण के  प्रभाव पर भी चर्चा करती है जो एक उपयोगकर्ता डेटा उल्लंघन के कारण अनुभव करता है।

यह निष्कर्षों का हवाला देता है कि ऐसे व्यक्तियों में से 86% ने चिंतित, क्रोधित और निराश महसूस किया, जबकि 85% ने परेशान नींद की आदतों का अनुभव किया।

अतिरिक्त परेशानी:

हालांकि जेसीपी रिपोर्ट बिल के मुख्य घटकों की पुष्टि करती है और कई पहलुओं को ठीक करती है। लेकिन इसने भारत के लिए डेटा विनियमन के व्यापक कैनवास को चित्रित करने के लिए विधेयक का उपयोग किया है।

इनमें से कुछ प्रस्तावों पर अधिक विचार-विमर्श की आवश्यकता है:

जेपीसी ने अभी तक स्पष्ट किए गए नियमों की तुलना में संप्रभु हितों पर अधिक मजबूती से आधारित विनियमन के लिए एक तर्क प्रदान किया है।

उदाहरण के लिए, डेटा स्थानीयकरण के मुद्दे में, जेपीसी का कहना है कि भारत की सीमाओं से संवेदनशील व्यक्तिगत डेटा लेने के लिए व्यवसायों को सक्षम करने वाले सभी अनुबंधों को अब डेटा सुरक्षा नियामक (डीपीए) के अलावा केंद्र सरकार के अनुमोदन की आवश्यकता होगी।

रिपोर्ट उन आवश्यकताओं का भी प्रस्ताव करती है जो पूर्व सरकारी अनुमोदन के बिना किसी तीसरे देश के साथ बाहर संसाधित डेटा के साझाकरण को सीमित करती हैं।

जेपीसी ने स्थानीय नवाचार को विकसित करने के लिए एक उपकरण के रूप में डेटा स्थानीयकरण के औचित्य को दोगुना कर दिया है और स्थानीय वित्तीय प्रणालियों को विकसित करने की आवश्यकता पर बहस करने के लिए स्थानीयकरण के लिए उन्नत सुरक्षा विचारों पर चर्चा का उपयोग किया है जो मौजूदा तंत्र पर निर्भरता को कम करता है।

रिपोर्ट बिल के विनियमन के दायरे को बढ़ाती है जिससे यह छूट को समाप्त करने की आवश्यकता का प्रस्ताव करता है जो सोशल मीडिया प्लेटफॉर्म मौजूदा कानून के तहत मध्यस्थों के रूप में उनकी स्थिति के आधार पर दायित्व से आनंद लेते हैं।

बिल के तहत सोशल मीडिया प्लेटफॉर्म्स को महत्वपूर्ण डेटा फिड्यूशरीज के रूप में विनियमित करने का इसका प्रस्ताव ऐसी कंपनियों को खुद सामग्री के लिए उत्तरदायी नहीं बनाएगा।

हालांकि, संबंधित चर्चा का तर्क है कि इन व्यवसायों को अब बिचौलियों के रूप में नहीं बल्कि प्लेटफॉर्म के रूप में माना जा सकता है।

यह प्रस्ताव व्यवसायों पर संप्रभु नियामक शक्ति के एक महत्वपूर्ण अभ्यास की शुरुआत करेगा कि कुछ तर्क मुक्त भाषण के अंतिम गढ़ हैं।

विधेयक के कई अन्य पहलुओं पर, जेपीसी ने एक कामगार जैसा दृष्टिकोण अपनाया है:

इसने छोटे व्यवसायों को विधेयक के कुछ हिस्सों से छूट देने का प्रस्ताव संशोधित किया है।

जबकि पहले के प्रावधान में मैन्युअल प्रसंस्करण से छूट देने की मांग की गई थी, रिपोर्ट गैर-स्वचालित प्रसंस्करण को छूट देने के अधिक समझदार विचार का प्रस्ताव करती है।

यह बिल के फोकस को डेटा-प्रोसेसिंग गतिविधियों पर केंद्रित करता है जो मूल रूप से डेटा सुरक्षा की आवश्यकता को प्रेरित करता है

यह बिल नियोक्ताओं के लिए कर्मचारी के व्यक्तिगत डेटा तक पहुँचने की गुंजाइश को कम करता है, बच्चों के डेटा की सुरक्षा के लिए एक सरल तंत्र का प्रस्ताव करता है, और बिल के विभिन्न हिस्सों के लिए कार्यान्वयन की एक समयरेखा प्रदान करता है।

इस कार्यान्वयन अभ्यास का सबसे महत्वपूर्ण पहलू, निश्चित रूप से, डेटा सुरक्षा प्राधिकरण का निर्माण होगा, जो डेटा सुरक्षा की देखरेख के लिए प्रस्तावित अति-संग्रह नियामक है।

मुद्दा :

संसद में पेश किया गया बिल केंद्र सरकार को अपनी एजेंसियों को डेटा प्रोटेक्शन रेगुलेशन के दायरे से छूट देने का अधिकार देता है।

रिपोर्ट का प्रस्ताव है कि ऐसी एजेंसियों द्वारा अपनाई जाने वाली किसी भी प्रक्रिया को न्यायसंगत, निष्पक्ष, उचित और आनुपातिक प्रक्रिया होनी चाहिए।

जबकि यह निजता के अधिकार पर अपने फैसले में सर्वोच्च न्यायालय द्वारा निर्धारित जाँचों को समाहित करता है, यह कार्यपालिका को यह पता लगाने के लिए छोड़ देता है कि उचित, और आनुपातिक का क्या अर्थ होना चाहिए।

रिपोर्ट उस प्रावधान के समान दृष्टिकोण अपनाती है जो केंद्र सरकार को गैर-व्यक्तिगत डेटा सौंपने के लिए व्यवसायों की आवश्यकता के लिए सक्षम बनाता है।

आगे का रास्ता:

हालांकि गोपनीयता के क्षेत्र में राज्य द्वारा आक्रमण की चिंता दिखाई दे रही है, शोषण और उल्लंघन के खिलाफ डेटा संरक्षण की आवश्यकता भी आवश्यक है।

इसलिए इस प्रक्रिया में जनता के विश्वास और  पुनर्निर्माण के लिए डेटा संरक्षण में राज्य की जवाबदेही समय की मांग है।