यह लेख Prasenjeet Sudhakar Kirtikar द्वारा लिखा गया है और Shashwat Kaushik द्वारा संपादित किया गया है जो लॉसीखो से कॉर्पोरेट लिटिगेशन में डिप्लोमा कर रहे है। इस लेख में, हम डाटा  संरक्षण को संभालने के लिए कुछ देशों द्वारा उठाए गए उपायों और कैसे भारत ने डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम 2023 को लागू करके अपने लोगों के डिजिटल व्यक्तिगत डाटा की सुरक्षा के लिए प्रावधान किया है, पर चर्चा करेंगे। हम अधिनियम की मुख्य विशेषताएं और कमियां, साथ ही भारतीय समाज, प्रशासन और ई-व्यापार पर इसके प्रभाव, दायरा और प्रकृति पर चर्चा करेंगे। इसका अनुवाद Pradyumn Singh के द्वारा किया गया है। 

परिचय 

किसी समाज में रहने वाले हर इंसान की व्यक्तिगत जानकारी होती है जैसे उसका नाम, उम्र, पता, पेशा, आय, वैवाहिक स्थिति, शैक्षणिक योग्यता, उसकी पसंद-नापसंद, वह कहां जाता है और क्या करता है। साथ ही उनके परिवार के बारे में जानकारी, जैसे परिवार के सदस्यों की संख्या और उनकी व्यक्तिगत जानकारी। किसी व्यक्ति के बारे में व्यक्तिगत जानकारी के इस क्रम को उस व्यक्ति के बारे में व्यक्तिगत डाटा भी कहा जा सकता है। आधुनिक समाज में हर नागरिक की यह अपेक्षा होती है कि उसका निजी डाटा उसकी सहमति के बिना सार्वजनिक नहीं किया जाना चाहिए। दूसरी ओर, राज्य एजेंसियों और व्यावसायिक संस्थाओं को सामाजिक आर्थिक विकास प्राप्त करने के लिए व्यक्तियों और समाज की जरूरतों और हितों को समझने के लिए व्यक्तियों के व्यक्तिगत डाटा की आवश्यकता होती है।

21वीं सदी की शुरुआत में सूचना प्रौद्योगिकी में क्रांति की शुरुआत ने दुनिया को एक साथ लेकर एक बड़ा, विशाल वैश्विक गांव बना दिया है जहां सभी प्रकार की सूचनाओं का आदान-प्रदान होता है। सोशल नेटवर्किंग, डिजिटल विपणन (मार्केटिंग) और अन्य समान अवधारणाओं के उदय के साथ, लोगों के बारे में जानकारी भी सरकारी एजेंसियों और व्यावसायिक संस्थाओं दोनों द्वारा साझा और नियंत्रित की गई है। 

डिजिटल सामाजिक-आर्थिक विकास के इस युग में लोगों की गोपनीयता की रक्षा करने और उनकी सहमति के बिना उनके व्यक्तिगत डाटा के उपयोग से बचने के लिए, ऐसे डिजिटल डाटा लेनदेन पर वैधानिक नियंत्रण की आवश्यकता पर अंतरराष्ट्रीय स्तर पर भी विचार किया गया है।

पृष्ठभूमि

वैश्वीकरण के प्रभाव और सूचना प्रौद्योगिकी क्रांति के उद्भव ने दुनिया भर में व्यापारिक लेनदेन में कल्पना से परे जटिलता को जन्म दिया। डिजिटल विपणन और डिजिटल विज्ञापन जैसे ऑनलाइन व्यापार क्षेत्रों के विस्तार के साथ-साथ उनका विस्फोट पहले कभी नहीं हुआ।

आजकल, डिजिटल रूप में यह व्यवसाय वृद्धि व्यक्तियों की पसंद और नापसंद से संबंधित रुझानों को संश्लेषित (सिंथेसिस) करने और समझने के लिए उनकी विशाल व्यक्तिगत जानकारी एकत्र करने के लिए विपणन और विज्ञापन की भी मांग करती है। विभिन्न ऑनलाइन व्यापार प्लेटफार्मों पर डिजिटल व्यक्तिगत जानकारी का यह खुलासा व्यक्तियों की गोपनीयता की सुरक्षा के लिए एक सार्वभौमिक चिंता को जन्म देता है। यहां तक ​​कि राज्य एजेंसियां ​​भी अपने फायदे के लिए इस डिजिटल डाटा का दुरुपयोग कर सकती हैं, जिससे लोकतंत्रीकरण की प्रक्रिया को झटका लग सकता है।

डिजिटल रूप में व्यक्तियों की व्यक्तिगत जानकारी की सुरक्षा के मुद्दे ने विभिन्न अंतरराष्ट्रीय संगठनों के साथ-साथ दुनिया भर के देशों को भी परेशान कर दिया है। इसलिए, नागरिकों के डिजिटल व्यक्तिगत डाटा की सुरक्षा के लिए एक आदर्श ढाल बनाने के लिए, विभिन्न देशों ने कानून बनाए और गैर-अनुपालन के लिए गलत काम करने वाले को दंडित करने के लिए कड़े प्रावधान किए।

संयुक्त राष्ट्र व्यापार और विकास सम्मेलन (यूएनसीटीएड) की रिपोर्ट के अनुसार, 194 देशों में से 137 देशों (71%) ने किसी न किसी रूप में अपने लोगों के डिजिटल डाटा और उनकी निजता की रक्षा के लिए कानून बनाए हैं। यूरोप में 45 में से 44 देशों ने; एशिया प्रशांत क्षेत्र में 60 में से 34 देशों ने; अफ्रीका में 54 में से 33 देशों ने; और अमेरिका में 35 में से 26 देशों ने अपने नागरिकों की डाटा गोपनीयता की रक्षा के लिए कानून बनाए हैं।

यूरोपीय संघ (ईयू) ने 2018 में सामान्य डाटा संरक्षण विनियमन (जीडीपीआर) को लागू किया, जो अन्य संगठनों और देशों के लिए एक महत्वपूर्ण दिशा निर्देश साबित हुआ। डाटा गोपनीयता के लिए एक अन्य महत्वपूर्ण ढांचे को संयुक्त राज्य अमेरिका द्वारा 2018 में कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम (सीसीपीए)  के रूप में तैयार किया गया था, जो कुछ संशोधनों के बाद 2020 में लागू हुआ। एशिया प्रशांत आर्थिक सहयोग (एपीईसी) ने भी दिसंबर 2005 में एपीईसी गोपनीयता ढांचा के रूप में जाने जाने वाले डाटा गोपनीयता सिद्धांतों को विकसित किया। इसके अलावा, कुछ महत्वपूर्ण वैश्विक संगठनों, जैसे आर्थिक सहयोग और विकास संगठन (ओईसीडी) ने भी 1980 में व्यक्तिगत डाटा सुरक्षा के लिए दिशानिर्देश विकसित किए, जिन्हें बाद में 2013 में अद्यतन (अपडेट) किया गया, जो अंतर्राष्ट्रीय ऊर्जा एजेंसी (आईए) जैसी अन्य अंतरराष्ट्रीय संस्थाओं के लिए एक मानक साबित हुआ।

सिंगापुर सरकार ने 2012 में  व्यक्तिगत डाटा सुरक्षा के लिए दिशानिर्देश (पीडीपीए) को अधिनियमित किया, जो 2021 में लागू हुआ, यह अपने नागरिकों के डिजिटल व्यक्तिगत डाटा के संरक्षण की आवश्यकता को संबोधित करता है। यह अधिनियम संगठनों द्वारा व्यक्तिगत डाटा के संग्रह, उपयोग और प्रकटीकरण को नियंत्रित करता है और इसमें रजिस्ट्री के लिए एक बहुत ही खास प्रावधान है, जिसमें उन ग्राहकों/नागरिकों की जानकारी दर्ज की जाती है जो विपणन के लिए किसी व्यावसायिक एजेंसी द्वारा कॉल नहीं करना चाहते हैं।

पीपुल्स रिपब्लिक ऑफ चाइना द्वारा पारित व्यक्तिगत सूचना संरक्षण कानून (पीआईपीएल) व्यक्तिगत डिजिटल डाटा की सुरक्षा के लिए बनाया गया इसका पहला व्यापक कानून है। पीआईपीएल मुख्य रूप से यूरोपीय संघ के जीडीपीआर में प्रदर्शित दिशानिर्देशों से प्रेरित है। कनाडा के मामले में, बिल सी-27 उपभोक्ता गोपनीयता संरक्षण अधिनियम, व्यक्तिगत सूचना और डाटा संरक्षण न्याधिकारण (ट्रिब्यूनल) अधिनियम और कृत्रिम बुद्धिमत्ता और डाटा अधिनियम को लागू करने और अन्य अधिनियमों में परिणामी और संबंधित संशोधन करने के लिए एक अधिनियम है। इसके अलावा, यूनाइटेड किंगडम ने केवल जीडीपीआर के निर्देशों का पालन करके डाटा संरक्षण अधिनियम 2018 को लागू किया है। यह अधिनियम तीसरे देशों को व्यक्तिगत डाटा के हस्तांतरण का भी प्रावधान करता है और छह अलग-अलग डाटा सुरक्षा सिद्धांतों को परिभाषित करता है। यहां यह उल्लेख करना महत्वपूर्ण है कि सीसीपीए ,जीडीपीआर, पीआईपीएल और अन्य जैसे अधिनियम अज्ञात डाटा को गैर-व्यक्तिगत डाटा घोषित करते हैं। डाटा के गुमनामीकरण का अर्थ है “वह प्रक्रिया जिसके द्वारा व्यक्तिगत डाटा को इस तरह से संशोधित किया जाता है कि जिस व्यक्ति से वह संबंधित है, उसे अब सीधे या परोक्ष रूप से पहचाना नहीं जा सकता है, चाहे तो अकेले डाटा नियंत्रक द्वारा या किसी अन्य पक्ष के सहयोग से।” दूसरे शब्दों में, व्यक्ति की गोपनीयता पूरी तरह से सुरक्षित है।

अंतर्राष्ट्रीय नीति और व्यापार मामलों के समन्वय में, भारत ने अपने लोगों के लिए डाटा सुरक्षा अधिनियम को लागू करने की आवश्यकता को महसूस किया है। साथ ही, एक उभरती महाशक्ति के रूप में, हमारा देश विभिन्न प्रकार के वैश्विक व्यवसायों को आकर्षित कर रहा है जो विशाल भारतीय बाजार में स्थापित होने का प्रयास कर रहे हैं। ऑनलाइन व्यापार करने की प्रक्रिया में, भारतीय नागरिकों का व्यक्तिगत डाटा दांव पर रहता है। भारतीय जनता की गोपनीयता की रक्षा करने और गोपनीयता कानून के दायरे को समझने के लिए, भारत सरकार ने न्यायमूर्ति बी.एन. श्री कृष्ण की अध्यक्षता में विशेषज्ञों की एक समिति नियुक्त की। दिसंबर 2010 में, समिति ने अपनी रिपोर्ट प्रस्तुत की, “एक स्वतंत्र और निष्पक्ष डिजिटल अर्थव्यवस्था जो गोपनीयता की रक्षा करती है, भारतीयों को सशक्त बनाती है,” जिसने अंततः भारत में डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम, 2023 (अधिनियम) के अधिनियमन का मार्ग प्रशस्त किया।

आइए अब डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम 2023 के प्रारंभ, दायरा, महत्वपूर्ण परिभाषाओं और मुख्य विशेषताओं पर चर्चा करें। 

डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम, 2023

प्रारंभ

अधिनियम की धारा 1(2) के अनुसार, भारत की केंद्र सरकार को यह निर्णय लेने की शक्ति प्राप्त है कि अधिनियम के प्रावधान किस तारीख से प्रभावी होंगे। यह केंद्र सरकार का विवेक है कि वह किसी भी तारीख पर विभिन्न प्रावधानों के कार्यान्वयन (इम्प्लीमेंटेशन) को आधिकारिक राजपत्र में प्रकाशित करके अधिसूचित कर सकती है। चूंकि अधिनियम का पूर्वव्यापी (रेट्रोस्पेक्टिव) प्रभाव है, ऐसे प्रावधानों से जिम्मेदार हितधारकों को अधिनियम के अनुसार नियमों और विनियमों का पालन करने के लिए एक तंत्र स्थापित करने में मदद मिलेगी। साथ ही, धारा 17(5) के अनुसार, केंद्र सरकार के पास किसी विशिष्ट समय के लिए किसी भी डाटा प्रत्ययी (फिड्यूशियरी) पर इस अधिनियम के किसी भी प्रावधान को लागू न करने की घोषणा करने की शक्ति है। इस शक्ति का प्रयोग अधिनियम के प्रारंभ होने के पांच वर्ष के भीतर किया जा सकता है, उसके बाद नहीं।

28 सितंबर, 2023 को, भारत के इलेक्ट्रॉनिक्स और आईटी राज्य मंत्री राजीव चंद्रशेखर ने अधिनियम के अनुपालन के लिए एक रूपरेखा स्थापित करने के लिए गूगल और मेटा जैसे बड़े दिग्गजों को लगभग एक वर्ष की समयावधि दी और यह भी घोषणा की कि डाटा संरक्षण समिति स्थापना की प्रक्रिया एक माह के भीतर शुरू हो जाएगी।

दायरा

न्यायिक दायरा

यह अधिनियम डिजिटल व्यक्तिगत डाटा के संश्लेषण को इस तरह से सुनिश्चित करता है कि यह भारत के नागरिकों की गोपनीयता के अधिकार की रक्षा करता है। एक बार सहमति मिल जाने के बाद, धारा 6(4) के तहत सहमति वापस लेने के अधिकार का प्रयोग करके इसे कभी भी वापस लिया जा सकता है। व्यक्ति धारा 11(1) के तहत अपने व्यक्तिगत डाटा के बारे में जानकारी तक पहुंचने के अधिकार का प्रयोग कर सकता है; ऐसे डाटा को सुधारने, पूरा करने, अद्यतन करने और मिटाने का अधिकार धारा 12(1) के तहत प्रयोग किया जा सकता है। शिकायत निवारण का अधिकार धारा 13(1) के अनुसार प्रदान किया गया है; और अधिनियम धारा 14(1) के तहत नामांकन के अधिकार की एक अनूठी विशेषता भी प्रदान करता है।

उपरोक्त सभी अधिकारों की गारंटी अधिनियम द्वारा दी गई है, जो भारत का संविधान के अनुच्छेद 21 निजता के अधिकार का हिस्सा है, जो आगे चलकर जीने के अधिकार और व्यक्तिगत स्वतंत्रता के अंतर्गत आता है।

न्यायमूर्ति के.एस.पुट्टास्वामी (सेवानिवृत्त) और अन्य बनाम भारत संघ और अन्य (2017) में सर्वोच्च न्यायालय ने कहा कि जीवन और स्वतंत्रता के अधिकार में निजता का अधिकार भी शामिल है। इसलिए, अधिनियम डिजिटल व्यक्तिगत जानकारी के बाहर आने पर रोक लगाकर जीवन और व्यक्तिगत स्वतंत्रता के अधिकार की बहुत अच्छी तरह से रक्षा करता है।

सामान्य दायरा

अधिनियम की धारा 9 के अनुसार, यह विकलांग बच्चों और व्यक्तियों पर लागू होता है, और उनके निजता के अधिकार को उनके अभिभावकों के माध्यम से संरक्षित किया जा सकता है। यह धारा बच्चों के व्यवहार की निगरानी और लक्षित (टारगेटेड) विज्ञापन पर भी रोक लगाती है। 

धारा 3(a) के अनुसार, केवल व्यक्तिगत डाटा जो डिजिटल रूप में है और व्यक्तिगत डाटा जो गैर डिजिटल रूप मे है लेकिन बाद में डिजिटलीकृत किया गया है इसमें शामिल किया गया है और अधिनियम के दायरे में आता है। हालांकि, यह पता लगाना मुश्किल है कि कोई गैर-डिजिटलीकृत डाटा बाद में डिजिटलीकृत होता है या नहीं।

धारा 3(b) के अनुसार, भारत में रहने वाले नागरिकों का डिजिटल व्यक्तिगत डाटा, हालांकि भारत के बाहर साझा किया जाता है, वह भी इस अधिनियम के दायरे में आता है। 

यह समझना भी महत्वपूर्ण है कि, अधिनियम की धारा 3 (c) के अनुसार, यदि कोई नागरिक स्वेच्छा से अपना डाटा प्रकट करता है, तो अधिनियम लागू नहीं होता है। उदाहरण के लिए, फेसबुक या ट्विटर पर किसी पोस्ट पर टिप्पणी करते समय व्यक्ति का नाम और प्रोफ़ाइल अन्य लोगों द्वारा देखी जा सकती है। पहचान का ऐसा खुलासा पूरी तरह से व्यक्ति की जिम्मेदारी होगी।

यह कानून सभी प्रकार की डिजिटल व्यावसायिक संस्थाओं (डाटा प्रत्ययी), सभी प्रकार के एजेंटों  डाटा प्रक्रमक (प्रोसेसर) और भारतीय नागरिकों के डिजिटल व्यक्तिगत डाटा को संश्लेषित करने वाले राज्य पर लागू होता है।

कुछ महत्वपूर्ण परिभाषाएं

अधिनियम ने डिजिटल व्यक्तिगत डाटा के लेनदेन से संबंधित विभिन्न हितधारकों की भूमिकाओं को शामिल करने के लिए कुछ नई अवधारणाएँ पेश की हैं। अधिनियम में परिभाषित कुछ अवधारणाएँ नीचे दी गई है।

डाटा प्रिंसिपल  : धारा 2(j) के अनुसार, डाटा प्रिंसिपल वह व्यक्ति होता है जिसका व्यक्तिगत डाटा दांव पर है। इसमें बच्चे और विकलांग लोग शामिल हैं। 

डाटा प्रत्ययी : धारा 2(i) के अनुसार, सभी प्रकार की व्यावसायिक संस्थाओं के पास एक विशिष्ट उद्देश्य के लिए अन्य व्यक्तियों के डिजिटल व्यक्तिगत डाटा की सुरक्षा होती है। 

डाटा प्रक्रमक : धारा 2(k) के अनुसार, एक व्यक्ति डाटा प्रत्ययी की ओर से कार्य कर रहा है और डिजिटल व्यक्तिगत डाटा को संश्लेषित करने में महत्वपूर्ण भूमिका निभा रहा है। 

अधिनियम की धारा 2(l) के अनुसार, एक डाटा सुरक्षा अधिकारी एक महत्वपूर्ण डाटा प्रत्ययी द्वारा नियुक्त व्यक्ति होता है। अधिनियम में धारा 2(c) के तहत डाटा संरक्षण समिति और धारा 2(g) के तहत उसके समिति प्रबंधक को भी परिभाषित किया गया है, जो डाटा प्रिंसिपल को उसकी सहमति को प्रबंधित करने, समीक्षा करने और वापस लेने में मदद करेगा। अधिनियम में धारा 2(y) के अनुसार किसी व्यक्ति को लिंग की परवाह किए बिना “वह(ही)” के बजाय “वह (सी)” के रूप में संबोधित करने की अनूठी विशेषता है। धारा 2(t) के अनुसार, व्यक्तिगत डाटा कोई भी डाटा हो सकता है जिसकी सहायता से व्यक्ति की पहचान की जा सकती है और धारा 2(n) के अनुसार, डिजिटल व्यक्तिगत डाटा डिजिटल रूप में उपलब्ध कोई भी व्यक्तिगत डाटा हो सकता है।

अधिनियम की मुख्य विशेषताएं

जीडीपीआर जैसे अन्य प्रमुख अंतरराष्ट्रीय कानूनों के समन्वय में, अधिनियम भारतीय जनता की निजता के अधिकार की रक्षा के लिए विशेष सुविधाएं प्रदान करता है। आइए अधिनियम की कुछ आवश्यक विशेषताओं पर चर्चा करें और समझें।

1. डाटा सुरक्षा: यह व्यापार करने में आसानी और लोगों की गोपनीयता की सुरक्षा के बीच संतुलन हासिल करने की कोशिश करके भारत की डिजिटल अर्थव्यवस्था और इसके पारिस्थितिकी तंत्र को मजबूत करने में मदद करता है।
2. भारतीय संसदीय कानून बनाने की प्रक्रिया में पहली बार, “वह (हि)” के स्थान पर “वह (शी)” का उपयोग किया गया है, जिससे अभिभाषक (ऐड्रेसी) को एक महिला के रूप में पहचाना जाता है।
3. परिभाषाएँ: डिजिटल डाटा के लेन-देन में विभिन्न हितधारकों के लिए अलग-अलग नाम हैं, उदाहरण के लिए, व्यावसायिक संस्थाओं के लिए “डाटा प्रत्ययी”, जिससे व्यक्तिगत डाटा संबंधित है, उस व्यक्ति के लिए “डाटा प्रिंसिपल”, अन्य लोगों के व्यक्तिगत डाटा को संसाधित करने वाले डाटा प्रत्ययी के एजेंट के लिए “डाटा प्रक्रमक ” आदि।
4. प्रयोज्यता: अधिनियम की धारा 3 के अनुसार प्रावधान व्यक्तिगत डाटा पर केवल तभी लागू होते हैं जब यह डिजिटल रूप में हो या गैर-डिजिटल रूप में हो, यदि बाद में भारत में रहने वाले किसी व्यक्ति के लिए भारत के भीतर या भारत के बाहर डिजिटल किया गया हो। हालांकि, इस अधिनियम का कोई भी प्रावधान तब लागू नहीं होगा जब डाटा प्रिंसिपल स्वयं किसी डिजिटल प्लेटफॉर्म पर अपने व्यक्तिगत डाटा का खुलासा करता है, जैसे, फेसबुक, ट्विटर या किसी भी सामान सोशल नेटवर्किंग प्लेटफॉर्म पर किसी पोस्ट पर टिप्पणी करके आपका नाम और प्रोफ़ाइल प्रकट करना।
5. नोटिस: धारा 5 के अनुसार, डाटा प्रिंसिपल को उस तरीके और उद्देश्य के बारे में सूचित करने के लिए एक नोटिस दिया जाना चाहिए जिसके लिए उसके डिजिटल व्यक्तिगत डाटा का उपयोग किया जाएगा।
6. सहमति: धारा 6(1) के अनुसार, डाटा प्रिंसिपल द्वारा प्रदान की गई सहमति किसी विशिष्ट उद्देश्य के लिए उसके व्यक्तिगत डाटा का उपयोग करने पर सहमत होने के लिए स्वतंत्र, बिना शर्त और स्पष्ट होनी चाहिए। यह भी ध्यान रखना महत्वपूर्ण है कि यदि डाटा प्रिंसिपल से ली गई कोई सहमति अधिनियम के किसी प्रावधान का उल्लंघन करती है, तो ऐसी सहमति अमान्य होगी। उदाहरण के लिए, यदि कोई सहमति यह कहते हुए ली गई है कि डाटा प्रिंसिपल डाटा प्रत्ययी के खिलाफ कोई शिकायत दर्ज करने के लिए किसी प्राधिकारी से संपर्क नहीं करेगा, तो ऐसी सहमति अमान्य होगी। इसके अलावा, डाटा प्रिंसिपल को अधिनियम के अनुसार स्थापित डाटा संरक्षण सामिति के साथ पंजीकृत सहमति प्रबंधक की मदद से अपनी सहमति का प्रबंधन, समीक्षा और वापस लेने का अधिकार होगा।
7. राज्य की शक्तियाँ: धारा 1(2) के अनुसार, केंद्र सरकार अधिनियम के विभिन्न प्रावधानों के कार्यान्वयन की तारीखें तय करेगी। राज्य और उसकी एजेंसियों को सरकारी नीतियों के अनुसार सब्सिडी, लाभ और अन्य समान सेवाओं के उद्देश्य से डिजिटल व्यक्तिगत डाटा को संसाधित करने के लिए धारा 7(b) के तहत अधिकार दिए गए हैं। राज्य के पास भारत की संप्रभुता और अखंडता के हित में नागरिकों की व्यक्तिगत डिजिटल जानकारी का उपयोग करने की भी शक्ति है। धारा 7 के अनुसार, डिजिटल व्यक्तिगत डाटा का उपयोग कुछ वैध उद्देश्यों के लिए किया जा सकता है, जैसे महामारी, जैसी चिकित्सा आपात स्थितियों का जवाब देना, सामाजिक गड़बड़ी के दौरान लोगों की सुरक्षा सुनिश्चित करना आदि।

अधिनियम का एक बहुत ही महत्वपूर्ण प्रावधान धारा 16(1) के तहत निहित है, जो केंद्र सरकार को भारत के बाहर किसी भी देश में व्यक्तिगत डाटा के हस्तांतरण को प्रतिबंधित करने की शक्ति देता है। इसी प्रकार, धारा 40 केंद्र सरकार को अधिनियम के विभिन्न प्रावधानों से संबंधित नियम बनाने की शक्ति प्रदान करती है और धारा 42 और 43 केंद्र सरकार को क्रमशः अनुसूची में संशोधन करने और अधिनियम के व्यावहारिक कार्यान्वयन में कठिनाइयों को दूर करने की शक्ति देती है।

1. डाटा प्रत्ययी पर दायित्व: अधिनियम नोटिस देने, सहमति लेने और डिजिटल कार्मिक डाटा के नैतिक उपयोग के मामले में डाटा प्रत्ययी की ओर से काम करने वाले डाटा प्रक्रमक पर बड़ी जिम्मेदारी लगाता है। यह डाटा प्रत्ययी को व्यक्तिगत जानकारी के लीक होने के बारे में डाटा संरक्षण समिति को रिपोर्ट करने का भी आदेश देता है।

धारा 10(2) के अनुसार, एक डाटा सुरक्षा अधिकारी नियुक्त करना और समय-समय पर डाटा सुरक्षा प्रभाव आकलन और अन्य प्रासंगिक अंकेक्षण आयोजित करना महत्वपूर्ण डाटा प्रत्ययी का दायित्व है।

1. डाटा प्रिंसिपल के अधिकार और कर्तव्य: अधिनियम का अध्याय 3 डाटा प्रिंसिपल के विभिन्न अधिकारों का प्रावधान करता है, जैसे उसकी डिजिटल जानकारी तक पहुंचने का अधिकार, अपने डाटा को सही करने और मिटाने का अधिकार, उचित प्राधिकारी के पास शिकायत दर्ज कराने का अधिकार, नामित करने का अधिकार और साथ ही डेटा प्रिंसिपल के कर्तव्यों का भी प्रावधान है, जैसे कि इस अधिनियम या किसी अन्य कानून के प्रावधानों से संबंधित किसी भी तरह का धोखाधड़ी या कानूनी गलती न करना।
2. अपवाद: हालांकि, यह समझना भी महत्वपूर्ण है कि भारतीय नागरिकों के डिजिटल डाटा की सुरक्षा के लिए इस अधिनियम के तहत प्रदान किए गए अधिकार पूर्ण नहीं हैं और धारा 17 के अनुसार, निश्चित रूप से कुछ अपवाद हैं, जैसे:

• किसी भी न्यायालय या न्यायाधिकरण द्वारा व्यक्तिगत डाटा का प्रसंस्करण वैध है। 
• किसी दिवालिया (बैंक्रप्ट) व्यक्ति की संपत्ति और देनदारियां तय करने के लिए उसके व्यक्तिगत डाटा का प्रसंस्करण।

केंद्र सरकार को अधिनियम के तहत नागरिकों के डिजिटल व्यक्तिगत डाटा के संश्लेषण के संबंध में किसी भी दायित्व से लगभग छूट दी गई है और वह अनुसंधान और विकास के नाम पर ऐसे डाटा का उपयोग करने के लिए स्वतंत्र है। इसे अधिनियम के कार्यान्वयन के पांच वर्षों के भीतर इस अधिनियम के किसी भी प्रावधान को डाटा प्रत्ययी के किसी भी वर्ग पर लागू करने का निर्णय लेने का भी अधिकार है।

1. भारतीय डाटा संरक्षण बोर्ड और अपीलीय न्यायाधिकरण: समिति का शाश्वत उत्तराधिकार होगा और सदस्यों को पुनः नियुक्त किया जा सकता है; और वे सद्भावना में की गई किसी भी कार्रवाई के लिए भी सुरक्षित हैं। समिति को सूचना सुरक्षा के किसी भी उल्लंघन की जांच करने का अधिकार है, वह किसी भी सुधारात्मक कार्रवाई का निर्देश दे सकता है, गलत काम करने वाले पर जुर्माना लगा सकता है और कार्यवाही संचालित करने के लिए उसके पास सिविल न्यायालय के समान शक्तियां भी हैं। और साथ ही, डाटा संरक्षण समिति द्वारा पारित किसी भी आदेश के खिलाफ न्यायाधिकरण में अपील करने का भी प्रावधान है।
2. सज़ा: नागरिकों की डिजिटल व्यक्तिगत जानकारी की सुरक्षा के कार्य को भारतीय संसद ने बहुत गंभीरता से लिया है, जिसने निजता के अधिकार के उल्लंघन के लिए कड़े दंड का प्रावधान किया है।  उदाहरण के लिए, यदि कोई डाटा प्रत्ययी अधिनियम के अनुसार अपने दायित्वों का उल्लंघन करता है, तो वह  250 करोड रुपये के जुर्माने के लिए उत्तरदायी होगा।।

कुछ और महत्वपूर्ण विशेषताएं:

• अधिनियम बाल व्यवहार की निगरानी और लक्षित विज्ञापन पर प्रतिबंध लगाता है।
• वैकल्पिक विवाद समाधान (एडीआर) प्रणाली की मदद से शिकायतों का समाधान किया जा सकता है।
• डिजिटल रूप से कार्य करने वाले सभी क्षेत्र और व्यावसायिक खंड इस अधिनियम के दायरे में हैं।

अधिनियम को लागू करने के पीछे का उद्देश्य स्वस्थ सामाजिक-आर्थिक विकास के लिए लोगों की गोपनीयता की सुरक्षा से संबंधित मुद्दों को संबोधित करना था। हालांकि, वर्तमान डिजिटल व्यक्तिगत डाटा संरक्षण अधिनियम, 2023, कुछ चिंताओं को दर्शाता है जिन्हें निकट भविष्य में संबोधित करने की आवश्यकता है। आइए अधिनियम के प्रावधानों से संबंधित कुछ प्रमुख चिंताओं को समझने का प्रयास करें।

चिंताओं

1. राज्य की असीमित शक्ति और शून्य दायित्व: केंद्र सरकार के पास अधिनियम के विभिन्न प्रावधानों के कार्यान्वयन की तारीखें तय करने की शक्ति है। राज्य के पास भारत की संप्रभुता और अखंडता के हित में नागरिकों की व्यक्तिगत डिजिटल जानकारी का उपयोग करने की भी शक्ति है, जिसका सरकारी एजेंसियां ​​राष्ट्रीय सुरक्षा के नाम पर दुरुपयोग कर सकती हैं। इसी प्रकार, धारा 40, धारा 42 और 43 क्रमशः केंद्र सरकार को विभिन्न प्रावधानों से संबंधित नियम बनाने की शक्ति, अनुसूची में संशोधन करने की शक्ति और अधिनियम के व्यावहारिक कार्यान्वयन में आने वाली कठिनाइयों को दूर करने की शक्ति देती है, जिसका बड़ी सार्वजनिक जानकारी को नियंत्रित करके राजनीतिक लाभ के लिए दुरुपयोग किया जा सकता है।

साथ ही, केंद्र सरकार को बिना कोई कारण बताए महत्वपूर्ण डाटा प्रत्ययी को विनियमित करने और छूट देने की शक्ति दी गई है। इसी तरह, केंद्र सरकार अपनी इच्छानुसार डाटा संरक्षण समिति के सदस्यों की नियुक्ति और पुनर्नियुक्ति कर सकती है।

2. बच्चे की परिभाषा: अधिनियम के अनुसार 18 वर्ष से कम आयु के व्यक्ति को बच्चा माना जाता है। लेकिन यह देखना जरूरी है कि जब निजी जानकारी की सुरक्षा की बात आती है तो क्या उस उम्र के किसी व्यक्ति का वास्तव में ध्यान रखने की ज़रूरत है।

3. प्रयोज्यता: यह अधिनियम डिजिटल डाटा और गैर-डिजिटल जिसे बाद में डिजिटल किया जाता है, उस पर लागू होता है । लेकिन किसी व्यक्ति को यह कैसे पता चलेगा कि उसने हार्ड कॉपी के रूप में फॉर्म भरकर जो जानकारी प्रदान की है, वह डाटा प्रत्ययी द्वारा डिजिटाइज़ की गई है या डिजिटाइज़ नहीं की गई है? यदि उसे इसकी जानकारी नहीं होगी तो वह अधिनियम के अनुसार अपने अन्य अधिकारों का प्रयोग कैसे करेगा। साथ ही, गैर-डिजिटल रूप में प्रस्तुत किसी भी डाटा के लिए कोई प्रावधान नहीं है।

4. अंतर्राष्ट्रीय दिशा निर्देश: यह अधिनियम “संवेदनशील व्यक्तिगत डाटा” और “डाटा के गुमनामीकरण” से संबंधित प्रावधानों को शामिल करने के लिए अंतरराष्ट्रीय दिशानिर्देशों और यहां तक ​​कि पिछले मसौदे के प्रावधानों का पालन करने में विफल रहा। 

5. भारतीय डाटा संरक्षण समिति: भारतीय डाटा संरक्षण समिति के सबसे स्वतंत्र और शक्तिशाली संस्थानों में से एक होने की उम्मीद है क्योंकि यह पूरे देश की गोपनीयता की रक्षा करता है। दुर्भाग्य से, यह पूरी तरह से केंद्र सरकार द्वारा नियंत्रित है। 

साथ ही, इसकी एक शाश्वत प्रकृति है और सदस्यों की पुनर्नियुक्ति की अनुमति है, जिसके परिणामस्वरूप भ्रष्टाचार और अनैतिक आचरण होंगे।

6.अपराधों का वर्गीकरण: अधिनियम विभिन्न प्रकार के ऑनलाइन अपराधों और इनकी की सीमा को वर्गीकृत करने में विफल रहा। उदाहरण के लिए, एक डाटा प्रत्ययी वित्तीय लाभ के लिए डिजिटल व्यक्तिगत डाटा चुराता है और दूसरा डाटा प्रत्ययी अधिक गंभीर अपराध करने के लिए चोरी करता है। क्या उन्हें भी इसी तरह सजा दी जाएगी?

इस अधिनियम का भारतीय समाज, व्यापार और सरकारी प्रशासन पर प्रभाव

भारतीय समाज

भारतीय समाज पर प्रभाव:

• जागरूकता फैलाने की जरूरत : अधिनियम के प्रभावी क्रियान्वयन के लिए अन्य कानून की तरह ही लोगों की सक्रिय भागीदारी बेहद जरूरी है।
• अधिक सुरक्षा: अधिनियम के लागू होने पर, व्यक्ति अधिक सुरक्षित महसूस करेंगे क्योंकि उन्हें किसी भी ऑनलाइन प्लेटफ़ॉर्म पर अपना पसंदीदा कार्यक्रम देखते समय कोई अवांछित कॉल या अप्रत्याशित चमकते विज्ञापन नहीं मिलेंगे।
• अधिनियम के अनुसार अधिकारों का प्रयोग: वे किसी भी निजी व्यावसायिक इकाई से उनके व्यक्तिगत डाटा के बारे में पूछताछ कर सकते हैं और विवरण मांगने के लिए डाटा संरक्षण बोर्ड से शिकायत कर सकते हैं।

व्यापार

अधिनियम के तहत प्रमुख दायित्व व्यावसायिक संस्थाओं पर हैं। ऑनलाइन व्यवसायों के लिए अधिनियम के प्रावधानों का पालन करना एक चुनौतीपूर्ण कार्य होने जा रहा है। उन्हें सहमति प्रबंधन, डाटा प्रिंसिपलों के अधिकारों को पूरा करने और डाटा उल्लंघन अधिसूचना के लिए तंत्र विकसित करना होगा। उन्हें डाटा गोपनीयता प्रभाव आकलन और अंकेक्षण भी करना होगा। उन्हें डाटा इन्वेंट्री के लिए तैयारी करने, डिजिटल डाटा तक तीसरे पक्ष की पहुंच को सीमित करने की योजना बनाने और कुछ और तकनीकी सुरक्षा उपायों और प्रशिक्षण कार्यक्रमों को लागू करने की आवश्यकता होगी। इस पूरी प्रक्रिया से व्यवसाय में अतिरिक्त एकमुश्त लागत और आवर्ती (रीकरिंग) लागत जुड़ जाएगी। 

सरकार प्रशासन

सरकारी प्रशासन पर प्रभाव:

• रक्षक की भूमिका: राज्य डाटा गोपनीयता के प्रति बढ़ी हुई जिम्मेदारी के साथ डाटा के संरक्षक की भूमिका में प्रवेश करता है। अधिनियम के लागू होने के बाद, राज्य अन्य जिम्मेदारियों के साथ-साथ सूचना के उल्लंघन के लिए भी जवाबदेह होगा। इसे भारत के बाहर भी सूचना लेनदेन की निगरानी करनी होगी।
• विश्वसनीयता: चूंकि अधिनियम केंद्र सरकार को विशेष शक्तियां प्रदान करता है और अपने अधिकारियों को किसी भी प्रकार की सजा से छूट देता है, इसलिए यह राज्य का कर्तव्य बन जाता है कि वह किसी भी अनैतिक प्रथाओं से बचकर अपनी विश्वसनीयता साबित करे।
• दक्षता: ऑनलाइन डाटा लीक और धोखाधड़ी को रोकने के लिए राज्य को एक मजबूत डिजिटल बुनियादी ढांचा स्थापित करना होगा। चूँकि डाटा सुरक्षा निर्णय का एक नया क्षेत्र बनने जा रहा है, इसलिए डाटा संरक्षण समिति और संबंधित कार्यालयों को जनता की शिकायतों का अधिक कुशलता से जवाब देना चाहिए।

आम आदमी के लिए सावधानियां :

हालाँकि अधिनियम के कार्यान्वयन में कुछ समय लगेगा, लेकिन एक आम आदमी के लिए अधिनियम के अनुसार अपने अधिकारों और कर्तव्यों को समझना महत्वपूर्ण है। आइए एक काल्पनिक स्थिति पर चर्चा करें:

एक ग्राहक के रूप में, जब आप कार खरीदने के लिए किसी शोरूम में जाते हैं, तो आपसे एक आगंतुक (विजिटर) के रूप में एक फॉर्म भरने के लिए कहा जाएगा। यदि आप इसे भरना नहीं चाहते तो इसे अस्वीकार करना आपका अधिकार है। इससे यह सुनिश्चित हो जाएगा कि आपने अपनी जानकारी साझा करने के लिए सहमति दी है या नहीं। इसके अलावा, यदि आप वह फॉर्म भर रहे हैं, तो यह जानना आपका अधिकार है कि भविष्य में इसका उपयोग किस उद्देश्य के लिए और कब तक किया जाएगा। साथ ही, सुनिश्चित करें कि आपको अपने व्यक्तिगत डाटा के उपयोग और अधिनियम के तहत अपने अधिकारों के बारे में व्यावसायिक इकाई, यानी डाटा प्रत्ययी से सारी जानकारी प्राप्त हो।

यह तब लागू होता है जब आप सर्वेक्षण, डाटा संग्रह, सुविधाएं प्रदान करने, आकर्षक ऑफर देने या किसी अन्य गतिविधि के नाम पर किसी व्यक्ति, प्रतिनिधि या व्यावसायिक समूह को अपनी व्यक्तिगत जानकारी प्रदान करते हैं।

निष्कर्ष

भारत अब उन देशों के समूह में शामिल हो गया है, जो अपने नागरिकों की निजता की सुरक्षा के लिए चिंता दिखाते हैं। अंतरराष्ट्रीय स्तर पर अधिकांश अधिनियमों द्वारा प्रदान किए गए महत्वपूर्ण दिशानिर्देशों का पालन करते हुए, भारत ने भी डाटा गोपनीयता पर कानून बनाकर अपना प्रगतिशील दृष्टिकोण व्यक्त किया है। हालांकि, यह अधिनियम केंद्र सरकार की भूमिका से संबंधित कुछ चिंताओं को दर्शाता है। हालांकि अधिनियम के प्रावधानों द्वारा निजी संस्थाओं पर अच्छी तरह से निगरानी रखी जाती है, लेकिन केंद्र सरकार इसके दायरे से लगभग बाहर रहती है। सरकारी अधिकारियों द्वारा किए गए गलत कार्यों पर अंकुश लगाने के लिए अधिनियम में कोई प्रावधान नहीं है। इसके विपरीत, उन्हें “सद्भावना में की गई कार्रवाई” के नाम पर किसी भी प्रकार की सजा से छूट दी गई है। इस प्रकार, यह स्पष्ट रूप से देखा जा सकता है कि अधिनियम ज्यादातर निजी संस्थाओं पर केंद्रित है और राज्य को अपनी इच्छानुसार व्यक्तियों के व्यक्तिगत डाटा को संभालने की खुली छूट देता है।

हालांकि वर्तमान में कई खामियां हैं, लेकिन कानून निर्माताओं ने भारत के नागरिकों के डिजिटल व्यक्तिगत डाटा संरक्षण के अंतिम उद्देश्य को पूरा करने के लिए किसी भी प्रावधान में संशोधन करने के लिए अधिनियम में एक प्रावधान भी बनाया है।

इसका जवाब समय देगा की,  राज्य इस अधिनियम को किस संभावित तरीके से और कितने समय के भीतर लागू करेगा? व्यावसायिक संस्थाएँ अधिनियम के लागू करने में एक कुशल ढाँचा कैसे स्थापित करेंगी? और सबसे महत्वपूर्ण बात यह है कि भारतीय जनता सभी प्रकार के डिजिटल मंचों पर अपने निजी डाटा की सुरक्षा के लिए अपने अधिकारों और कर्तव्यों का प्रयोग कैसे करेगी? 

संदर्भ

• https:// Indiankanoon.org/
• https://www.meity.gov.in/
• https://www.legislation.gov.uk/
• https://personalinformationprotectionlaw.com/
• https://sso.agc.gov.sg/Act
• https://www.apec.org/docs/
• https://cppa.ca.gov/regulations
• https://gdpr-info.eu/
• https://unctad.org/page/data-protection-and-privacy-legislation-worldwide