यह लेख दिल्ली विश्वविद्यालय के फैकल्टी ऑफ लॉ के छात्र Parul Bhati और Aditya Gupta द्वारा लिखा गया है। इस लेख में व्यक्तिगत डेटा संरक्षण विधेयक (पर्सनल डाटा प्रोटेक्शन बिल), 2019 के तहत प्राइवेसी के अधिकार को मौलिक (फंडामेंटल) बनाने के बारे में चर्चा की गई है। इसका अनुवाद Sakshi Kumari द्वारा किया गया है जो फेयरफील्ड इंस्टीट्यूट ऑफ मैनेजमेंट एंड टेक्नोलॉजी से बीए एलएलबी कर रही है।
Table of Contents
परिचय (इंट्रोडक्शन)
3 साल से अधिक समय पहले 24 अगस्त 2017 को, सुप्रीम कोर्ट की 9 जजों की बेंच ने जस्टिस के.एस. पुट्टस्वामी बनाम यूनियन ऑफ इंडिया, इस बात की पुष्टि (एफिर्मिंग) करते हुए कि भारत का संविधान प्रत्येक व्यक्ति को प्राइवेसी के मौलिक अधिकार (फंडामेंटल राइट) की गारंटी देता है। 2021 तक तेजी से आगे बढ़ते हुए, भारत ने एक घातक वैश्विक महामारी (डेडली ग्लोबल पैंडेमिक), प्राइवेसी भंग होने के मामलों की अधिकता, डेटा सुरक्षा को लेकर लोकप्रिय मोबाइल ऐप पर मैराथन प्रतिबंध और कैम्ब्रिज एनालिटिका और पेगासस स्पाइवेयर जैसे कुछ हाई-प्रोफाइल अनधिकृत डेटा कटाई घोटालों को देखा है। यह सब हमें एक मौलिक प्रश्न पर लाता है: क्या प्राइवेसी का अधिकार वास्तव में एक मौलिक अधिकार है? क्या व्यक्ति अपने डेटा का वास्तविक स्वामी है?
डेटा नया ईंधन है (डेटा इस द न्यू ऑयल)
डिजिटल युग में जहां डेटा को नया ईंधन माना जाता है, यह कॉर्पोरेट्स, राजनीतिक दलों या स्वतंत्र संगठनों (इंडिपेंडेंट ऑर्गनाइजेशन) के लिए उपयोगकर्ताओं, मतदाताओं या सामान्य रूप से जनता के बेहतर टारगेट के माध्यम से अपने एजेंडे को आगे बढ़ाने के लिए काफी आकर्षक है। इसमें विभिन्न प्लेटफार्मों के माध्यम से डेटा का व्यापक संग्रह शामिल है और फिर इसे उपयोग करने योग्य बनाने के लिए डेटा को संसाधित (प्रोसेसिंग) और प्रोफाइल करना शामिल है, जैसे ईंधन को बिजली मशीनों में परिष्कृत (रिफाइन) किया जाता है।
जीडीपीआर और इसका डोमिनो प्रभाव
भारत हमेशा डेटा चोरी और इसके गैर कानूनी उपयोग के लिए प्रवृत्त (प्रोन) रहा है; इसका कारण इसके कमजोर डेटा संरक्षण मानदंडों (नॉर्म्स) और नियामक प्राधिकरण (रेगुलेटरी अथॉरिटी) की अनुपस्थिति को जिम्मेदार ठहराया जा रहा है। हालाँकि, हाल ही में यूरोपीय संघ द्वारा परिभाषित जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) मानदंडों ने दुनिया के अन्य देशों पर एक डोमिनो प्रभाव (इसका अर्थ यह होता है की किसी भी एक कड़ी पर प्रभाव डालने से पूरी चैन पर प्रभाव पड़ता है या इसे चैन प्रभाव भी कह सकते है) डाला है, जो डिजिटल सेवाओं पर निर्भर है, और अपने नागरिकों के डेटा को बाहरी खतरों से सुरक्षित रखने में रुचि रखते हैं। महामारी के दौरान भी, कई देशों ने ब्राजील, न्यूजीलैंड, दक्षिण अफ्रीका, सिंगापुर और दुबई सहित अपने स्वयं के डेटा संरक्षण और प्राइवेसी (डेटा प्रोटेक्शन एंड प्राइवेसी) कानून पेश किए हैं। यह भी ध्यान देने योग्य है कि यूएनसीटीएडी के अनुसार, दुनिया के लगभग 10% देशों में वर्तमान में इस मुद्दे पर कम से कम एक मसौदा (ड्राफ्ट) कानून है।
विधान की आवश्यकता (नीड फॉर द लेजिस्लेशन)
भारत वर्तमान में सूचना प्रौद्योगिकी अधिनियम, 2000 (इनफॉर्मेंशन एंड टेक्नोलॉजी एक्ट, 2000) द्वारा विनियमित (रेग्यूलेट) किया जाता है और अधिनियम के तहत वर्तमान नियम अनैतिक व्यक्तिगत डेटा प्रसंस्करण (प्रोसेसिंग) के खिलाफ एक प्रभावी कवच प्रदान नहीं करते हैं, पहला डेटा न्यासी (फ़िड्यूशरी) पर कोई प्रतिबंध नहीं होने के कारण, और दूसरा, यहां तक कि सीमित रहने वाले मामलों में भी, अनुबंध के माध्यम से आसानी से भंग किया जा सकता है।
व्यक्तिगत डेटा संरक्षण विधेयक, 2019 (द पर्सनल डेटा प्रोटेक्शन बिल, 2019)
भारत व्यक्तिगत डेटा संरक्षण विधेयक के अद्यतन संस्करण (अपडेटेड वर्जन) को अपनाने के लिए तैयार है, जिसे सुप्रीम कोर्ट के रिटायर्ड न्यायाधीश न्यायमूर्ति बी.एन. श्री कृष्ण की कमिटी द्वारा तैयार किया गया जो की जस्टिस पुट्टस्वामी दिए गए जजमेंट के तहत बनाया गया था। बिल 11 दिसंबर 2019 को रविशंकर प्रसाद (इलेक्ट्रॉनिक्स और सूचना मंत्री) द्वारा संसद में प्रस्तावित किया गया था और बाद में संसद मीनाक्षी लेखी के तहत एक संयुक्त संसदीय समिति (जॉइंट पार्लियामेंट्री कमिटी) को भेजा गया था। बजट सत्र में शुरू होने वाले अद्यतन (डेब्यू) अधिनियम में 89 संशोधन (अमेंडमेंट) और बिल में एक नया खंड (क्लॉज) शामिल है।
विधेयक के उल्लेखनीय प्रावधान (नोटेबल प्रोविजंस ऑफ द बिल)
डेटा स्थानीयकरण को अनिवार्य करके और डेटा न्यासी (जिसमें सरकार, विदेशी कंपनी और सोशल मीडिया प्लेटफॉर्म सहित कंपनियां शामिल हैं) पर उचित जांच सुनिश्चित करने के माध्यम से विदेशी-आधारित कंपनियों की सेवाओं का उपयोग करने वाले लाखों भारतीय नागरिकों के व्यक्तिगत डेटा को सुरक्षित करने के लिए विधेयक की मांग की गई है। इसके उपयोगकर्ताओं का डेटा प्रस्तावित कानून डेटा को 3 श्रेणियों में विभाजित करता है: महत्वपूर्ण (रक्षा और खुफिया सेवाओं से संबंधित डेटा के साथ-साथ वीज़ा और मास्टरकार्ड जैसी विदेशी बैंकिंग सेवाओं से भुगतान डेटा शामिल है), संवेदनशील (व्यक्तियों का स्वास्थ्य, धर्म, राजनीतिक अभिविन्यास (ओरिएंटेशन), बायोमेट्रिक्स, आनुवंशिकी (जेनेटिक्स), यौन अभिविन्यास और वित्तीय डेटा से संबंधित है) और व्यक्तिगत।
जबकि कानून भारत के बाहर महत्वपूर्ण डेटा के साझाकरण (शेयरिंग) और प्रसंस्करण (प्रोसेसिंग) को प्रतिबंधित करता है, यह संवेदनशील (सेंसिटिव) डेटा के मामले में डेटा प्रोसेसिंग पर सीमाएं लगाता है, जिसके लिए उपयोगकर्ता की सहमति की आवश्यकता होती है।
विधेयक में विधेयक की धारा 41(1) के तहत डेटा संरक्षण प्राधिकरण (डेटा प्रोटेक्शन अथॉरिटी) की स्थापना का भी प्रस्ताव है, जो सरकार द्वारा नियुक्त किया जाने वाला सर्वोच्च नियामक निकाय (सुप्रीम रेगुलेटरी बॉडी) है जो डेटा न्यासियों द्वारा कानून का अनुपालन सुनिश्चित करेगा। प्राधिकरण “डेटा स्थानीयकरण” पर भी जोर देगा, जो भारतीयों के डेटा को भारत में संग्रहीत करने के लिए अनिवार्य करता है। हालांकि यह डेटा प्रोसेसर द्वारा प्रसंस्करण (महत्वपूर्ण व्यक्तिगत डेटा को छोड़कर) के लिए भारत से बाहर जा सकता है। बिल डेटा प्रिंसिपल को किसी भी व्यक्तिगत डेटा को सही करने और मिटाने का अवसर देता है।
यह भी अनिवार्य करता है कि व्यक्तिगत डेटा को उद्देश्य की सीमा तक साझा किया जाना चाहिए और निगरानी केवल उन विशिष्ट उद्देश्यों के लिए की जानी चाहिए जिनके लिए यह अधिकृत है।
डेटा प्रोसेसिंग क्लॉज के अपवाद (एक्सेप्शन टू डेटा प्रोसेसिंग क्लॉज)
कानून उन उदाहरणों की पहचान करता है जहां डेटा को बिना किसी प्रतिबंध के एक्सेस किया जा सकता है:
- व्यक्तियों को राज्य सेवाओं का लाभ पहुंचाने के लिए,
- व्यक्तियों के खिलाफ कानूनी कार्रवाई करने के लिए, और
- चिकित्सा आपात स्थिति के मामलों में।
यह प्रावधान राज्य की जांच एजेंसियों और आवश्यक सुरक्षा उपायों वाले खोजी पत्रकारों (इन्वेस्टिगेटिव जर्नलिस्ट) पर भी लागू नहीं होंगे।
सरकार राष्ट्रीय सुरक्षा और सार्वजनिक व्यवस्था के लिए और अपनी सेवाओं में सुधार के लिए किसी भी समय (धारा 35) डेटा न्यासी से गैर-व्यक्तिगत डेटा मांग सकती है।
विधेयक में “डेटा संप्रभुता (डेटा सोवर्निटी)” का विचार भी शामिल है जो सरकार को महत्वपूर्ण डेटा तक पहुंचने का अधिकार देता है जब वह संतुष्ट हो जाता है कि यह भारत की संप्रभुता और अखंडता के हित में है या भारतीय दंड संहिता (इंडियन पीनल कोड) की धारा 2 में निर्धारित किसी भी संज्ञेय अपराध (कॉग्निजेबल ऑफेंस) को रोकने के लिए है।
विधेयक के बारे में विवाद (कंटेंशंस अबाउट द बिल)
यह अधिनियम भारत के डेटा संरक्षण कानूनों को यूरोपीय नियमों के अनुरूप रखने के लिए तैयार है। हालांकि, यह अपने कामकाज और इसमें सरकार की भूमिका के खिलाफ कई तर्क देने में विफल नहीं हुआ है।
सबसे पहले, डेटा संरक्षण बिल यूरोपीय संघ द्वारा निर्धारित जीडीपीआर मानदंडों की तुलना में बहुत अधिक कठोरता के साथ खड़ा है, केंद्र को डीपीए और निर्णायक अधिकारियों (एडज्यूडिकेटिंग ऑफिसर्स) की नियुक्ति के संबंध में व्यापक अधिकार प्रदान करता है। इसमें कई ग्रे क्षेत्र और अपरिभाषित शब्द भी हैं जैसे “भारत की संप्रभुता और अखंडता के हित”, “सार्वजनिक व्यवस्था” जिसका संभावित रूप से “ऑरवेलियन राज्य” बनाने के लिए शोषण किया जा सकता है जैसा कि न्यायमूर्ति बी.एन. श्री कृष्ण द्वारा चेतावनी दी गई थी।
दूसरे, डेटा प्रिंसिपल को पहले डेटा न्यासी से शिकायत करनी होती है और अगर डेटा न्यासी संतुष्ट है कि इस तरह के उल्लंघन से डीपीए को नुकसान होने की संभावना है, तो डीपीए को सूचित करना आवश्यक है। इसलिए, यह विधेयक डेटा न्यासियों और न्यायनिर्णायक अधिकारियों (एडज्यूडिकेटिंग ऑफिसर्स) को बहुत अधिक अधिकार देता है।
तीसरा, बिल डेटा प्रिंसिपल को धारा 20 के तहत “भूलने का अधिकार” के साथ सशक्त (एंपावर्स) बनाता है। हालांकि, यह साबित करने की जिम्मेदारी कि उनके व्यक्तिगत डेटा के निरंतर प्रकटीकरण (डिस्क्लोजर) को रोकने या प्रतिबंधित करने में उनका अधिकार या रुचि भाषण और अभिव्यक्ति की स्वतंत्रता के अधिकार से अधिक है और किसी अन्य नागरिक की सूचना का अधिकार भी देता है।
राय (ओपिनियन)
जैसा कि न्यायमूर्ति जे.एस. खेहर ने प्रसिद्ध आधार मामले में “सूचनात्मक प्राइवेसी प्राइवेसी के अधिकार का एक पहलू है”।
डेटा चोरी और विदेशी तत्वों और संगठनों द्वारा इसके दुरुपयोग की घटनाओं को ध्यान में रखते हुए, भारत को अपने नागरिकों के डेटा संरक्षण के क्षेत्र में सुधारों और कानूनों की सख्त जरूरत है। हालांकि, विधेयक को प्रक्रिया में सरकार के हस्तक्षेप को समान रूप से संतुलित करना चाहिए और सभी को जवाबदेह रखने के लिए उचित जांच और संतुलन बनाए रखना चाहिए। यह भी ध्यान रखना महत्वपूर्ण है कि यह कानून नहीं है बल्कि इसका कार्यान्वयन (इंप्लीटेशन) है जो गारंटी देता है कि यह अपने उद्देश्य को पूरा करता है।
जैसा कि सत्य नडेला ने वर्ल्ड इकोनॉमिक फोरम में “डेटा डिग्निटी” पर अपने भाषण में उद्धृत किया था, व्यक्तियों को अपने डेटा पर अधिक नियंत्रण और इसके द्वारा बनाए गए मूल्य में एक बड़ा हिस्सा होना चाहिए। यह नियत समय है कि डेटा प्रिंसिपल को उसके डेटा का एकमात्र स्वामित्व (ओनरशिप) दिया जाता है।
संदर्भ (रेफरेंसेस)
- https://unctad.org/page/data-protection-and-privacy-legislation-worldwide
- https://www.prsindia.org/sites/default/files/bill_files/Legislative%20Brief
