शासन व्यवस्था
व्यापक डेटा संरक्षण कानूनों की आवश्यकता
यह एडिटोरियल 01/06/2023 को ‘हिंदू बिज़नेसलाइन’ में प्रकाशित ‘‘Ignore GDPR at your own peril’’ लेख पर आधारित है। इसमें वैश्विक स्तर पर और भारत में डेटा संरक्षण कानूनों की स्थिति के बारे में चर्चा की गई है।
प्रिलिम्स:सामान्य डेटा संरक्षण विनियमन, डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक, IT अधिनियम। मेन्स:भारत का डिजिटल डेटा गवर्नेंस, इसकी चुनौतियाँ और आगे की राह |
डिजिटल युग में व्यक्तिगत डेटा का व्यापक संग्रहण एवं प्रसंस्करण डिजिटल पारिस्थितिकी तंत्र के अंदर संचार एवं लेनदेन का आधार बन गया है। हालाँकि डिजिटल प्रौद्योगिकियों के दुरुपयोग की संभावना ने व्यक्तिगत डेटा की सुरक्षा के संबंध में चिंताओं को भी जन्म दिया है। यूरोपीय संघ (EU) का सामान्य डेटा संरक्षण विनियमन (General Data Protection Regulation- GDPR), प्रभावी डेटा सुरक्षा ढाँचे का एक प्रमुख उदाहरण है।
भारत भी डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक (Digital Personal Data Protection Bill), सूचना प्रौद्योगिकी अधिनियम, 2000 (Information Technology Act- IT Act) जैसी पहलों के माध्यम से अपने डेटा संबंधी शासन (Data Governance) को सुदृढ़ करने का प्रयास कर रहा है। भारत में डिजिटल इंडिया अधिनियम के द्वारा आईटी अधिनियम, 2000 को प्रतिस्थापित करना भी प्रस्तावित है।
डेटा शासन के संबंध में वैश्विक विनियमन:
- यूरोपीय संघ (EU) का सामान्य डेटा संरक्षण विनियमन (GDPR):
- GDPR व्यक्तिगत डेटा के प्रसंस्करण हेतु एक व्यापक डेटा संरक्षण कानून पर केंद्रित है।
- यूरोपीय संघ में निजता या गोपनीयता का अधिकार (right to privacy) मौलिक अधिकार के रूप में स्थापित है, जो व्यक्ति की गरिमा और उसके द्वारा सृजित डेटा पर उसके अधिकार का संरक्षण करने पर लक्षित है।
- GDPR द्वारा लगाए गए जुर्माना या अर्थदंड ने विश्व भर के संगठनों को इस संबंध में अनुपालन को प्राथमिकता देने के लिये प्रेरित किया है। इस क्रम में गूगल, व्हाट्सएप, ब्रिटिश एयरवेज़ और मैरियट सहित कई बड़ी कंपनियों पर पर्याप्त जुर्माना लगाया गया है।
- इसके अलावा तीसरे विश्व के देशों पर डेटा ट्रांसफर के संबंध में GDPR के सख्त मानदंडों के कारण यूरोपीय संघ से परे भी डेटा सुरक्षा ढाँचे का प्रभाव पड़ा है।
- संयुक्त राज्य अमेरिका में डेटा शासन:
- अमेरिका में निजता के अधिकारों या सिद्धांतों का कोई व्यापक सेट मौजूद नहीं है जो यूरोपीय संघ के GDPR की तरह डेटा के उपयोग, संग्रहण एवं प्रकटीकरण को संबोधित करता हो।
- इसके बजाय यहाँ सीमित स्तर पर क्षेत्र-विशिष्ट विनियमन मौजूद हैं। इसके साथ ही डेटा सुरक्षा के संबंध में सार्वजनिक और निजी क्षेत्रों के प्रति भिन्न-भिन्न दृष्टिकोण अपनाया गया है।
- यहाँ व्यक्तिगत सूचना के संबंध में सरकार की गतिविधियों एवं शक्तियों को अच्छी तरह से परिभाषित किया गया है और इन्हें निजता अधिनियम, इलेक्ट्रॉनिक संचार गोपनीयता अधिनियम जैसे व्यापक कानूनों द्वारा संबोधित किया गया है।
- इसके साथ ही निजी क्षेत्र के लिये कुछ क्षेत्र-विशिष्ट मानदंड तय किये गए हैं।
- चीन में डेटा शासन:
- डेटा गोपनीयता और सुरक्षा पर पिछले 2 वर्षों में जारी किये गए चीन के नवीन कानूनों में व्यक्तिगत सूचना संरक्षण कानून (Personal Information Protection Law- PIPL) शामिल है, जो नवंबर 2021 में लागू हुआ था।
- इससे चीन में डेटा सिद्धांतों (data principals) से संबंधित विशेष अधिकार प्राप्त हुए हैं जिससे व्यक्तिगत डेटा के दुरुपयोग को रोकने का प्रयास किया गया है।
- सितंबर 2021 में लागू हुए डेटा सुरक्षा कानून (Data Security Law- DSL) द्वारा व्यावसायिक डेटा के महत्त्व के स्तरों के आधार पर डेटा को वर्गीकृत करना आवश्यक बनाया गया है तथा सीमा-पार स्थानांतरण पर नए प्रतिबंध लागू किये गए हैं।
- डेटा गोपनीयता और सुरक्षा पर पिछले 2 वर्षों में जारी किये गए चीन के नवीन कानूनों में व्यक्तिगत सूचना संरक्षण कानून (Personal Information Protection Law- PIPL) शामिल है, जो नवंबर 2021 में लागू हुआ था।
भारत में डेटा शासन से संबंधित प्रावधान
- आईटी संशोधन अधिनियम, 2008:
- आईटी (संशोधन) अधिनियम, 2008 के तहत भारत में कुछ गोपनीयता संबंधी प्रावधान किये गए हैं।
- हालाँकि ये प्रावधान व्यापक रूप से कुछ स्थितियों के लिये विशिष्ट हैं, जैसे कि मीडिया मंचों पर किशोरों और बलात्कार पीड़ितों के नाम प्रकाशित करने पर प्रतिबंध आरोपित करना।
- जस्टिस के.एस. पुट्टास्वामी (सेवानिवृत्त) बनाम भारत संघ, 2017:
- इस मामले में सर्वोच्च न्यायालय की नौ-न्यायाधीशों की पीठ ने सर्वसम्मति से निर्णय दिया कि भारतीयों को संवैधानिक रूप से संरक्षित निजता का मौलिक अधिकार प्राप्त है जो अनुच्छेद 21 में उपबंधित प्राण एवं दैहिक स्वतंत्रता का अंतर्निहित अंग है।
- बी.एन. श्रीकृष्ण समिति 2017:
- सरकार ने अगस्त 2017 में न्यायमूर्ति बी.एन. श्रीकृष्ण की अध्यक्षता में डेटा संरक्षण के लिये विशेषज्ञों की एक समिति गठित की थी, जिसने जुलाई 2018 में डेटा संरक्षण विधेयक के मसौदे के साथ अपनी रिपोर्ट प्रस्तुत की।
- इस रिपोर्ट में भारत में निजता कानून को सुदृढ़ करने के लिये अनुशंसाओं की एक विस्तृत शृंखला प्रस्तुत की गई थी, जिसमें डेटा के प्रसंस्करण एवं संग्रहण पर प्रतिबंध लगाना, डेटा संरक्षण प्राधिकरण की स्थापना करना, भूल जाने का अधिकार (right to be forgotten), डेटा स्थानीयकरण आदि पहलुओं को शामिल किया गया था।
- सूचना प्रौद्योगिकी (मध्यवर्ती दिशानिर्देश और डिजिटल मीडिया आचार संहिता) नियम, 2021:
- आईटी नियम (2021) के द्वारा सोशल मीडिया प्लेटफॉर्म को अपने प्लेटफॉर्म पर कंटेंट के संबंध में वृहत तत्परता रखने हेतु बाध्य किया गया है।
- डिजिटल व्यक्तिगत डेटा संरक्षण विधेयक (Digital Personal Data Protection Bill):
- यह विधेयक भारत के अंदर डिजिटल व्यक्तिगत डेटा के प्रसंस्करण पर ऐसी स्थिति में लागू होगा जहाँ इस तरह के डेटा को ऑनलाइन एकत्र किया जाता है अथवा ऑफ़लाइन एकत्र कर डिजिटाइज़ किया जाता है। यह भारत के बाहर ऐसे प्रसंस्करण पर भी लागू होगा जो भारत में वस्तुओं या सेवाओं की पेशकश या भारतीय व्यक्तियों की प्रोफ़ाइलिंग पर लक्षित हो।
- इसके तहत व्यक्तिगत डेटा को केवल वैध उद्देश्य के लिये प्रसंस्करित/संसाधित किया जा सकता है जिसके लिये व्यक्ति की सहमति प्राप्त हो। कुछ मामलों में माना जा सकता है कि सहमति प्राप्त है।
- डेटा फिड्यूशरी (Data fiduciaries) डेटा की परिशुद्धता बनाए रखने, डेटा को सुरक्षित रखने और उद्देश्य पूरा होने के बाद डेटा की समाप्ति करने के लिये उत्तरदायी होंगे।
- ‘डेटा फिड्यूशरी’ को ऐसे व्यक्ति के रूप में परिभाषित किया गया है जो अकेले या अन्य व्यक्तियों के साथ मिलकर व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्य और साधनों को निर्धारित करता है।
- यह विधेयक व्यक्तियों को कुछ अधिकार प्रदान करता है जिसमें सूचना प्राप्त करने, सूचना में सुधार करने एवं इसे मिटाने की मांग करने और शिकायत निवारण के अधिकार शामिल हैं।
- केंद्र सरकार राज्य की सुरक्षा, लोक व्यवस्था और अपराधों की रोकथाम जैसे निर्दिष्ट आधारों के हित में विधेयक के प्रावधानों के अनुप्रयोग से सरकारी एजेंसियों को छूट दे सकती है।
- केंद्र सरकार विधेयक के प्रावधानों का पालन न करने के संबंध में निर्णय लेने हेतु भारतीय डेटा संरक्षण बोर्ड (Data Protection Board of India) की स्थापना करेगी।
- आईटी अधिनियम, 2000 को डिजिटल इंडिया अधिनियम, 2023 से प्रस्थापित करने का प्रस्ताव:
- आईटी अधिनियम मूल रूप से केवल ई-कॉमर्स लेनदेन की सुरक्षा करने और साइबर अपराध को परिभाषित करने के लिये डिज़ाइन किया गया था। यह वर्तमान में साइबर सुरक्षा परिदृश्य की जटिलताओं से पर्याप्त रूप से निपटने और डेटा गोपनीयता अधिकारों से संबंधित समस्याओं को हल करने में सक्षम नहीं है।
- नया ‘डिजिटल इंडिया अधिनियम’ अधिक नवाचारी, अधिक स्टार्ट-अप्स को सक्षम करने और साथ ही सुरक्षा, विश्वास एवं जवाबदेही के संदर्भ में भारत के नागरिकों की रक्षा करने के रूप में भारतीय अर्थव्यवस्था के लिये उत्प्रेरक के रूप में कार्य करने पर केंद्रित है।
भारत में डेटा शासन से संबद्ध चुनौतियाँ:
- अपर्याप्त जागरूकता:
- भारत में डेटा सुरक्षा सुनिश्चित करने की राह में प्राथमिक बाधाओं में से एक यह है कि डेटा सुरक्षा के महत्त्व और डेटा उल्लंघनों से जुड़े संभावित जोखिमों के बारे में व्यक्तियों एवं संगठनों के बीच समझ सीमित है। नतीजतन, व्यक्तियों को अपने व्यक्तिगत डेटा की सुरक्षा के लिये आवश्यक सावधानी बरतने में कठिनाई हो सकती है।
- प्रवर्तन तंत्र का कमज़ोर होना:
- भारत में डेटा संरक्षण से संबंधित मौजूदा कानूनी ढाँचे के प्रवर्तन के लिये सुदृढ़ तंत्र का अभाव है। यह अभाव डेटा उल्लंघनों और डेटा सुरक्षा नियमों का पालन न करने के संबंध में संगठनों को जवाबदेह ठहराना कठिन बना देता है।
- मानकीकरण का अभाव:
- भारत में डेटा संरक्षण नियमों के कार्यान्वयन एवं प्रवर्तन में एक प्रमुख बाधा यह है कि विभिन्न संगठनों के बीच इस संबंध में मानकीकरण का अभाव है। डेटा सुरक्षा प्रोटोकॉल में एकरूपता की कमी से इसके अनुपालन प्रयासों के समक्ष चुनौतियाँ उत्पन्न होती हैं।
- संवेदनशील डेटा के लिये अपर्याप्त सुरक्षा उपाय:
- भारत में मौजूदा डेटा सुरक्षा ढाँचा स्वास्थ्य डेटा एवं बायोमेट्रिक डेटा जैसे संवेदनशील डेटा के लिये पर्याप्त सुरक्षा उपाय करने में विफल रहता है। चूँकि संगठनों द्वारा इस प्रकार के डेटा के संग्रहण में वृद्धि हो रही है इसीलिये पर्याप्त सुरक्षा उपायों की कमी चिंता का विषय है।
आगे की राह:
- रोल मॉडल के रूप में सरकार: एक डेटा फिड्यूशरी और प्रोसेसर के रूप में अपनी महत्त्वपूर्ण भूमिका को देखते हुए सरकार को चाहिये कि डेटा सुरक्षा को प्राथमिकता देने के संदर्भ में रोल मॉडल के रूप में कार्य करे।
- प्रभावी शासन सुनिश्चित करने के क्रम में संसदीय या न्यायिक निरीक्षण के साथ एक स्वतंत्र एवं सशक्त डेटा संरक्षण बोर्ड की स्थापना किया जाना महत्त्वपूर्ण है।
- इस संदर्भ में नवाचार और विनियमन को संतुलित करना महत्त्वपूर्ण है। व्यक्तिगत डेटा की सुरक्षा के लिये कड़े नियम आवश्यक हैं लेकिन अत्यधिक निर्देशात्मक एवं प्रतिबंधात्मक मानदंड नवाचार को रोक सकते हैं और सीमा-पार डेटा प्रवाह को बाधित कर सकते हैं। व्यक्तिगत डेटा की प्रभावी ढंग से रक्षा करते हुए नवाचार को बढ़ावा देने के लिये सही संतुलन बनाये रखना आवश्यक है।
- एक सुदृढ़ डेटा संरक्षण कानून डिजिटल शासन के व्यापक ढाँचे का केवल एक पहलू है। व्यापक विनियमन सुनिश्चित करने के लिये साइबर सुरक्षा, प्रतिस्पर्द्धा, आर्टिफिशियल इंटेलिजेंस (AI) और अन्य प्रासंगिक क्षेत्रों पर भी ध्यान दिया जाना चाहिये। यूरोपीय संघ का दृष्टिकोण, जिसमें उसने डेटा अधिनियम, डिजिटल सेवा अधिनियम, डिजिटल बाज़ार अधिनियम और AI अधिनियम जैसे अतिरिक्त पहलुओं को भी शामिल किया है, हमारे लिये भी मूल्यवान अंतर्दृष्टि प्रदान कर सकता है।
अभ्यास प्रश्न: भारत में सुदृढ़ डेटा शासन को लागू करने में विद्यमान चुनौतियों पर प्रकाश डालते हुए देश में डेटा सुरक्षा बढ़ाने के लिये आवश्यक रणनीतियों का सुझाव दीजिये।
UPSC सिविल सेवा परीक्षा, विगत वर्ष के प्रश्न (PYQs)प्रश्न. भारत के संविधान के किस अनुच्छेद के तहत 'निजता का अधिकार' संरक्षित है? (2021) (a) अनुच्छेद 15 उत्तर:C व्याख्या:
अतः विकल्प (c) सही उत्तर है। प्रश्न. निजता के अधिकार को जीवन और व्यक्तिगत स्वतंत्रता के अधिकार के आंतरिक भाग के रूप में संरक्षित किया जाता है। भारत के संविधान में निम्नलिखित में से किससे उपर्युक्त कथन सही एवं समुचित ढंग से अर्थित होता है? (2018) (a) अनुच्छेद 14 और संविधान के 42वें संशोधन के तहत प्रावधान। उत्तर: (c) व्याख्या:
अतः विकल्प (c) सही उत्तर है। मेन्स:प्रश्न. निजता के अधिकार पर सर्वोच्च न्यायालय के नवीनतम निर्णय के आलोक में मौलिक अधिकारों के विस्तार का परीक्षण कीजिये। (2017) |
