अल्पवयस्कों के लिये डेटा संरक्षण
यह एडिटोरियल 24/01/2023 को ‘द हिंदू’ में प्रकाशित “Needed, a new approach to data protection for minors” लेख पर आधारित है। इसमें बच्चों के संबंध में ड्राफ्ट डिजिटल व्यक्तिगत डेटा प्रोटेक्शन (DPDP) विधेयक, 2022 से जुड़े मुद्दों के बारे में चर्चा की गई है।
संदर्भ
भारत में अल्पवयस्कों के लिये डेटा संरक्षण अत्यंत महत्त्वपूर्ण है क्योंकि देश में बच्चों के बीच प्रौद्योगिकी और इंटरनेट के उपयोग में लगातार वृद्धि हो रही है। अधिकाधिक बच्चों की इंटरनेट तक पहुँच और उनके द्वारा डिजिटल उपकरणों के उपयोग में वृद्धि के साथ उनके लिये ऑनलाइन दुर्व्यवहार के विभिन्न रूपों, जैसे साइबरबुलिइंग, ग्रूमिंग और शोषण के संपर्क में आने का खतरा भी बढ़ता जा रहा है।
- ड्राफ्ट डिजिटल व्यक्तिगत डेटा प्रोटेक्शन (DPDP) विधेयक, 2022 एक प्रस्तावित विधेयक है जिसका उद्देश्य भारत में लोगों के व्यक्तिगत डेटा की सुरक्षा करना है। वर्तमान में यह बच्चों (18 वर्ष से कम आयु के किसी भी व्यक्ति के रूप में परिभाषित) द्वारा सभी डेटा प्रोसेसिंग गतिविधियों के लिये माता-पिता की अनिवार्य सहमति का उपबंध करता है।
- इसके अलावा, उपयुक्त सहमति के बिना अल्पवयस्कों के व्यक्तिगत डेटा का संग्रह एवं उपयोग गोपनीयता के उल्लंघन और संभावित हानि का भी कारण बन सकता है। इस परिदृश्य में भारत के लिये यह महत्त्वपूर्ण है कि वह अपने अल्पवयस्क नागरिकों के अधिकारों की रक्षा और भलाई के लिये सुदृढ़ डेटा सुरक्षा उपायों को लागू करे।
DPDP विधेयक, 2022 के प्रमुख प्रावधान
- डेटा प्रिंसिपल और डेटा फिड्यूशरी:
- डेटा प्रिंसिपल (Data Principal) उस व्यक्ति को संदर्भित करता है जिसका डेटा एकत्र किया जा रहा हो।
- बच्चों (<18 वर्ष) के मामले में उनके माता-पिता/कानूनी अभिभावकों को ‘डेटा प्रिंसिपल’ माना जाता है।
- डेटा फिड्यूशरी (Data Fiduciary) वह निकाय (व्यक्ति, कंपनी, फर्म, राज्य आदि) है जो ‘किसी व्यक्ति के व्यक्तिगत डेटा के प्रसंस्करण का उद्देश्य एवं साधन’ निर्धारित करता है।
- व्यक्तियों के अधिकार:
- सूचना तक पहुँच:
- विधेयक सुनिश्चित करता है कि लोग भारतीय संविधान की आठवीं अनुसूची में निर्दिष्ट भाषाओं में ‘बुनियादी सूचना तक पहुँच’ रखने में सक्षम हों।
- सहमति का अधिकार (Right to Consent):
- व्यक्तियों को उनके डेटा को संसाधित करने से पहले सहमति देने की आवश्यकता होती है और ‘‘प्रत्येक व्यक्ति को पता होना चाहिये कि व्यक्तिगत डेटा के कौन से आइटम कोई डेटा फिड्यूशरी एकत्र करना चाहता है और इस तरह के संग्रह एवं आगे इसके प्रसंस्करण का क्या उद्देश्य है।’’
- व्यक्तियों को किसी डेटा फिड्यूशरी को दी गई अपनी सहमति वापस लेने का भी अधिकार है।
- मिटाने का अधिकार (Right to Erase):
- डेटा प्रिंसिपल के पास डेटा फिड्यूशरी द्वारा एकत्र किये गए डेटा को मिटाने और इसमें सुधार की मांग करने का अधिकार होगा।
- नामांकित करने का अधिकार (Right to Nominate):
- डेटा प्रिंसिपल को किसी ऐसे व्यक्ति को नामांकित करने का भी अधिकार होगा जो उनकी मृत्यु या अक्षमता की स्थिति में इन अधिकारों का प्रयोग कर सकेगा।
- सूचना तक पहुँच:
- डेटा संरक्षण बोर्ड (Data Protection Board):
- विधेयक में विधेयक का अनुपालन सुनिश्चित कराने हेतु एक डेटा संरक्षण बोर्ड के गठन का भी प्रस्ताव किया गया है।
- डेटा फिड्यूशरी की ओर से असंतोषजनक उत्तर के मामले में उपभोक्ता डेटा संरक्षण बोर्ड के समक्ष शिकायत दर्ज करा सकते हैं।
- सीमा-पार डेटा स्थानांतरण:
- विधेयक सीमा-पार भंडारण (Cross-border Storage) और डेटा को ‘कुछ अधिसूचित देशों और क्षेत्रों’ में स्थानांतरित करने की भी अनुमति देता है, बशर्ते उनके पास उपयुक्त डेटा संरक्षण परिवेश मौजूद हो और सरकार वहाँ से भारतीयों के डेटा को प्राप्त कर सकती हो।
- अर्थ दंड:
- डेटा फिड्यूशरी के लिये:
- विधेयक उन कारोबारों पर उल्लेखनीय दंड लगाने का प्रस्ताव करता है जो डेटा उल्लंघनों से संलग्न पाए जाएँ या उल्लंघन होने के मामले में उपयोगकर्ताओं को सूचित करने में विफल रहें।
- इसके लिये 50 करोड़ रुपए 500 करोड़ रुपए तक का अर्थ दंड आरोपित किया जाएगा।
- डेटा प्रिंसिपल के लिये:
- यदि कोई उपयोगकर्त्ता ऑनलाइन सेवा के लिये साइन अप करते समय गलत दस्तावेज़ प्रस्तुत करता है या झूठी शिकायत दर्ज कराता है तो उस पर 10,000 रुपए तक का अर्थ दंड लगाया जा सकता है।
- डेटा फिड्यूशरी के लिये:
बच्चों के संबंध में विधेयक में मौजूद समस्याएँ
- सहमति के लिये माता-पिता पर निर्भरता:
- अल्पवयस्कों हेतु सुरक्षित एवं बेहतर सेवाओं के सक्रिय निर्माण के लिये ऑनलाइन मंचो को प्रोत्साहित करने के बजाय यह विधेयक सभी मामलों में बच्चे की ओर से सहमति देने के लिये माता-पिता पर निर्भरता रखता है।
- निम्न डिजिटल साक्षरता वाले देश में, जहाँ वास्तव में प्रायः माता-पिता ही इंटरनेट नेविगेट करने में अपने बच्चों (जो ‘डिजिटल नेटिव’ होते हैं) पर निर्भरता रखते हैं, बच्चों की ऑनलाइन सुरक्षा के लिये यह एक अप्रभावी तरीका है।
- बच्चों के हितों पर विचार नहीं:
- यह ‘बच्चे के लिये सर्वोत्तम हित’ के मानक की अवहेलना करता है जिसकी उत्पत्ति बाल अधिकार अभिसमय, 1989 (1989 Convention on the Rights of the Child) से हुई थी।
- भारत ने बाल अधिकार संरक्षण आयोग अधिनियम (वर्ष 2005), नि:शुल्क और अनिवार्य बाल शिक्षा अधिकार अधिनियम (वर्ष 2009) तथा यौन अपराधों से बच्चों का संरक्षण अधिनियम (वर्ष 2012) जैसे कानूनों में इस मानक का पालन कर रखा है।
- लेकिन डेटा संरक्षण के मुद्दे पर इसे लागू नहीं किया गया है।
- मसौदा विधेयक इस बात पर ध्यान नहीं देता है कि किशोर आत्म-अभिव्यक्ति और व्यक्तिगत विकास के लिये विभिन्न इंटरनेट प्लेटफॉर्मों का उपयोग किस प्रकार करते हैं और यह इन दिनों किशोरों के अनुभव के लिये कितना महत्त्वपूर्ण है।
- यह ‘बच्चे के लिये सर्वोत्तम हित’ के मानक की अवहेलना करता है जिसकी उत्पत्ति बाल अधिकार अभिसमय, 1989 (1989 Convention on the Rights of the Child) से हुई थी।
- नागरिकों के व्यक्तिगत डेटा के लिये जोखिम:
- DPDP विधेयक के वर्तमान मसौदे में प्रत्येक मंच को अल्पवयस्कों के मामले में ‘माता-पिता की सत्यापन योग्य सहमति’ (Verifiable Parental Consent) प्राप्त करनी होगी। यदि इस प्रावधान को सख्ती से लागू किया जाता है तो यह इंटरनेट की वर्तमान प्रकृति को रूपांतरित कर सकता है।
- चूँकि आयु की पुष्टि के बिना यह कहना कठिन है कि उपयोगकर्ता अल्पवयस्क है या नहीं, इसलिये प्लेटफॉर्म को प्रत्येक उपयोगकर्ता की आयु को सत्यापित करना होगा।
- सरकार बाद में निर्धारित करेगी कि यह सत्यापन आईडी-प्रूफ, चेहरे की पहचान, संदर्भ-आधारित सत्यापन जैसे किस माध्यम पर आधारित होगा।
- अब सभी प्लेटफॉर्मों को पहले की तुलना में व्यापक रूप से अधिक व्यक्तिगत डेटा का प्रबंधन करना होगा और नागरिक डेटा उल्लंघन, पहचान की चोरी आदि खतरों का अधिक जोखिम रखेंगे।
आगे की राह
- ऐसी सेवाओं की अभिकल्पना जो जोखिमों से बच्चों की सुरक्षा करें:
- समय की मांग है कि ट्रैकिंग, निगरानी आदि पर पूर्ण प्रतिबंध से आगे बढ़ते हुए प्लेटफॉर्म दायित्वों के प्रति जोखिम-आधारित दृष्टिकोण अपनाया जाए।
- प्लेटफार्मों के लिये अल्पवयस्कों हेतु जोखिम मूल्यांकन को अनिवार्य किया जाना चाहिये और न केवल आयु-सत्यापन-संबंधी संबंधित दायित्वों को पूरा करना चाहिये बल्कि डिफ़ॉल्ट सेटिंग्स एवं सुविधाओं के साथ ऐसी सेवाओं की अभिकल्पना की जानी चाहिये जो बच्चों को जोखिमों से बचाएँ।
- यह दृष्टिकोण बच्चों के लिये बेहतर उत्पादों को डिज़ाइन करने हेतु प्लेटफॉर्मों के लिये प्रोत्साहन का सृजन कर सह-विनियमन के एक तत्व का प्रवेश कराएगा।
- माता-पिता की सहमति हेतु अनिवार्य आयु में छूट देना:
- सभी सेवाओं के लिये माता-पिता की सहमति हेतु अनिवार्य आयु को 13 वर्ष (दुनिया भर के कई अन्य क्षेत्राधिकारों के अनुरूप) किये जाने की आवश्यकता है।
- सहमति संबंधी आवश्यकताओं में ढील देकर डेटा संग्रह को न्यूनतम किया जा सकेगा जो कि उन सिद्धांतों में से एक है जिस पर यह विधेयक आधारित है।
- उपर्युक्त जोखिम कम करने के दृष्टिकोण के साथ सहमति की आयु में छूट प्रदान कर बच्चों को ऑनलाइन पहुँच का अवसर देने के साथ ही उनकी सुरक्षा सुनिश्चित की जा सकती है।
- व्यापक सर्वेक्षणों का आयोजन:
- भारतीय संदर्भ में इस समाधान के निर्माण के लिये सरकार को बच्चों और माता-पिता दोनों की ऑनलाइन आदतों, डिजिटल साक्षरता, वरीयताओं और दृष्टिकोण के बारे में अधिक जानकारी प्राप्त करने के लिये बड़े पैमाने पर सर्वेक्षणों का आयोजन करना चाहिये।
- ऐसी नीति तैयार की जानी चाहिये जो ऑनलाइन मंच पर बच्चों की सुरक्षा और अभिकर्तृत्व (एजेंसी) को संतुलित करे।
- बच्चों की सुरक्षा का दायित्व केवल माता-पिता पर ही नहीं डाला जाना चाहिये, बल्कि इसे पूरे समाज का दायित्व बनाया जाना चाहिये।
- बच्चों के निजता के अधिकार में सुधार लाना:
- बच्चों को उनके निजता के अधिकारों और ऑनलाइन मंचों पर व्यक्तिगत सूचना को सुरक्षित रखने के तरीकों के बारे में शिक्षित किया जाना चाहिये।
- बच्चों को भी निजता का मूल अधिकार प्राप्त है और इसमें उनके व्यक्तिगत डेटा की सुरक्षा भी शामिल है।
- प्रौद्योगिकी की उतरोत्तर उन्नति और सूचनाओं के अधिकाधिक संग्रहण एवं ऑनलाइन साझेदारी के साथ यह सुनिश्चित करना तेज़ी से महत्त्वपूर्ण होता जा रहा है कि अल्पवयस्कों के निजता के अधिकार को अक्षुण्ण रखा जाए।
- बच्चों के विकास के लिये, विशेष रूप से रचनात्मकता और आत्म-अभिव्यक्ति की खोज के लिये डिजिटल स्पेस के कई लाभ प्राप्त हो सकते हैं।
अभ्यास प्रश्न: डिजिटल युग में अल्पवयस्कों के लिये डेटा सुरक्षा सुनिश्चित करने हेतु क्या उपाय किये जाने चाहिये? चर्चा कीजिये।
यूपीएससी सिविल सेवा परीक्षा, विगत वर्ष के प्रश्न (PYQ)प्रारंभिक परीक्षाQ. निम्नलिखित में से किसने अप्रैल, 2016 में अपने नागरिकों के लिये डेटा संरक्षण और गोपनीयता पर एक कानून अपनाया जिसे 'जनरल डेटा प्रोटेक्शन रेगुलेशन' के रूप में जाना जाता है और 25 मई, 2018 से इसे लागू किया? (वर्ष 2019) (A) ऑस्ट्रेलिया उत्तर: (C)
मुख्य परीक्षाQ. बढ़ते साइबर अपराधों के कारण डिजीटल दुनिया में डेटा सुरक्षा महत्त्वपूर्ण हो गई है। न्यायमूर्ति बी.एन. श्रीकृष्ण समिति की रिपोर्ट डेटा सुरक्षा से संबंधित मुद्दों को संबोधित करती है। आपके विचार में साइबरस्पेस में व्यक्तिगत डेटा की सुरक्षा से संबंधित रिपोर्ट की शक्ति और कमज़ोरियाँ क्या हैं? (वर्ष 2018) |