शासन व्यवस्था
नागरिकों के महत्त्वपूर्ण व्यक्तिगत डेटा को सुरक्षित रखें : मसौदा विधेयक
- 28 Jul 2018
- 11 min read
चर्चा में क्यों?
डेटा सुरक्षा पर न्यायमूर्ति श्रीकृष्ण समिति की व्यक्तिगत डेटा संरक्षण बिल 2018 के मसौदे की बहुप्रतीक्षित रिपोर्ट हाल ही में सरकार को सौंप दी गई। यह रिपोर्ट भारत में डेटा सुरक्षा कानून को मज़बूत करने और व्यक्तियों को निजता संबंधी अधिकार देने पर ज़ोर देती है। हालाँकि रिपोर्ट में सूचना के अधिकार (आरटीआई) कानून संबंधी प्रस्तावित संशोधनों को लेकर कुछ चिंताएं हैं और कार्यकर्त्ताओं का कहना है कि संशोधन द्वारा आरटीआई कानून के प्रावधानों को कमज़ोर बनाया जा रहा है तथा इसके बाद सरकार से जानकारी हासिल करना और कठिन हो जाएगा।
प्रमुख बिंदु
- रिपोर्ट तीन पहलुओं - नागरिक, राज्य और उद्योग से जुड़ी हुई है।
- डिजिटल दुनिया में व्यक्तिगत डेटा को सुरक्षित करने के लिये फ्रेमवर्क की सिफारिश किये जाने हेतु जुलाई 2017 में न्यायमूर्ति श्रीकृष्ण की अध्यक्षता में 10 सदस्यीय समिति की स्थापना की गई थी।
- व्यक्तिगत आँकड़ों के संबंध में डेटा संरक्षण पर इस रिपोर्ट से उम्मीद है कि किसी व्यक्ति के व्यक्तिगत डेटा का उपयोग न्यायपूर्ण व निष्पक्ष तरीके से किया जा सकेगा।
- रिपोर्ट में कहा गया है कि एक सामूहिक संस्कृति निर्मित करना आवश्यक है जो एक स्वतंत्र और निष्पक्ष डिजिटल अर्थव्यवस्था को बढ़ावा देता हो, व्यक्तियों की सूचनात्मक गोपनीयता का सम्मान करता हो और सशक्तिकरण, प्रगति तथा नवाचार सुनिश्चित करता हो।
डेटा की एक प्रति भारत में संग्रहीत किये जाने की आवश्यकता
- न्यायमूर्ति श्रीकृष्ण की रिपोर्ट में कहा गया है कि गोपनीयता ज्वलंत समस्या बन गई है और इसलिये किसी भी कीमत पर डेटा की सुरक्षा के लिये हरसंभव प्रयास किया जाना चाहिये।
- रिपोर्ट में कहा गया है कि अन्य व्यक्तिगत डेटा को भारत क्षेत्र के बाहर स्थानांतरित किया जा सकता है। इसलिये डेटा की कम-से-कम एक प्रति को भारत में संग्रहीत करने की आवश्यकता होगी।
- मसौदा विधेयक से भारत को उम्मीद है कि दुनिया के व्यक्तिगत डेटा की सुरक्षा के लिये यह एक आदर्श मॉडल बन सकेगा जो राज्य सहित भारत के व्यक्तिगत डेटा की प्रोसेसिंग पर लागू होगा।
- भारत में डेटा प्रोसेसर मौजूद नहीं होने की स्थिति में मसौदा विधेयक भारत में कारोबार करने वाले अन्य लोगों या प्रोफाइलिंग जैसी अन्य गतिविधियों पर लागू होगा जो भारत में डेटा प्रदाता की गोपनीयता को नुकसान पहुँचा सकता है।
डेटा प्रोसेसर पर ज़ुर्माने का प्रावधान
- मसौदा विधेयक डेटा प्रोसेसर के लिये ज़ुर्माने का भी प्रावधान करता है, साथ ही डेटा प्रोटेक्शन कानून के उल्लंघन के लिये डेटा प्रदाता को मुआवज़ा भी देने का प्रावधान करता है।
- मसौदा में किये गए प्रावधानों का उल्लंघन करने पर किसी भी डेटा संग्रह / प्रोसेसिंग इकाई के कुल विश्वव्यापी कारोबार का 4% या 15 करोड़ रुपए तक ज़ुर्माने के रूप में देना होगा।
- डेटा सुरक्षा उल्लंघन के मामले में त्वरित कार्रवाई करने में विफलता के लिये 5 करोड़ या कुल टर्नओवर का 2% ज़ुर्माना हो सकता है। संवेदनशील व्यक्तिगत डेटा की प्रोसेसिंग स्पष्ट सहमति के आधार पर होनी चाहिये।
- समिति ने अपनी सिफारिशों में कहा है मसौदा कानून एक संरचित और चरणबद्ध तरीके से लागू होगा।
- कानून लागू होने के बाद चल रही प्रोसेसिंग को कवर किया जाएगा।
महत्त्वपूर्ण व्यक्तिगत डेटा को सुरक्षित रखें
- न्यायमूर्ति श्रीकृष्ण समिति की रिपोर्ट में कहा गया है कि यह रिपोर्ट डेटा संरक्षण की दिशा में पहला कदम है और जिस प्रकार प्रौद्योगिकी में परिवर्तन हो रहा है उसे दृष्टिगत रखते हुए कानून को सुदृढ़ करना आवश्यक है। रिपोर्ट और ड्राफ्ट बिल "नए जूते खरीदने” की तरह हैं। हो सकता है यह शुरुआत में मुश्किल हो लेकिन बाद में आरामदायक होगा।
- रिपोर्ट में हालिया आरटीआई कानून का बारीकी से अध्ययन किया गया है। विशेष रूप से धारा 8 (1) (j) का, जो निजता के अधिकार और किसी व्यक्ति की निजता भंग होने पर सूचना देने से मना करने का प्रावधान करती है। लोक सेवकों ने कई बार इस धारा का हवाला देते हुए जानकारी देने से मना किया है।
- हालाँकि रिपोर्ट स्पष्ट करती है कि निजता संबंधी अधिकारों के लिये आरटीआई कानून के प्रावधानों की अनदेखी नहीं की जाएगी। रिपोर्ट में कहा गया कि आरटीआई कानून में विशेष रूप से उन परिस्थितियों का जिक्र किया जाना चाहिये जिसमें निजी जानकारी के खुलासे और किसी व्यक्ति की निजता के बीच आनुपातिक प्रतिबंध हो।
- मसौदा विधेयक पर व्यापक संसदीय परामर्श किया जाएगा तथा रिपोर्ट और मसौदा कानून अंतर-मंत्रालयी चर्चाओं और मंत्रिमंडल के साथ-साथ संसदीय अनुमोदन की प्रक्रिया के माध्यम से लाया जाएगा।
अपीलीय न्यायाधिकरण
- मसौदा विधेयक में व्यक्तिगत जानकारी के दुरुपयोग को रोकने के लिये डेटा प्रोटेक्शन अथॉरिटी तथा अपीलीय न्यायाधिकरण की स्थापना की सिफारिश की गई है।
- मसौदे में कहा गया है कि डेटा प्रदाता को डेटा प्रोसेसर द्वारा व्यक्तिगत डेटा के निरंतर प्रकटीकरण को प्रतिबंधित या रोकने का अधिकार होगा।
बच्चों के डेटा के साथ सावधानी बरतें-
- डेटा गोपनीयता पर समिति ने बच्चों के डेटा की सुरक्षा के लिये अलग और अधिक कठोर मानदंडों की आवश्यकता का विशेष रूप से उल्लेख किया है।
- कंपनियों को कुछ प्रकार की डेटा प्रोसेसिंग जैसे- व्यवहार संबंधी निगरानी, ट्रैकिंग, लक्षित विज्ञापन और किसी अन्य प्रकार की प्रोसेसिंग से प्रतिबंधित किया जाना चाहिये क्योंकि यह बच्चों के हित में नहीं है।
- यह बात व्यापक रूप से स्वीकार की जाती है कि बच्चों के व्यक्तिगत डेटा की प्रक्रिया को डेटा की नियमित प्रोसेसिंग की तुलना में अधिक सुरक्षा प्रदान किया जाना चाहिये।
- रिपोर्ट में कहा गया है कि बच्चों के डेटा की सुरक्षा पर वैधानिक विनियमन के लिये बच्चे के सर्वोत्तम हितों की रक्षा करना मार्गदर्शक सिद्धांत होना चाहिये।
- रिपोर्ट में बताया गया है कि वर्तमान में बच्चों के व्यक्तिगत डेटा को संसाधित करने वाली दो प्रकार की संस्थाएँ विद्यमान हैं। पहला प्रकार, जो मुख्य रूप से बच्चों को सेवा प्रदान करने का ऑफर देते हैं ,जैसे- यूट्यूब किड्स, हॉट व्हील और वॉल्ट डिज़्नी तथा दूसरा, फेसबुक और इंस्टाग्राम जैसी सोशल मीडिया सेवाएँ हैं।
- समिति ने सिफारिश की है कि डेटा प्रोटेक्शन अथॉरिटी में वेबसाइटों या ऑनलाइन सेवाओं को नामित करने की शक्ति होगी जो भारी संख्या में बच्चों के व्यक्तिगत डेटा को "अभिभावक डेटा प्रत्ययी" के रूप में संसाधित करती है।
- रिपोर्ट में कहा गया है कि कुछ डेटा प्रोसेसिंग को बच्चों के लिये हानिकारक पाया गया है।
- समिति के मुताबिक कंपनी पर किसी बच्चे के डेटा को सही ढंग से संसाधित करना माता-पिता की सहमति पर आधारित होना चाहिये।
डिजिटल ग्रोथ बनाम व्यक्तिगत गोपनीयता
- डेटा संरक्षण पर न्यायमूर्ति श्रीकृष्ण समिति की रिपोर्ट में कहा गया है कि भारत की डिजिटल अर्थव्यवस्था के विकास और व्यक्तिगत डेटा की सुरक्षा के बीच एक अंतर्निहित तनाव है।
- इस तनाव का कारण डेटा की मात्रा है जिसे फेसबुक, गूगल, अमेज़ॅन जैसी कंपनियाँ और यहाँ तक कि सरकारी कंपनियाँ उपयोगकर्त्ताओं से एकत्र करती हैं।
- ये कंपनियाँ अक्सर अधिक-से-अधिक डेटा की मांग कर उन्हें एकत्र करने के बाद डेटा का उद्देश्य निर्धारित करती हैं। साथ ही, उनके अज्ञात डेटा को भी पहचाना जा सकता है।
- यही कारण है कि समिति ने एक व्यक्ति की निजता की सुरक्षा के लिये दो स्तंभों की पहचान की है। पहला "डेटा न्यूनीकरण" (इकाई को केवल आवश्यक डेटा ही एकत्र करना चाहिये) और दूसरा "उद्देश्य का विवरण" (उद्देश्य का खुलासा होना चाहिये कि डेटा क्यों एकत्रित किया जा रहा है)।