डेटा संरक्षण कानून | 14 Apr 2021

यह एडिटोरियल 12/04/2021 को ‘द हिंदू’ में प्रकाशित लेख “Why the Personal Data Protection Bill Matters” पर आधारित है। इसमें भारत के लिये एक मज़बूत डेटा संरक्षण कानून की आवश्यकता से संबंधित मुद्दों का विश्लेषण किया गया है।

संदर्भ

वैश्विक महामारी ने डिजिटल अर्थव्यवस्था में आम जनमानस की भागीदारी को बढ़ाने में अतुलनीय योगदान दिया है। हालाँकि इसके बावजूद इसी अवधि में ‘व्यक्तिगत डेटा’ उल्लंघन के मामलों की संख्या में भी चिंताजनक रूप से बढ़ोतरी देखने को मिली है। 

हाल ही में गुरुग्राम स्थित डिजिटल फाइनेंस कंपनी ‘मोबिक्विक’ (MobiKwik) पर कथित डेटा उल्लंघन के आरोप लगे हैं, जिसमें कुल 9.9 करोड़ उपयोगकर्त्ताओं का डेटा शामिल है और यह भारत में अब तक का सबसे बड़ा डेटा उल्लंघन मामला हो सकता है। मौजूदा दौर में डेटा के महत्त्व को देखते हुए इस प्रकार की घटनाओं को रोकने और उपयोगकर्त्ताओं के हितों की रक्षा करने के लिये एक मज़बूत डेटा सुरक्षा कानून काफी महत्त्वपूर्ण है।

वर्तमान में, भारत में उपयोगकर्त्ताओं के व्यक्तिगत डेटा को एकत्रित करने और संसाधित करने की विधि को मुख्यतः सूचना प्रौद्योगिकी अधिनियम, 2000 के माध्यम से नियंत्रित किया जाता है, साथ ही कई जानकार मानते हैं कि यह अधिनियम उपयोगकर्त्ताओं के व्यक्तिगत डेटा की प्रभावी सुरक्षा सुनिश्चित करने में सफल हो पाया है।

हालाँकि व्यक्तिगत डेटा संरक्षण (PDP) विधेयक, 2019 (जो वर्तमान में संयुक्त संसदीय समिति की जाँच के अधीन है) उपयोगकर्त्ताओं के व्यक्तिगत डेटा के संरक्षण में महत्त्वपूर्ण भूमिका अदा कर सकता है।

सूचना प्रौद्योगिकी अधिनियम से संबंधित मुद्दे

  • सहमति का दुरुपयोग: डेटा एग्रीगेटर इकाइयाँ नियमों और शर्तों के तहत व्यक्तिगत डेटा को संसाधित करने के लिये उपयोगकर्त्ताओं की सहमति लेकर अधिनियम में प्रदान की गई सुरक्षा संबंधी प्रावधानों का उल्लंघन कर सकती हैं।
    • यह देखते हुए कि प्रायः भारतीय उपयोगकर्त्ताओं में नियम और शर्तों या सहमति देने को लेकर जागरूकता का अभाव है, ऐसे में इस प्रावधान के दुरुपयोग की संभावना काफी अधिक है।
  • डेटा गोपनीयता की उपेक्षा: सूचना प्रौद्योगिकी अधिनियम के तहत प्रदान की गई रूपरेखा डेटा सुरक्षा पर ज़ोर देती है, किंतु इसमें डेटा गोपनीयता पर पर्याप्त ध्यान नहीं दिया गया है।
    • संक्षेप में अधिनियम के मुताबिक, संस्थाओं के लिये उपयोगकर्त्ताओं के व्यक्तिगत डेटा की सुरक्षा के लिये उपाय करना तो अनिवार्य है, किंतु व्यक्तिगत डेटा को संसाधित करने में गोपनीयता को महत्त्व देने को लेकर उन पर कोई दायित्त्व निर्धारित नहीं किया गया है।
  • समग्रता का अभाव: सूचना प्रौद्योगिकी अधिनियम के तहत डेटा सुरक्षा संबंधी प्रावधान सरकारी एजेंसियों पर लागू नहीं होते हैं, ऐसे में यह अधिनियम तब असफल हो जाता है, जब सरकारी एजेंसियाँ बड़ी मात्रा में व्यक्तिगत डेटा एकत्रण और प्रसंस्करण में संलग्न होती हैं।
  • अप्रचलित: सूचना प्रौद्योगिकी अधिनियम को वर्ष 2000 में अधिनियमित किया गया था और यह वर्ष 2008 में संशोधित किया गया था। हालाँकि इसके बाद से राष्ट्रीय और अंतर्राष्ट्रीय प्रौद्योगिकी में तीव्रता से बदलाव आया है।
    • ऐसे में डेटा प्रोसेसिंग तकनीक में नवीनतम विकास से उभरने वाले जोखिमों को दूर करने के मामले में यह अधिनियम अपर्याप्त रहा है।

व्यक्तिगत डेटा संरक्षण (PDP) विधेयक, 2019 

इस विधेयक का उद्देश्य भारत में व्यक्तिगत डेटा संरक्षण को लेकर व्यापक और सार्थक बदलाव लाना है। विधेयक के तहत प्रस्तावित नियम, मौजूदा अधिनियम से निम्नलिखित पहलुओं में अलग है:

  • भूमिका निर्धारण: इस विधेयक में व्यक्तियों और फर्मों/राज्य संस्थानों के बीच के संबंधों को संहिताबद्ध करने की परिकल्पना की गई है, जिसमें आम नागरिकों को ‘डेटा प्रिंसिपल’ (जिसकी जानकारी एकत्र की गई है) और कंपनियों तथा राज्य संस्थाओं को ‘डेटा फिड्यूशरीज़’ (डेटा को संसाधित करने वाले) के रूप में परिभाषित किया गया है।
    • गौरतलब है कि यह विधेयक सरकारी और निजी संस्थाओं दोनों पर लागू होता है।
  • डेटा गोपनीयता: इसके तहत संस्थाओं को व्यक्तिगत डेटा की सुरक्षा के लिये सुरक्षा उपायों को अपनाना होगा, साथ ही उन्हें डेटा सुरक्षा दायित्वों और पारदर्शिता तथा जवाबदेही संबंधी नियमों का भी पालन करना होगा।
    • संक्षेप में यह विधेयक उन संस्थाओं की जाँच के लिये एक तंत्र प्रदान करता है, जो उपयोगकर्त्ताओं के व्यक्तिगत डेटा को नियंत्रित और संसाधित करती हैं।

नोट

  • वर्ष 2017 में एक मज़बूत डेटा संरक्षण कानून की आवश्यकता तब महसूस की गई थी., जब सर्वोच्च न्यायालय ने ‘न्यायमूर्ति के.एस. पुट्टास्वामी (सेवानिवृत्त) बनाम भारतीय संघ’ वाद में निजता के अधिकार को मौलिक अधिकार के रूप में स्थापित किया था। 
  • अपने निर्णय में सर्वोच्च न्यायालय ने एक डेटा संरक्षण कानून बनाने का आह्वान किया था, जो उपयोगकर्त्ताओं के व्यक्तिगत डेटा की गोपनीयता को प्रभावी ढंग से सुरक्षित कर सके। 
  • परिणामस्वरूप, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ने एक मज़बूत डेटा संरक्षण कानून के मसौदे पर सुझाव देने के लिये न्यायमूर्ति (सेवानिवृत्त) बी.एन. श्रीकृष्ण की अध्यक्षता में एक विशेषज्ञ समिति का गठन किया।
  • नागरिकों के अधिकार: यह विधेयक उपयोगकर्त्ताओं को व्यक्तिगत डेटा और संबंधित कुछ विशिष्ट अधिकार और उन अधिकारों का प्रयोग करने हेतु कुछ विशिष्ट साधन प्रदान करता है।
    • उदाहरण के लिये विधेयक के अनुसार, एक उपयोगकर्त्ता किसी इकाई के पास मौजूद विभिन्न प्रकार के व्यक्तिगत डेटा के बारे में जानकारी प्राप्त करने में सक्षम होगा, साथ ही वह यह जानने में भी सक्षम होगा कि उस इकाई द्वारा किस प्रकार डेटा को संसाधित किया जाता है।
  • नियामक की स्थापना: इस विधेयक में डेटा सुरक्षा प्राधिकरण (DPA) के रूप में एक स्वतंत्र और शक्तिशाली नियामक की स्थापना की परिकल्पना की गई है।
    • DPA, कानून का अनुपालन सुनिश्चित करने के उद्देश्य से डेटा प्रोसेसिंग गतिविधियों की निगरानी और विनियमन करेगा।
    • इसके अलावा DPA, उपयोगकर्त्ताओं को डेटा गोपनीयता के उल्लंघन के मामलों में शिकायत निवारण के लिये एक मंच प्रदान करेगा।

विधेयक से संबंधित मुद्दे

विधेयक में मौजूद कई प्रावधान इसकी प्रभावशीलता को लेकर चिंता पैदा करते हैं। यह विधेयक सरकारी एजेंसियों को व्यापक छूट देकर और उपयोगकर्त्ता सुरक्षा उपायों को कमज़ोर करके अपने स्वयं के उद्देश्यों और प्रभावशीलता पर प्रश्नचिह्न लगाता है। 

  • उदाहरण के लिये विधेयक के खंड-35 के तहत केंद्र सरकार किसी भी सरकारी एजेंसी को विधेयक का अनुपालन करने से छूट प्रदान कर सकती है।
    • ऐसी स्थिति में सरकार द्वारा निर्धारित कोई संस्था बिना किसी सुरक्षा उपाय का पालन किये ही व्यक्तिगत डेटा को संसाधित करने में सक्षम होगी।
    • यह उपयोगकर्त्ताओं के लिये एक गंभीर गोपनीयता जोखिम उत्पन्न कर सकता है।
  • सहमति की अवधारणा में बदलाव: यह विधेयक उपयोगकर्त्ताओं के लिये विभिन्न सुरक्षा उपायों (जैसे- अधिकार और उपचार) को लागू करना मुश्किल बनाता है।
    • उदाहरण के लिये यह विधेयक उन उपयोगकर्त्ताओं पर कानूनी कार्यवाही का प्रावधान करता है, जो डेटा प्रोसेसिंग गतिविधि के लिये अपनी सहमति वापस लेते हैं।
    • व्यवहार में यह उपयोगकर्त्ताओं को उन प्रसंस्करण गतिविधियों के लिये सहमति वापस लेने से हतोत्साहित कर सकता है, जिन्हें वे अपनी सहमति नहीं देना चाहते हैं।
  • DPA का व्यापक अधिदेश: DPA को विधेयक के प्रावधानों के तहत सहमति लेने, एकत्रित डेटा के उपयोग पर सीमा और डेटा के सीमा पार हस्तांतरण जैसे मुद्दों पर एक फ्रेमवर्क का निर्माण करने का कार्य सौंपा गया है।
    • यह देखते हुए कि DPA को सुरक्षा और पारदर्शिता आवश्यकताओं जैसे निवारक दायित्वों का एक विस्तृत कार्य सौंपा गया है, कहा जा सकता है कि इसका पर्यवेक्षी जनादेश व्यापक है जो कि इसे अप्रभावी बना सकता है।

निष्कर्ष

मौजूदा डिजिटल युग में डेटा एक मूल्यवान संसाधन है, जिसे अनियमित नहीं छोड़ा जाना चाहिये। इस संदर्भ में मौजूदा समय भारत के लिये एक मज़बूत डेटा सुरक्षा कानून की दृष्टि से काफी महत्त्वपूर्ण है।

विधेयक की जाँच कर रही संयुक्त संसदीय समिति वर्ष 2021 में संसद के मानसून सत्र में अपनी अंतिम रिपोर्ट प्रस्तुत करेगी। ऐसे में इस अंतरिम अवधि का उपयोग विधेयक में कुछ बदलाव करने और उसे और बेहतर बनाने के लिये किया जा सकता है, ताकि इससे संबंधित विभिन्न चिंताओं को दूर किया जा सके और एक मज़बूत एवं प्रभावी डेटा सुरक्षा प्रणाली स्थापित की जा सके।

अभ्यास प्रश्न: मौजूदा डिजिटल युग में डेटा एक मूल्यवान संसाधन है, जिसे अनियमित नहीं छोड़ा जाना चाहिये। इस संदर्भ में मौजूदा समय भारत के लिये एक मज़बूत डेटा सुरक्षा कानून की दृष्टि से काफी महत्त्वपूर्ण है। चर्चा कीजिये।