निजी डाटा सुरक्षा विधेयक के गुण-दोषों का परीक्षण

(प्रारंभिक परीक्षा : भारतीय राज्यतंत्र और शासन- अधिकारों संबंधी मुद्दे; राष्ट्रीय और अंतर्राष्ट्रीय महत्त्व की सामयिक घटनाएँ, मुख्य परीक्षा : सामान्य अध्ययन प्रश्नपत्र-2 व 3 , शासन व्यवस्था; सूचना प्रौद्योगिकी)

संदर्भ

हाल ही में, ‘संयुक्त संसदीय समिति’ (JPC) ने ‘निजी डाटा सुरक्षा विधेयक’ के संबंध में बैठक की। यह विधेयक तेज़ी से बढ़ती भारतीय डिजिटल अर्थव्यवस्था को प्रभावित कर सकता है। इस समिति की सिफारिशें संसद के आगामी शीतकालीन सत्र में पेश किये जाने की संभावना है।

पृष्ठभूमि

• वर्ष 2017 में सर्वोच्च न्यायालय की संवैधानिक पीठ ने आदेश दिया था कि ‘निजता की सुरक्षा’ अनुच्छेद 21 के अंतर्गत ‘प्राण एवं दैहिक स्वतंत्रता का अधिकार’ है। तब से, ‘निजी डाटा’ की सुरक्षा को लेकर बहस तेज़ हो गई।
• वर्ष 2017 में ही, ‘निजी डाटा सुरक्षा’ के संबंध में न्यायमूर्ति श्री बी.एन. श्रीकृष्णा की अध्यक्षता में एक 10 सदस्यीय समिति गठित की गई थी। ने निजी डाटा सुरक्षा के संबंध में भारत सरकार के समक्ष एक मसौदा प्रस्तुत किया।
• बी.एन. श्रीकृष्णा समिति की सिफारिशों के आधार पर केंद्र सरकार ने दिसंबर, 2019 में लोकसभा में ‘निजी डाटा सुरक्षा विधेयक, 2019’ पेश किया था। तत्पश्चात् यह विधेयक श्री पी.पी. चौधरी की अध्यक्षता वाली एक ‘संयुक्त संसदीय समिति’ को भेजा गया था। लगभग 2 वर्षों की समीक्षा के बाद जे.पी.सी. ने हाल ही में मसौदा विधेयक प्रस्तुत किया है।

संयुक्त संसदीय समिति की प्रमुख सिफारिशें

1. गैर-निजी डाटा के संबंध में

कोई अलग कानून बनाने के बजाय, ‘गैर-निजी डाटा’ को भी इसी कानून के तहत विनियमित किया जाए और इसके लिये प्रस्तावित ‘डाटा संरक्षण प्राधिकरण’ (DPA) की शक्तियाँ विस्तृत की जाएँ। समिति ने ‘गैर-निजी डाटा’ के अंतर्गत अन्य औद्योगिक डाटाबेस और अज्ञात निजी डाटा को भी शामिल किया है।

2. डिजिटल उपकरणों के संबंध में

• जे.पी.सी. ने डिजिटल/सॉफ्टवेयर कंपनियों के साथ-साथ इलेक्ट्रॉनिक हार्डवेयर कंपनियों, जैसे– टेलीकॉम गियर्स आदि द्वारा संगृहीत डाटा को भी इस कानून के दायरे में लाने की अनुशंसा की है।
• मसौदा विधेयक में डिजिटल उपकरणों के माध्यम से डाटा एकत्र करने वाले हार्डवेयर निर्माताओं को विनिमियत करने संबंधी कोई प्रावधान नहीं है। समिति ने इन्हें भी कानून के दायरे में लाने की सिफारिश की है। समिति के अनुसार, हार्डवेयर निर्माताओं और संबंधित संस्थाओं द्वारा एकत्रित डाटा के प्रबंधन संबंधी नियम बनाने की शक्ति भी डी.पी.ए. को दी जानी चाहिये।
• यह डी.पी.ए. को अनुमति देगा कि वह डाटा की निगरानी, परीक्षण और प्रमाणन के लिये एक ढाँचा तैयार कर सके। इसका उद्देश्य हार्डवेयर उपकरणों की भी विश्वसनीयता सुनिश्चित करना है ताकि निजी डाटा को नुकसान पहुँचाने संबंधी किसी भी गतिविधि को आरंभिक स्तर पर (Seeding) ही रोका जा सके।

3. मध्यवर्ती संस्थाओं (Intermediaries) के संबंध में

• सभी सोशल मीडिया मध्यवर्ती संस्थाओं, जैसे– ट्विटर, फेसबुक आदि, जो आई.टी. नियमों द्वारा शासित हैं, को सोशल मीडिया प्लेटफॉर्म के रूप में पुन: परिभाषित करके अपने दायरे में लाया जाए।
• उन सभी सोशल मीडिया प्लेटफॉर्म्स को, जो मध्यवर्ती संस्थाओं के रूप में कार्य नहीं करते हैं, प्रकाशक माना जाए और उनके प्लेटफॉर्म पर प्रकाशित की जाने वाली सामग्री के लिये उन्हें जवाबदेह ठहराया जाए।
• इन प्लेटफॉर्म्स पर प्रकाशित सामग्री के नियमन के लिये एक वैधानिक ‘मीडिया नियामक प्राधिकरण’ स्थापित किया जाए।

4. डाटा  प्रत्ययियों (Data Fiduciaries), डाटा  प्रोसेसर एवं डाटा प्रिंसिपल के संबंध में

• हालाँकि, कानून में ‘डिजाइन द्वारा गोपनीयता के सिद्धांत’ (Principle of Privacy by Design) का प्रावधान भी किया गया है। समिति ने छोटी फर्मों को इस प्रावधान से छूट देने का समर्थन किया है। वस्तुतः ‘डिजाइन द्वारा गोपनीयता के सिद्धांत’ से आशय है– “नई तकनीक डिज़ाइन करके डाटा की गोपनीयता सुनिश्चित करना।”
• इस संबंध में समिति ने सुझाव दिया कि एक निश्चित सीमा से कम के डाटा रखने वाली ‘डाटा प्रत्ययियों’ के लिये नियम बनाने का अधिकार डी.पी.ए. को दे दिया जाना चाहिये, ताकि एम.एस.एम.ई. फर्मों के विकास में बाधा न आए। उल्लेखनीय है कि ‘डाटा प्रत्ययियों’ (Data Fiduciaries) से आशय ऐसी इकाइयों से है, जो किसी संस्था के डाटा का ‘प्रबंधन व प्रसंस्करण’ (Manage and Processing) करती हैं।
• समिति ने सिफारिश की कि ‘डाटा प्रत्ययियों’ और ‘डाटा संसाधकों’ (Data Processors) को बुनियादी ढाँचे का विकास करने तथा और आवश्यक प्रक्रियाएँ अपनाने के लिये लगभग 24 माह का समय दिया जाना चाहिये।
• इस दौरान, डी.पी.ए. की स्थापना तथा डाटा प्रत्ययियों, न्याय-निर्णायकों (Adjudicators) और अपीलीय न्यायाधिकरणों आदि के पंजीकरण का कार्य चरणबद्ध तरीके से एक निर्धारित समय-सीमा में पूर्ण कर लिया जाना चाहिये।
• इसके अलावा, समिति ने कहा कि यह प्रावधान भी किया जाए कि डाटा उल्लंघन होने की स्थिति में डाटा प्रत्ययियों को 72 घंटों में रिपोर्ट करना होगा।

5. परिभाषाओं के संबंध में अनुशंसा

समिति ने ‘सहमति प्रबंधक’ (Consent Manager) की अधिक विस्तृत परिभाषा दी और कहा कि ‘नुकसान’ की परिभाषा में ऐसे मनोवैज्ञानिक हेर-फेर (Psychological Manipulation) को भी शामिल किया जाना चाहिये, जो किसी व्यक्ति की स्वायत्तता (Autonomy) को कम करता है।

6. जाँच एजेंसियों संबंधी प्रावधान

विधेयक की धारा-35 राष्ट्रीय हितों की रक्षा, राज्य की सुरक्षा, लोक व्यवस्था व राष्ट्रीय संप्रभुता व अखंडता के मद्देनज़र सरकारी एजेंसियों को इस कानून के प्रावधानों से छूट प्रदान करती है।

मतभेद के बिंदु

• समिति के विपक्षी सदस्यों ने विधेयक के उन प्रावधानों पर असहमति जताई, जो सरकार को स्वैच्छिक निर्णय लेने की अनुमति देते हैं। इस संदर्भ में समिति ने माना कि ‘देश के बाहर डाटा के हस्तांतरण’ और ‘कानूनी प्रावधानों के अलावा अन्य मामलों में डी.पी.ए. को निर्देश देने’ के संबंध में केंद्र सरकार की भूमिका बढ़ी है।
• ऐसे में, समिति ने कहा कि डी.पी.ए. को अपने वार्षिक प्रतिवेदन में इस बात का खुलासा करना चाहिये कि वर्षभर सरकार ने उसे कानूनी प्रावधानों के अलावा क्या-क्या निर्देश दिये।
• इसके अलावा, ‘डाटा उल्लंघन के मामले में दंड का मुद्दा’ भी समिति के सदस्यों के बीच मतभेद का कारण बना।

आगे की राह

केंद्र सरकार को यह सुनिश्चित करना चाहिये कि इस कानून में वर्णित ‘डाटा स्थानीयकरण’ (Data Localization) संबंधी प्रावधानों का सभी स्थानीय और विदेशी संस्थाओं द्वारा सख्ती से पालन किया जाए तथा बेहतर बुनियादी ढाँचे और डाटा संरक्षण को भी प्रोत्साहित किया जाए।