News Analysis / व्यक्तिगत डेटा संरक्षण विधेयक
Published on: December 18, 2021
डेटा गोपनीयता संबंधी मुद्दे
संदर्भ:
लेखक व्यक्तिगत डेटा संरक्षण विधेयक की रिपोर्ट पर संयुक्त समिति के बारे में बात कर रहे हैं।
संपादकीय अंतर्दृष्टि:
कठोर बैठकों और विचार-विमर्श के बाद, व्यक्तिगत डेटा संरक्षण विधेयक पर संसद की संयुक्त समिति ने हाल ही में दोनों सदनों में अपनी रिपोर्ट पेश की।
व्यक्तिगत डेटा पर JCP :
जेसीपी, जिसे दिसंबर 2019 में व्यक्तिगत डेटा सुरक्षा के मुद्दों पर विचार-विमर्श करने के लिए गठित किया गया था, ने गैर-व्यक्तिगत डेटा पर चर्चा को शामिल करने के लिए अपने जनादेश का विस्तार किया, जिससे व्यक्तिगत डेटा संरक्षण से विधेयक के जनादेश को व्यापक डेटा सुरक्षा में बदल दिया गया।
समिति ने कुल मिलाकर 99 सिफारिशें की हैं, जिनमें से 12 विधेयक में किए गए प्रावधानों के संबंध में हैं, और शेष संशोधनों के रूप में हैं।
सिफारिशें:
गैर-व्यक्तिगत डेटा को शामिल करना: बिल की प्रकृति को बदलने वाली प्रमुख सिफारिश गैर-व्यक्तिगत डेटा को बड़े दायरे में शामिल करने के लिए है।
क्योंकि समिति का मानना था कि जब बड़े पैमाने पर डेटा एकत्र या परिवहन किया जाता है तो व्यक्तिगत डेटा और गैर-व्यक्तिगत डेटा के बीच अंतर करना असंभव था।
इसका मतलब यह है कि नए कानून के तहत सभी मुद्दों को व्यक्तिगत और गैर-व्यक्तिगत के लिए अलग-अलग के बजाय एकल डेटा संरक्षण प्राधिकरण (डीपीए) द्वारा निपटाया जाएगा।
संक्रमण काल: चूंकि तकनीक हर किसी के जीवन का एक अविभाज्य हिस्सा बन गई है।
यह सुनिश्चित करने के लिए कि ऐसे सभी डेटा एग्रीगेटर्स को नए विधेयक के तहत नियमों का पालन करने के लिए पर्याप्त समय मिले, जेसीपी ने सुझाव दिया कि अधिनियम की अधिसूचना की तारीख से 24 महीने तक का समय दिया जाए।
सभी डेटा न्यासी जो विशेष रूप से बच्चों के डेटा से संबंधित हैं, उन्हें खुद को डीपीए के साथ पंजीकृत करना होगा।
सोशल मीडिया दायित्व: एक अन्य प्रमुख सिफारिश यह है कि सोशल मीडिया प्लेटफॉर्म जो बिचौलियों के रूप में कार्य नहीं करते हैं उन्हें प्रकाशकों के रूप में माना जाना चाहिए, और इसलिए उनके द्वारा होस्ट की जाने वाली सामग्री के लिए उत्तरदायी ठहराया जाना चाहिए।
दूसरे शब्दों में, यह इन कंपनियों को सूचना प्रौद्योगिकी अधिनियम की धारा 79 के तहत दी गई सुरक्षा से वंचित कर देगा।
जुर्माना: समिति ने डेटा उल्लंघनों के लिए फर्म के कुल वैश्विक कारोबार का 15 करोड़ रुपये या 4% तक का जुर्माना और 3 साल तक की जेल की सजा की सिफारिश की है, अगर डी-आइडेंटेड डेटा की फिर से पहचान की जाती है।
समय पर सूचित: किसी भी डेटा उल्लंघन के मामले में, डेटा एग्रीगेटर या प्रत्ययी को इसकी जानकारी होने के 72 घंटों के भीतर डीपीए को सूचित करना चाहिए।
डीपीए तब डेटा उल्लंघन की गंभीरता की मात्रा तय करेगा और तदनुसार कंपनी को इसकी रिपोर्ट करने और उचित उपचारात्मक उपाय करने के लिए कहेगा।
जेसीपी द्वारा ध्यान में रखे गए कारक:
इंटरनेट के विकास के साथ, उपभोक्ता बहुत अधिक डेटा उत्पन्न कर रहे हैं, कंपनियों ने उपयोगकर्ताओं की सहमति के बिना इनमें से बहुत सारे डेटासेट को स्टोर करना शुरू कर दिया और डेटा लीक होने पर जिम्मेदारी नहीं ली।
समिति ने सार्वजनिक और निजी क्षेत्र की कंपनियों, अनुसंधान संगठनों और शैक्षणिक संस्थानों जैसे स्पेक्ट्रम और संगठनों में मौजूद ऐसे डेटा को एकीकृत करने के लिए नई प्रक्रियाओं को स्थापित करने की आवश्यकता पर बल दिया है।
जिन प्रमुख चिंताओं को जेसीपी ने संबोधित करने की मांग की उनमें से हैं:
व्यक्तिगत डेटा के तेजी से व्यावसायिक उपयोग के परिणामस्वरूप अंतिम उपयोगकर्ता के विश्वास को कम किया गया है।
संवेदनशील और महत्वपूर्ण व्यक्तिगत डेटा के दुरुपयोग के बारे में चिंताएं और तनाव तेजी से बढ़ रहे हैं,
ऐसी स्थितियों से निपटने के लिए, एक सुरक्षित और उपयोगकर्ता के अनुकूल डेटा पारिस्थितिकी तंत्र के लिए कानूनी, सांस्कृतिक, तकनीकी और आर्थिक बुनियादी ढांचे का निर्माण करना महत्वपूर्ण था।
स्पष्ट आर्थिक और गोपनीयता चिंताओं के अलावा, जेसीपी रिपोर्ट मानसिक स्वास्थ्य और भावनात्मक कल्याण के प्रभाव पर भी चर्चा करती है जो एक उपयोगकर्ता डेटा उल्लंघन के कारण अनुभव करता है।
यह निष्कर्षों का हवाला देता है कि ऐसे व्यक्तियों में से 86% ने चिंतित, क्रोधित और निराश महसूस किया, जबकि 85% ने परेशान नींद की आदतों का अनुभव किया।
अतिरिक्त परेशानी:
हालांकि जेसीपी रिपोर्ट बिल के मुख्य घटकों की पुष्टि करती है और कई पहलुओं को ठीक करती है। लेकिन इसने भारत के लिए डेटा विनियमन के व्यापक कैनवास को चित्रित करने के लिए विधेयक का उपयोग किया है।
इनमें से कुछ प्रस्तावों पर अधिक विचार-विमर्श की आवश्यकता है:
जेपीसी ने अभी तक स्पष्ट किए गए नियमों की तुलना में संप्रभु हितों पर अधिक मजबूती से आधारित विनियमन के लिए एक तर्क प्रदान किया है।
उदाहरण के लिए, डेटा स्थानीयकरण के मुद्दे में, जेपीसी का कहना है कि भारत की सीमाओं से संवेदनशील व्यक्तिगत डेटा लेने के लिए व्यवसायों को सक्षम करने वाले सभी अनुबंधों को अब डेटा सुरक्षा नियामक (डीपीए) के अलावा केंद्र सरकार के अनुमोदन की आवश्यकता होगी।
रिपोर्ट उन आवश्यकताओं का भी प्रस्ताव करती है जो पूर्व सरकारी अनुमोदन के बिना किसी तीसरे देश के साथ बाहर संसाधित डेटा के साझाकरण को सीमित करती हैं।
जेपीसी ने स्थानीय नवाचार को विकसित करने के लिए एक उपकरण के रूप में डेटा स्थानीयकरण के औचित्य को दोगुना कर दिया है और स्थानीय वित्तीय प्रणालियों को विकसित करने की आवश्यकता पर बहस करने के लिए स्थानीयकरण के लिए उन्नत सुरक्षा विचारों पर चर्चा का उपयोग किया है जो मौजूदा तंत्र पर निर्भरता को कम करता है।
रिपोर्ट बिल के विनियमन के दायरे को बढ़ाती है जिससे यह छूट को समाप्त करने की आवश्यकता का प्रस्ताव करता है जो सोशल मीडिया प्लेटफॉर्म मौजूदा कानून के तहत मध्यस्थों के रूप में उनकी स्थिति के आधार पर दायित्व से आनंद लेते हैं।
बिल के तहत सोशल मीडिया प्लेटफॉर्म्स को महत्वपूर्ण डेटा फिड्यूशरीज के रूप में विनियमित करने का इसका प्रस्ताव ऐसी कंपनियों को खुद सामग्री के लिए उत्तरदायी नहीं बनाएगा।
हालांकि, संबंधित चर्चा का तर्क है कि इन व्यवसायों को अब बिचौलियों के रूप में नहीं बल्कि प्लेटफॉर्म के रूप में माना जा सकता है।
यह प्रस्ताव व्यवसायों पर संप्रभु नियामक शक्ति के एक महत्वपूर्ण अभ्यास की शुरुआत करेगा कि कुछ तर्क मुक्त भाषण के अंतिम गढ़ हैं।
विधेयक के कई अन्य पहलुओं पर, जेपीसी ने एक कामगार जैसा दृष्टिकोण अपनाया है:
इसने छोटे व्यवसायों को विधेयक के कुछ हिस्सों से छूट देने का प्रस्ताव संशोधित किया है।
जबकि पहले के प्रावधान में मैन्युअल प्रसंस्करण से छूट देने की मांग की गई थी, रिपोर्ट गैर-स्वचालित प्रसंस्करण को छूट देने के अधिक समझदार विचार का प्रस्ताव करती है।
यह बिल के फोकस को डेटा-प्रोसेसिंग गतिविधियों पर केंद्रित करता है जो मूल रूप से डेटा सुरक्षा की आवश्यकता को प्रेरित करता है
यह बिल नियोक्ताओं के लिए कर्मचारी के व्यक्तिगत डेटा तक पहुँचने की गुंजाइश को कम करता है, बच्चों के डेटा की सुरक्षा के लिए एक सरल तंत्र का प्रस्ताव करता है, और बिल के विभिन्न हिस्सों के लिए कार्यान्वयन की एक समयरेखा प्रदान करता है।
इस कार्यान्वयन अभ्यास का सबसे महत्वपूर्ण पहलू, निश्चित रूप से, डेटा सुरक्षा प्राधिकरण का निर्माण होगा, जो डेटा सुरक्षा की देखरेख के लिए प्रस्तावित अति-संग्रह नियामक है।
मुद्दा :
संसद में पेश किया गया बिल केंद्र सरकार को अपनी एजेंसियों को डेटा प्रोटेक्शन रेगुलेशन के दायरे से छूट देने का अधिकार देता है।
रिपोर्ट का प्रस्ताव है कि ऐसी एजेंसियों द्वारा अपनाई जाने वाली किसी भी प्रक्रिया को न्यायसंगत, निष्पक्ष, उचित और आनुपातिक प्रक्रिया होनी चाहिए।
जबकि यह निजता के अधिकार पर अपने फैसले में सर्वोच्च न्यायालय द्वारा निर्धारित जाँचों को समाहित करता है, यह कार्यपालिका को यह पता लगाने के लिए छोड़ देता है कि उचित, और आनुपातिक का क्या अर्थ होना चाहिए।
रिपोर्ट उस प्रावधान के समान दृष्टिकोण अपनाती है जो केंद्र सरकार को गैर-व्यक्तिगत डेटा सौंपने के लिए व्यवसायों की आवश्यकता के लिए सक्षम बनाता है।
आगे का रास्ता:
हालांकि गोपनीयता के क्षेत्र में राज्य द्वारा आक्रमण की चिंता दिखाई दे रही है, शोषण और उल्लंघन के खिलाफ डेटा संरक्षण की आवश्यकता भी आवश्यक है।
इसलिए इस प्रक्रिया में जनता के विश्वास और पुनर्निर्माण के लिए डेटा संरक्षण में राज्य की जवाबदेही समय की मांग है।