August 2, 2020
  • facebook
  • twitter
  • linkedin
personal-data-protection-bill-2019

#PrivacyPlease: भारत का पहला Data Protection बिल क्यों है विवादों में?

आपको बता दें दिसंबर 2019 में भारत ने अपने पहले प्रमुख Data Protection बिल को सदन में पेश किया था। इसमें सरकार ने कंपनियों पर लगाये जाने वालें न नए प्रतिबंधों को पेश किया था जो 1.3 बिलियन (130 करोड़) की आबादी वाले देश में लोगों की जानकरियों को इकठ्ठा और उसको उपयोग कर सकनें के संबंध में लगाये गये थे।

तब यह डेटा प्रोटेक्शन बिल करीब एक साल से अधिक समय के बाद तमाम चर्चाओं आदि के बाद संसद में पेश किया गया था। उस वक़्त ऐसा कहा जा रहा था कि भारत सरकार का यह कानून काफी हद तक यूरोप द्वारा बनाए गए प्राइवेसी प्रोटेक्शन नियमों की तर्ज पर ही बना रही है, जिससे लोगों को उनके ऑनलाइन डेटा के लिए अनुरोध और उसको बेहतर ढंग से नियंत्रित करने का अधिकार मिलेगा।

पर कहतें हैं न हर कहानी के दो पहलु होतें हैं, और हर कानून के भी। दरसल इस बिल के पेश किये जाने पर बहुत से विशेषज्ञों का कहना था कि यह प्राइवेसी प्रोटेक्शन बिल भारत को काफी हद तक इस डिजिटल कानून के मामलें में चीन जैसा बना देगा, जहाँ भले कंपनियों पर थोड़ी पाबंदी लगती जरुर नजर आ सकती है, लेकिन साथ ही साथ सरकार को इंटरनेट पर कड़ी निगरानी रखनें के भी अधिकार मिल जायेंगें।

क्यों पड़ी इस बिल की जरूरत और कैसे हुई शुरुआत?

एक बात तो हम सब जानतें हैं कि भारत में अधिकांश लोगों कंप्यूटर के माध्यम से नहीं बल्कि मोबाइल के जरिये ही इंटरनेट का उपयोग करते हैं। ऐसे में स्वाभिक है लोग इंटरनेट सेवाओं, सोशल मीडिया और अन्य ऐप का इस्तेमाल करने के लिए अपनी पर्सनल डिटेल्स जैसे नाम, मोबाइल नंबर आदि को सेवाओं के मुफ्त उपयोग के बदले उन सेवा प्रदाता कंपनियों को प्रदान कर देते हैं। आपको बता दें इनमें से अधिकतर जानकरियां और आपकी डिटेल्स देश के बाहर स्थित सर्वर पर संग्रहीत होती थी, जिसको लेकर सरकारें हमेशा से ही चिंतित रहती हैं।

लेकिन इस दिशा में किसी कानून की जरूरत तब महसूस हुई जब देश की सुप्रीम कोर्ट ने एक ऐतिहासिक Puttaswamy v India निर्णय सुनाया। दरसल 24 अगस्त, 2017 को जारी इस निर्णय में देश के सर्वोच्च न्यायालय द्वारा यह घोषणा की गयी कि प्राइवेसी भारत के संविधान के तहत एक मौलिक अधिकार है। कहतें हैं इसके बाद 2017 में ही भारत सरकार ने देश में डेटा सुरक्षा से संबंधित मुद्दों का अध्ययन करने के लिए विशेषज्ञों की एक समिति बनाई।

इसके बाद 26 सितंबर, 2018 को सुप्रीम कोर्ट ने सरकार को मजबूत डेटा सुरक्षा नियम बनाने के भी निर्देश दिए। उस वक़्त सरकार की समिति का नेतृत्व सुप्रीम कोर्ट के सेवानिवृत्त न्यायाधीश बीएन श्रीकृष्ण ने किया था। एक साल तक इस दिशा में काम करने के बाद, समिति ने जुलाई 2018 में Personal Data Protection (PDP) बिल का एक प्रारूप सरकार के सामने प्रस्तुत किया और जनता, सरकार के मंत्रियों व अन्य उद्योग विशेषज्ञों से इस पर फीडबैक की माँग भी की।

dataprotection_bill

इसके बाद 11 दिसंबर 2019 को संसद के निचले सदन लोकसभा में इस बिल का एक संशोधित मसौदा प्रस्तुत किया गया। इस बिल को पारित किये जाने से पहले इसको आगे विचार-विमर्श के लिए एक संयुक्त संसदीय समिति (JPC) को भेज दिया गया। उम्मीद यह की जा रही थी कि यह बिल 2019 में ही पास हो जाएगा लेकिन ऐसा नहीं हुआ। और अब इस बिल के 2020 में ही एक कानून या अधिनियम बन सकने की उम्मीद है।

इस बिल में क्या क्या हैं मुख्य प्रावधान?

पर्सनल डेटा प्रोटेक्शन बिल (PDP बिल) असल में भारत में इंटरनेट इस्तेमाल करने वाली जनता के पर्सनल डेटा की सुरक्षा को क़ानूनी जमा पहनानें की का पहला प्रयास है। इस बिल में सरकार का मुख्य मकसद नागरिकों के पर्सनल डेटा की प्रोसेसिंग, और ग्राहकों के पर्सनल डेटा इकठ्ठा करने और उसका उपयोग करने वाली भारतीय व विदेशी कंपनियों पर नियंत्रण रखना था। लेकिन इस बिल में जो प्रावधान सबसे अहम और काफी सुर्खियाँ बटोरने वाला था, वह यह कि इस प्रस्तावित कानून के तहत भारत सरकार कंपनियों के लिए कुछ श्रेणी के डेटा को  भारतीय सीमाओं के भीतर ही संग्रहीत करने को अनिवार्य बनाना चाहती है।

इसके साथ ही प्रस्तावित बिल में लोगों की व्यक्तिगत सहमति से ही डेटा प्रोसेसिंग की अनुमति हासिल हो सकेगी। हालाँकि यह बिल कुछ मामलों में सहमति के बिना भी पर्सनल डेटा प्रोसेसिंग की इजाजत देता है, जैसे जब सरकार किसी व्यक्ति को कोई लाभ देना चाहे, कोई मेडिकल इमरजेंसी हो, या कोई क़ानूनी कार्यवाही आदि।

इस बिल में पर्सनल डेटा के क्या हैं मायनें?

आपको बता दें यह बिल लोगों के पर्सनल डेटा के साथ डील करने वाली कंपनियों को अपने डेटा मैनेजमेंट सिस्टम को बदलने के लिए प्रेरित करेगा। दरसल बिल में डेटा की तीन श्रेणियों में बाँटा गया है, पर्सनल डेटा, Sensitive पर्सनल डेटा, और Critical पर्सनल डेटा।

यह बिल में ‘पर्सनल डेटा’ को ऑनलाइन या ऑफलाइन एकत्र की गई किसी भी जानकारी के रूप में परिभाषित करता है, जिसका उपयोग किसी व्यक्ति की पहचान करने के लिए किया जा सकता हो, जैसे नाम, पता, फोन नंबर, स्थान, खरीदारी की हिस्ट्री, फोटोग्राफ, टेलीफोन रिकॉर्ड, खाद्य प्राथमिकताएं, फिल्म प्राथमिकताएं, ऑनलाइन सर्च हिस्ट्री, मैसेज, उपयोगकर्ता की डिवाइस और सोशल मीडिया एक्टिविटी आदि।

वहीँ ‘Sensitive पर्सनल डेटा’ में स्वास्थ्य डेटा (जैसे निजी जानकारी जिसे आप डॉक्टर या स्वास्थ्य सेवा ऐप के साथ साझा करते हैं), वित्तीय डेटा (बैंकिंग और पेमेंट जानकारी), सेक्सुअल ओरिएंटेशन, बायोमेट्रिक्स (चेहरे की फोटो, उंगलियों के निशान, आईरिस स्कैन), जाति या जनजाति, धार्मिक या राजनीतिक मान्यताएं आदि आतें हैं।

वहीँ दिल्चास्ल यह है कि अभी तक ‘Critical पर्सनल डेटा’ को सरकार द्वारा परिभाषित ही नहीं किया गया है।

data-protection-bill-indian-govt

लोगों को इस बिल से क्या होंगें फायदे?

दरसल यह बिल लोगों को डेटा सुरक्षा के प्रति कई व्यक्तिगत अधिकार प्रदान करता है। बिल के अनुसार नागरिकों की व्यक्तिगत जानकारी को उनकी सहमति के बिना एकत्र, प्रोसेस और शेयर नहीं किया जा सकता है। साथ ही साथ उनसें केवल आवश्यक डेटा ही एकत्र किया जाएगा, जिसको सिर्फ और सिर्फ पूर्व-निर्धारित उद्देश्यों के लिए उपयोग किया जा सकेगा।

साथ ही कंपनियों को यह स्पष्ट रूप से संक्षिप्त में भी बताने की जरूरत होगी कि वह उपयोगकर्ताओं से कौन सा डेटा एकत्र कर रही है और उसका उद्देश्य और उपयोग क्या क्या है। साथ ही कंपनियों को यह भी बताना होगा कि वह कितने समय तक डेटा को स्टोर रखेगीं।

सबसे मुख्य बात यह है कि इस बिल के तहत लोगों को यह अधिकार मिल सकेगा कि वह अपने डेटा को एक सर्विस प्रोवाइडर से दूसरे सर्विस प्रोवाइडर में ट्रांसफर कर सकें और साथ ही साथ कंपनियों से यह भी पूछ सकें कि उनका डेटा कंपनियां अन्य कितनी कंपनियों से शेयर कर रहीं हैं।

कंपनियों पर क्या होगा इसका असर?

इस बिल की मानें तो प्राइवेट कंपनियों को अपने ग्राहकों के डेटा के डेटा स्टोरेज और प्रोसेसिंग की सीमाएं तय करनी होंगी। और साथ ही साथ किसी भी तरह की सुरक्षा खामी सामने आने पर उन्हें नियामक संस्था को उसकी जानकारी देनी होगी।

इतना ही नहीं बल्कि कंपनियों पर अतिरिक्त जिम्मेदारियां भी डालीं जा सकती हैं, जो उनके द्वारा ग्राहकों से एकत्र किए गए डेटा की मात्रा को देखते हुए तय की जायेंगी। इसमें सुरक्षा ऑडिट, डेटा सुरक्षा अधिकारी की नियुक्ति, और नियामक द्वारा परिभाषित डेटा सुरक्षा आकलन आदि जैसी कुछ महत्वपूर्ण चीज़ें शामिल होंगी। इसके साथ ही साथ ग्राहक अपने सोशल मीडिया अकाउंट को वेरीफाई कर सकें, इसके लिए भी उन्हें सहूलियत प्रदान करनी होगी।

इसके साथ ही इस बिल में शामिल डेटा स्थानीयकरण (Data Localization) नियमों के आधार पर कंपनियां ग्राहकों का पर्सनल डेटा देश के बाहर कहीं भी स्टोर कर सकती हैं। लेकिन कंपनियों को Sensitive पर्सनल डेटा, और Critical पर्सनल डेटा को भारत की सीमाओं के अन्दर ही स्टोर करना होगा। कुछ केसों में अगर नियामक संस्था मंजूरी देती है तो Sensitive पर्सनल डेटा को देश के बाहर भी स्टोर किया जा सकता है। वहीँ Critical पर्सनल डेटा को परिभाषित करने के बाद ही सरकार खुद यह सूचित करेगी की इसको देश के भीतर ही स्टोर करने की जरूरत होगी।

बिल में क्या है जुर्माने का प्रावधान?

सीधे आपको समझाएं तो बिल के अनुसार, बिना सहमति ग्राहकों का डेटा शेयर करने वाली कंपनी पर 15 करोड़ रूपये या उसके वैश्विक टर्नओवर का 4%  जुर्माना लगाया जा सकता है।

साथ ही साथ डेटा ब्रीच या इसके बारें में देरी से जानकारी देने की स्थिति में भी 5 करोड़ रूपये या कंपनी के वैश्विक टर्नओवर का 2% जुर्माना लगेगा। गौर करने वाली बात यह है कि कंपनियों का प्रतिनिधित्व करने वाले व्यक्तियों को गंभीर मामलों में जेल भी हो सकती है।

लेकिन क्यों विवादों में रहा ये बिल का संशोधित रूप?

जैसा हमनें ऊपर भी बताया यह बिल जुलाई 2018 में अपने पहले मसौदे के रूप में विशेषज्ञ समूह द्वारा प्रस्तावित स्वरुप से थोड़ा अलग होने के चलते विवादों में भी रहा था। दरसल इसका एक सबसे बड़ा कारण था सरकार द्वारा किया गया एक बदलाव, जिसके चलते भारत सरकार, कानून प्रवर्तन एजेंसियों और अधिकृत तीसरे पक्षों को नागरिक डेटा तक बिना सहमति पहुँच मिलती है।

और यही बिंदु एक बड़ा कारण बना, जिससे बिल पास होने में देरी हुई। साथ ही साथ इस बिल के मसौदे को तैयार करने वाले रिटायर्ड मुख्य जस्टिस बीएन श्रीकृष्ण ने भी नए स्वरुप को लेकर चिंताएं व्यक्त कीं और कहा कि यह नया बिल भारत को ‘फ्री और ओपन सोसाइटी’ की परिभाषा से दूर ले जाएगा।

b.n. srikrishna committee

साथ ही साथ कई उद्योग विशेषज्ञों ने कहा है कि ग्राहकों के पर्सनल डेटा तक सरकार और इसकी एजेंसियों को मिलने वाली बेहिसाब पहुंच से काफी हानि हो सकती है। इसके दो पहलु हो सकतें हैं, एक ओर प्राइवेसी बिल सरकार को डेटा नियंत्रण करके डिजिटल फुटप्रिंट्स के सहारे गैरकानूनी गतिविधियों को ट्रैक करने में मदद करेगा। वहीँ दूसरी ओर सरकार को देश में हर ग्राहकों के पर्सनल डेटा तक अनधिकृत पहुँच मिल जायेगी, जिसका इस्तेमाल सरकारें चुनाव आदि को प्रभावित करने के लिए भी कर सकती हैं।

यहाँ तक कि बिल ने ने स्वरुप के अनुसार सरकारी सेवाओं की डिलीवरी में मदद का हवाला देते हुए संबंधित उपयोगकर्ता से सहमति प्राप्त किए बिना सरकार उनके पर्सनल और नॉन-पर्सनल डेटा को प्रोसेस तक करने के अधिकार हासिल कर लेगी।

क्या है मौजूदा स्थिति?

आपको जानकर शायद हैरानी हो, लेकिन अभी भी भारत के पास मुख्य रूप से डेटा सुरक्षा के लिए कोई अधिनियमित कानून मौजूद नहीं है। डेटा सुरक्षा और प्राइवेसी के लिए भारत का नियामक तंत्र अभी भी सूचना प्रौद्योगिकी अधिनियम, 2000 (“IT Act”) और इससे संबंधित इनफार्मेशन टेक्नोलॉजी नियम, 2011 (“IT Act”) के तहत ही काम कर रहा है।

साथ ही आपको बता दें देश में पर्सनल डेटा भारतीय संविधान के अनुच्छेद 21 के तहत भी संरक्षित है, जो प्रत्येक नागरिक को इसके पर्सनल डिटेल्स की प्राइवेसी की सुरक्षा की गारंटी देता है, और इसको एक मौलिक अधिकार के रूप में दर्शाता है। इसके तहत किसी व्यक्ति द्वारा देश के नागरिक की पर्सनल जानकारी को एक्सेस करना भी निजता के अधिकार के दायरे में आता है।

हाल में भी बार-बार सामनें आ रही है इस दिशा में नए कड़े नियमों की जरूरत!

हाल ही में कोरोना वायरस कॉन्टेक्ट-ट्रेसिंग ऐप, Aarogya Setu ने भारत सरकार के लिए डेटा प्रोटेक्शन से जुड़ी कड़वी यादों को वापस सामने ला दिया। दरसल सोशल मीडिया पर फ्रेंच एथिकल हैकर Robert Batiste (जो ट्विटर पर Elliot Alderson के नाम से जाने जाते हैं), ने 6 मई को खुलासा किया कि भारत सरकार की Aarogya Setu में कुछ गंभीर सुरक्षा खामियां हैं। उनके अनुसार इस खामी के तहत कोई भी किसी भी उपयोगकर्ता की स्वास्थ्य संबंधी स्थिति और उसकी लोकेशन को जान सकता है।

हालाँकि सरकार ने इन सभी दावों का खंडन करते हुए बताया था कि ऐप पूरी तरह से सुरक्षित है। लेकिन इसके बाद भी विशेषज्ञों ने इस ऐप के जरिये सरकार पर छिपे तरीकें से निगरानी करने जैसे आरोप लगाए

 

इतना ही नहीं बल्कि Scroll.in की एक रिपोर्ट के मुताबिक डिजिटल वकालत और अधिकारों की बात करने वाले संगठन, Internet Freedom Foundation ने भी भारत सरकार को इस कांटेक्ट ट्रेसिंग ऐप के चलते नागरिक स्वतंत्रता को खतरा होने की बात कही।

ऐसे हालातों को देखते हुए देश में डिजिटल प्राइवेसी को लेकर और भी सवाल उठने लगतें हैं। और इस दिशा में सबसे बड़ी बात यह है कि अभी भी कई कंपनियां ग्राहकों से बेवजह डेटा की माँग करती हैं।

और इसलिए हम कहतें हैं कि कुछ डिटेल्स अगर जरूरी हैं, तो वो देने में एतराज़ नहीं है, लेकिन बेवजह किसी भी डिटेल्स को ‘Mandatory’ का टैग दे देना, यही बात खटकती है। और नंबर जैसी डिटेल्स लेकर भी तो कंपनियाँ दूसरी कंपनियों को डेटा बेच, हमारे फोन में स्पैम कॉल्स और मैसेजों को ही तो बढ़वा दे रहीं हैं। और तर्क क्या है कि आपने हमारी कभी न पढ़ी जाने वाले ‘Privacy Policy’ के साथ ‘Agree’ जो किया है।

लेकिन क्यों नहीं हो सकता ऐसा कि जिसको देने में कोई हर्ज नहीं अपना डेटा सिर्फ़ वो ही तुम्हारी Privacy Policy से ‘I Agree’ कर जाए? बाकी सबको एक ऑप्शन ‘Privacy Please’ का भी दिया जाए।

अगर आप हमारी बात से सहमत हैं तो कमेंट बॉक्स पर बताएं और शेयर करके अपने दोस्तों से भी पूछें! हक़ से कहें #PrivacyPlease

 

amicableashutosh@gmail.com'

Co-Founder & Editor-In-Chief
  • facebook
  • twitter
  • linkedIn
  • instagram

Leave a Reply

Your email address will not be published. Required fields are marked *