डिजिटल विभाजन की उत्पत्ति
भारत की डेटा निजता व्यवस्था का विकास डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) अधिनियम, 2023 और उसके बाद 2025 में डीपीडीपी नियमों के लागू होने के साथ एक महत्वपूर्ण मील के पत्थर तक पहुंच गया। जबकि ये उपकरण 2011 के एसपीडीआई नियमों द्वारा पहली बार स्थापित सुरक्षा का सफलतापूर्वक आधुनिकीकरण करते हैं, वे गैर-डिजिटल डेटा के मौलिक बहिष्कार पर बनाए गए हैं।
ऐतिहासिक के. एस. पुट्टास्वामी बनाम भारत संघ के फैसले की भावना के साथ खुद को संरेखित करके, यह ढांचा निजता को जीवन के अधिकार से उत्पन्न मौलिक अधिकार के रूप में मान्यता देता है। हालांकि, डिजिटल रूप में डेटा के लिए अपने परिचालन दायरे को सख्ती से प्रतिबंधित करके, कानून भौतिक रिकॉर्ड के लिए एक "निजता वैक्यूम" बनाता है। यह भारतीय आबादी का एक महत्वपूर्ण हिस्सा छोड़ देता है, विशेष रूप से जो ग्रामीण स्वास्थ्य सेवा या विरासत बैंकिंग जैसे कम डिजिटल क्षेत्रों के साथ बातचीत कर रहे हैं, एक ऐसे युग में शोषण के लिए असुरक्षित हैं जहां भौतिक और डिजिटल भंडारण के बीच की सीमा तेजी से छिद्रपूर्ण हो रही है।
तुलनात्मक न्यायशास्त्र और वैश्विक मानक
गैर-डिजिटल डेटा को बाहर करने का भारत का विकल्प एक जानबूझकर विधायी समझौता प्रतीत होता है जिसका उद्देश्य एक ऐसे देश पर प्रशासनिक और वित्तीय बोझ को कम करना है जहां डिजिटलीकरण का स्तर असमान रहता है। यूरोपीय संघ के जीडीपीआर और 2018 के यूके डेटा संरक्षण अधिनियम के तहत, कानून "संरचित मैनुअल फाइलिंग सिस्टम" के भीतर सभी व्यक्तिगत डेटा पर लागू होता है, यह सुनिश्चित करता है कि संवेदनशील जानकारी केवल कागज पर संग्रहीत करके विनियमन को दरकिनार नहीं कर सकती है।
इसी तरह, सिंगापुर का पीडीपीए डेटा के इलेक्ट्रॉनिक और गैर-इलेक्ट्रॉनिक दोनों रूपों की रक्षा करता है, यह मानते हुए कि जानकारी की अंतर्निहित संवेदनशीलता इसके भंडारण के माध्यम की तुलना में अधिक महत्वपूर्ण है। एक मध्यम-तटस्थ दृष्टिकोण अपनाने में विफल रहने से, भारतीय ढांचा एक "अनियमित स्थान" के निर्माण का जोखिम उठाता है जहां अधिनियम की परिकल्पना की गई जवाबदेही तंत्र के बिना जानकारी को संसाधित किया जा सकता है।
स्वतंत्र प्रत्ययी का उद्भव
शायद भारत के वर्तमान ढांचे के भीतर सबसे महत्वपूर्ण जोखिम वह है जिसे स्वतंत्र डेटा प्रत्ययी या माध्यमिक डिजिटाइज्ड डेटा व्युत्पन्न प्रत्ययी कहा जा सकता है। यह घटना तब प्रकट होती है जब एक विरासत इकाई, जैसे कि अस्पताल, शैक्षिक ट्रस्ट, या दशकों के भौतिक अभिलेखागार रखने वाले सरकारी विभाग, इन रिकॉर्डों को डिजिटलीकरण के लिए तीसरे पक्ष के सेवा प्रदाता को स्थानांतरित कर देती है।
क्योंकि डीपीडीपी अधिनियम, 2023, मुख्य रूप से डिजिटल रूप में एकत्र किए गए या डिजिटल स्रोतों से डिजिटल किए गए डेटा को लक्षित करता है, जो डेटा एक भौतिक प्रारूप में उत्पन्न होता है, उसके रूपांतरण के क्षण तक एक नियामक "प्रकृति की स्थिति" में मौजूद होता है।
समस्या का मूल डेटा प्रोवेनेंस की गंभीरता में निहित है। जब कोई तृतीय-पक्ष "डिजिटाइजेशन फिड्यूशियरी" एक भौतिक दस्तावेज़ को स्कैन करता है, तो वे केवल एक प्रारूप को परिवर्तित नहीं कर रहे हैं; वे नए डिजिटल व्यक्तिगत डेटा को अस्तित्व में ला रहे हैं। वर्तमान व्याख्याओं के तहत, क्योंकि मूल संग्रह भौतिक था और इसलिए छूट थी, प्रत्ययी यह तर्क दे सकता है कि अधिनियम की धारा 5 के तहत "सूचना" और "सहमति" आवश्यकताएं पूर्वव्यापी रूप से लागू नहीं होती हैं। यह विनियमित डोमेन में एक "साइड डोर" बनाता है जहां व्यक्तिगत जानकारी सहमति के स्पष्ट ऑडिट ट्रेल के बिना डिजिटल पारिस्थितिकी तंत्र में प्रवेश करती है, प्रभावी रूप से डेटा प्रिंसिपल के सूचित होने के अधिकार को दरकिनार करती है।
इसके अलावा, वाणिज्यिक क्षेत्र में, यह संरचनात्मक अंतर सुविधा प्रदान करता है जिसे "डेटा लॉन्ड्रिंग" कहा जा सकता है। अनियमित भौतिक दायरे से डेटा को तीसरे पक्ष के मध्यस्थ के माध्यम से विनियमित डिजिटल दायरे में स्थानांतरित करके, निगम अपने मूल सहमति दायित्वों के डेटा को प्रभावी ढंग से "साफ" कर सकते हैं:
1. आउटसोर्सिंग खामियां : एक कंपनी अपने भौतिक अभिलेखागार को किसी सहायक या विक्रेता को आउटसोर्स कर सकती है। एक बार डिजिटलीकृत होने के बाद, विक्रेता एक कार्य उत्पाद के रूप में डिजिटल डेटासेट के "स्वामित्व" का दावा करता है। यह मूल मानव विषय और डिजिटल रिकॉर्ड के बीच कानूनी संबंध को अलग करता है।
2. द्वितीयक बाजारः ये स्वतंत्र प्रत्ययी अक्सर इन "नवजात" डिजिटल डेटासेट को बाजार विश्लेषण या जोखिम प्रोफाइलिंग के लिए बेचकर उनका मुद्रीकरण करते हैं। चूंकि डेटा कभी भी व्यक्ति से "डिजिटल रूप से एकत्र" नहीं किया गया था, इसलिए प्रत्ययी इस धारणा के तहत काम करता है कि उनका डेटा प्रिंसिपल के प्रति कोई कर्तव्य नहीं है, जिससे व्यक्ति के सुधार या मिटाने के अधिकार अप्रवर्तनीय हो जाते हैं।
आनुपातिकता चुनौती और संवैधानिक वैधता
डिजिटल और गैर-डिजिटल डेटा के बीच वर्गीकरण की जांच आनुपातिकता के सिद्धांत के माध्यम से की जानी चाहिए जैसा कि पुट्टास्वामी में पुष्टि की गई है। जबकि डिजिटल क्षेत्र की रक्षा करना एक वैध उद्देश्य है और डिजिटल डेटा के दायरे को सीमित करने का नियामक व्यवहार्यता के लिए एक तर्कसंगत गठजोड़ है, इस उपाय की "आवश्यकता" चुनौती के लिए खुली है बिना किसी व्यक्ति की निजता को नुकसान पहुंचाए भौतिक चिकित्सा फाइलों या शैक्षिक रिकॉर्ड का अनधिकृत उपयोग या उल्लंघन डिजिटल उल्लंघन के समान है।
इसलिए, उच्च जोखिम वाले भौतिक डेटा का कुल बहिष्कार असमान दिखाई देता है जब प्राप्त प्रशासनिक दक्षता के खिलाफ तौला जाता है। इसके अलावा, यह बहिष्करण अनजाने में डिजिटल साधनों को सुरक्षित करने के लिए संक्रमण को हतोत्साहित कर सकता है, क्योंकि प्रत्ययी इसे "सुरक्षित" और अपने मैनुअल रूप में डेटा को बनाए रखने या उसका फायदा उठाने के लिए कम विनियमित पा सकते हैं।
एक व्यापक भविष्य के लिए डेटा प्रिंसिपल को फिर से परिभाषित करना
इस नियामक अंतर को पाटने और डिजिटल डेरिवेटिव के आसपास की अस्पष्टता को दूर करने के लिए, सरकार को एक स्पष्टीकरण प्रदान करना चाहिए जो डेटा प्रिंसिपल को अधिक व्यापक रूप से फिर से परिभाषित करता है। एक प्रिंसिपल को केवल उस व्यक्ति के रूप में परिभाषित करने के बजाय जिससे डिजिटल डेटा संबंधित है, परिभाषा में स्पष्ट रूप से डेटा का "मूल स्रोत" शामिल होना चाहिए।
इस परिभाषा को एक "प्रभावित पक्ष" की अवधारणा के साथ संरेखित करके, आपराधिक प्रक्रिया संहिता के तहत पीड़ितों को दी गई सुरक्षा के समान, कानून यह सुनिश्चित करेगा कि व्यक्ति के अधिकार इसके प्रारूप की परवाह किए बिना जानकारी से जुड़े रहें। इस तरह की उद्देश्यपूर्ण व्याख्या वैधानिक ढांचे को अपने अंतर्निहित संवैधानिक उद्देश्य के साथ संरेखित करेगी: पूरी तरह से निजता के मौलिक अधिकार की रक्षा करना, यह सुनिश्चित करना कि कोई भी व्यक्तिगत जानकारी कानून के "क्षेत्र के बाहर" न रहे।
लेखक- उद्धव गुप्ता एक वकील हैं और आर सात्विक एक लॉ स्टूडेंट हैं। विचार व्यक्तिगत हैं।