डिजिटल पर्सनल डेटा प्रोटेक्शन रूल्स 2025 का मसौदा: लक्ष्य अभी भी दूर है?

व्यक्तिगत डेटा के दुरुपयोग और इसके संभावित वस्तुकरण पर बढ़ती चिंताओं के बीच, डिजिटल व्यक्तिगत डेटा सुरक्षा अधिनियम (डीएडीपी अधिनियम 2023) 11 अगस्त, 2023 को पारित किया गया था। हालांकि, नियमों और विनियमों की अनुपस्थिति में, कानून काफी हद तक अप्रभावी रहा। अधिनियमन के 16 महीने बाद, इस 3 जनवरी, 2025 को, केंद्र सरकार ने सार्वजनिक परामर्श के लिए मसौदा डिजिटल व्यक्तिगत डेटा सुरक्षा नियम (डीएडीपी नियम) पेश किए। जबकि अधिनियम और मसौदा नियमों ने डेटा सुरक्षा के लिए विभिन्न प्रावधानों को शामिल करने का दावा किया, अंततः निजता के मौलिक अधिकार को कमजोर करने की ओर अग्रसर हैं।

डेटा स्वामित्व और सहमति

डीएडीपी अधिनियम 2023 व्यक्तियों को 'डेटा प्रिंसिपल' और डेटा को संभालने वाली संस्थाओं को 'डेटा फ़िड्यूशियरी' के रूप में परिभाषित करता है। यह अनिवार्य करता है कि कंपनियाँ व्यक्तियों के डेटा का उनकी सहमति के बिना उपयोग नहीं कर सकती हैं। मसौदा नियमों का नियम 3 कंपनियों द्वारा व्यक्तियों को नोटिस दिए जाने की आवश्यकता पर विस्तार से बताता है। नोटिस में सरल और समझने योग्य भाषा में एकत्रित की जा रही जानकारी (नाम, पता, मोबाइल नंबर, आदि) का प्रकार निर्दिष्ट किया जाना चाहिए। इसमें डेटा संग्रह के उद्देश्य और उन सेवाओं का भी खुलासा किया जाना चाहिए जिनके लिए डेटा का उपयोग किया जाता है।

कंपनियों को नोटिस में निर्दिष्ट नहीं किए गए उद्देश्यों के लिए एकत्रित डेटा का उपयोग करने से प्रतिबंधित किया गया है, और व्यक्ति/डेटा प्रिंसिपल किसी भी समय अपनी सहमति वापस ले सकते हैं। एक बार सहमति वापस लेने के बाद, कंपनियां अब डेटा का उपयोग नहीं कर सकती हैं। यूरोपीय संघ के 2018 के सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) के विपरीत, मसौदा नियम उपयोगकर्ता नोटिस के लिए एक विशिष्ट प्रारूप निर्धारित नहीं करते हैं। हालांकि, उपयोगकर्ताओं को अपनी पहचान स्थापित करने के लिए जानकारी प्रदान करते समय महत्वपूर्ण जानकारी छिपाने या डेटा सुरक्षा बोर्ड या अन्य संस्थाओं को झूठी शिकायत दर्ज करने से प्रतिबंधित किया जाता है।

प्रावधानों का उल्लंघन करने पर डीएडीपी अधिनियम 2023 की धारा 15 के तहत 10,000 रुपये तक का जुर्माना लगाया जा सकता है, जो व्यक्तियों को शिकायत दर्ज करने से रोक सकता है। यह नैतिक हैकिंग जैसी 'गुमनाम' गतिविधियों को भी प्रभावित कर सकता है। हालांकि डेटा उल्लंघन के लिए सरकार और प्रभावित व्यक्तियों दोनों को मुआवज़ा दिए जाने की मांग की गई थी, लेकिन इसे मसौदा नियमों में शामिल नहीं किया गया है।

स्वतंत्र 'सहमति प्रबंधक'

डीपीडीपी अधिनियम 2023 की धारा 6 व्यक्तियों के लिए 'सहमति प्रबंधक' नामक एक स्वतंत्र तंत्र के प्रावधान को अनिवार्य बनाती है, ताकि वे कंपनियों को दी जाने वाली जानकारी (डेटा) की समीक्षा कर सकें और डेटा का उपयोग करने के लिए सहमति दे सकें या वापस ले सकें। मसौदा नियम 4 ऐसी कंपनियों के 'डेटा सुरक्षा बोर्ड' के साथ पंजीकरण और व्यक्तियों के डेटा की सुरक्षा के लिए मज़बूत सुरक्षा प्रणालियों की आवश्यकताओं को रेखांकित करता है। सहमति प्रबंधकों को कम से कम सात वर्षों तक ऐसे रिकॉर्ड बनाए रखने चाहिए और उनसे अत्यधिक भरोसेमंद होने की अपेक्षा की जाती है, उन्हें अपनी सेवाओं को आउटसोर्स करने से प्रतिबंधित किया जाता है।

नियम 6 उन सुरक्षा उपायों के बारे में विस्तार से बताता है जिन्हें कंपनियों को बनाए रखना चाहिए, जिसमें एन्क्रिप्शन, एक्सेस कंट्रोल, अनधिकृत पहुंच की रोकथाम, डेटा बैकअप और डेटा उल्लंघनों को रोकने और उनका पता लगाने के लिए प्रत्येक गतिविधि के लिए लॉग का रखरखाव शामिल है। नियम 7 में यह प्रावधान है कि कंपनियों को अपने सिस्टम में किसी भी डेटा उल्लंघन के बारे में 72 घंटों के भीतर बोर्ड और व्यक्तियों को सूचित करना चाहिए, साथ ही इसके कारणों और की गई कार्रवाइयों के बारे में भी बताना चाहिए।

नियम 8 के अनुसार, कंपनियों को किसी व्यक्ति के डेटा को प्लेटफ़ॉर्म पर इस्तेमाल न किए जाने के तीन साल बाद हटाना चाहिए, और ऐसे व्यक्ति को 48 घंटे पहले सूचित किया जाना चाहिए। नियम 9 के अनुसार कंपनियों को अपनी वेबसाइटों पर व्यक्तियों के डेटा के बारे में उनके प्रश्नों का समाधान करने के लिए जिम्मेदार लोगों के नाम और विवरण प्रकाशित करने और व्यक्तियों के साथ संचार का विवरण रिकॉर्ड करने की आवश्यकता होती है।

बच्चों और दिव्यांगों के लिए 'सत्यापनीय अभिभावक सहमति'

अधिनियम की धारा 9 18 वर्ष से कम उम्र के बच्चों और दिव्यांग व्यक्तियों के डेटा के लिए बढ़ी हुई सुरक्षा को अनिवार्य बनाती है। इसमें उनके डेटा (सोशल मीडिया खातों और विभिन्न ऑनलाइन सेवाओं के लिए) के संग्रह के लिए सत्यापन योग्य अभिभावक सहमति की आवश्यकता होती है। मसौदा नियमों के नियम 10 के अनुसार माता-पिता को पहले अपनी वयस्कता साबित करनी होगी, जो कंपनी के पास पहले से उपलब्ध जानकारी, मान्यता प्राप्त पहचान पत्रों से जानकारी या टोकन-आधारित सिस्टम के माध्यम से किया जा सकता है।

मसौदा नियम 10 में कई व्यावहारिक और तकनीकी चुनौतियां हैं, बच्चे या माता-पिता द्वारा वर्तमान स्व-सत्यापन के बजाय, माता-पिता की वयस्कता की पुष्टि करने के लिए सभी डेटा उपयोगकर्ताओं की आयु की पुष्टि करना आवश्यक होगा, जिससे चिंताएं बढ़ रही हैं।

डेटा अधिकतमीकरण बनाम न्यूनतमीकरण

डेटा सुरक्षा कानूनों का प्राथमिक उद्देश्य डेटा न्यूनतमीकरण है, अर्थात, एक आवश्यक समय अवधि के लिए केवल आवश्यक न्यूनतम डेटा प्रदान करना। यूरोपीय संघ के कानून इस तरह के दृष्टिकोण को अपनाते हैं। हालांकि, नागरिकों के व्यापक संवेदनशील डेटा के संग्रह के साथ आधार, डिजिलॉकर आदि के माध्यम से सरकार के डेटा अधिकतमीकरण और केंद्रीकरण को लेकर चिंताएं हैं। जबकि डीपीडीपी अधिनियम बच्चों को ट्रैक करने या उन्हें लक्षित विज्ञापनों के अधीन करने, खोज पैटर्न के आधार पर सिफारिशें करने पर रोक लगाता है, मसौदा नियमों का नियम 11 बच्चों को इससे छूट देता है।

स्वास्थ्य सेवा पेशेवर, शैक्षणिक संस्थान, बाल देखभाल संस्थान चौथी अनुसूची में उल्लिखित प्रावधानों के अंतर्गत आते हैं। 'शैक्षणिक संस्थानों' की परिभाषा स्पष्ट नहीं है, जिससे यह अस्पष्टता बनी हुई है कि इसमें निजी और ऑनलाइन कोचिंग केंद्र शामिल हैं या नहीं।

साइबर दुनिया के दुष्प्रभावों से बच्चों की सुरक्षा और उनके सर्वोपरि विचार की आवश्यकता के बारे में कोई विवाद नहीं हो सकता है, डेटा सुरक्षा नियमों में कई प्रावधानों को लागू करना असंभव होगा। लाखों डिजिटल रूप से निरक्षर माता-पिता से सहमति प्राप्त करने और सत्यापित करने की जटिलताएं बच्चों की ऑनलाइन शिक्षण प्रणालियों तक पहुंच में बाधा डाल सकती हैं।

डेटा सुरक्षा बोर्ड: स्वतंत्रता पर सवाल

डीपीडीपी 2025 नियमों के मसौदे में कुल 22 नियमों और सात अनुसूचियों में से नियम 16 ​​से 20 और अनुसूची 5 और 6 डेटा सुरक्षा बोर्ड के निर्माण से संबंधित हैं, जो सरकार द्वारा सीधे नियुक्त सदस्यों का गठन करने वाला निकाय है। बोर्ड के पास उपयोगकर्ता की शिकायतों को सुनने और दंड लगाने का अधिकार है। अध्यक्ष की नियुक्ति एक खोज-सह-चयन समिति के माध्यम से की जानी है।

सवाल यह है कि ये नियुक्तियां सरकारी प्रभाव से कितनी स्वतंत्र होंगी। डेटा प्रोटेक्शन बोर्ड की शक्तियां और गठन चिंता का एक और क्षेत्र है। यह उन मामलों पर विचार नहीं कर सकता है जिनमें सरकारी एजेंसियां (जैसे, आधार प्राधिकरण) अधिनियम और नियमों के प्रावधानों का उल्लंघन करते हुए काम करती हैं। अधिनियम और नियमों के कई महत्वपूर्ण पहलुओं को "सरकार द्वारा बाद में तय" करने के लिए छोड़ दिया जाता है, जो सरकार को अपनी सुविधानुसार कार्यकारी आदेश जारी करने की अनुमति देता है।

सरकारी निगरानी?

डीपीडीपी अधिनियम 2023 का बहुत आलोचना वाला पहलू- सिद्धांत कि 'यह सरकार पर लागू नहीं होता'- मसौदा नियमों में कई प्रावधानों द्वारा दृढ़ता से पुष्ट किया गया है। नियम 5 राज्य और उसके साधनों को कानूनी रूप से सब्सिडी, लाभ, सेवाएं, प्रमाण पत्र, लाइसेंस आदि प्रदान करने के लिए नई सहमति प्राप्त किए बिना व्यक्तियों के डेटा को संसाधित करने का अधिकार देता है। यह अनिश्चित काल तक बनाए रखने की भी अनुमति देता है। हालांकि, 'राज्य साधन' के लिए परिभाषा की अनुपस्थिति और एकत्र की जा रही 'आवश्यक जानकारी' के बारे में स्पष्टता की कमी ("आनुपातिकता" सिद्धांत) छूट को अत्यधिक विवादास्पद बनाती है। अधिनियम की धारा 36 के लिए तैयार किए गए मसौदा नियमों का नियम 22, राज्य निगरानी की भयावह तस्वीर पेश करता है। यह केंद्र सरकार को कंपनियों से सातवीं अनुसूची में शामिल किसी भी जानकारी को इकट्ठा करने की अनुमति देता है, और कंपनियों को सरकार द्वारा एकत्र किए गए डेटा को संबंधित व्यक्तियों को बताने से रोकता है।

सातवीं अनुसूची में सरकार की व्यापक शक्तियों को बनाए रखने वाली तीन श्रेणियां शामिल हैं। पहली, हमेशा की तरह, देश की संप्रभुता, अखंडता और सुरक्षा से संबंधित है। दूसरी श्रेणी वह जानकारी है जो मौजूदा कानूनों के प्रवर्तन या अनुपालन में सहायता करती है। तीसरा प्रावधान किसी भी डेटा फिड्युसरी या फिड्युसरी के वर्ग को महत्वपूर्ण डेटा फिड्युसरी के रूप में अधिसूचित करने के लिए मूल्यांकन करने के लिए है।

दुनिया भर की सरकारें अक्सर अस्पष्ट शब्दों को पेश करते हुए कठोर कानून बनाती हैं जो गलत व्याख्या के लिए खुले होते हैं। हमारे पास आईटी और टेलीग्राफ अधिनियमों और मनमाने ढंग से राज्य के हस्तक्षेप की अनुमति देने वाले नियमों के उदाहरण हैं। पत्रकारों को अपने स्रोत (मीडिया संगठन भी डेटा फ़िड्युसरी हैं) का खुलासा करने के लिए बाध्य करने वाले मनमाने प्रावधानों की पहले एडिटर्स गिल्ड और मीडिया संगठनों द्वारा आलोचना की जा चुकी है।

सरकारी डेटा एक्सेस: उपयोगकर्ताओं के लिए कोई सुरक्षा उपाय नहीं

इस तीसरी श्रेणी को शामिल करना - जो केंद्र सरकार को डेटा फ़िड्युसरी को 'महत्वपूर्ण डेटा फ़िड्युसरी' घोषित करने और डेटा प्रिंसिपल को सूचित किए बिना डेटा फ़िड्युसरी या बिचौलियों से जानकारी मांगने की अनुमति देता है - गंभीर संवैधानिक चिंताएं पैदा करता है।

अधिनियम की धारा 10 के अनुसार, 'महत्वपूर्ण डेटा फ़िड्युसरी' में फ़ेसबुक, यूट्यूब, एक्स (पूर्व में ट्विटर) और इंस्टाग्राम जैसे प्लेटफ़ॉर्म शामिल होने की संभावना है - ऐसी संस्थाएं जो बहुत अधिक मात्रा में डेटा संभालती हैं, जिनकी विशिष्ट सीमा बाद में केंद्र सरकार द्वारा निर्धारित की जाएगी, जैसा कि आईटी नियम 2021 के मामले में किया गया था।

हालांकि, व्यक्ति को सूचित किए बिना और इस हस्तांतरण को चुनौती देने के लिए किसी भी तंत्र के बिना व्यक्तिगत डेटा का अनुरोध करने का सरकार का अधिकार ऐसी स्थिति पैदा करता है जहाँ नागरिक इस बात से अनजान रहते हैं कि राज्य द्वारा उनका डेटा कैसे एकत्र या व्याख्या किया जाता है। पारदर्शिता की यह कमी एक भयावह प्रभाव को बढ़ावा देती है, जिससे अनियंत्रित डेटा संग्रह संभव हो जाता है जो सेंसरशिप, राजनीतिक रूप से प्रेरित या मनमाने ढंग से निगरानी, ​​हिरासत और कारावास की सुविधा प्रदान कर सकता है - सभी बिना उचित प्रक्रिया के। ऐसे प्रावधान मौलिक अधिकारों को सीधे तौर पर कमजोर करते हैं। अगर ऐसा है, तो फिर, कानून का असली उद्देश्य क्या है?

आपकी आवाज़ मायने रखती है। परामर्श में भाग लें!

डिजिटल अधिकारों के पक्षधर अपार गुप्ता बताते हैं कि जबकि दूरसंचार अधिनियम और अन्य कानूनों ने अवरोधन और डिजिटल उपकरणों की जब्ती (आपराधिक जांच के हिस्से के रूप में) के लिए लिखित आदेश सहित प्रक्रियाएं स्थापित की हैं, नियम 22 ऐसी सभी प्रक्रियाओं को दरकिनार कर देता है।

भारत में पिछले अनुभवों का हवाला देते हुए, उन्होंने कहा कि जटिल प्रावधान, जैसे कि एंड-टू-एंड एन्क्रिप्शन (जिसे अभी तक लागू नहीं किया गया है?) के बारे में आईटी नियम 2021 में एक प्रावधान, संभवतः जरूरत पड़ने पर बड़े प्लेटफॉर्म को धमकाने और नियंत्रित करने के लिए है। मसौदा नियमों पर चर्चाएं सक्रिय हैं, क्योंकि सार्वजनिक प्रतिक्रिया के लिए समय सीमा 5 मार्च, 2025 तक बढ़ा दी गई है।

जनता MeitY की आधिकारिक वेबसाइट (https://www.meity.gov.in/data-protection-framework) पर अपनी प्रतिक्रिया दे सकती है। वर्तमान में, चर्चाएं मुख्य रूप से वाणिज्यिक पक्ष में कंपनियों के सामने आने वाली व्यावहारिक चुनौतियों पर केंद्रित हैं। हालांकि, नागरिकों के मौलिक अधिकारों के बारे में अधिक महत्वपूर्ण चर्चाओं को पर्याप्त रूप से संबोधित नहीं किया जा रहा है। दुर्भाग्य से, पिछले अनुभवों से सरकार की ओर से सुधार की बहुत कम उम्मीद है। चाहे वह श्रेया सिंघल मामला हो, जस्टिस पुट्टास्वामी मामला हो, या हाल ही में आईटी नियमों में तथ्य-जांच प्रावधानों को खत्म करना हो, सुप्रीम कोर्ट ने मौलिक अधिकारों की रक्षा के लिए बार-बार हस्तक्षेप किया है। हालांकि, सार्थक बदलाव लाने के लिए नागरिकों को सक्रिय रूप से प्रतिक्रिया देनी चाहिए और फीडबैक देना चाहिए।

लेखक के अनवर सदथ डेमोक्रेटिक अलायंस फॉर नॉलेज फ्रीडम (डीएकेएफ) के अध्यक्ष हैं, उनके विचार निजी हैं)