कैसा होगा भारत का डेटा संरक्षण कानून

केंद्रीय मंत्रिमंडल ने बुधवार 4 दिसम्बर को व्यक्तिगत डेटा संरक्षण विधेयक-2019 को अपनी मंजूरी दे दी. यह विधेयक 11 दिसंबर को संसद में पेश कर दिया गया है. इस बिल के जरिए सार्वजनिक और प्राइवेट कंपनियों के लिए निजी डेटा की प्रोसेसिंग [pj1] को लेकर कानून बनाने का उद्देश्य है. विधेयक के पास हो जाने के बाद भारतीय विदेशी कंपनियों को व्यक्तियों के बारे में प्राप्त व्यक्तिगत जानकारियों के इस्तेमाल को लेकर कुछ मर्यादाओं का पालन करना होगा. हालांकि सुप्रीम कोर्ट ने 2017 में प्राइवेसी को मौलिक अधिकार घोषित किया था, पर अभी तक देश में व्यक्तिगत सूचनाओं के बारे में कोई नियम नहीं है.

यह विधेयक व्यक्तिगत डेटा संरक्षण विधेयक-2018 पर आधारित है, जिसे एक उच्चस्तरीय समिति की सिफारिशों के आधार पर तैयार किया गया था. इस समिति की अध्यक्षता सुप्रीम कोर्ट के पूर्व न्यायाधीश जस्टिस बीएन श्रीकृष्ण ने की थी. चूंकि सरकार के विभिन्न मंत्रालयों के बीच इस विषय पर विमर्श चल रहा था, इसलिए इसे सरकार के पिछले दौर में रखा नहीं जा सका था. यह कानून पास हो जाने के बाद कम्पनियों को कुछ समय इसके लिए दिया जाएगा, ताकि वे अपनी व्यवस्थाएं कर सकें.

डेटा का महत्व

डेटा संरक्षण विधेयक के महत्व को समझने के पहले सूचनाओं के महत्व को समझना भी जरूरी होगा. जैसे-जैसे इंटरनेट का विस्तार हो रहा है और जीवन में उसकी भूमिका बढ़ रही है, वैसे-वैसे जीवन में सुविधाओं और सहूलियतों के साथ-साथ कई तरह की पेचीदगियाँ भी बढ़ रही हैं. खासतौर से इंटरनेट से जुड़े विषयों के न्यायिक पक्ष का विस्तार होगा. इसमें क्षेत्राधिकार के सवाल भी खड़े होंगे. हालांकि देशों ने इंटरनेट के इस्तेमाल को अपने-अपने तरीके से नियंत्रित किया है. इसपर हम वस्तुतः विश्व-नागरिक के रूप में भ्रमण करते हैं, इसलिए हमें इसकी राष्ट्रीय और अंतरराष्ट्रीय परिधियों पर भी विचार करना होगा. इसके साथ ही हमें गूगल जैसे सर्च इंजनों की दुविधाओं को भी समझना होगा, जिनका कार्यक्षेत्र पूरा विश्व है. दूसरी तरफ प्रत्येक देश की संप्रभुता और मर्यादाओं के सवाल भी खड़े होंगे.

सन 2014 में यूरोपियन कोर्ट ऑफ जस्टिस ने एक मुकदमे में हिस्पानी नागरिक कोस्तेजा गोंज़ालेज़ के पक्ष में फैसला सुनाया. यह मुकदमा बड़े रोचक विषय को लेकर था. इस व्यक्ति का कहना था कि मैंने गूगल में जब अपना नाम सर्च इंजन में डाला, तो सन 1998 में एक अखबार में प्रकाशित एक विवरण सामने आया. इस आलेख को लेकर मैं सन 2009 में उस अखबार के दफ्तर में गया और निवेदन किया कि इस विवरण को अपनी वैबसाइट से हटा दीजिए, क्योंकि अब यह प्रासंगिक नहीं है.

अखबार ने कहा कि हम ऐसा नहीं करेंगे, क्योंकि हमें आपकी यह माँग उचित नहीं लगती है. इसपर गोंज़ालेज़ ने गूगल से गुहार की कि कुछ ऐसी व्यवस्था कीजिए कि जब मेरे नाम को सर्च इंजन में डाला जाता है, तो यह आलेख सामने न आने पाए. गूगल ने भी उसकी बात नहीं सुनी. तब इन सज्जन ने यूरोपियन कोर्ट में अर्जी लगाई. इसपर अदालत ने गूगल से कहा कि जब कोई नागरिक आपसे अनुरोध करे कि उसके बारे में अपर्याप्त, अप्रासंगिक या गैर-जरूरी विवरण हटाया जाए, तो आप उसे हटाएं.

विस्मरण का अधिकार

अदालत के इस निर्णय के बाद मानव अधिकारों की सूची में एक नए अधिकार का नाम और जुड़ गया, जिसे ‘भूल जाने का अधिकार (राइट टु बी फॉरगॉटन)’ का नाम दिया गया. यह अधिकार यूरोपियन यूनियन के जनरल डेटा प्रोटेक्‍शन रेग्युलेशन (जीडीपीआर) में भी शामिल हो गया. 25 मई 2018 से लागू यह कानून यूरोपीय नागरिकों के व्यक्तिगत डेटा संरक्षण का सबसे महत्वपूर्ण उपकरण है और इसका उल्लंघन होने पर भारी जुर्माना लगाया जा सकता है. इसके अनुच्छेद 17 में बताया गया है कि ईयू का कोई निवासी किस प्रकार अपने इस अधिकार को हासिल कर सकता है.

यह अधिकार भी असीम नहीं है. जब अभिव्यक्ति की स्वतंत्रता से जुड़ा कोई कारण हो या सार्वजनिक हित, सार्वजनिक स्वास्थ्य की रक्षा, वैज्ञानिक अनुसंधान या सांख्यिकीय संग्रहण वगैरह के लिए इस अनुरोध को अस्वीकार करना जरूरी हो, तो इसे ठुकराया भी जा सकता है. साथ ही यह वैश्विक अधिकार नहीं है, यह केवल यूरोपियन नागरिकों को ही उपलब्ध है. गत 1 अक्तूबर को यूरोपियन न्यायालय ने गूगल के पक्ष में किए अपने एक फैसले में इस बात को स्पष्ट किया है.

गूगल ने फ्रांस की नियामक संस्था सीएनआईएल के एक आदेश को चुनौती दी थी जिसमें गूगल से कहा गया था कि अपने वैश्विक डेटा बेस से कुछ वैब पतों को हटाए. गूगल ने इस आदेश को मानने से इनकार कर दिया था. उसका कहना था कि इसे स्वीकार करने का अर्थ है दुनियाभर में सूचना के निर्बाध प्रवाह को रोकना. इसपर सीएनआईएल ने गूगल पर एक लाख यूरो (लगभग 77 लाख रुपये) का जुर्माना लगाया. न्यूयॉर्क टाइम्स में प्रकाशित एक विवरण के अनुसार गूगल के पास इस आशय के 8.45 लाख अनुरोध आ चुके हैं, जिनमें 33 लाख इंटरनेट साइट्स को हटाने का अनुरोध किया गया है.

केवल यूरोप में

गत 1 अक्तूबर को आए एक फैसले में अदालत ने यह भी स्पष्ट किया कि यह अधिकार केवल यूरोप तक सीमित है. इसका मतलब यह है कि भारत या यूरोप से बाहर अन्य देशों में नागरिकों को यह अधिकार प्राप्त नहीं है. लगता यह है कि आने वाले समय में इस अधिकार को बड़ी चुनौतियाँ अमेरिका में मिलेंगी, जहाँ संविधान के पहले संशोधन के तहत सूचना के संरक्षण के अधिकार भी हैं. सवाल यह भी है कि क्या यह नए प्रकार की सेंसरशिप नहीं है?

यूरोप के इस कानून के बाद भारत भी अब डेटा संरक्षण से जुड़े कानून को बनाने जा रहा है, इसलिए इस पर विचार करना समीचीन है. पहला सवाल यह है कि हमें ऐसे कानून की जरूरत है भी या नहीं. जरूरत है तो क्यों? भारत में एक समय तक प्राइवेसी या निजता को मौलिक अधिकारों में शामिल नहीं किया जाता था. पर सन 2017 में देश के सुप्रीम कोर्ट ने इसे मौलिक अधिकार का दर्ज दे दिया. ऐसे कानून की जरूरत तीन कारणों से है. पहली बात जब तकनीकी विस्तार हो रहा है, तो उससे जुड़े नियमों की जरूरत होगी है. दूसरे इसका व्यावसायिक पक्ष भी है. डेटा सम्पदा के रूप में विकसित हो रहा है. और तीसरे भारत दुनिया की सबसे बड़ा जाग्रत लोकतंत्र है. उसमें मानवाधिकार से जुड़े सवाल आएंगे ही.

सितम्बर 2018 में सुप्रीम कोर्ट ने आधार के संदर्भ में कहा था कि बायोमीट्रिक पहचान पत्र को पैन के साथ जोड़ने के साथ मामूली व्यक्तिगत सूचनाएं जुड़ी हैं, पर गरीबों के कल्याण के ज्यादा बड़े कार्यक्रम इसके मार्फत लागू किए जा सकते हैं. अलबत्ता अब भी यह स्पष्ट नहीं है कि आधार आधारित केवाईसी का निजी क्षेत्र में किस प्रकार इस्तेमाल होगा.

प्रस्तावित विधेयक

इन बातों पर विचार करने के पीछे उद्देश्य भारत के प्रस्तावित व्यक्तिगत डेटा संरक्षण विधेयक की तरफ ध्यान खींचना है. इस विधेयक का प्रारूप बीएन श्रीकृष्ण कमेटी की रिपोर्ट पर आधारित है. इस विधेयक का उद्देश्य केवल निजता से जुड़े विषय नहीं हैं, पर इस रिपोर्ट में इस बात पर जोर है कि व्यक्तिगत डेटा का इस्तेमाल करते समय व्यक्ति की सहमति को भी शामिल किया जाना चाहिए. इस विधेयक में ‘भूल जाने के अधिकार’ पर का भी विवेचन है. यों इस कानून के बनने के पहले भी इस विषय से जुड़े सवाल भारतीय अदालतों में उठते रहे हैं, जिनपर वर्तमान कानूनी व्यवस्थाओं के तहत ही विचार होता है.

डेटा संरक्षण बहुत विषद विषय है. इसके व्यावसायिक, राजनीतिक और सांस्कृतिक पक्ष भी हैं. आमतौर पर मैसेज, सोशल मीडिया पोस्ट, ऑनलाइन ट्रांसफर और इंटरनेट सर्च हिस्ट्री आदि के लिए डेटा शब्द का उपयोग किया जाता हैं. डेटा की खरीद-फरोख्त भी होती है. उसका सदुपयोग और दुरुपयोग भी होता है. किसी किस्म की सूचनाएं, जिन्हें कंप्यूटर में एकत्र करके रखा जाता है और जरूरत के अनुसार उनका इस्तेमाल किया जा सकता है.

ऐसी सूचनाएँ जो लोगों की आदतों और ज़रूरतों को बताती हैं. उनका कारोबारी महत्व भी होता है. कंपनियाँ लोगों की आदतों को ध्यान में रखकर विज्ञापन जारी करती हैं. सरकारें और पार्टियाँ अपनी नीतियों को बनाने में और चुनाव में विजय प्राप्त करने के लिए ऐसी सूचनाओं का उपयोग करते हैं. डेटा का प्रवाह और परिवहन ऐसी जटिल प्रक्रिया है जिस पर अंकुश लगाना कठिन होता है. इसका एक स्थान से दूसरे स्थान तथा एक देश से दूसरे देश तक प्रवाह बहुत तेजी से होता है. ऐसे में डेटा का विनियमन जरूरी होता है.

भारत और चीन का फर्क

चीन ने इस सिलसिले में काफी कठोर व्यवस्थाएं लागू कर रखी हैं. यों भी चीन के डेटा संरक्षण कानून का अभिप्राय नागरिक के व्यक्तिगत अधिकारों से ज्यादा राष्ट्रीय हितों का संरक्षण है. अब भारत भी इस दिशा में कानून बनाने की तैयारी कर रहा है. भारत और चीन डेटा स्थानीयकरण के पक्ष में हैं, तो अमेरिकी सरकार तथा कंपनियाँ निर्बाध डेटा प्रवाह के पक्ष में हैं. अभी हमारा डेटा-क्षेत्र बहुत बड़ा नहीं है लेकिन भारत तेजी से बढ़ती अर्थव्यवस्था है, जिसमें भविष्य को लेकर अधिक संभावनाएँ हैं. ऐसा लगता है कि हमारा कानून यूरोप के कानून से प्रभावित होगा.

व्यावसायिक दृष्टि से डेटा आज विश्व की सबसे महत्वपूर्ण सम्पदा बनकर उभरा है. गत 28-29 जून को हुए जी-20 के शिखर सम्मेलन के दौरान भारत ने डिजिटल अर्थव्यवस्था के संदर्भ में निर्बाध वैश्विक डेटा प्रवाह के लिए तैयार किए गए ओसाका घोषणापत्र पर दस्तखत करने से इनकार कर दिया. अमेरिका और जापान सहित दुनिया के विकसित देशों ने इसपर दस्तखत किए हैं, पर भारत और चीन ने इसपर दस्तखत करने से इनकार कर दिया. दक्षिण अफ्रीका और इंडोनेशिया जैसे विकासशील देश भी भारत के साथ हैं. भारत का कहना है कि पूँजी और दूसरे माल की तरह डेटा भी सम्पदा है. उसके निर्बाध प्रवाह से हमारे राष्ट्रीय हितों को ठेस लग सकती है. इस विषय पर विश्व व्यापार संगठन को नियम बनाने चाहिए.

डेटा की परिभाषा

कैबिनेट ने जिस विधेयक को स्वीकृति दी है उसमें संवेदनशील डेटा, वित्तीय डेटा, स्वास्थ्य डेटा, आधिकारिक पहचान, लैंगिक रुझान, धार्मिक या जातीय डेटा, बायोमीट्रिक डेटा तथा अनुवांशिकी डेटा जैसी जानकारियों को परिभाषित किया गया है. कंपनियों के लिए ये जरूरी नहीं होगा कि वे तमाम तरह के निजी डेटा को भारत में ही स्टोर और प्रोसेस करें. संवेदनशील और क्रिटिकल निजी डेटा को लेकर भौगोलिक बंदिशों का प्रावधान बिल में है. यानी किस प्रकार की सूचनाओं को देश के बाहर भी प्रोसेस किया जा सकता है और किस प्रकार के बेहद महत्वपूर्ण डेटा को केवल देश में ही प्रोसेस किया जा सकता है, इसे परिभाषित किया गया है.

विशेषज्ञ कहते हैं कि डेटा एक वैश्विक गतिविधि है. देश के टेक्नोलॉजी उद्योग ने इस विधेयक पर खुशी भी जाहिर की है और अपने अंदेशे भी जाहिर किए हैं. इस विधेयक में सोशल मीडिया प्लेटफॉर्मों पर यूजर्स के स्वैच्छिक वैरीफिकेशन का प्रस्ताव किया है. साथ ही कंपनियों से कहा है कि वे अपने गोपनीय डेटा की जानकारी सरकार को दें. वैरीफिकेशन की जरूरत सोशल मीडिया को और ज्यादा जिम्मेदार बनाने के लिए है. उससे जुड़ी कंपनियों से कहा जाएगा कि वे ऐसी व्यवस्थाएं बनाएं, जिसमें यूजर्स खुद ही वैरीफाई करें और जो खुद को वैरीफाई नहीं करें, उनकी पहचान अलग कर दी जाए. इससे फेक एकाउंटों का पहचान हो सकेगी. लोकतांत्रिक अधिकारों और अभिव्यक्ति की स्वतंत्रता के लिहाज से सोशल मीडिया की भूमिका महत्वपूर्ण है, पर इसके साथ जिम्मेदारी भी जुड़ी होनी चाहिए. अब सवाल यह है कि इसकी केवाईसी प्रक्रिया कैसी होगी. जटिलता होगी, तो इसका संचालन मुश्किल होगा.

सरकार के अधिकार

कानून बन जाने के बाद सरकार को प्लानिंग के लिए किसी भी कंपनी से गैर निजी डेटा का अनुरोध करने की अनुमति मिल जाएगी. सोशल मीडिया कंपनियों को वैरीफिकेशन प्रक्रिया विकसित करनी होगी जो यूजर्स के लिए स्वैच्छिक होगी, लेकिन इससे यूजर की पहचान छिपाकर सोशल मीडिया का इस्तेमाल करने की संभावना घटेगी. सूचना और प्रौद्योगिकी मंत्रालय ने भरोसा दिलाया है कि इस बिल को पास करने से पहले इस पर व्यापक विमर्श कराया जाएगा. विधेयक के अनुसार कोई जिम्मेदार व्यक्ति राष्ट्रीय सुरक्षा से जुड़ी खोज या आपराधिक जाँच के लिए डेटा हासिल करना चाहता है, तो सरकार उसके संदर्भ में आदेश जारी कर सकेगी.

इस विधेयक में व्यवस्था है कि जो कम्पनी डेटा कानून का उल्लंघन करेगी, उसपर मामूली मामलों में 5 करोड़ रुपये या उस कम्पनी के वैश्विक कारोबार की दो प्रतिशत धनराशि में जो भी ज्यादा होगा जुर्माने के रूप में वसूला जाएगा. गम्भीर उल्लंघन होने पर 15 करोड़ रुपये या कारोबार की चार फीसदी रकम तक वसूली जा सकती है. कुछ मामलों में जेल भी भेजा जा सकता है. डेटा कारोबार के प्रभारी को उल्लंघन के मामले में तीन साल तक की जेल भी हो सकती है. विधेयक में प्रस्ताव किया गया है कि कंपनी का कोई अधिकारी यदि भारत के लोगों के गोपनीय डेटा का सार्वजनिक डेटा से मिलान कर व्यक्ति की पहचान करने या डेटा का नियम विरुद्ध प्रसंस्करण का काम करता पाया गया तो उसे सजा हो सकती है.

विधेयक में अंतर

सवाल है कि यह कानून देश की अर्थव्यवस्था के विस्तार में सहायक होगा या विदेशी कम्पनियों के मन में भय पैदा करेगा? माना जा रहा है कि कम्पनियाँ देश में ही डेटा प्रसंस्करण की दिशा में प्रोत्साहित होंगी और डेटा की बारी मात्रा के कारण भारत दुनिया की सबसे बड़ा डेटा रिफाइनरी का केंद्र बन सकेगा. कैबिनेट ने जिस विधेयक को स्वीकृति दी है उसमें जस्टिस श्रीकृष्ण समिति द्वारा प्रस्तावित विधेयक के मुकाबले तीन महत्वपूर्ण अंतर हैं. इसमें कहा गया है कि सभी डेटा संग्राहक हर प्रकार की निजी सूचनाओं की एक प्रति भारत में ही रखेंगे. यह व्यवस्था उन टेक कम्पनियों के लिए महत्वपूर्ण होगी, जो ज्यादातर डेटा भारत के बाहर रखती हैं.

दूसरे इसमें कहा गया है कि यदि सरकार जरूरत पड़ने पर गैर-निजी डेटा माँगेगी, तो संग्राहक कम्पनी को डेटा देना होगा. गैर-निजी डेटा सामान्यतः ट्रैफिक पैटर्न और डेमोग्राफिक सूचनाएं होती हैं, जिन्हें गोपनीय रखा जाता है. तीसरा सोशल मीडिया कम्पनियों को यूजर वैरीफिकेशन की व्यवस्था विकसित करनी होगी.

योयोशल में प्रकाशित