डाटा प्रोटेक्शन लॉ : यूरोप में Meta को लेकर जो कुछ हुआ उसमें भारत के लिए सबक है

मेटा (Meta) ने सोमवार को कहा कि उसका इंस्टाग्राम (Instagram) और फेसबुक (Facebook) को यूरोप (Europe) से हटाने का कोई इरादा नहीं है, हालांकि उसने अपनी वार्षिक रिपोर्ट में यह दर्शाया था कि सख्त डेटा कानूनों के कारण उसे ऐसा करना पड़ सकता है.

यूरोप की सरकार कंपनियों को अपने यहां उत्पन्न होने वाले डेटा को अमेरिका स्थित सर्वरों में भेजने से रोक रही है. वहीं अपने रेवेन्यू का लगभग 98 फीसदी विज्ञापन से कमाने वाली कंपनी मेटा का कहना है कि इससे विज्ञापनों को टारगेट करने की उसकी क्षमता सीमित हो जाएगी.

यूरोपीय संघ (EU) और अमेरिका (US) ने 2016 में यूरोपीय संघ से यूएस में स्थानांतरित होने वाले डेटा के लिए डेटा ट्रांसफर फ्रेमवर्क पर सहमति व्यक्त की थी, जिसे प्राइवेसी शील्ड (Privacy Shield) भी कहा जाता है.

यूरोपीय संघ के न्यायालय (CJEU) ने जुलाई 2020 में इस सहमति को यह कहते हुए अमान्य कर दिया था कि प्राइवेसी शील्ड ने अमेरिकी अधिकारियों को उचित सुरक्षा उपायों और निवारण के प्रभावी तंत्र के बिना यूरोपीय संघ के निवासियों पर व्यक्तिगत डेटा प्राप्त करने का अधिकार प्रदान किया है.

मेटा की ओर से कहा गया है कि 'यदि हम उन देशों और क्षेत्रों के बीच डेटा स्थानांतरित करने में असमर्थ हैं जिनमें हम काम करते हैं, या यदि हमें अपने उत्पादों और सेवाओं के बीच डेटा साझा करने से प्रतिबंधित किया जाता है, तो यह सेवाएं प्रदान करने की हमारी क्षमता को प्रभावित कर सकता है, जिस तरह से हम सेवाएं प्रदान करते हैं या विज्ञापनों को टारगेट करने की जो हमारी क्षमता है उसे प्रभावित कर सकता है.'

कंपनी द्वारा एक नए ट्रान्साटलांटिक डेटा ट्रांसफर ढांचे (transatlantic data transfer framework) की उम्मीद की जा रही है. लेकिन अगर ऐसा नहीं होता है, तो यह "फेसबुक और इंस्टाग्राम सहित यूरोप में हमारे कई महत्वपूर्ण उत्पादों और सेवाओं को उपलब्ध कराने में समर्थ नहीं होगा."

जब मेटा द्वारा इस बात के संकेत दिए गए कि यूरोप में इंस्टाग्राम और फेसबुक की सेवाएं बंद हो सकती हैं तब इसके जवाब में यूरोपीय यूनियन के अधिकारी ने कहा कि 'फेसबुक के बिना जीवन शानदार रहेगा और बिना फेसबुक के लोग बेहतर तरीके से रह सकेंगे.' वहीं यूरोपीय यूनियन के अधिकारियों ने यह स्पष्ट कर दिया कि मेटा को यूरोप में नए नियमों को मानना पड़ेगा.

पर्सनल डेटा प्रोटेक्शन बिल, 2019 (Personal Data Protection Bill, 2019) एक संयुक्त संसदीय समिति (JPC) को भेजा गया था, जिसने दिसंबर 2021 में संसद को अपनी रिपोर्ट एक संशोधित मसौदा विधेयक के साथ प्रस्तुत की थी.

उसके कुछ प्रमुख बिंदु यहां दिए गए हैं :

• नया बिल 'संवेदनशील व्यक्तिगत डेटा' यानी 'सेंसटिव पर्सनल डेटा' को शर्त के साथ सीमा पार ट्रांसफर करने की अनुमति देता है, जबकि 'नाजुक या अति महत्वपूर्ण व्यक्तिगत डेटा' यानी 'क्रिटिकल पर्सनल डेटा', जिसे अभी तक अपरिभाषित नहीं किया है, को बहुत सीमित परिस्थितियों को छोड़कर देश से बाहर भेजने की अनुमति नहीं देता है.

• जेपीसी ने इस बात की सिफारिश की है कि केंद्र सरकार को एक व्यापक डेटा स्थानीयकरण नीति विकसित करनी चाहिए और यह सुनिश्चित करना चाहिए कि विदेशों में रखे गए संवेदनशील और महत्वपूर्ण व्यक्तिगत डेटा की मिरर कॉपी भारत वापस लायी जाए.

• इसने सरकार से यह भी कहा कि सरकार अनुबंध या इंट्रा-ग्रुप व्यवस्था के माध्यम से संवेदनशील व्यक्तिगत डेटा के सीमा पार हस्तांतरण की अनुमति देने से पहले नए डेटा संरक्षण प्राधिकरण (DPA) के साथ सलाहकार की भूमिका निभाए.

• जेपीसी ने सुझाव दिया कि 18 वर्ष से कम उम्र के लोगों के लिए डेटा संग्रह को सीमित करने के लिए कड़े उपाय किए जाने चाहिए.

• बच्चों और उनके डेटा की प्रोफाइलिंग, ट्रैकिंग और व्यवहारिक रूप से निगरानी करने के लिए कंपनियों को रोका जा सकता है.

• समिति का मानना है कि सोशल मीडिया प्लेटफॉर्म्स को उनके द्वारा अनवेरिफाइड अकाउंट्स से होस्ट किए जाने वाले कंटेंट के लिए जवाबदेह होना चाहिए.

• समिति ने इस बात की सिफारिश भी की है कि नए बिल के दायरे में गैर-व्यक्तिगत डेटा को भी शामिल किया जाना चाहिए. हालाँकि, यहाँ कई प्रश्न ऐसे हैं जिनके जवाब नहीं हैं, क्योंकि यह एक अभूतपूर्व कदम है.

नए डेटा प्रोटेक्शन बिल और जेपीसी की सिफारिशों के परिणामस्वरूप विदेशी उद्यमों और भारतीय स्टार्टअप्स को समान रूप से बाधाओं का सामना करना पड़ सकता है, जैसा कि मेटा वर्तमान में सामना कर रही है.

द डायलॉग के डायरेक्टर काजिम रिजवी का मानना ​​है कि केंद्र सरकार की भागीदारी के बारे में समिति की सिफारिशें "सीमा पार डेटा प्रवाह के लिए द्विपक्षीय या बहुपक्षीय व्यवस्था में प्रवेश करने में बाधाओं की तरह" होंगी और "व्यापार करने में आसानी यानी ईज ऑफ डूइंग बिजनेस में रुकावट उत्पन्न करेंगी."

उन्होंने एक स्टडी के बारें में बताया जिसमें कहा गया है कि कड़े सीमा पार डेटा प्रवाह प्रतिबंध भारतीय स्टार्टअप की लागत प्रभावी प्रौद्योगिकी और भंडारण विकल्पों का उपयोग करने की क्षमता को बाधित कर सकते हैं, जैसे कि विदेशी दिग्गज कंपनियों द्वारा प्रदान की जाने वाली क्लाउड सर्विसेस.

वे आगे कहते हैं कि 'इस बात की भी संभावना है कि डेटा के मुक्त प्रवाह के लिए एक अधिकार क्षेत्र के रूप में भारत का मूल्यांकन करते समय यूरोपीय संघ हमारे कानून को अपर्याप्त करार दे दे.'

मोजिला के तकनीकी नीति प्रबंधक, उद्धभव तिवारी, डेटा सुरक्षा के बारे में समान चिंताओं को साझा करते हैं.

उनका कहना है कि 'एक आवश्यक क़ानून होने के नाते भारत के डेटा प्रोटेक्शन बिल में डेटा सुरक्षा प्राधिकरण की स्वतंत्रता, डेटा के मुक्त प्रवाह की सुविधा और सरकारी जासूसी के खिलाफ सुरक्षा उपायों के संदर्भ में महत्वपूर्ण संशोधन की आवश्यकता है.'

वे कहते हैं, ''कानून निर्माताओं को इस अवसर का उपयोग यह सुनिश्चित करने के लिए करना चाहिए कि भारतीय कानून अंतरराष्ट्रीय मानकों को पूरा करता है और प्रौद्योगिकी क्षेत्र में भारत की स्थिति को मजबूत करता है.''

हालांकि, कुछ लोगों का मानना है कि डेटा स्थानीयकरण के मामले में भारत को यूरोपीय संघ के नेतृत्व का पालन करना चाहिए.

वीवाउच के डायरेक्टर संतोष सर्राफ कहते हैं कि "बिल में डेटा, व्यक्तिगत (पर्सनल) और संवेदनशील (सेंसटिव) की स्पष्ट परिभाषा होनी चाहिए, साथ ही उस डेटा को अन्य देशों के साथ साझा करने के मानदंड भी होने चाहिए. सभी डेटा को पर्सनल डेटा प्रोटेक्शन एक्ट का पालन करना चाहिए और डेटा को स्थानीय तौर पर स्टोर किया जाना चाहिए इसके साथ ही इसे साझा करने से पहले यूजर्स से साफ तौर पर अनुमति लेनी चाहिए."