ADVERTISEMENT

हमारे-आपके डेटा पर सरकार का पूरा हक, जेपीसी भी उसे रोकने को राजी नहीं

सरकार कैसे कर रही है जनता के पर्सनल डेटा का एक्सेस

Published
कुंजी
8 min read
<div class="paragraphs"><p>हमारे-आपके डेटा पर सरकार का पूरा हक, जेपीसी भी उसे रोकने को राजी नहीं</p></div>
i

पर्सनल डेटा प्रोटेक्शन बिल (Personal Data Protection Bill-2019) पर ज्वाइंट पार्लियामेंटरी कमिटी (JPC) ने सोमवार, 22 नवंबर को अपनी रिपोर्ट को अंतिम रूप दे दिया. इससे उम्मीद जगती है कि संसद के आने वाले शीतकालीन सत्र में भारत को अपना डेटा प्रोटेक्शन कानून मिल जाएगा जिसका लंबे समय से इंतजार है. हालांकि जेपीसी की रिपोर्ट में जो सुझाव दिए गए हैं, उनसे लगता नहीं कि वे चिंताएं शांत होगीं जो 2019 के बिल को लेकर जताई गई थीं. इसमें सरकारी एजेंसियों को दी गई छूट भी शामिल हैं.

फिर भी कुछ सुझाव पॉजिटिव हैं और उनमें प्राइवेसी से जुड़ी नई चुनौतियों को स्वीकार किया गया है, जैसे हार्डवेयर के जरिए जमा किए गए डेटा को रेगुलेट करना और एक निश्चित समय में डेटा ब्रीच का खुलासा करने की जरूरत (डेटा ब्रीच उसे कहते हैं जब सिस्टम के मालिक की जानकारी या ऑथराइजेशन के बिना इनफॉरमेशन चोरी हो जाती है या सिस्टम से निकाल ली जाती है.

ADVERTISEMENT
जेपीसी रिपोर्ट में कुछ संशोधनों के सुझाव भी दिए गए हैं. इस संबंध में कई साल पहले जस्टिस बीएस श्रीकृष्ण कमिटी ने एक शानदार ड्राफ्ट बिल तैयार किया था. इन संशोधनों के जरिए इस प्रस्तावित कानून को उस कमिटी के ड्राफ्ट बिल से भी आगे ले जाया गया है.

वैसे जेपीसी के 30 सदस्यों में से सात ने कमिटी के चेयरपर्सन पीपी चौधरी को अपने डिसेंट नोट्स (असहमति पत्र) सौंपे हैं. ये सभी विपक्षी सांसद हैं.

इनमें जयराम रमेश, मनीष तिवारी, विवेक तन्खा और गौरव गोगोई (कांग्रेस), डेरेक ओ ब्रायन और महुआ मोइत्रा (तृणमूल कांग्रेस) और अमर पटनायक (बीजू जनता दल) शामिल हैं.

अपने नोट में सांसदों ने बिल को ‘ओरवेलियन’ कहा है (यानी एक आजाद और मुक्त समाज के कल्याण के लिए विनाशकारी) और कहा है कि जेपीसी ने इस बिल में उन संशोधनों पर विचार नहीं किया जिनके जरिए सुप्रीम कोर्ट के फैसले का पालन सुनिश्चित हो. सुप्रीम कोर्ट ने अपने फैसले में राइट टू प्राइवेसी को मौलिक अधिकार घोषित किया था.

आइए जानते हैं कि कमिटी की रिपोर्ट में क्या सिफारिशें की गई हैं और इनसे जुड़ी चिंताएं क्या हैं.

पर्सनल डेटा प्रोटेक्शन बिल पर जेपीसी रिपोर्ट की आलोचना क्यों की जा रही है?

जेपीसी रिपोर्ट की मुख्य सिफारिश

जेपीसी रिपोर्ट का पूरा टेक्स्ट अभी उपलब्ध नहीं है और सोर्स बेस्ड न्यूज रिपोर्ट्स और असहमति जताने वाले सांसदों की टिप्पणियों से हमें फिलहाल कुछ सिफारिशों और फैसलों के बारे में जानकारी मिली है. ये इस तरह हैं:

  • 2019 के बिल के सेक्शन 35 में कोई बदलाव नहीं किए गए हैं (यह सेक्शन राज्य को मिली छूट से संबंधित है). इसमें केंद्र सरकार की एजेंसियों को कानून के अनुपालन से छूट दी गई है. जिन बातों से सरकारी एजेंसियों को छूट दी गई है, उनमें एक है- सीमित उद्देश्य के लिए, सहमति के साथ और नोटिस देने के बाद कोई डेटा प्रोसेस करना. अगर सरकार को लगता है कि डेटा प्रोसेसिंग भारत की संप्रभुता और अखंडता, राज्य की सुरक्षा, अन्य देशों के साथ मैत्रीपूर्ण संबंधों या सार्वजनिक व्यवस्था के हित में “जरूरी या उचित” है, तो उसे यह छूट मिल जाएगी.

  • हिंदुस्तान टाइम्स के अनुसार, यह सुझाव दिया गया था कि बिल में संशोधन किया जाए ताकि छूट देने की प्रक्रिया “न्यायोचित, निष्पक्ष और आनुपातिक हो”.

  • 2019 के बिल के सेक्शन 12 में भी कोई बदलाव नहीं किया गया, जिसमें व्यक्ति की सहमति के बिना पर्सनल डेटा की प्रोसेसिंग की इजाजत दी गई है, अगर, अन्य बातों के अलावा, सरकारी सेवाओं या लाभों के लिए, या किसी भी कार्रवाई या गतिविधि के लिए सरकार से लाइसेंस/प्रमाणपत्र/परमिट जारी करने के लिए ऐसा करना जरूरी है.

  • सोशल मीडिया प्लेटफॉर्म्स को पब्लिशर्स के तौर पर माना जाना चाहिए (इंटरमीडियरी के तौर पर नहीं), जब तक कि वे यूजर्स को अनिवार्य रूप से वैरिफाई नहीं करते. इससे वे यूजर्स के पोस्ट किए गए कंटेट के लिए जिम्मेदार होंगे.

  • अगर डेटा फिड्यूशरी थर्ड पार्टी को इनफॉरमेशन पास करती है तो उसे उस व्यक्ति को यह इनफॉरमेशन अनिवार्य रूप से देनी होगी जिसका डेटा पास किया गया है. हालांकि यह नियम तब लागू नहीं होगा, जब इनफॉरमेशन राज्य को दी गई है.

  • कंपनियों के सीनियर मैनेजर्स को डेटा प्रोटेक्शन ऑफिसर बनाया जाएगा.

  • कानून के दायरे में नॉन पर्सनल डेटा भी शामिल किया जाना चाहिए.

  • कंपनियों को डेटा ब्रीच की सूचना 72 घंटे के भीतर देनी होगी.

  • इलेक्ट्रॉनिक हार्डवेयर (जैसे 5जी जैसे टेलीकॉम उपकरण और एलेक्सा जैसे होम डिवाइस) के जरिए जमा किए जाने वाले डेटा का जिक्र खास तौर से डेटा प्रोटेक्शन कानून में होना चाहिए.

  • सभी संवेदनशील और महत्वपूर्ण पर्सनल डेटा के साथ डेटा लोकलाइजेशन की शर्त जुड़ी होनी चाहिए- यहां तक कि भारत में काम करने वाली विदेशी कंपनियों (जैसे वीज़ा, मास्टरकार्ड वगैरह) ने जो डेटा जमा किया हुआ है, उसके साथ भी यह शर्त होनी चाहिए. ऐसे डेटा की कॉपीज़ भारत में भी रखी जानी चाहिए.

  • कानून के तहत डेटा प्रोटेक्शन अथॉरिटी इसलिए बनाई गई है ताकि यह रेगुलेट किया जा सके कि डेटा को कैसे मैनेज और प्रोसेस किया जाएगा. इस अथॉरिटी को सिर्फ नीति के मामले में नहीं, सभी मामलों में केंद्र सरकार के निर्देश पर काम करना चाहिए.

सरकार को मिलने वाली छूट क्यों खतरनाक है

अपनी नामंजूरी जताते हुए जयराम रमेश ने कहा कि 2019 के बिल का सेक्शन 35 “केंद्र सरकार को बेलगाम ताकत देता है कि वह किसी भी सरकारी एजेंसी को पूरे कानून से ही छूट दे सकती है.”

उनका कहना है कि इससे सरकार “एक ऐसा प्रिविलेज क्लास बन जाती है जोकि हमेशा जनहित में काम करता है” और ऐसे में व्यक्ति की प्राइवेसी सेकेंडरी हो जाती है, यानी उसका महत्व कम हो जाता है.

जब पर्सनल डेटा प्रोटेक्शन बिल 2019 पेश किया गया था, तभी से इस बात पर चिंता जताई जा रही थी इसमें सरकार को बहुत छूट दी गई है. अगर सरकार को व्यापक आधार पर डेटा प्रोटेक्शन की शर्तों से छूट मिलती है तो सर्विलांस के लिए पर्सनल डेटा के दुरुपयोग की पूरी गुंजाइश है.

यूं इसका मतलब यह कहना नहीं है कि राष्ट्रीय सुरक्षा के मामलों में किसी किस्म की छूट नहीं दी जानी चाहिए. समस्या यह है कि सेक्शन 35 इससे भी आगे जाता है.

2018 में जस्टिस बीएस श्रीकृष्ण कमिटी ने भी अपने ड्राफ्ट बिल में सरकार को कुछ छूट दी थी. लेकिन उस ड्राफ्ट में यह छूट सिर्फ देश के सुरक्षा के मामले में लागू होती थी.

हालांकि यह अटपटा लग सकता है, लेकिन कानूनी नजरिये से यह बहुत महत्वपूर्ण है.

देश या राज्य की सुरक्षा के आधार पर संविधान के अनुच्छेद 19 में दर्ज मौलिक अधिकारों पर प्रतिबंध लगाया जा सकता है. अगर राज्य को इस आधार पर छूट दी जाती है तो इसका मतलब यह होता है कि इस छूट का इस्तेमाल उन गंभीर मामलों को छोड़कर किसी अन्य मामले में नहीं किया जा सकता, जिनमें देश को किसी तरह का खतरा है.

लेकिन मोदी सरकार के इस बिल में राज्य को कई आधार पर रियायत दी गई है, जिसमें ‘सार्वजनिक व्यवस्था’ भी एक आधार है. सुप्रीम कोर्ट ने सार्वजनिक व्यवस्था को परिभाषित करने की कोशिश की है और यह कोशिश भी की है कि इसे सिर्फ कानून व्यवस्था के दायरे में न समेट लिया जाए. फिर भी इसके कई अर्थ लगाए जाते हैं जिसका दुरुपयोग हर दौर की सरकारें करती हैं.

इस दुरुपयोग को रोकने के लिए जेपीसी राज्य को मिलने वाली छूट के दायरे को सीमित कर सकती थी. वह दूसरे आधार पर सरकार को छूट देने वाले प्रावधानों को हटा सकती थी, पर उसने ऐसा नहीं किया. इस तरह बिल में असल में प्रोटेक्शन मिलता ही नहीं है.

जेपीसी ने यह प्रस्ताव भी नहीं रखा कि किस तरह सिर्फ नए कानून की शर्तों के तहत छूट लेने की कोई कोशिश की जाएगी और उसे सुप्रीम कोर्ट के पुट्टास्वामी फैसले (प्राइवेसी का अधिकार) के आधार पर आनुपातिकता की शर्तों को पालन करना होगा.

यह खास चिंता की बात है, क्योंकि सेक्शन 35 के हिसाब से छूट न सिर्फ तब मिलेगी, जब ‘जरूरी’ होगा, बल्कि तब भी मिलेगी, जब ‘उपयुक्त’ होगा, और यह आनुपातिकता की शर्तों पर खरा नहीं उतरता. श्रीकृष्ण कमिटी के ड्राफ्ट में इन पहलुओं को सेफगार्ड्स के तौर पर शामिल किया गया था.

जयराम रमेश ने जिन प्रस्तावों की सिफारिश की है, उनमें इन दोनों पहलुओं को शामिल किया गया है लेकिन उन्हें जेपीसी ने नहीं माना.

अगर राज्य को मिलने वाली छूट इतनी व्यापक होगी तो इससे एक और दिक्कत होगी. थर्ड पार्टी को इनफॉरमेशन देने पर उसका खुलासा करने वाली शर्त का भी कोई मायने नहीं रहेगा.

ADVERTISEMENT

सहमति के बिना डेटा प्रोसेसिंग करने की शक्ति के लिए कोई सेफगार्ड क्यों नहीं

सेक्शन 12 में संशोधनों को मंजूर न करना भी तंग करता है. सरकारी लाभ के लिए सहमति के बिना डेटा प्रोसेसिंग की इजाजत चिंता की बात है. श्रीकृष्ण कमिटी के ड्राफ्ट बिल में भी आनुपातिकता की शर्त का कोई स्पष्ट उल्लेख नहीं था.

यह साफ नहीं है कि सरकारी लाभ लेने के लिए जब लोगों का डेटा जमा किया जाए, तो उनसे उनकी मंजूरी क्यों न ली जाए.

यह प्राइवेसी और डेटा प्रोटेक्शन के सिद्धांतों का सीधा-सीधा उल्लंघन है जोकि इस समझ पर आधारित है कि गरीब और सहूलियतों से महरूम लोग प्राइवेसी और डेटा प्रोटेक्शन की फिक्र नहीं करते.

आधार डेटा से जुड़े डेटा ब्रीच को देखते हुए यह सुनिश्चित करना जरूरी है कि सार्वजनिक सेवाओं और लाभों से जुड़े डेटा को और अच्छी तरह से जमा किया जाता है, और यह और भी स्पष्ट होना चाहिए.

और सोशल मीडिया कंटेट का रेगुलेशन, डेटा प्रोटेक्शन कानून में कहां से आ धमका

2019 के बिल में ‘सोशल मीडिया इंटरमीडियरीज़’ के लिए यूजर वैरिफिकेशन का कॉन्सेप्ट पेश किया गया था. बिल में ऐसे इंटरमीडियरीज़ को शामिल किया गया था जिनके यूजर एक निश्चित सीमा से अधिक हैं. ड्राफ्ट के मुताबिक, ऐसे सोशल मीडिया इंटरमीडियरीज़ को अपनी मर्जी से यूजर वैरिफिकेशन करना होगा.

तब भी कई संगठनों, जैसे सॉफ्टवेयर फ्रीडम लॉ सेंटर ने कहा था कि डेटा प्रोटेक्शन कानून के दायरे में इसे लाने की क्या जरूरत है.

लगता है, जेपीसी की रिपोर्ट इससे भी आगे बढ़ जाती है. उसमें कहा गया है कि अगर महत्वूर्ण सोशल मीडिया इंटरमीडियरीज़ (एसएसएमआई) यूजर वैरिफिकेशन को अनिवार्य नही करते, तो वे ‘इंटरमीडियरीज़’ का दर्जा खो देंगे. इससे यूजर्स के कंटेट के लिए उन्हें सीधे तौरे से जिम्मेदार माना जाएगा.

यानी ट्विटर जैसे प्लेटफॉर्म्स ‘अनवैरिफाइड’ एकाउंट्स की पोस्ट्स के लिए कानूनी रूप से जिम्मेदार होंगे, जिसका यह मतलब है कि वे बेनामी एकाउंट्स को बंद करने या उन्हें नामंजूर करने को मजबूर होंगे (जोकि तमाम कमियों के बावजूद उन लोगों को प्राइवेसी और प्रोटेक्शन देते हैं जिनकी पहचान का खुलासा होना खतरनाक हो सकता है).

साफ है कि सोशल मीडिया और डिजिटल मीडिया के कंटेंट को रेगुलेट करना इस सरकार की बड़ी चिंता है- 2021 का नया और विवादास्पद आईटी नियम यह काम करता है- लेकिन इसे डेटा प्रोटेक्शन कानून में शामिल करने का कोई तर्क समझ नहीं आता.

जाहिर है, वैरिफिकेशन की इजाजत देने के लिए कुछ पर्सनल डेटा प्रोसेस करने की जरूत होगी, इसलिए प्रोटेक्शन जरूरी है, लेकिन इसे किसी दूसरे मौजूदा कानून में भी शामिल किया जा सकता है.

अब जेपीसी इस वैरिफिकेशन प्रोसेस को अनिवार्य करती है और ऐसा न करने पर नतीजे भुगतने की बात करती है तो इस बात की फिक्र होती है कि उसने किस नजरिए से ड्राफ्ट कानून की समीक्षा की है.

ADVERTISEMENT

क्या डेटा प्रोटेक्शन अथॉरिटी बेअसर होगी?

2019 के बिल के आने के समय ही सवाल खड़े किए गए थे कि क्या यह सरकार पर लागू नहीं होगा? क्या ऐसी कोशिश की जा रही है कि इसे इस काबिल बनने ही न दिया जाए?

ऐसा इसलिए था क्योंकि इस बिल में श्रीकृष्ण कमिटी के ड्राफ्ट से बहुत कुछ अलग था. खासकर, डेटा प्रोटेक्शन अथॉरिटी (डीपीए) की नियुक्ति के लिहाज से.

श्रीकृष्ण कमिटी के ड्राफ्ट के तहत केंद्र सरकार को सिलेक्शन कमिटी की सिफारिशो के आधार पर डीपीए की नियुक्ति करनी थी. इस कमिटी में तीन सदस्य थे:

  • भारत के चीफ जस्टिस (सीजेआई) या सुप्रीम कोर्ट का कोई जज, जिसके सीजेआई नॉमिनेट करें. यह ‘ज्यूडीशियल मेंबर’ कमिटी का चेयरपर्सन होगा.

  • कैबिनेट सेक्रेटरी

  • एक प्रतिष्ठित व्यक्ति (पर्सन ऑफ रेप्यूट), जिसे बाकी के दो सदस्य नॉमिनेट करेंगे.

लेकिन 2019 के सरकारी बिल में सिलेक्शन कमिटी से ज्यूडीशियल सदस्य गायब हो गया. इसके अलावा प्रतिष्ठित व्यक्ति भी नदारद था. यानी केंद्र सरकार के ब्यूरोक्रेट्स डीपीए के सदस्य बनाए जाएंगे.

जेपीसी रिपोर्ट में सिलेक्शन कमिटी के कंपोजिशन को दुरुस्त करने के लिए कोई सुझाव नहीं दिए गए. बल्कि डीपीए से यह उम्मीद की जा रही है कि वह सरकार के सभी निर्देशों का पालन करे.

जैसा कि महुआ मोइत्रा और डेरेक ओ’ ब्रायन ने कहा है कि इससे “डीपीए के स्वतंत्र रूप से काम करने पर असर पड़ेगा.”

एक अथॉरिटी, जिसे सिर्फ सरकार ने नियुक्त किया हो और जो उसके निर्देशों को मानती हो, उससे इस बात की उम्मीद नहीं की जा सकती कि वह कानून का उल्लंघन होने पर सरकार के खिलाफ कोई सख्त रवैया अपनाएगी.

हां, वह प्राइवेट कंपनियों पर तो नकेल कर सकती है, लेकिन सरकार के मामलें में उसकी काबिलियत पर शक करना लाजमी है, और फिक्र वाजिब है.

(हैलो दोस्तों! हमारे Telegram चैनल से जुड़े रहिए यहां)

ADVERTISEMENT
क्विंट हिंदी के साथ रहें अपडेट

सब्स्क्राइब कीजिए हमारा डेली न्यूजलेटर और पाइए खबरें आपके इनबॉक्स में

120,000 से अधिक ग्राहक जुड़ें!
ADVERTISEMENT