ADVERTISEMENTREMOVE AD

हमारे-आपके डेटा पर सरकार का पूरा हक, जेपीसी भी उसे रोकने को राजी नहीं

सरकार कैसे कर रही है जनता के पर्सनल डेटा का एक्सेस

वकाशा सचदेव
Published
कुंजी
story-hero-img
i
छोटा
मध्यम
बड़ा

पर्सनल डेटा प्रोटेक्शन बिल (Personal Data Protection Bill-2019) पर ज्वाइंट पार्लियामेंटरी कमिटी (JPC) ने सोमवार, 22 नवंबर को अपनी रिपोर्ट को अंतिम रूप दे दिया. इससे उम्मीद जगती है कि संसद के आने वाले शीतकालीन सत्र में भारत को अपना डेटा प्रोटेक्शन कानून मिल जाएगा जिसका लंबे समय से इंतजार है. हालांकि जेपीसी की रिपोर्ट में जो सुझाव दिए गए हैं, उनसे लगता नहीं कि वे चिंताएं शांत होगीं जो 2019 के बिल को लेकर जताई गई थीं. इसमें सरकारी एजेंसियों को दी गई छूट भी शामिल हैं.

फिर भी कुछ सुझाव पॉजिटिव हैं और उनमें प्राइवेसी से जुड़ी नई चुनौतियों को स्वीकार किया गया है, जैसे हार्डवेयर के जरिए जमा किए गए डेटा को रेगुलेट करना और एक निश्चित समय में डेटा ब्रीच का खुलासा करने की जरूरत (डेटा ब्रीच उसे कहते हैं जब सिस्टम के मालिक की जानकारी या ऑथराइजेशन के बिना इनफॉरमेशन चोरी हो जाती है या सिस्टम से निकाल ली जाती है.

ADVERTISEMENTREMOVE AD
जेपीसी रिपोर्ट में कुछ संशोधनों के सुझाव भी दिए गए हैं. इस संबंध में कई साल पहले जस्टिस बीएस श्रीकृष्ण कमिटी ने एक शानदार ड्राफ्ट बिल तैयार किया था. इन संशोधनों के जरिए इस प्रस्तावित कानून को उस कमिटी के ड्राफ्ट बिल से भी आगे ले जाया गया है.

वैसे जेपीसी के 30 सदस्यों में से सात ने कमिटी के चेयरपर्सन पीपी चौधरी को अपने डिसेंट नोट्स (असहमति पत्र) सौंपे हैं. ये सभी विपक्षी सांसद हैं.

इनमें जयराम रमेश, मनीष तिवारी, विवेक तन्खा और गौरव गोगोई (कांग्रेस), डेरेक ओ ब्रायन और महुआ मोइत्रा (तृणमूल कांग्रेस) और अमर पटनायक (बीजू जनता दल) शामिल हैं.

अपने नोट में सांसदों ने बिल को ‘ओरवेलियन’ कहा है (यानी एक आजाद और मुक्त समाज के कल्याण के लिए विनाशकारी) और कहा है कि जेपीसी ने इस बिल में उन संशोधनों पर विचार नहीं किया जिनके जरिए सुप्रीम कोर्ट के फैसले का पालन सुनिश्चित हो. सुप्रीम कोर्ट ने अपने फैसले में राइट टू प्राइवेसी को मौलिक अधिकार घोषित किया था.

आइए जानते हैं कि कमिटी की रिपोर्ट में क्या सिफारिशें की गई हैं और इनसे जुड़ी चिंताएं क्या हैं.

पर्सनल डेटा प्रोटेक्शन बिल पर जेपीसी रिपोर्ट की आलोचना क्यों की जा रही है?

जेपीसी रिपोर्ट की मुख्य सिफारिश

जेपीसी रिपोर्ट का पूरा टेक्स्ट अभी उपलब्ध नहीं है और सोर्स बेस्ड न्यूज रिपोर्ट्स और असहमति जताने वाले सांसदों की टिप्पणियों से हमें फिलहाल कुछ सिफारिशों और फैसलों के बारे में जानकारी मिली है. ये इस तरह हैं:

  • 2019 के बिल के सेक्शन 35 में कोई बदलाव नहीं किए गए हैं (यह सेक्शन राज्य को मिली छूट से संबंधित है). इसमें केंद्र सरकार की एजेंसियों को कानून के अनुपालन से छूट दी गई है. जिन बातों से सरकारी एजेंसियों को छूट दी गई है, उनमें एक है- सीमित उद्देश्य के लिए, सहमति के साथ और नोटिस देने के बाद कोई डेटा प्रोसेस करना. अगर सरकार को लगता है कि डेटा प्रोसेसिंग भारत की संप्रभुता और अखंडता, राज्य की सुरक्षा, अन्य देशों के साथ मैत्रीपूर्ण संबंधों या सार्वजनिक व्यवस्था के हित में “जरूरी या उचित” है, तो उसे यह छूट मिल जाएगी.

  • हिंदुस्तान टाइम्स के अनुसार, यह सुझाव दिया गया था कि बिल में संशोधन किया जाए ताकि छूट देने की प्रक्रिया “न्यायोचित, निष्पक्ष और आनुपातिक हो”.

  • 2019 के बिल के सेक्शन 12 में भी कोई बदलाव नहीं किया गया, जिसमें व्यक्ति की सहमति के बिना पर्सनल डेटा की प्रोसेसिंग की इजाजत दी गई है, अगर, अन्य बातों के अलावा, सरकारी सेवाओं या लाभों के लिए, या किसी भी कार्रवाई या गतिविधि के लिए सरकार से लाइसेंस/प्रमाणपत्र/परमिट जारी करने के लिए ऐसा करना जरूरी है.

  • सोशल मीडिया प्लेटफॉर्म्स को पब्लिशर्स के तौर पर माना जाना चाहिए (इंटरमीडियरी के तौर पर नहीं), जब तक कि वे यूजर्स को अनिवार्य रूप से वैरिफाई नहीं करते. इससे वे यूजर्स के पोस्ट किए गए कंटेट के लिए जिम्मेदार होंगे.

  • अगर डेटा फिड्यूशरी थर्ड पार्टी को इनफॉरमेशन पास करती है तो उसे उस व्यक्ति को यह इनफॉरमेशन अनिवार्य रूप से देनी होगी जिसका डेटा पास किया गया है. हालांकि यह नियम तब लागू नहीं होगा, जब इनफॉरमेशन राज्य को दी गई है.

  • कंपनियों के सीनियर मैनेजर्स को डेटा प्रोटेक्शन ऑफिसर बनाया जाएगा.

  • कानून के दायरे में नॉन पर्सनल डेटा भी शामिल किया जाना चाहिए.

  • कंपनियों को डेटा ब्रीच की सूचना 72 घंटे के भीतर देनी होगी.

  • इलेक्ट्रॉनिक हार्डवेयर (जैसे 5जी जैसे टेलीकॉम उपकरण और एलेक्सा जैसे होम डिवाइस) के जरिए जमा किए जाने वाले डेटा का जिक्र खास तौर से डेटा प्रोटेक्शन कानून में होना चाहिए.

  • सभी संवेदनशील और महत्वपूर्ण पर्सनल डेटा के साथ डेटा लोकलाइजेशन की शर्त जुड़ी होनी चाहिए- यहां तक कि भारत में काम करने वाली विदेशी कंपनियों (जैसे वीज़ा, मास्टरकार्ड वगैरह) ने जो डेटा जमा किया हुआ है, उसके साथ भी यह शर्त होनी चाहिए. ऐसे डेटा की कॉपीज़ भारत में भी रखी जानी चाहिए.

  • कानून के तहत डेटा प्रोटेक्शन अथॉरिटी इसलिए बनाई गई है ताकि यह रेगुलेट किया जा सके कि डेटा को कैसे मैनेज और प्रोसेस किया जाएगा. इस अथॉरिटी को सिर्फ नीति के मामले में नहीं, सभी मामलों में केंद्र सरकार के निर्देश पर काम करना चाहिए.

सरकार को मिलने वाली छूट क्यों खतरनाक है

अपनी नामंजूरी जताते हुए जयराम रमेश ने कहा कि 2019 के बिल का सेक्शन 35 “केंद्र सरकार को बेलगाम ताकत देता है कि वह किसी भी सरकारी एजेंसी को पूरे कानून से ही छूट दे सकती है.”

उनका कहना है कि इससे सरकार “एक ऐसा प्रिविलेज क्लास बन जाती है जोकि हमेशा जनहित में काम करता है” और ऐसे में व्यक्ति की प्राइवेसी सेकेंडरी हो जाती है, यानी उसका महत्व कम हो जाता है.

जब पर्सनल डेटा प्रोटेक्शन बिल 2019 पेश किया गया था, तभी से इस बात पर चिंता जताई जा रही थी इसमें सरकार को बहुत छूट दी गई है. अगर सरकार को व्यापक आधार पर डेटा प्रोटेक्शन की शर्तों से छूट मिलती है तो सर्विलांस के लिए पर्सनल डेटा के दुरुपयोग की पूरी गुंजाइश है.

यूं इसका मतलब यह कहना नहीं है कि राष्ट्रीय सुरक्षा के मामलों में किसी किस्म की छूट नहीं दी जानी चाहिए. समस्या यह है कि सेक्शन 35 इससे भी आगे जाता है.

2018 में जस्टिस बीएस श्रीकृष्ण कमिटी ने भी अपने ड्राफ्ट बिल में सरकार को कुछ छूट दी थी. लेकिन उस ड्राफ्ट में यह छूट सिर्फ देश के सुरक्षा के मामले में लागू होती थी.

हालांकि यह अटपटा लग सकता है, लेकिन कानूनी नजरिये से यह बहुत महत्वपूर्ण है.

देश या राज्य की सुरक्षा के आधार पर संविधान के अनुच्छेद 19 में दर्ज मौलिक अधिकारों पर प्रतिबंध लगाया जा सकता है. अगर राज्य को इस आधार पर छूट दी जाती है तो इसका मतलब यह होता है कि इस छूट का इस्तेमाल उन गंभीर मामलों को छोड़कर किसी अन्य मामले में नहीं किया जा सकता, जिनमें देश को किसी तरह का खतरा है.

लेकिन मोदी सरकार के इस बिल में राज्य को कई आधार पर रियायत दी गई है, जिसमें ‘सार्वजनिक व्यवस्था’ भी एक आधार है. सुप्रीम कोर्ट ने सार्वजनिक व्यवस्था को परिभाषित करने की कोशिश की है और यह कोशिश भी की है कि इसे सिर्फ कानून व्यवस्था के दायरे में न समेट लिया जाए. फिर भी इसके कई अर्थ लगाए जाते हैं जिसका दुरुपयोग हर दौर की सरकारें करती हैं.

इस दुरुपयोग को रोकने के लिए जेपीसी राज्य को मिलने वाली छूट के दायरे को सीमित कर सकती थी. वह दूसरे आधार पर सरकार को छूट देने वाले प्रावधानों को हटा सकती थी, पर उसने ऐसा नहीं किया. इस तरह बिल में असल में प्रोटेक्शन मिलता ही नहीं है.

जेपीसी ने यह प्रस्ताव भी नहीं रखा कि किस तरह सिर्फ नए कानून की शर्तों के तहत छूट लेने की कोई कोशिश की जाएगी और उसे सुप्रीम कोर्ट के पुट्टास्वामी फैसले (प्राइवेसी का अधिकार) के आधार पर आनुपातिकता की शर्तों को पालन करना होगा.

यह खास चिंता की बात है, क्योंकि सेक्शन 35 के हिसाब से छूट न सिर्फ तब मिलेगी, जब ‘जरूरी’ होगा, बल्कि तब भी मिलेगी, जब ‘उपयुक्त’ होगा, और यह आनुपातिकता की शर्तों पर खरा नहीं उतरता. श्रीकृष्ण कमिटी के ड्राफ्ट में इन पहलुओं को सेफगार्ड्स के तौर पर शामिल किया गया था.

जयराम रमेश ने जिन प्रस्तावों की सिफारिश की है, उनमें इन दोनों पहलुओं को शामिल किया गया है लेकिन उन्हें जेपीसी ने नहीं माना.

अगर राज्य को मिलने वाली छूट इतनी व्यापक होगी तो इससे एक और दिक्कत होगी. थर्ड पार्टी को इनफॉरमेशन देने पर उसका खुलासा करने वाली शर्त का भी कोई मायने नहीं रहेगा.

ADVERTISEMENTREMOVE AD

सहमति के बिना डेटा प्रोसेसिंग करने की शक्ति के लिए कोई सेफगार्ड क्यों नहीं

सेक्शन 12 में संशोधनों को मंजूर न करना भी तंग करता है. सरकारी लाभ के लिए सहमति के बिना डेटा प्रोसेसिंग की इजाजत चिंता की बात है. श्रीकृष्ण कमिटी के ड्राफ्ट बिल में भी आनुपातिकता की शर्त का कोई स्पष्ट उल्लेख नहीं था.

यह साफ नहीं है कि सरकारी लाभ लेने के लिए जब लोगों का डेटा जमा किया जाए, तो उनसे उनकी मंजूरी क्यों न ली जाए.

यह प्राइवेसी और डेटा प्रोटेक्शन के सिद्धांतों का सीधा-सीधा उल्लंघन है जोकि इस समझ पर आधारित है कि गरीब और सहूलियतों से महरूम लोग प्राइवेसी और डेटा प्रोटेक्शन की फिक्र नहीं करते.

आधार डेटा से जुड़े डेटा ब्रीच को देखते हुए यह सुनिश्चित करना जरूरी है कि सार्वजनिक सेवाओं और लाभों से जुड़े डेटा को और अच्छी तरह से जमा किया जाता है, और यह और भी स्पष्ट होना चाहिए.

ADVERTISEMENTREMOVE AD

और सोशल मीडिया कंटेट का रेगुलेशन, डेटा प्रोटेक्शन कानून में कहां से आ धमका

2019 के बिल में ‘सोशल मीडिया इंटरमीडियरीज़’ के लिए यूजर वैरिफिकेशन का कॉन्सेप्ट पेश किया गया था. बिल में ऐसे इंटरमीडियरीज़ को शामिल किया गया था जिनके यूजर एक निश्चित सीमा से अधिक हैं. ड्राफ्ट के मुताबिक, ऐसे सोशल मीडिया इंटरमीडियरीज़ को अपनी मर्जी से यूजर वैरिफिकेशन करना होगा.

तब भी कई संगठनों, जैसे सॉफ्टवेयर फ्रीडम लॉ सेंटर ने कहा था कि डेटा प्रोटेक्शन कानून के दायरे में इसे लाने की क्या जरूरत है.

लगता है, जेपीसी की रिपोर्ट इससे भी आगे बढ़ जाती है. उसमें कहा गया है कि अगर महत्वूर्ण सोशल मीडिया इंटरमीडियरीज़ (एसएसएमआई) यूजर वैरिफिकेशन को अनिवार्य नही करते, तो वे ‘इंटरमीडियरीज़’ का दर्जा खो देंगे. इससे यूजर्स के कंटेट के लिए उन्हें सीधे तौरे से जिम्मेदार माना जाएगा.

यानी ट्विटर जैसे प्लेटफॉर्म्स ‘अनवैरिफाइड’ एकाउंट्स की पोस्ट्स के लिए कानूनी रूप से जिम्मेदार होंगे, जिसका यह मतलब है कि वे बेनामी एकाउंट्स को बंद करने या उन्हें नामंजूर करने को मजबूर होंगे (जोकि तमाम कमियों के बावजूद उन लोगों को प्राइवेसी और प्रोटेक्शन देते हैं जिनकी पहचान का खुलासा होना खतरनाक हो सकता है).

साफ है कि सोशल मीडिया और डिजिटल मीडिया के कंटेंट को रेगुलेट करना इस सरकार की बड़ी चिंता है- 2021 का नया और विवादास्पद आईटी नियम यह काम करता है- लेकिन इसे डेटा प्रोटेक्शन कानून में शामिल करने का कोई तर्क समझ नहीं आता.

जाहिर है, वैरिफिकेशन की इजाजत देने के लिए कुछ पर्सनल डेटा प्रोसेस करने की जरूत होगी, इसलिए प्रोटेक्शन जरूरी है, लेकिन इसे किसी दूसरे मौजूदा कानून में भी शामिल किया जा सकता है.

अब जेपीसी इस वैरिफिकेशन प्रोसेस को अनिवार्य करती है और ऐसा न करने पर नतीजे भुगतने की बात करती है तो इस बात की फिक्र होती है कि उसने किस नजरिए से ड्राफ्ट कानून की समीक्षा की है.

ADVERTISEMENTREMOVE AD

क्या डेटा प्रोटेक्शन अथॉरिटी बेअसर होगी?

2019 के बिल के आने के समय ही सवाल खड़े किए गए थे कि क्या यह सरकार पर लागू नहीं होगा? क्या ऐसी कोशिश की जा रही है कि इसे इस काबिल बनने ही न दिया जाए?

ऐसा इसलिए था क्योंकि इस बिल में श्रीकृष्ण कमिटी के ड्राफ्ट से बहुत कुछ अलग था. खासकर, डेटा प्रोटेक्शन अथॉरिटी (डीपीए) की नियुक्ति के लिहाज से.

श्रीकृष्ण कमिटी के ड्राफ्ट के तहत केंद्र सरकार को सिलेक्शन कमिटी की सिफारिशो के आधार पर डीपीए की नियुक्ति करनी थी. इस कमिटी में तीन सदस्य थे:

  • भारत के चीफ जस्टिस (सीजेआई) या सुप्रीम कोर्ट का कोई जज, जिसके सीजेआई नॉमिनेट करें. यह ‘ज्यूडीशियल मेंबर’ कमिटी का चेयरपर्सन होगा.

  • कैबिनेट सेक्रेटरी

  • एक प्रतिष्ठित व्यक्ति (पर्सन ऑफ रेप्यूट), जिसे बाकी के दो सदस्य नॉमिनेट करेंगे.

लेकिन 2019 के सरकारी बिल में सिलेक्शन कमिटी से ज्यूडीशियल सदस्य गायब हो गया. इसके अलावा प्रतिष्ठित व्यक्ति भी नदारद था. यानी केंद्र सरकार के ब्यूरोक्रेट्स डीपीए के सदस्य बनाए जाएंगे.

जेपीसी रिपोर्ट में सिलेक्शन कमिटी के कंपोजिशन को दुरुस्त करने के लिए कोई सुझाव नहीं दिए गए. बल्कि डीपीए से यह उम्मीद की जा रही है कि वह सरकार के सभी निर्देशों का पालन करे.

जैसा कि महुआ मोइत्रा और डेरेक ओ’ ब्रायन ने कहा है कि इससे “डीपीए के स्वतंत्र रूप से काम करने पर असर पड़ेगा.”

एक अथॉरिटी, जिसे सिर्फ सरकार ने नियुक्त किया हो और जो उसके निर्देशों को मानती हो, उससे इस बात की उम्मीद नहीं की जा सकती कि वह कानून का उल्लंघन होने पर सरकार के खिलाफ कोई सख्त रवैया अपनाएगी.

हां, वह प्राइवेट कंपनियों पर तो नकेल कर सकती है, लेकिन सरकार के मामलें में उसकी काबिलियत पर शक करना लाजमी है, और फिक्र वाजिब है.

(क्विंट हिन्दी, हर मुद्दे पर बनता आपकी आवाज, करता है सवाल. आज ही मेंबर बनें और हमारी पत्रकारिता को आकार देने में सक्रिय भूमिका निभाएं.)

क्विंट हिंदी पर लेटेस्ट न्यूज और ब्रेकिंग न्यूज़ पढ़ें, explainers के लिए ब्राउज़ करें

सत्ता से सच बोलने के लिए आप जैसे सहयोगियों की जरूरत होती है
मेंबर बनें
मेंबर बनने के फायदे
ADVERTISEMENTREMOVE AD
क्विंट हिंदी के साथ रहें अपडेट
ADVERTISEMENTREMOVE AD
×
×