डेटा संरक्षण कानून की ख़ामियाँ

प्रसंग:

• बीते दिनों डिजिटल निजी डेटा सुरक्षा (डीपीडीपी) विधेयक को मॉनसून सत्र में संसद में पेश किया गया. इलेक्ट्रॉनिक्स एंड इंफॉर्मेशन टेक्नोलॉजी मंत्रालय ने नवंबर, 2022 में विधेयक का जो मसौदा विचार-विमर्श के लिए वितरित किया था, उसमें कई समस्याएं थीं और पारदर्शिता के पैरोकारों और निजता के अधिकार के लिए अभियान चलाने वाले कार्यकर्ताओं द्वारा इसकी समान रूप से आलोचना की गई थी.
• हालांकि, विधेयक को जिस रूप में कैबिनेट से स्वीकृति मिली है, वह अभी सार्वजनिक दायरे में नहीं है, लेकिन यह सुनिश्चित करना जरूरी है कि डेटा सुरक्षा या डेटा प्रोटेक्शन विधेयक में वे खामियां न हों, जो पहले वाले मसौदे में थी.

मुद्दे:

सूचना का अधिकार:

• पहली बात, यह सुनिश्चित किया जाना चाहिए कि इस कानून द्वारा सूचना का अधिकार (आरटीआई) अधिनियिम को कमजोर न किया जाए, जिसने 2005 में लागू होने के बाद से करोड़ों भारतीयों का सशक्तीकरण किया है.
• किसी लोकतंत्र में सरकारों को प्रभावशाली ढंग से जवाबदेह ठहराने के लिए जनता के पास सूचनाओं, जिसमें कई प्रकार का निजी डेटा भी शामिल है, का होना बेहद अहम है. मिसाल के लिए, सुप्रीम कोर्ट ने कहा कि नागरिकों को जानबूझकर कर्ज न चुकाने वाले लोगों (विलफुल डिफॉल्टर) के नामों को जानने का और सार्वजनिक क्षेत्र के बैंकों के एनपीए के बारे में जानने का अधिकार है.
• लोकतंत्रों में नियमित रूप से नाम, पता और अन्य निजी जानकारियों वाली मतदाता सूचियों को सार्वजनिक किया जाता है ताकि उनकी जांच की जा सके और चुनावी धांधली को रोका जा सके. भारत में सूचना का अधिकार अधिनियम के इस्तेमाल के अनुभव ने दिखाया है कि लोगों, खासकर गरीबों और हाशिये पर खड़े वंचित लोगों के लिए सरकारी योजनाओं और कल्याणकारी कार्यक्रमों का लाभ उठा सकने की स्थिति तभी बन सकती है, जब उनके पास प्रासंगिक और श्रेणीकृत सूचनाएं हों. इसके बिना वे इनका लाभ उठाने की कोई उम्मीद नहीं रख सकते.
• मिसाल के लिए, सार्वजनिक वितरण प्रणाली(पीडीएस) नियंत्रण आदेश राशनकार्ड धारियों और राशन की दुकानों का रिकॉर्ड सार्वजनिक करने की जरूरत को स्वीकार करता है ताकि पीडीएस की सार्वजनिक जांच और सोशल ऑडिट किए जा सकें. सार्वजनिक आंकड़ों की गैरमौजूदगी में लक्षित लाभार्थियों के लिए खाद्यान्न के अधिकार को हासिल कर पाना नामुमकिन है.
• लोगों के निजता के अधिकार की रक्षा करने के लिए आरटीआई अधिनियम में धारा 8 (1) (जे) के तहत एक छूट का प्रावधान किया गया है. इस धारा के तहत निजी सूचना देने से इनकार करने के लिए निम्नलिखित आधारों में से किसी एक को साबित करना जरूरी है: मांगी गई सूचना का सार्वजनिक क्रियाकलाप से कोई संबंध नहीं है या इसका जनहित से कोई वास्ता नहीं है या मांगी गई सूचना ऐसी है, जो बिना वजह किसी की निजता का अतिक्रमण करेगी और सूचना अधिकारी यह समझता है कि ऐसा कोई व्यापक सार्वजनिक हित नहीं है, जो इस सूचना को जाहिर करने से पूरा होता है.
• 2022 के डेटा प्रोटेक्शन विधेयक में धारा 8(1) (जे) में संशोधन करने और इसकी संभावना को विस्तार देने और सभी निजी सूचनाओं को आरटीआई अधिनियम के दायरे से बाहर रखने के लिए एक प्रावधान जोड़ा गया है. यह देश में शासन की पारदर्शिता के लिए बहुत बड़ा आघात होगा.
• डेटा प्रोटेक्शन विधेयक को आरटीआई अधिनियम के प्रावधानों और लक्ष्यों के साथ सामंजस्य में लाना जरूरी है. यह निजता (प्राइवेसी) पर जस्टिस एपी शाह की सिफारिशों के अनुरूप होगा जिसमें कहा गया था, ‘प्राइवेसी अधिनियम को यह स्पष्ट करना चाहिए कि लोकहित के लिए निजी डेटा का प्रकाशन और सूचना के अधिकार के तहत सूचना का सार्वजनीकरण निजता का अतिक्रमण न करे.’
• न ही निजता के अधिकार की मान्यता और न ही डेटा सुरक्षा कानून का लागू करने के लिए वर्तमान आरटीआई कानून में किसी तरह का संशोधन करना आवश्यक है.

कार्यपालिका की विवेकाधीन शक्तियां:

• इस तथ्य को देखते हुए कि सरकार के पास सबसे ज्यादा डेटा जमा है, कानून द्वारा कार्यपालिका को व्यापक विवेकाधीन शक्तियां प्रदान नहीं की जानी चाहिए.
• लेकिन, 2022 का डीपीडीपी विधेयक सरकार को विभिन्न मुद्दों पर नियम बनाने की शक्ति देता है. मिसाल के लिए, केंद्र सरकार किसी भी सरकारी या निजी क्षेत्र के प्रतिष्ठान को महज अधिसूचना निकालकर इस कानून से मुक्त रख सकता है. यह भविष्य में नागरिकों की निजता में व्यापक उल्लंघन का दरवाजा खोल देगा.
• दूसरी तरफ, छोटे गैर-सरकारी संगठनों/एनजीओ, शोध संस्थानों, संघों और विपक्षी पार्टियों जिन्हें सरकार ने अधिसूचना में शामिल नहीं किया है, को डेटा कानून में वर्णित डेटा संग्रह के कठोर शर्तों का अनुपालन करने की व्यवस्था बनानी होगी.

डेटा प्रोटेक्शन बोर्ड की स्वायत्तता:

• यह भी जरूरी है कि इस कानून के तहत गठित ओवरसाइट कमेटी को सरकारी प्रतिष्ठानों द्वारा कानून का उल्लंघन करने पर कार्रवाई करने की पर्याप्त स्वतंत्रता दी जाए.
• गौरतलब है कि विधेयक के मसौदे में डेटा प्रोटेक्शन बोर्ड की स्वायत्तता को सुनिश्चित नहीं किया गया है. यह बोर्ड ही कानून के प्रावधानों के अमल के लिए जिम्मेदार होगा.
• बोर्ड की सदस्य संख्या और उसके गठन के साथ ही साथ इसके अध्यक्ष और सदस्यों की नियुक्ति और उन्हें हटाने की प्रक्रिया तय करने शक्ति केंद्र सरकार के पास होगी. इसके अलावा इस बोर्ड के चीफ एक्जीक्यूटिव को भी सरकार द्वारा ही नियुक्त किया जाएगा, जिससे यह संस्थान सीधे इसके नियंत्रण में आ जाएगा.
• केंद्र सरकार के पास ‘इस अधिनियम या किसी दूसरे कानून के प्रावधानों के तहत’ बोर्ड को कोई भी कार्य सौंपने की शक्ति है.
• एक पूरी तरह से सरकार द्वारा नियंत्रित डेटा प्रोटेक्शन बोर्ड का निर्माण, जिसके पास सिविल कोर्ट की शक्तियां होंगी और जिसके पास 500 करोड़ तक का जुर्माना लगाने तक की शक्तियां होंगी, इस आशंका को जन्म देगा कि कहीं यह भी एक और पिंजरे में बंद तोता में तब्दील न हो जाए! कार्यपालिका द्वारा इसका दुरुपयोग करना आसान होगा.
• चौथी बात, इस कानून द्वारा शिकायत निपटारे के जन हितैषी फ्रेमवर्क की भी व्यवस्था की जानी चाहिए ताकि प्रभावित व्यक्ति के लिए ओवरसाइट कमेटी की शरण में जाना मुश्किल न हो. 2022 के विधेयक में यह व्यवस्था दी गई है कि डेटा प्रोटेक्शन बोर्ड अपने स्वरूप में डिजिटल होगा. शिकायतें करना और शिकायतों का निपटारा दोनों ही डिजिटल रूप में होगा.
• हालिया पारिवारिक स्वास्थ्य सर्वे-5 के मुताबिक तीन में से सिर्फ एक महिला ने कभी इंटरनेट का इस्तेमाल किया है. इस तरह से देखें तो डीपीडीपी विधेयक देश के उन लाखों-करोड़ों लोगों के साथ न्याय नहीं करता है, जिनकी पहुंच इंटरनेट तक नहीं है.

पीड़ित के लिए मुआवजा:

• कानून में डेटा में सेंधमारी की स्थिति में पीड़ित के पास मौद्रिक मुआवजे की मांग करने की शक्ति होनी चाहिए. डीपीडीपी विधेयक में किसी भी प्रकार के मुआवजे का कोई प्रावधान नहीं है.

• दरअसल यह विधेयक डेटा प्रिंसिपल (वे लोग जिनके निजी डेटा का संग्रह किया जा रहा है) के कर्तव्यों का उल्लेख करता है और बचकानी शिकायतें दायर करने के लिए उन पर जुर्माना लगाने का प्रावधान करता है.