नई दिल्ली: डेटा प्रोटेक्शन बोर्ड का निर्माण और कानूनों का पालन न करने पर 500 करोड़ रुपये का जुर्माना डिजिटल पर्सनल डाटा प्रोटेक्शन बिल, 2022 के नए मसौदे की विशेषताओं में से एक है. इसे केंद्र सरकार ने शुक्रवार को जारी किया था. मोदी सरकार द्वारा मूल विधेयक को आश्चर्यजनक रूप से संसद से वापस लेने के तीन महीने बाद, लंबे समय से प्रतीक्षित नए मसौदा विधेयक में सीमा पार डाटा स्थानीयकरण के मानदंडों में ढील देने का भी प्रस्ताव किया गया है.
नागरिकों के मौलिक अधिकारों के कथित उल्लंघन के लिए आलोचना झेलने वाले मूल विधेयक को वापस लेते हुए अगस्त में इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्री अश्विनी वैष्णव ने कहा था कि सरकार जल्द ही एक नया मसौदा लेकर आएगी.
इसके तीन महीने बाद अब नया मसौदा पेश किया गया है. मसौदे को 17 दिसंबर तक पब्लिक कमेंट के लिए ओपन रखा गया है, जिसके बाद इसे अगले बजट सत्र में पेश किया जाएगा.
ड्राफ्ट बिल में डाटा स्थानीयकरण के लिए आसान मानदंडों के प्रावधान का मतलब है कि पर्सनल डाटा प्रवाह को अब ‘विश्वसनीय देशों’ के माध्यम से सुगम बनाया जा सकता है. पर्सनल डाटा का उपयोग कैसे किया जाना चाहिए, इसका एक व्यापक कानूनी ढांचा भी इसमें प्रस्तावित किया गया है.
ड्राफ्ट बिल के अनुसार, ‘इस ड्राफ्ट का मकसद व्यक्ति के अपने पर्सनल डाटा की रक्षा करने के अधिकार और वैध उद्देश्यों के लिए पर्सनल डाटा को प्रॉसेस करने की आवश्यकता, दोनों को मान्यता देना है.’
इसमें आगे कहा गया है कि ‘पर्सनल डाटा से मतलब, किसी व्यक्ति के उस डाटा से है जिसमें उसके बारे में जानकारी शामिल है या फिर उसके जरिए व्यक्ति की पहचान करना संभव हो.’
मसौदा बिल कुछ प्रमुख ‘सिद्धांतों’ पर आधारित है जैसे संस्थानों द्वारा व्यक्तिगत डाटा का ‘वैध’ उपयोग, डाटा का इस्तेमाल सिर्फ उसी मकसद के लिए किया जाना, जिसके लिए उस जमा किया गया है और डाटा न्यूनीकरण यानी सिर्फ ‘एक खास उद्देश्य के लिए पर्सनल डाटा एकत्र करना’.
आईटी मंत्रालय ने कथित तौर पर मसौदा बिल पर राय लेने के लिए जारी करने से पहले सिंगापुर, ऑस्ट्रेलिया, यूरोपीय संघ और संयुक्त राज्य अमेरिका के संभावित संघीय कानून के पर्सनल डाटा प्रोटेक्शन कानूनों की समीक्षा की थी.
हालांकि, मसौदा विधेयक को पहले ही गैर-लाभकारी डिजिटल राइट प्लेटफॉर्म ‘इंटरनेट फ्रीडम फाउंडेशन’ की आलोचना का सामना करना पड़ गया है. संस्थान ने आरोप लगाते हुए कहा कि डाटा प्रोटेक्शन बोर्ड स्वतंत्र नहीं रहेगा क्योंकि इस स्तर पर नियुक्तियां सरकार द्वारा की जाएंगी. उन्होंने यह भी दावा किया कि चूंकि देश के बाहर डाटा को कैसे संग्रहीत किया जाना चाहिए, इस बारे में कोई विशेष विवरण नहीं दिया गया है, इसलिए इसका गलत इस्तेमाल किया जा सकता है.
यह भी पढ़ें: जी-20 की मेजबानी भारत को कैसे एक नई रणनीतिक जगह और 2024 चुनाव से पहले मोदी को नया मंच दे सकती है
डाटा स्थानीयकरण मानदंडों पर रियायतें
प्रस्तावित बिल की एक महत्वपूर्ण विशेषता यह है कि इसमें सीमा पार डाटा स्थानीयकरण के मानदंडों में ढील दी गई है. इसका मतलब है कि कंपनियां ‘विश्वसनीय’ देशों में व्यक्तिगत डाटा स्टोर कर सकती हैं. मेटा जैसी प्रमुख तकनीकी कंपनियों ने बिल के पिछले संस्करण में संबंधित प्रावधानों पर आपत्ति व्यक्त की थी. उन्होंने दावा किया था कि कड़े डाटा स्थानीयकरण मानदंड देश में दी जाने वाली सर्विस की राह में रुकावटें पैदा करेंगी.
इस साल मार्च में भारत ने यूरोपीय संघ, ऑस्ट्रेलिया, कोमोरोस, जापान, मॉरीशस, न्यूजीलैंड, दक्षिण कोरिया, सिंगापुर और श्रीलंका के साथ गोपनीयता और व्यक्तिगत डाटा की सुरक्षा पर एक संयुक्त घोषणा पत्र पर हस्ताक्षर किए थे. विचार ‘डिजिटल वातावरण में विश्वास को मजबूत करना’ था, जो सीमा पार डाटा प्रवाह में साझेदारी का संकेत देता है.
नए ड्राफ्ट बिल के मुताबिक, ‘नियमों के अनुसार केंद्र सरकार जरूरी समझे जाने वाले फैक्टर्स के मूल्यांकन के बाद, भारत के बाहर ऐसे देशों या क्षेत्रों को अधिसूचित करेगी, जहां डाटा फ़िड्यूशरी पर्सनल डाटा को ऐसे नियमों और शर्तों के मुताबिक स्थानांतरित कर सकती है.
पर्सनल डाटा जुटाना, स्टोर करना और प्रॉसेस करना
प्रस्तावित विधेयक में कुछ ‘दायित्वों’ को सूचीबद्ध किया गया है जिनका पालन एक डाटा फ़िड्यूशरी को करना होगा. ड्राफ्ट बिल के अनुसार, ‘डाटा फ़िड्यूशरी का अर्थ है पर्सनल डाटा जुटाने वाला कोई व्यक्ति या संस्थान.’
ड्राफ्ट बिल में कहा गया है, ‘डाटा प्रॉसेसिंग करने वाली संस्थाए व्यक्तियों की स्पष्ट सहमति से ही डाटा जमा करें. साथ ही डाटा का इस्तेमाल सिर्फ उसी मकसद के लिए किया जाए, जिसके लिए उसे जमा किया गया है. यानी डाटा की प्रकृति, उद्देश्य और डाटा कब तक स्टोर रखा जाएगा, उसका निश्चित समय इसमें शामिल होना चाहिए. इसके बारे में पूरी जानकारी डाटा प्रिंसिपल के पास होनी चाहिए.’
बिल कहता है,‘डाटा प्रिंसिपल की उसकी सहमति के लिए अनुरोध करने पर या उससे पहले, एक डाटा फ़िड्यूशरी डाटा प्रिंसिपल को एक स्पष्ट भाषा में एक अलग-अलग मदों की सूची बनाकर देगा, जिसमें डाटा फ़िड्यूशरी द्वारा जमा किए गए पर्सनल डाटा का विवरण और प्रॉसेसिंग का उद्देश्य शामिल होगा.’
प्रस्तावित बिल में ‘डाटा प्रिंसिपल’ को ‘व्यक्तिगत डाटा से संबंधित व्यक्ति के रूप में परिभाषित किया गया है. अगर ‘डाटा प्रिंसिपल’ एक बच्चा है, तो ऐसे में बच्चे के माता-पिता या वैध अभिभावक से सहमति लेनी होगी.’
इसका मतलब है कि बैंकों सहित सभी संस्थानों को डाटा जमा करने का अपना मकसद साफतौर पर बताना होगा.
डाटा प्रोटेक्शन अधिकारी
सरकार ने प्रस्ताव दिया है कि प्रत्येक डाटा फ़िड्यूशरी को डाटा सुरक्षा अधिकारियों की नियुक्ति करनी होगी जो डाटा सहमति के दृष्टिकोण से सभी तरह के संचार के लिए जिम्मेदार होंगे.
इसका मतलब यह है कि बैंकों और सोशल मीडिया बिचौलियों सहित देशभर में डाटा फ़िड्यूशरी को डाटा सुरक्षा अधिकारियों को नियुक्त करने की आवश्यकता होगी जो उनके संस्थान का प्रतिनिधित्व करेंगे.
ड्राफ्ट बिल कहता है, ‘डाटा प्रोटेक्शन अधिकारी ‘बोर्ड ऑफ डायरेक्टर’ या महत्वपूर्ण डाटा फ़िड्यूशरी के समान गवर्निंग बॉडी के लिए एक जिम्मेदार व्यक्ति होगा. डाटा प्रोटेक्शन अधिकारी से हर बात के लिए संपर्क किया जाएगा.
ये अधिकारी यह सुनिश्चित करने के लिए भी जिम्मेदार होंगे कि अगर कोई व्यक्ति सहमति वापस लेता है, तो डाटा फ़िड्यूशरी उसके व्यक्तिगत डाटा के इस्तेमाल को तुरंत बंद कर रहा है या नहीं.
मसौदा बिल में कहा गया है, ‘डाटा प्रिंसिपल की ओर से दी गई सहमति पर्सनल डाटा के इस्तेमाल का आधार है और उसे किसी भी समय अपनी सहमति वापस लेने का अधिकार होगा.’
हालांकि मसौदे में यह भी कहा गया है कि ‘सहमति वापस लेने से जुड़े किसी भी तरह के नतीजों से डाटा प्रिंसिपल को ही निपटना होगा’. इसका मतलब है कि जिन सेवाओं के लिए पर्सनल डाटा जमा किया गया था, उन्हें भी रोका जा सकता है.
बच्चों का व्यक्तिगत डाटा
अतीत में मसौदा विधेयक के सबसे विवादास्पद पहलुओं में से एक बच्चों और नाबालिगों से संबंधित डाटा की स्टोरिंग और प्रॉसेसिंग से जुड़ा था. मौजूदा ड्राफ्ट में बच्चों के पर्सनल डाटा को इस्तेमाल करने के लिए फ़िड्यूशरी के लिए कुछ दायित्वों को सूचीबद्ध किया गया है.
इसमें एक बच्चे के किसी भी तरह के व्यक्तिगत डाटा को इस्तेमाल करने के लिए माता-पिता की सहमति को महत्व दिया गया है.
बिल कहता है, ‘डाटा फ़िड्यूशरी पर्सनल डाटा को उस तरह से इस्तेमाल नहीं कर सकता है, जिससे बच्चे को नुकसान होने की संभावना हो. यह उसका इस्तेमाल बच्चों की ट्रैकिंग या व्यवहार की निगरानी या बच्चों को नजर में रखकर बनाए जाने वाले विज्ञापनों के लिए नहीं करेगा.’
अगर कोई संस्था इन नियमों को अनदेखा करती है तो उस पर 200 करोड़ रुपये तक का जुर्माना लगाया जा सकता है.
डिजिटल अधिकार कार्यकर्ताओं ने पहले दावा किया था कि नाबालिगों पर डाटा एकत्र करना और उनकी वास्तविक उम्र के सत्यापन का, हो सकता है कोई मतलब न हो. इसे मानना कंपनियों के लिए महंगा साबित हो सकता है.
शिकायत निवारण तंत्र
मसौदा विधेयक के अनुसार, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय शिकायत निवारण तंत्र के लिए एक ढांचा तैयार करेगा जो बिल के प्रावधानों के तहत काम करेगा. यह सुनिश्चित करेगा कि नागरिकों को कंपनी से अपने डाटा प्रॉसेसिंग के बारे में प्रासंगिक जानकारी प्राप्त करने और जब भी जरूरी हो कार्रवाई करने का अधिकार हो.
शिकायतों के निवारण के लिए एक स्वतंत्र डाटा प्रोटेक्शन बोर्ड की स्थापना की जाएगी.
बिल कहता है, ‘केंद्र सरकार अधिसूचना जारी कर इस अधिनियम के प्रयोजनों के लिए एक बोर्ड स्थापित करेगी, जिसे भारतीय डाटा प्रोटेक्शन बोर्ड कहा जाएगा. कामों का बंटवारा, शिकायतों दर्ज करना, सुनवाई के लिए समूहों का गठन, निर्णयों की घोषणा और बोर्ड के अन्य सभी काम डिजिटली होंगे.’
मंत्रालय ने अभी तक चयन की प्रक्रिया, नियुक्ति के नियम और शर्तों और सेवा का खुलासा नहीं किया है.
मसौदा बिल के अनुसार, ‘अधिनियम के प्रावधानों का पालन न करने और जुर्माना लगाने’ का निर्धारण भी बोर्ड को ही करना होगा. इसके अलावा केंद्र सरकार द्वारा निर्धारित कार्यों को करना, डाटा उल्लंघनों के दौरान किसी व्यक्ति की शिकायत पर सुनवाई करना और पर्सनल डाटा को माइग्रेट करने का उचित अवसर देना भी बोर्ड का ही काम होगा.
अगर डाटा प्रोटेक्शन बोर्ड पाता है कि डाटा जमा करने वाली कोई कंपनी या संस्था कानूनों का पालन नहीं कर रही है तो वह उस पर 500 करोड़ रुपये तक का जुर्माना लगा सकता है.
बोर्ड के पास कानून का पालन न करने पर अपराध की प्रकृति, गंभीरता, समय और इसकी वजह से प्रभावित पर्सनल डाटा के प्रकार और प्रकृति के आधार पर जुर्माना की राशि तय करने का भी अधिकार होगा.
ड्राफ्ट बिल में कहा गया है कि अगर डाटा फिड्यूशरी ‘बोर्ड को सूचित करने और व्यक्तिगत डाटा उल्लंघन की स्थिति में डाटा प्रिंसिपल को प्रभावित करने’ में विफल रहा है, तो उन्हें 200 करोड़ रुपये तक का जुर्माना देना होगा.
(इस ख़बर को अंग्रेजी में पढ़ने के लिए यहां क्लिक करें)
यह भी पढ़ें: COP27: विकासशील देश बोले- क्लाइमेट लॉस और डैमेज फंड पर EU के प्रस्ताव में ‘नैतिक प्रतिबद्धता की कमी’