नई दिल्ली: डेटा प्रोटेक्शन बोर्ड का निर्माण और कानूनों का पालन न करने पर 500 करोड़ रुपये का जुर्माना डिजिटल पर्सनल डाटा प्रोटेक्शन बिल, 2022 के नए मसौदे की विशेषताओं में से एक है. इसे केंद्र सरकार ने शुक्रवार को जारी किया था. मोदी सरकार द्वारा मूल विधेयक को आश्चर्यजनक रूप से संसद से वापस लेने के तीन महीने बाद, लंबे समय से प्रतीक्षित नए मसौदा विधेयक में सीमा पार डाटा स्थानीयकरण के मानदंडों में ढील देने का भी प्रस्ताव किया गया है.
नागरिकों के मौलिक अधिकारों के कथित उल्लंघन के लिए आलोचना झेलने वाले मूल विधेयक को वापस लेते हुए अगस्त में इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्री अश्विनी वैष्णव ने कहा था कि सरकार जल्द ही एक नया मसौदा लेकर आएगी.
इसके तीन महीने बाद अब नया मसौदा पेश किया गया है. मसौदे को 17 दिसंबर तक पब्लिक कमेंट के लिए ओपन रखा गया है, जिसके बाद इसे अगले बजट सत्र में पेश किया जाएगा.
ड्राफ्ट बिल में डाटा स्थानीयकरण के लिए आसान मानदंडों के प्रावधान का मतलब है कि पर्सनल डाटा प्रवाह को अब ‘विश्वसनीय देशों’ के माध्यम से सुगम बनाया जा सकता है. पर्सनल डाटा का उपयोग कैसे किया जाना चाहिए, इसका एक व्यापक कानूनी ढांचा भी इसमें प्रस्तावित किया गया है.
ड्राफ्ट बिल के अनुसार, ‘इस ड्राफ्ट का मकसद व्यक्ति के अपने पर्सनल डाटा की रक्षा करने के अधिकार और वैध उद्देश्यों के लिए पर्सनल डाटा को प्रॉसेस करने की आवश्यकता, दोनों को मान्यता देना है.’
अच्छी पत्रकारिता मायने रखती है, संकटकाल में तो और भी अधिक
दिप्रिंट आपके लिए ले कर आता है कहानियां जो आपको पढ़नी चाहिए, वो भी वहां से जहां वे हो रही हैं
हम इसे तभी जारी रख सकते हैं अगर आप हमारी रिपोर्टिंग, लेखन और तस्वीरों के लिए हमारा सहयोग करें.
इसमें आगे कहा गया है कि ‘पर्सनल डाटा से मतलब, किसी व्यक्ति के उस डाटा से है जिसमें उसके बारे में जानकारी शामिल है या फिर उसके जरिए व्यक्ति की पहचान करना संभव हो.’
मसौदा बिल कुछ प्रमुख ‘सिद्धांतों’ पर आधारित है जैसे संस्थानों द्वारा व्यक्तिगत डाटा का ‘वैध’ उपयोग, डाटा का इस्तेमाल सिर्फ उसी मकसद के लिए किया जाना, जिसके लिए उस जमा किया गया है और डाटा न्यूनीकरण यानी सिर्फ ‘एक खास उद्देश्य के लिए पर्सनल डाटा एकत्र करना’.
आईटी मंत्रालय ने कथित तौर पर मसौदा बिल पर राय लेने के लिए जारी करने से पहले सिंगापुर, ऑस्ट्रेलिया, यूरोपीय संघ और संयुक्त राज्य अमेरिका के संभावित संघीय कानून के पर्सनल डाटा प्रोटेक्शन कानूनों की समीक्षा की थी.
हालांकि, मसौदा विधेयक को पहले ही गैर-लाभकारी डिजिटल राइट प्लेटफॉर्म ‘इंटरनेट फ्रीडम फाउंडेशन’ की आलोचना का सामना करना पड़ गया है. संस्थान ने आरोप लगाते हुए कहा कि डाटा प्रोटेक्शन बोर्ड स्वतंत्र नहीं रहेगा क्योंकि इस स्तर पर नियुक्तियां सरकार द्वारा की जाएंगी. उन्होंने यह भी दावा किया कि चूंकि देश के बाहर डाटा को कैसे संग्रहीत किया जाना चाहिए, इस बारे में कोई विशेष विवरण नहीं दिया गया है, इसलिए इसका गलत इस्तेमाल किया जा सकता है.
यह भी पढ़ें: जी-20 की मेजबानी भारत को कैसे एक नई रणनीतिक जगह और 2024 चुनाव से पहले मोदी को नया मंच दे सकती है
डाटा स्थानीयकरण मानदंडों पर रियायतें
प्रस्तावित बिल की एक महत्वपूर्ण विशेषता यह है कि इसमें सीमा पार डाटा स्थानीयकरण के मानदंडों में ढील दी गई है. इसका मतलब है कि कंपनियां ‘विश्वसनीय’ देशों में व्यक्तिगत डाटा स्टोर कर सकती हैं. मेटा जैसी प्रमुख तकनीकी कंपनियों ने बिल के पिछले संस्करण में संबंधित प्रावधानों पर आपत्ति व्यक्त की थी. उन्होंने दावा किया था कि कड़े डाटा स्थानीयकरण मानदंड देश में दी जाने वाली सर्विस की राह में रुकावटें पैदा करेंगी.
इस साल मार्च में भारत ने यूरोपीय संघ, ऑस्ट्रेलिया, कोमोरोस, जापान, मॉरीशस, न्यूजीलैंड, दक्षिण कोरिया, सिंगापुर और श्रीलंका के साथ गोपनीयता और व्यक्तिगत डाटा की सुरक्षा पर एक संयुक्त घोषणा पत्र पर हस्ताक्षर किए थे. विचार ‘डिजिटल वातावरण में विश्वास को मजबूत करना’ था, जो सीमा पार डाटा प्रवाह में साझेदारी का संकेत देता है.
नए ड्राफ्ट बिल के मुताबिक, ‘नियमों के अनुसार केंद्र सरकार जरूरी समझे जाने वाले फैक्टर्स के मूल्यांकन के बाद, भारत के बाहर ऐसे देशों या क्षेत्रों को अधिसूचित करेगी, जहां डाटा फ़िड्यूशरी पर्सनल डाटा को ऐसे नियमों और शर्तों के मुताबिक स्थानांतरित कर सकती है.
पर्सनल डाटा जुटाना, स्टोर करना और प्रॉसेस करना
प्रस्तावित विधेयक में कुछ ‘दायित्वों’ को सूचीबद्ध किया गया है जिनका पालन एक डाटा फ़िड्यूशरी को करना होगा. ड्राफ्ट बिल के अनुसार, ‘डाटा फ़िड्यूशरी का अर्थ है पर्सनल डाटा जुटाने वाला कोई व्यक्ति या संस्थान.’
ड्राफ्ट बिल में कहा गया है, ‘डाटा प्रॉसेसिंग करने वाली संस्थाए व्यक्तियों की स्पष्ट सहमति से ही डाटा जमा करें. साथ ही डाटा का इस्तेमाल सिर्फ उसी मकसद के लिए किया जाए, जिसके लिए उसे जमा किया गया है. यानी डाटा की प्रकृति, उद्देश्य और डाटा कब तक स्टोर रखा जाएगा, उसका निश्चित समय इसमें शामिल होना चाहिए. इसके बारे में पूरी जानकारी डाटा प्रिंसिपल के पास होनी चाहिए.’
बिल कहता है,‘डाटा प्रिंसिपल की उसकी सहमति के लिए अनुरोध करने पर या उससे पहले, एक डाटा फ़िड्यूशरी डाटा प्रिंसिपल को एक स्पष्ट भाषा में एक अलग-अलग मदों की सूची बनाकर देगा, जिसमें डाटा फ़िड्यूशरी द्वारा जमा किए गए पर्सनल डाटा का विवरण और प्रॉसेसिंग का उद्देश्य शामिल होगा.’
प्रस्तावित बिल में ‘डाटा प्रिंसिपल’ को ‘व्यक्तिगत डाटा से संबंधित व्यक्ति के रूप में परिभाषित किया गया है. अगर ‘डाटा प्रिंसिपल’ एक बच्चा है, तो ऐसे में बच्चे के माता-पिता या वैध अभिभावक से सहमति लेनी होगी.’
इसका मतलब है कि बैंकों सहित सभी संस्थानों को डाटा जमा करने का अपना मकसद साफतौर पर बताना होगा.
डाटा प्रोटेक्शन अधिकारी
सरकार ने प्रस्ताव दिया है कि प्रत्येक डाटा फ़िड्यूशरी को डाटा सुरक्षा अधिकारियों की नियुक्ति करनी होगी जो डाटा सहमति के दृष्टिकोण से सभी तरह के संचार के लिए जिम्मेदार होंगे.
इसका मतलब यह है कि बैंकों और सोशल मीडिया बिचौलियों सहित देशभर में डाटा फ़िड्यूशरी को डाटा सुरक्षा अधिकारियों को नियुक्त करने की आवश्यकता होगी जो उनके संस्थान का प्रतिनिधित्व करेंगे.
ड्राफ्ट बिल कहता है, ‘डाटा प्रोटेक्शन अधिकारी ‘बोर्ड ऑफ डायरेक्टर’ या महत्वपूर्ण डाटा फ़िड्यूशरी के समान गवर्निंग बॉडी के लिए एक जिम्मेदार व्यक्ति होगा. डाटा प्रोटेक्शन अधिकारी से हर बात के लिए संपर्क किया जाएगा.
ये अधिकारी यह सुनिश्चित करने के लिए भी जिम्मेदार होंगे कि अगर कोई व्यक्ति सहमति वापस लेता है, तो डाटा फ़िड्यूशरी उसके व्यक्तिगत डाटा के इस्तेमाल को तुरंत बंद कर रहा है या नहीं.
मसौदा बिल में कहा गया है, ‘डाटा प्रिंसिपल की ओर से दी गई सहमति पर्सनल डाटा के इस्तेमाल का आधार है और उसे किसी भी समय अपनी सहमति वापस लेने का अधिकार होगा.’
हालांकि मसौदे में यह भी कहा गया है कि ‘सहमति वापस लेने से जुड़े किसी भी तरह के नतीजों से डाटा प्रिंसिपल को ही निपटना होगा’. इसका मतलब है कि जिन सेवाओं के लिए पर्सनल डाटा जमा किया गया था, उन्हें भी रोका जा सकता है.
बच्चों का व्यक्तिगत डाटा
अतीत में मसौदा विधेयक के सबसे विवादास्पद पहलुओं में से एक बच्चों और नाबालिगों से संबंधित डाटा की स्टोरिंग और प्रॉसेसिंग से जुड़ा था. मौजूदा ड्राफ्ट में बच्चों के पर्सनल डाटा को इस्तेमाल करने के लिए फ़िड्यूशरी के लिए कुछ दायित्वों को सूचीबद्ध किया गया है.
इसमें एक बच्चे के किसी भी तरह के व्यक्तिगत डाटा को इस्तेमाल करने के लिए माता-पिता की सहमति को महत्व दिया गया है.
बिल कहता है, ‘डाटा फ़िड्यूशरी पर्सनल डाटा को उस तरह से इस्तेमाल नहीं कर सकता है, जिससे बच्चे को नुकसान होने की संभावना हो. यह उसका इस्तेमाल बच्चों की ट्रैकिंग या व्यवहार की निगरानी या बच्चों को नजर में रखकर बनाए जाने वाले विज्ञापनों के लिए नहीं करेगा.’
अगर कोई संस्था इन नियमों को अनदेखा करती है तो उस पर 200 करोड़ रुपये तक का जुर्माना लगाया जा सकता है.
डिजिटल अधिकार कार्यकर्ताओं ने पहले दावा किया था कि नाबालिगों पर डाटा एकत्र करना और उनकी वास्तविक उम्र के सत्यापन का, हो सकता है कोई मतलब न हो. इसे मानना कंपनियों के लिए महंगा साबित हो सकता है.
शिकायत निवारण तंत्र
मसौदा विधेयक के अनुसार, इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय शिकायत निवारण तंत्र के लिए एक ढांचा तैयार करेगा जो बिल के प्रावधानों के तहत काम करेगा. यह सुनिश्चित करेगा कि नागरिकों को कंपनी से अपने डाटा प्रॉसेसिंग के बारे में प्रासंगिक जानकारी प्राप्त करने और जब भी जरूरी हो कार्रवाई करने का अधिकार हो.
शिकायतों के निवारण के लिए एक स्वतंत्र डाटा प्रोटेक्शन बोर्ड की स्थापना की जाएगी.
बिल कहता है, ‘केंद्र सरकार अधिसूचना जारी कर इस अधिनियम के प्रयोजनों के लिए एक बोर्ड स्थापित करेगी, जिसे भारतीय डाटा प्रोटेक्शन बोर्ड कहा जाएगा. कामों का बंटवारा, शिकायतों दर्ज करना, सुनवाई के लिए समूहों का गठन, निर्णयों की घोषणा और बोर्ड के अन्य सभी काम डिजिटली होंगे.’
मंत्रालय ने अभी तक चयन की प्रक्रिया, नियुक्ति के नियम और शर्तों और सेवा का खुलासा नहीं किया है.
मसौदा बिल के अनुसार, ‘अधिनियम के प्रावधानों का पालन न करने और जुर्माना लगाने’ का निर्धारण भी बोर्ड को ही करना होगा. इसके अलावा केंद्र सरकार द्वारा निर्धारित कार्यों को करना, डाटा उल्लंघनों के दौरान किसी व्यक्ति की शिकायत पर सुनवाई करना और पर्सनल डाटा को माइग्रेट करने का उचित अवसर देना भी बोर्ड का ही काम होगा.
अगर डाटा प्रोटेक्शन बोर्ड पाता है कि डाटा जमा करने वाली कोई कंपनी या संस्था कानूनों का पालन नहीं कर रही है तो वह उस पर 500 करोड़ रुपये तक का जुर्माना लगा सकता है.
बोर्ड के पास कानून का पालन न करने पर अपराध की प्रकृति, गंभीरता, समय और इसकी वजह से प्रभावित पर्सनल डाटा के प्रकार और प्रकृति के आधार पर जुर्माना की राशि तय करने का भी अधिकार होगा.
ड्राफ्ट बिल में कहा गया है कि अगर डाटा फिड्यूशरी ‘बोर्ड को सूचित करने और व्यक्तिगत डाटा उल्लंघन की स्थिति में डाटा प्रिंसिपल को प्रभावित करने’ में विफल रहा है, तो उन्हें 200 करोड़ रुपये तक का जुर्माना देना होगा.
(इस ख़बर को अंग्रेजी में पढ़ने के लिए यहां क्लिक करें)
यह भी पढ़ें: COP27: विकासशील देश बोले- क्लाइमेट लॉस और डैमेज फंड पर EU के प्रस्ताव में ‘नैतिक प्रतिबद्धता की कमी’